Senast publicerat 27-05-2021 11:22

Regeringens proposition RP 96/2021 rd Regeringens proposition till riksdagen med förslag till lag om ändring av 60 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I denna proposition föreslås det att en övergångsbestämmelse i lagen om sekundär användning av personuppgifter inom social- och hälsovården ändras så att kraven på informations-säkra driftmiljöer tillämpas först från och med den 1 maj 2022. Före denna tidpunkt får emellertid uppgifter lämnas ut för behandling till tillståndshavaren med stöd av lagen, även om det i ansökan om dataanvändningstillstånd inte anvisas en i lagen avsedd informationssäker driftmiljö för behandlingen av uppgifter. Utlämnandet av uppgifter förutsätter då ett dataanvändningstillstånd som beviljats för viss tid och som gäller högst till den 30 april 2022. Övergångsbestämmelsen föreslås dessutom bli ändrad så att bestämmelserna om rättigheter, skyldigheter och åtgärder på grund av betydande kliniska fynd tillämpas från och med den 1 januari 2024. 

Lagen avses träda i kraft så snart som möjligt. 

MOTIVERING

Bakgrund och beredning

1.1  Bakgrund

Ett av målen i programmet för statsminister Sanna Marins regering 2019 är att Finland är en internationellt attraktiv plats för studier, forskning och investeringar. 

Lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019, nedan lagen om sekundär användning) trädde i kraft den 1 maj 2019. 

Syftet med lagen om sekundär användning är att skapa tidsenliga och enhetliga förutsättning-ar för att de kunduppgifter på personnivå som uppkommer i samband med serviceverk-samheten inom social- och hälsovården samt andra personuppgifter som gäller hälsa och välfärd ska kunna användas för statistikföring, forskning, utvecklings- och innovationsverk-samhet, undervisning, informationsledning, myndighetsstyrning och myndighetstillsyn samt för myndigheternas planerings- och utredningsuppgifter. Lagen ger möjligheter att i större utsträckning än nu utnyttja kund- och patientuppgifter inom social- och hälsovården för andra ändamål än det ursprungliga ändamålet, som gäller social- och hälsovårdssystemet. 

Ett primärt mål för lagen om sekundär användning, vid sidan av den ovan beskrivna breddningen av dataanvändningen, är att i all sekundär behandling av personuppgifter inom social- och hälsovården skydda personuppgifterna för att allmänheten ska ha stort förtroende för sekundär användning av deras personuppgifter. Lagen om sekundär användning möjliggör bättre informationssäkerhet än förr vid sekundär behandling av känsliga personuppgifter inom social- och hälsovården. Det i sin tur stärker förtroendet också för social- och hälsovårdssystemet överlag. Social- och hälsovårdsutskottet har i sitt betänkande (ShUB 37/2018 rd) ansett att känsliga social- och hälsovårdsuppgifter som är personuppgifter måste behandlas på ett informationssäkert sätt för att de inte ska avslöjas för utomstående. Det är enligt utskottet viktigt att Tillståndsmyndigheten för användning av social- och hälsovårdsdata (nedan Tillståndsmyndigheten) inrättas och de föreslagna lagarna verkställs med hjälp av kompetens på hög nivå och med hänsyn till den tekniska utvecklingen. När Tillståndsmyndigheten startar och verksamheten planeras är det enligt social- och hälsovårdsutskottet av stor vikt att säker-ställa att det finns tillgång till stor expertis inom dataskydd och informationssäkerhet och att verksamheten över hela linjen resurssätts i tillräckligt hög grad. 

Social- och hälsovårdsutskottet har i sitt ovannämnda betänkande konstaterat att statsrådet noga måste följa upp och ta ställning till hur regelverket har verkställts och fungerar. Detta är viktigt för att lagstiftningen ska tillgodose de behov som kommer med den tekniska utvecklingen, för att den sekundära användningen av personuppgifter ska fungera smidigt, för att informationssäkerheten för behandling av känsliga social- och hälsovårdsuppgifter ska ligga på hög nivå och för att den sekundära användningen av personuppgifter ska vara till nytta för social- och hälsovårdssystemet. Utskottet fann det viktigt att statsrådet noga följer upp och utvärderar hur det föreslagna systemet och den anknytande lagstiftningen fungerar i sin helhet också när verksamheten har kommit i gång. Detta är enligt utskottet av relevans för att man ska kunna nyttiggöra den tekniska utvecklingen på behörigt sätt för att skydda personuppgifter. I förekommande fall måste lagarna ändras. 

Informationssäkra driftmiljöer är en i regeringens proposition om lagen om sekundär användning (RP 159/2017 rd) inskriven central åtgärd som tryggar skyddet för individens personuppgifter. Informationssäkra driftmiljöer spelar en framträdande roll när det gäller att förhindra missbruk och förverkliga cybersäkerheten. De är också en konkurrensfördel för Finland, eftersom vi på så sätt kan visa att vi aktivt drar försorg om skyddet för känsliga personuppgifter. se ett sakkunnigutlåtande om informationssäkerhet Även i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (nedan den allmänna dataskyddsförordningen) förutsätts tillräckliga skyddsåtgärder när känsliga personuppgifter behandlas. 

I 60 § 1 mom. i lagen om sekundär användning föreskrivs om en övergångsperiod efter vilken Tillståndsmyndigheten till tillståndshavaren får lämna ut identifierbara uppgifter endast för behandling i en informationssäker driftmiljö som avses i 20 § 3 mom. Enligt 20 § 1 mom. ska Tillståndsmyndigheten ensam eller tillsammans med andra myndigheter förvalta en informationssäker driftmiljö som gör det möjligt att garantera en informationssäker, tillståndsenlig behandling av uppgifter som Tillståndsmyndigheten eller någon annan myndighet som avses i lagen om sekundär användning lämnat ut med stöd av lagen om sekundär användning. I 3 mom. i den nämnda paragrafen föreskrivs att om ansökan om dataanvändningstillstånd innehåller en begäran om att datamaterial ska lämnas ut för behandling i en annan miljö än den som avses i 1 mom., ska det i ansökan särskilt motiveras varför detta är nödvändigt. Tillståndsmyndigheten eller någon annan myndighet som avses i lagen om sekundär användning får då lämna ut uppgifter till sökanden endast om driftmiljön uppfyller villkoren i 20 § 2 mom. och i 21–29 § i lagen om sekundär användning. 

Identifierbara personuppgifter lämnas vanligen ut i forskningssyften för vilka de kan samman-föras med uppgifter i journalhandlingar inom hälso- och sjukvården. Då behandlas de ofta i verksamhetsenhetens egna informationssystem som är avsedda för forskare, i vilka inte alla dataskydds- och säkerhetskrav som förutsätts har genomförts än så länge. Syftet med övergångsperioden var att säkerställa att forskningen inom hälso- och sjukvården inte hämmas då lagen träder i kraft. De berörda verksamhetsenheterna har dock en skyldighet att se till att de informationssystem som forskarna använder motsvarar kraven i 20 § 3 mom. senast då övergångsperioden löpt ut. 

I samband med lagberedningen uppskattades det ta omkring två år att skapa informationssäkra driftmiljöer efter det att lagen godkänts. Övergångsperioden föreslogs pågå till den 1 maj 2021, vilket är den övergångsperiod som nu föreskrivs i 60 § i lagen om sekundär användning. 

Enligt uppgift från Tillståndsmyndigheten kommer ingen aktör, bortsett från Tillståndsmyndigheten själv, att den 1 maj 2021 ha en sådan informationssäker driftmiljö som förutsätts i 20 § i lagen om sekundär användning och till vilken datamaterial får lämnas ut för att behandlas av tillståndshavaren. Inte heller har utländska aktörer heltäckande kännedom om denna revisionsskyldighet, och ingen utländsk aktör har vidtagit åtgärder för att revidera sina egna system så att de blir förenliga med lagen om sekundär användning. Tillståndsmyndighetens driftmiljö klarar ännu inte heller av att behandla allt datamaterial som det finns behov av att behandla, i synnerhet inom den medicinska forskningen. Som exempel kan nämnas bilddiagnostiskt hälso- och sjukvårdsmaterial (exempelvis röntgenbilder, ultraljudsbilder och EKG-upptagningar), vilket är material som ingår i tillämpningsområdet för lagen om sekundär användning. Bilddiagnostiskt material förutsätter i praktiken utrustning och programvaror som bara hälso- och sjukvårdsaktörer har. Behandlingen av bilddiagnostiskt material förutsätter också nästan alltid att den som utför behandlingen är en läkare som är specialiserad på området i fråga, eller att en sådan läkare deltar i behandlingen. Också därför är det angeläget att bland annat de mest betydande hälso- och sjukvårdsaktörerna i Finland hinner revidera sina egna driftmiljöer i överensstämmelse med kraven för att klara av att behandla dessa särskilda datamaterial också i sina egna miljöer. 

Enligt 55 § i lagen om sekundär användning har en innehavare av dataanvändningstillstånd rätt att till den ansvariga person som Tillståndsmyndigheten utsett anmäla betydande kliniska fynd på grundval av vilka hälsorisker för en viss patient kan förebyggas eller vårdens kvalitet betydligt förbättras. 

Om de uppgifter som är grunden för anmälan är pseudonymiserade, ska den ansvariga personen utreda vem eller vilka informationen gäller. När Tillståndsmyndighetens ansvariga person känner till vilken eller vilka personer som en anmälan gäller, ska den ansvariga personen utan obefogat dröjsmål lämna uppgifterna till en expert som utsetts av Institutet för hälsa och välfärd. Experten ska i samarbete med övriga experter som utsetts av institutet bedöma betydelsen av informationen och den förväntade nyttan med de åtgärder som kan vidtas med stöd av den. Om nyttan bedöms vara så uppenbar att det skulle vara viktigt att den som ska undersökas får vård, ska experten vid Institutet för hälsa och välfärd anmäla fyndet till den verksamhetsenhet som med stöd av hälso- och sjukvårdslagen (1326/2020) är regionalt ansvarig för den aktuella personens hälso- och sjukvård. Verksamhetsenheten ska kontakta patienten och klarlägga om han eller hon vill ha information om det betydande kliniska fyndet och de undersöknings- och vårdåtgärder som eventuellt ska vidtas på grundval av det samt om den förväntade nyttan med åtgärderna. 

Patienten har rätt att förbjuda kontakt som tas på basis av ett kliniskt betydande fynd. Förbudet antecknas i patientens informationshanteringstjänst som avses i 14 a § i klientuppgiftslagen. Patienten kan meddela förbudet skriftligt hos en valfri verksamhetsenhet som producerar offentlig hälso- och sjukvård eller elektroniskt via det medborgargränssnitt som avses i 19 § i klientuppgiftslagen. 

Folkpensionsanstalten och Institutet för hälsa och välfärd har uppgett att eftersom de ändringar som krävs i 55 § i lagen om sekundär användning förutsätter att ändringar görs i patientdatasystemen, de nationella informationssystemtjänsterna och forskarnas informationssäkra driftmiljöer är det motiverat att de ändringar som förutsätts i lagen sammanslås med de ändringar avseende en viljeyttringstjänst och förbud som föreslås i regeringens proposition om en ny kunduppgiftslag (RP 212/2020 rd). Ändringarna har inte gjorts, men de går att genomföra så att 55 § i lagen om sekundär användning kan träda i kraft den 1 januari 2024. Enligt Folkpensionsanstalten och Institutet för hälsa och välfärd är det fråga om en verkligt omfattande ny process med många aktörer och verktyg (Findata, forskare, ett nytt användargränssnitt för forskare, medborgare, Kanta-tjänsterna, hälso- och sjukvården, patientdatasystemen). Under de två kommande åren är hälso- och sjukvården och de nationella informationssystemtjänsterna föremål för ett stort antal andra krav som hänför sig till verkställighet av lagstiftning, bland annat verkställighet av ändringar av klientuppgiftslagen, reformen av personbeteckningarna före den 1 januari 2023 samt den verkställighet som social- och hälsovårdsreformen förutsätter. 

1.2  Beredning

Regeringens proposition har beretts som internt tjänstemannaarbete vid social- och hälsovårdsministeriet och Tillståndsmyndigheten. 

Social- och hälsovårdsministeriet ordnade den 12 april 2021 ett informationsmöte för de centrala personuppgiftsansvariga och myndigheter som avses i lagen om sekundär användning. Vid mötet presenterades de ändringar som föreslås i övergångsbestämmelsen i 60 § 1 mom. i lagen om sekundär användning. I informationsmötet deltog 68 personer. Utöver att mötet ordnades var det fram till den 13 april 2021 möjligt att ge ett skriftligt utlåtande om propositionsutkastet. Sammanlagt 28 utlåtanden lämnades in. 

Beredningsunderlaget till propositionen finns i den offentliga tjänsten under adressen https://stm.fi/sv/projektet?tunnus=STM047:00/2021

Nuläge och bedömning av nuläget

Sådana godkända certifieringsmekanismer för dataskydd som avses i artikel 42 i den allmänna dataskyddsförordningen är inte i bruk ännu. En revision kan emellertid betraktas som ett förstadium till erhållande av ett certifikat som gäller informationssäkerhet eller dataskydd. Certifikatet fungerar som intyg över uppfyllandet av både de tillämpliga standarderna och de kriterier och krav som används vid revisionen. Användningen av dem bör uppmuntras inom olika sektorer som komplettering av den personuppgiftsansvariges interna övervakning och myndighetstillsynen på motsvarande sätt som de säkerhetsrevisioner som nu används. Förbättring av informationssäkerheten och dataskyddet inom kritiska sektorer i samhället Arbetsgruppens slutrapport . I arbetsgruppen gjordes bedömningen att det är möjligt att också vad dataskyddsbedömningar beträffar utöka särskilt användningen av de certifieringsmekanismer för dataskydd som avses i den allmänna dataskyddsförordningen. I slutrapporten konstateras att dataskyddscertifieringar som utomstående certifieringsorgan utfärdar är ett med dataskyddsförordningen förenligt sätt för den personuppgiftsansvarige att visa att dataskyddsförordningen efterlevs och särskilt att kraven på behandlingens säkerhet uppfylls. Bedömningar som görs av utomstående oberoende certifieringsorgan ökar verksamhetens trovärdighet, utökar i betydande grad kompetensen att bedöma huruvida bestämmelserna efterlevs (övervakning) och ger på samma gång den personuppgiftsansvarige viktig know-how i fråga om att utveckla dataskyddet. Detta förutsätter enligt slutrapporten att certifieringsorgan ackrediteras, vilket är en uppgift för dataombudsmannen, samt att affärsverksamhet inom certifiering av dataskyddet inleds. 

I Finland används bland annat den nationella kriteriesamlingen för säkerhetsauditering, Katakri. Kriteriesamlingen ställer i och för sig inte upp ovillkorliga krav beträffande informationssäkerheten, utan de samlade kraven i den grundar sig på gällande lagstiftning och internationella informationssäkerhetsskyldigheter som är bindande för Finland. Fastän Katakri i första hand används i samband med bedömning av behandlingen av säkerhetsklassificerade uppgifter, kan kriteriesamlingen utnyttjas också i den privata och den offentliga sektorns övriga säkerhetsarbete och vid utvecklingen av det. Dessutom har Cybersäkerhetscentret utarbetat kriterier för bedömning av molntjänsters säkerhet (PiTuKri). Syftet med dem är att främja säkerheten för myndigheternas sekretessbelagda uppgifter i situationer där uppgifterna behandlas i molntjänster. 

Också hälso- och sjukvårdssystem som hör till klass B genomgår sällan revisioner. Att revisioner utnyttjas endast i liten utsträckning inom vissa sektorer har bidragit till att nivån på informationssäkerheten hos processer, funktioner och informationssystem kan variera betydligt mellan olika sektorer. Revisionen av processer och funktioner borde vara en självskriven del av kritiska sektorers riskhantering. För att antalet revisioner ska stiga förutsätts vid sidan av en granskning av regleringen att verksamhetskulturen förändras inom både den offentliga och den privata sektorn. All revisionsverksamhet förutsätter ekonomiska satsningar av den som är föremål för verksamheten. Till denna del gäller det dock att beakta att kostnaderna för revisionen påverkas direkt av hur detaljerad revisionen är och hur omfattande revisionsobjektet är. Det innebär att revisioner av enskilda informationssystem eller processer som identifierats som kritiska utgör mångfalt mindre satsningar än omfattande revision av ett stort företags eller en kommuns digitala servicemiljö. 

Säkerhetsrevisioner utförs i Finland av Cybersäkerhetscentret vid Transport- och kommunikationsverket, särskilt godkända bedömningsorgan (bland annat KPMG och Nixu), vissa informationssäkerhetsföretag och organisationsinterna oberoende aktörer. För den högsta granskningsnivån svarar Cybersäkerhetscentret och de särskilt godkända bedömningsorganen, vilka det för närvarande finns endast några få av i Finland. Aktörernas egenkontroll och interna oberoende revisioner och kontroller motsvarar inte en granskning som utförts av ett utomstående bedömningsorgan, men kan ses som ett ytterligare sätt att förbättra informationssäkerheten och dataskyddet. Dessutom är det möjligt att hos aktörer inom den privata sektorn köpa olika utbildnings- och konsulttjänster för att förbättra informationssäkerheten och dataskyddet. 

Enligt 24 § i lagen om sekundär användning ska informationssäkra driftmiljöer uppfylla kraven på informationssäkerhet och interoperabel dataöverföring som bygger på myndigheternas föreskrifter, rekommendationer och de standarder som enligt dessa lämpar sig för en informationssäker driftmiljö. Tillståndsmyndigheten meddelar närmare föreskrifter om de krav som ska ställas på andra tjänsteleverantörers informationssäkra driftmiljöer. Kraven ska förutsätta informationssäkerhet på motsvarande nivå som i Tillståndsmyndighetens egen driftmiljö. Enligt 25 § i lagen om sekundär användning ska informationssäkerheten i driftmiljön påvisas genom ett i 26 § avsett intyg från ett bedömningsorgan för informationssäkerhet. Tillståndsmyndigheten får meddela närmare föreskrifter om de förfaranden som ska iakttas vid påvisande av informationssäkerhet. 

Tillståndsmyndigheten meddelade den 5 oktober 2020 en med lagen om sekundär användning förenlig föreskrift som gäller informationssäkra driftmiljöer (1/2020). Enligt uppgift från Tillståndsmyndigheten har sedan dess föreskriften och till verkställigheten av den anknytande åtgärder som förutsätts i lagen om sekundär användning gåtts igenom mot slutet av år 2020 tillsammans med Transport- och kommunikationsverket (Traficom) och Tillstånds- och tillsynsverket för social- och hälsovården (Valvira). Enligt Tillståndsmyndigheten behövdes denna gemensamma genomgång för att Traficom skulle kunna omarbeta sina egna anvisningar till bedömningsorganen och beakta den nya föreskriften i anvisningarna. Valvira behövde information om föreskriftens innehåll för att komma vidare med arbetet med ett offentligt register över informationssäkra driftmiljöer. Enligt Tillståndsmyndigheten behövdes en gemensam genomgång och kontakt med bedömningsorganen. Det fanns behov av att gå igenom den nya föreskriften med bedömningsorganen för att det skulle bildas en uppfattning om vad kraven i föreskriften innebär för revisionen. 

Den beskrivna genomgången pågick i cirka fyra månader. Den var nödvändig med tanke på föreskriftens verkställighet. Inte heller skulle den ha kunnat påbörjas så länge som Tillståndsmyndigheten inte hade meddelat föreskriften och det inte var känt hurdana krav den innehöll. Under beredningen bildades också en mer motiverad uppfattning om vilken arbetsmängd som krävs och hur lång tid en revision som genomförs med stöd av den nya föreskriften väntas ta. Åtminstone en del av kraven är nya för bedömningsorganen som genomför revisioner, eftersom föreskriften innehåller sådana krav som inte ingår exempelvis i de nuvarande kraven på social- och hälsovårdens informationssystem av klass A enligt lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007, nedan klientuppgiftslagen). Enligt uppgift från Tillståndsmyndigheten har bedömningsorganen beräknat att en revision som är förenlig med föreskriften tar omkring två kalendermånader att genomföra. En revision förutsätter också att förberedelser vidtas innan det är möjligt att påbörja den egentliga revisionen. Bland annat ska tekniska beskrivningar och dokumenteringar ha utarbetats i tillräckligt täckande form, och de ska arkiveras. Den aktör som är föremål för revision ska också själv gå igenom kraven i föreskriften och säkerställa att de egna verksamhetssätten stämmer överens med föreskriften. Först efter det kan den egentliga revisionen inledas. 

Tillståndsmyndigheten har från och med den 1 april 2020 beviljat dataanvändningstillstånd som gällt material på individnivå. Vid tillståndsprövningen har det beaktats att Tillståndsmyndighetens egen driftmiljö är den primära miljö som datamaterial kan lämnas ut till. Under övergångsperioden är det ändå möjligt att lämna ut datamaterial också till andra miljöer än Tillståndsmyndighetens miljö. Lagen upptar inte särskilda bestämmelser om i vilka situationer eller på vilka grunder datamaterial under övergångsperioden får lämnas ut till någon annan miljö än till Tillståndsmyndighetens miljö. Enligt lagen om sekundär användning får uppgifter före den 1 maj 2021 lämnas ut för behandling till tillståndshavaren, även om det i ansökan om dataanvändningstillstånd inte anvisas sådana krav på en informationssäker driftmiljö för behandlingen av uppgifter som förutsätts i 20 § 3 mom. och 21–34 §. Enligt 43 § 4 mom. i lagen om sekundär användning kan tillstånd beviljas, om det är uppenbart att de intressen som sekretessen är avsedd att skydda inte kränks av att uppgifterna lämnas ut. Tillståndet ska dessutom utifrån riskerna förenas med krav på åtgärder till skydd för behandlingen av uppgifter samt andra bestämmelser som behövs för att skydda enskilda intressen. I 18 § i lagen om sekundär användning finns allmänna informationssäkerhetskrav som började gälla så snart lagen trädde i kraft. Enligt dem ska när personuppgifter behandlas med stöd av denna lag en tillräcklig informationssäkerhet för behandlingen säkerställas genom riskhantering, åtkomsthantering, aktiv övervakning och genom iakttagande av föreskrifter och anvisningar från den myndighet som svarar för förverkligandet och övervakningen av informationssäkerhet och dataskydd. Särskild uppmärksamhet ska fästas vid att användningsbegränsningar och sekretessplikten iakttas. 

Lagstiftningen innehåller därmed krav beträffande informationssäkerheten och dataskyddet samt säkerställandet av dem också under övergångsperioden. Samtidigt behöver Tillståndsmyndigheten beakta ett annat syfte för lagen, som varit att trygga forskningsverksamheten och försnabba tillståndsförfarandena. I följande situationer har Tillståndsmyndigheten lämnat ut datamaterial för att behandlas i andra driftmiljöer än dess egen: 

Om det varit fråga om ett pågående forskningsprojekt för vilket till exempel förlängning har sökts hos Tillståndsmyndigheten. Tillståndsmyndigheten beviljar förlängning i en situation där det ursprungliga forskningstillståndet har gällt flera personuppgiftsansvarigas material. I dessa situationer befinner sig materialet redan i en driftmiljö som anges i det ursprungliga tillståndet eller de ursprungliga tillstånden. 

Tillståndsmyndigheten har inte förutsatt att forskningsmaterialet på grund av förlängningen ska flyttas till en annan miljö, alltså till Tillståndsmyndighetens miljö. Även överföring eller förflyttning av känsliga datamaterial utgör i sig en informationssäkerhets- och dataskyddsrisk. Forskningsmaterial kan vara till och med mycket digra, och en del av materialet kan också vara i pappersform. Tillståndsmyndigheten behandlar inte papper, utan behandlingen som den utför grundar sig helt och hållet på elektronisk behandling och på att materialen är elektroniska. 

Tillståndsmyndigheten har gett tillstånd att behandla datamaterial också när en verksamhetsutövare inom hälso- och sjukvården har varit tillståndshavare och den miljö där uppgifterna har funnits. En sådan aktör förfogar också redan själv över stora mängder känsliga uppgifter och omfattas också av krav i annan lagstiftning som gäller informationssäker behandling av uppgifter. Dessutom har det kunnat vara fråga om bilddiagnostiskt material som inte kan behandlas i Tillståndsmyndighetens egen driftmiljö. 

Tillståndsmyndigheten har inte gett tillstånd att använda uppgifter, om den utifrån information som den fått har gjort bedömningen att behandlingen av uppgifter i den föreslagna miljön medför en alltför stor informationssäkerhets- eller dataskyddsrisk. Sådana fall har kunnat förekomma till exempel om den tillståndssökande har meddelat att materialet kommer att förvaras på usb-minnen i en forskares arbetsrum. I situationer där det har framställts önskemål om att flytta datamaterialet till något annat land har Tillståndsmyndigheten från fall till fall övervägt hur situationen ser ut från dataskydds- och informationssäkerhetssynpunkt. 

I samband med lagberedningen uppskattades det ta omkring två år att skapa informationssäkra driftmiljöer efter det att lagen godkänts, och övergångsperioden föreslogs pågå till den 1 maj 2021. Enligt uppgift från Tillståndsmyndigheten kommer ingen aktör, bortsett från Tillståndsmyndigheten själv, att den 1 maj 2021 ha en sådan informationssäker driftmiljö som förutsätts i 20 § i lagen om sekundär användning och till vilken datamaterial får lämnas ut för att behandlas av tillståndshavaren. Den nuvarande situationen leder till att flera undersökningar riskerar att upphöra eller bli omöjliga den 1 maj 2021, eftersom det inte finns informationssäkra driftmiljöer till vilka datamaterial skulle kunna lämnas ut på grundval av ett dataanvändningstillstånd. Tillståndsmyndighetens driftmiljö klarar emellertid ännu inte av att behandla allt sådant datamaterial som det finns behov av att behandla, särskilt inom den medicinska forskningen. Som exempel kan nämnas bilddiagnostiskt hälso- och sjukvårdsmaterial (till exempel röntgenbilder), vilket är material som ingår i tillämpningsområdet för lagen om sekundär användning. Bilddiagnostiskt material förutsätter i praktiken utrustning och programvaror som bara hälso- och sjukvårdsaktörer har. Behandlingen av bilddiagnostiskt material förutsätter också nästan alltid att den som utför behandlingen är en läkare som är specialiserad på området i fråga, eller att en sådan läkare deltar i behandlingen. Också därför är det angeläget att bland annat de mest betydande hälso- och sjukvårdsaktörerna i Finland hinner revidera sina egna driftmiljöer i överensstämmelse med kraven för att klara av att behandla dessa särskilda datamaterial också i sina egna miljöer. Enligt sakkunnigbedömningar kan detta läge vara uppnått den 1 maj 2022. Dessutom har särskilt utmaningar som hör ihop med tryggande av internationell forskning och informationssäkerheten i samband med den förts fram i propositionen i avsnittet om verkställighet och uppföljning. 

Enligt 55 § i lagen om sekundär användning har en innehavare av dataanvändningstillstånd rätt att till den ansvariga person som Tillståndsmyndigheten utsett anmäla betydande kliniska fynd på grundval av vilka hälsorisker för en viss patient kan förebyggas eller vårdens kvalitet betydligt förbättras. 

Patienten har rätt att förbjuda kontakt som tas på basis av ett kliniskt betydande fynd. Förbudet antecknas i patientens informationshanteringstjänst som avses i 14 a § i klientuppgiftslagen. Patienten kan meddela förbudet skriftligt hos en valfri verksamhetsenhet som producerar offentlig hälso- och sjukvård eller elektroniskt via det medborgargränssnitt som avses i 19 § i klientuppgiftslagen. 

Folkpensionsanstalten och Institutet för hälsa och välfärd har uppgett att eftersom de ändringar som krävs i 55 § i lagen om sekundär användning förutsätter att ändringar görs i patientdatasystemen, de nationella informationssystemtjänsterna och de informationssäkra driftmiljöer som forskare använder kommer de ändringar som förutsätts i lagen inte att vara genomförda den 1 maj 2021, de förutsätter mycket mer arbete och tid. Det är dessutom motiverat att ändringarna sammanslås med de ändringar avseende en viljeyttringstjänst och förbud som föreslås i regeringens proposition om en ny kunduppgiftslag (RP 212/2020 rd). Enligt uppgift från Folkpensionsanstalten och Institutet för hälsa och välfärd går ändringarna att genomföra allra tidigast så att 55 § i lagen om sekundär användning kan träda i kraft den 1 januari 2024. 

Målsättning

Syftet med propositionen är att bestämmelserna om kraven på informationssäkra driftmiljöer i 20 § 3 mom. och 21–34 § i lagen om sekundär användning ska tillämpas först när de centrala aktörerna i branschen utan obefogat dröjsmål har kunnat revidera sina informationssäkra driftmiljöer. Enligt regeringens uppfattning bör detta ske utan obefogat dröjsmål så snart som möjligt, men senast bör tillämpningen ske från och med den 1 maj 2022. Man kan anta att branschaktörernas informationssäkra driftmiljöer senast då har reviderats så som förutsätts i lagen om sekundär användning så att datamaterial kan lämnas ut till tillståndshavarens reviderade informationssäkra driftmiljö i enlighet med lagen om sekundär användning. Före nämnda tidpunkt får uppgifter emellertid lämnas ut för behandling till tillståndshavaren med stöd av 51 § 1 och 2 mom. i lagen om sekundär användning, även om det i ansökan om dataanvändningstillstånd inte anvisas en i 51 § 3 mom. i lagen om sekundär användning avsedd informationssäker driftmiljö för behandlingen av uppgifter. Utlämnandet av uppgifter förutsätter då ett dataanvändningstillstånd som med stöd av 43 § 4 mom. beviljats för viss tid och som gäller högst till den 30 april 2022. Orsaken till detta är att det ska kunna säkerställas att behandlingen av datamaterial efter övergångsperioden sker endast i informationssäkra driftmiljöer. Även under övergångsperioden är det dock möjligt att med stöd av ett i 43 § 4 mom. avsett dataanvändningstillstånd lämna ut datamaterial till en driftmiljö som redan uppfyller kraven på informationssäkra driftmiljöer. 

Däremot föreslås i detta sammanhang inte att den i 60 § 1 mom. i lagen om sekundär användning angivna övergångsperioden för bestämmelserna om logguppgifter i 19 § ändras. Kravet beträffande logguppgifter är ett centralt instrument med hjälp av vilket den registrerade, den personuppgiftsansvarige och myndigheterna kan följa och övervaka behandlingen av personuppgifter. Dessutom omfattas myndigheterna av motsvarande förpliktelse redan med stöd av lagen om informationshantering inom den offentliga förvaltningen (906/2019, nedan informationshanteringslagen). Vid beredningen av den berörda propositionen (RP 284/2018 rd) fördes dock i utlåtandena fram angående insamlingen av logginformation att det föreslagna kravet i fråga om insamlingen i sådana fall då personuppgifter eller sekretessbelagd information behandlas i informationssystem, är oskäligt tungt och dyrt att genomföra i de nuvarande informationssystemen.. Tillståndsmyndigheten samlar själv in ovannämnda logguppgifter. 

Eftersom verkställigheten av 55 § i lagen om sekundär användning om rättigheter, skyldigheter och åtgärder på grund av betydande kliniska fynd förutsätter ändringar också i patientdatasystemen, de nationella informationssystemtjänsterna och de informationssäkra driftmiljöerna, är de ändringar som förutsätts i lagen inte möjliga att genomföra före den 1 maj 2021. Det är dessutom motiverat att ändringarna sammanslås med de ändringar avseende en viljeyttringstjänst och förbud som föreslås i regeringens proposition om en ny kunduppgiftslag (RP 212/2020 rd). Enligt uppgift från Folkpensionsanstalten och Institutet för hälsa och välfärd går ändringarna att genomföra så att 55 § i lagen om sekundär användning kan träda i kraft tidigast den 1 januari 2024. 

Förslagen och deras konsekvenser

4.1  De viktigaste förslagen

Det viktigaste förslaget är att övergångsbestämmelsen i 60 § 1 mom. i lagen om sekundär användning ändras så att bestämmelserna om kraven på informationssäkra driftmiljöer i 20 § 3 mom. och 21–34 § i lagen om sekundär användning ska tillämpas först när de centrala branschaktörerna utan obefogat dröjsmål har kunnat revidera sina informationssäkra driftmiljöer. 

Informationssäkra driftmiljöer är en i regeringens proposition om lagen om sekundär användning inskriven central åtgärd som tryggar skyddet för individens personuppgifter. Informationssäkra driftmiljöer spelar en framträdande roll när det gäller att förhindra missbruk och förverkliga cybersäkerheten. De är också en konkurrensfördel för Finland, eftersom vi på så sätt kan visa att vi aktivt drar försorg om skyddet för känsliga personuppgifter. Även i den allmänna dataskyddsförordningen förutsätts tillräckliga skyddsåtgärder när känsliga personuppgifter behandlas. 

Enligt regeringens uppfattning bör detta ske utan obefogat dröjsmål så snart som möjligt, men senast bör tillämpningen ske från och med den 1 maj 2022. Man kan anta att branschaktörernas informationssäkra driftmiljöer senast då har reviderats så som förutsätts i lagen om sekundär användning så att datamaterial kan lämnas ut till tillståndshavarens reviderade informationssäkra driftmiljö i enlighet med lagen om sekundär användning. Före nämnda tidpunkt får uppgifter emellertid lämnas ut för behandling till tillståndshavaren med stöd av 51 § 1 och 2 mom. i lagen om sekundär användning, även om det i ansökan om dataanvändningstillstånd inte anvisas en i 51 § 3 mom. i lagen om sekundär användning avsedd informationssäker driftmiljö för behandlingen av uppgifter. Utlämnandet av uppgifter förutsätter då ett dataanvändningstillstånd som med stöd av 43 § 4 mom. beviljats för viss tid och som gäller högst till den 30 april 2022. Orsaken till detta är att det ska kunna säkerställas att datamaterial efter övergångsperioden behandlas endast i informationssäkra driftmiljöer. Även under övergångsperioden är det möjligt att med stöd av ett tidsbundet dataanvändningstillstånd vars giltighet dock inte är begränsad behandla datamaterial i en informationssäker driftmiljö. 

Folkpensionsanstalten och Institutet för hälsa och välfärd har uppgett att eftersom de ändringar som krävs i 55 § samt 21–29 § i lagen om sekundär användning förutsätter att ändringar görs i patientdatasystemen, de nationella informationssystemtjänsterna och de informationssäkra driftmiljöerna förutsätter de ändringar som krävs i lagen mycket mer tid än vad som uppskattades vid lagberedningen, och det är inte möjligt att genomföra funktionaliteten före den 1 maj 2021. 

Det är motiverat att de ändringar som förutsätts i 55 § sammanslås med de ändringar avseende en viljeyttringstjänst och förbud som föreslås i regeringens proposition om en ny kunduppgiftslag (RP 212/2020 rd). Enligt uppgift från Folkpensionsanstalten och Institutet för hälsa och välfärd går ändringarna att genomföra så att 55 § i lagen om sekundär användning kan träda i kraft tidigast den 1 januari 2024. Därför föreslås det att bestämmelserna i 55 § om kliniska fynd ska tillämpas från och med den 1 januari 2024. 

Däremot föreslås i detta sammanhang inte att den i 60 § 1 mom. i lagen om sekundär användning angivna övergångsperioden för bestämmelserna om logguppgifter i 19 § ändras. Kravet beträffande logguppgifter är ett centralt instrument med hjälp av vilket den registrerade, den personuppgiftsansvarige och myndigheterna kan följa och övervaka behandlingen av personuppgifter. Dessutom omfattas myndigheterna av motsvarande förpliktelse redan med stöd av informationshanteringslagen. Vid beredningen av den berörda propositionen (RP 284/2018 rd) fördes dock i utlåtandena fram angående insamlingen av logginformation att det föreslagna kravet i fråga om insamlingen i sådana fall då personuppgifter eller sekretessbelagd information behandlas i informationssystem, är oskäligt tungt och dyrt att genomföra i de nuvarande informationssystemen. Tillståndsmyndigheten samlar själv in ovannämnda logguppgifter. 

4.2  De huvudsakliga konsekvenserna

Konsekvenser för informationssäkerheten 

Propositionen möjliggör att fler aktörer får sin egen driftmiljö reviderad. Detta förbättrar möjligheterna för att det uppkommer flera informationssäkra driftmiljöer som avses i lagen om sekundär användning. I de nya driftmiljöer som revideras kan man skräddarsy också sådana möjligheter att behandla uppgifter eller delta i någon viss behandling som för närvarande inte nödvändigtvis går att genomföra i Tillståndsmyndighetens egen driftmiljö. 

Den största konsekvensen med avseende på informationssäkerheten består i att kravet att alla datamaterial som behöver dataanvändningstillstånd enligt lagen om sekundär användning ska lämnas ut endast till reviderade informationssäkra driftmiljöer som avses i lagen om sekundär användning senareläggs med ett år. Den ettåriga förlängningen av övergångsperioden möjliggör alltså att uppgifter går att behandla i ytterligare ett år också i sådana driftmiljöer som inte har reviderats. 

Fastän den informationssäkra driftmiljö som föreskrivs i lagen om sekundär användning är central när det gäller att säkerställa informationssäkerheten och dataskyddet är den ändå inte det enda sättet att säkerställa informationssäkerheten och dataskyddet. 

För det första lämnas datamaterial, trots att övergångsperioden förlängs, i första hand alltid ut till Tillståndsmyndighetens egen informationssäkra driftmiljö. 

Tillståndsmyndigheten fattade under tiden 1.4.2020–21.3.2021 sammanlagt 88 beslut om dataanvändningstillstånd som gäller inledande av nya undersökningar och sådana uppgifter som lagen om sekundär användning omfattar och som behövs med avseende på dem. I sammanlagt 47 av dessa beslut bestämdes det att uppgifterna skulle placeras i Tillståndsmyndighetens informationssäkra driftmiljö. Sammanlagt 41 beslut handlade om att lämna ut uppgifter till någon annan miljö. I en mycket stor del av de sistnämnda fallen var det fråga om antingen Institutet för hälsa och välfärds (THL) egna forskningsprojekt eller om att uppgifterna har lämnats ut till Statistikcentralens motsvarande informationssäkra miljö (”Fiona”). Dessutom har datamaterial lämnats ut till universitetssjukhusens egna informationsmiljöer eller till driftmiljöer som finländska universitet förvaltar. I endast några få enstaka situationer har uppgifter lämnats ut antingen till en privat aktör eller till utlandet. Merparten av dem som förvaltar uppgifter som lämnats ut till en annan miljö är antingen inhemska myndigheter eller inhemska universitetssjukhus. Universitetssjukhusen förvaltar redan till följd av sitt grundläggande uppdrag en stor mängd hälsovårdsuppgifter, och de patientdatasystem som de använder är med stöd av klientuppgiftslagen system som hör till klass A. 

De ändringar som görs med stöd av bestämmelserna om betydande kliniska fynd går att genomföra informationssäkert, men först efter övergångsperioden. 

Konsekvenser för dataskyddet 

Propositionen anses ha begränsade konsekvenser för dataskyddet, eftersom det endast är fråga om att ändra övergångsbestämmelser. 

Tillståndsmyndigheten har i sin egen tillståndsverksamhet redan nu tagit i bruk flera åtgärder som förbättrar dataskyddet och som inte tillämpades tidigare. Tillståndsmyndighetens verksamhet har därmed redan en förbättrande inverkan på informationssäkerheten och dataskyddet. 

Tillsammans med den tillståndssökande går Tillståndsmyndigheten mycket noggrant igenom vilka uppgifter och i vilken mängd som behövs för det användningsändamål som ansökan gäller. Det är vanligt att datamaterialet under ansökningsprocessen preciseras betydligt i förhållande till vad som ursprungligen angetts i ansökan. Tillståndsmyndigheten bedömer huruvida det för det användningsändamål som ansökan gäller behövs så mycket uppgifter som sökts och huruvida de uppgifter som sökts lämpar sig för användningsändamålet. 

I beslutet om dataanvändningstillstånd specificerar Tillståndsmyndigheten variabel för variabel de uppgifter som användningstillståndet omfattar. Även detta förbättrar dataskyddet. Tillstånden är alltid tidsbundna, de beviljas för högst fem år i genomsnitt. Tillståndet förenas med särskilda villkor som innehåller bestämmelser med avseende på dataskydd och informationssäkerhet. Om villkoren inte iakttas, har Tillståndsmyndigheten rätt att återkalla ett tillstånd som den har beviljat. Dataanvändningstillstånd har inte återkallats, men i några situationer har Tillståndsmyndigheten påpekat för sökanden att det är viktigt att tillståndsvillkoren iakttas. Enligt Tillståndsmyndighetens uppfattning är tillståndsbesluten som den meddelar och tillståndsvillkoren som förenas med dem mer detaljerade än före lagen om sekundär användning. 

Uppgifterna samlas in och lämnas ut till den tillståndssökande i första hand så att materialet först kommer till Tillståndsmyndigheten, som samkör datamaterialen och pseudonymiserar dem. Materialet sänds via en i lagen om sekundär användning föreskriven elektronisk informationssäker drifttjänst. Endast pseudonymiserat datamaterial lämnas ut till tillståndshavaren. 

I det tillståndsbeslut som Tillståndsmyndigheten fattar specificeras de personer som får åtkomst till datamaterialet. När detta datamaterial sedan lämnas ut till tillståndshavaren, är det en förutsättning att de som fått åtkomst till uppgifterna är starkt autentiserade. 

Bestämmelser om de registrerades rättigheter finns i den allmänna dataskyddsförordningen. Tillståndsmyndigheten tog i januari 2020 i bruk förfaranden för att tillgodose de registrerades rättigheter. Frågan diskuterades då med dataombudsmannens byrå, som fann det viktigt att de registrerades rättigheter börjar tillgodoses effektivt. Tillståndsmyndigheten har på sin webbplats skapat särskilda sidor om hur de registrerades rättigheter tillgodoses. Vid det här laget har Tillståndsmyndigheten tagit emot sammanlagt 201 anmälningar om utövning av rätten att göra invändningar. I en del av dem har vårdnadshavare invänt mot behandlingen av sina minderåriga barns personuppgifter. 

Tillståndsmyndigheten antecknar varje invändning för kännedom och filtrerar bort ur material som erhållits från andra personuppgiftsansvariga de personer som har utövat sin rätt att göra invändningar. Denna uppgift om utövande av rätten att göra invändningar förmedlas däremot inte till andra personuppgiftsansvariga; varje sådan beslutar själv om sitt eget material. Vice versa kommer eventuella anmälningar om utövning av rätten att göra invändningar som har lämnats in till andra personuppgiftsansvariga inte till Tillståndsmyndighetens kännedom. Orsaken till detta är att det i lagen om sekundär användning inte föreskrivs om rätt för andra personuppgiftsansvariga eller för Tillståndsmyndigheten att få sekretessbelagda uppgifter för att registrerades rättigheter ska tillgodoses. 

Sammanlagt 20 begäranden om tillgång till de egna uppgifterna har framförts. 

Enligt Tillståndsmyndighetens uppfattning har motsvarande anmälningar eller begäranden ändå just inte riktats till andra personuppgiftsansvariga. Tillståndsmyndigheten har uppmanat andra personuppgiftsansvariga att ta emot anmälningar och begäranden om utövning av rättigheter, och den har också meddelat att dess egen handlingsmodell kan utnyttjas för ändamålet. Också Institutet för hälsa och välfärd har börjat tillgodose de registrerades rättigheter. 

Tillståndsmyndigheten har tagit i bruk alla sätt att tillgodose de registrerades rättigheter som den har laglig rätt och skyldighet att tillämpa. Enligt Tillståndsmyndighetens uppfattning tillgodoses de registrerades rättigheter genom Tillståndsmyndighetens försorg aktivare sedan lagen om sekundär användning trädde i kraft än före det. 

Efter övergångsperioden har patienter rätt att förbjuda kontakt som tas på basis av ett kliniskt betydande fynd. Patienterna kan meddela förbudet skriftligt hos en valfri verksamhetsenhet som producerar offentlig hälso- och sjukvård eller elektroniskt via det medborgargränssnitt som avses i klientuppgiftslagen. 

Ekonomiska konsekvenser 

Förlängningen av övergångsperioden väntas ha huvudsakligen positiva konsekvenser för kostnaderna för organisationer som utvecklar informationssäkra driftmiljöer. Det är möjligt att enligt en ändamålsenlig tidtabell och med beaktande av Tillståndsmyndighetens föreskrift som gäller kraven på informationssäkra driftmiljöer utveckla de nuvarande systemen så att de blir bättre än förr, vilket innebär kostnadsbesparingar jämfört med en situation där det är nödvändigt att i hast göra stora engångsinvesteringar. Också kostnaderna för att revidera driftmiljöer väntas vara måttligare i och med att övergångsperioden förlängs. Det rapporteras emellertid för närvarande att de kostnader som bedömningsorganen tar ut är upp till tre gånger så stora som de ursprungliga kostnadsförslagen. Detta antas åtminstone till en del bero på att efterfrågan på bedömningstjänster är stor och bedömningsorganens personresurser är knappa. 

Enligt bedömningsorganens preliminära uppskattningar kostar en revision tiotusentals euro för aktören. Enligt preliminära uppskattningar förutsätter en revision att en person som är insatt i informationssäkerhet använder allra minst cirka 40 dagsverken till uppdraget. Helsingfors och Nylands sjukvårdsdistrikt har framfört uppskattningen att en revision av dess egen datasjö medför kostnader som uppgår till flera miljoner euro. Den största kostnadsposten är inte revisionen i sig, utan att det kan bli nödvändigt att omarbeta det system som revideras så att det uppfyller kriterierna i föreskrifterna. Ännu finns det inte heltäckande uppskattningar av denna kostnadsnivå, eftersom revisionerna än så länge håller på att inledas. Dessutom orsakas leverantörerna av driftmiljöer kostnader för avgifter som tas ut för anmälningar till Valvira utifrån vilka uppgifterna om driftmiljöer förs in i ett offentligt register som Valvira förvaltar. Avgifterna varierar mellan 300 euro och 1 200 euro. 

Verkställigheten av 55 § i lagen om sekundär användning medför kostnader för tjänstetillhandahållare på grund av utvecklingen av patientdatasystemen, för Folkpensionsanstalten på grund av utvecklingen av de nationella informationssystemtjänsterna och för forskarsamfundet på grund av utvecklingen av de informationssystem som forskarna använder. Det är dock motiverat att ändringarna kostnadseffektivt sammanslås med de ändringar avseende en viljeyttringstjänst och förbud som föreslås i regeringens proposition om en kunduppgiftslag (RP 212/2020 rd). Om de tekniska ändringar som krävs görs bara i de nationella informationssystemtjänsterna och åtskilt från den övriga Kanta-utvecklingen blir kostnaderna för detta minst 500 000 euro. Verkställigheten av 55 § i lagen om sekundär användning ger också upphov till smärre kostnader för Tillståndsmyndigheten och Institutet för hälsa och välfärd. Ändringen av övergångsperioden medför dock inte kostnader i sig själv. 

Konsekvenser för myndigheterna 

Propositionen ökar inte myndigheternas administrativa börda. Revisionen av informationssäkra driftmiljöer medför dock kostnader för tjänsteleverantörer som tillhandahåller sådana driftmiljöer. 

De myndigheter som beviljar dataanvändningstillstånd fortsätter att ha prövningsrätt beträffande huruvida datamaterial som behöver tillstånd ska placeras i Tillståndsmyndighetens egen driftmiljö eller någon annanstans. Till denna del fortgår den rådande situationen i ett år till. Den omständigheten att prövningsrätten består i ytterligare ett år underlättar tillståndsprövningen i en situation där informationssäkra driftmiljöer ännu inte har hunnit uppkomma. 

De organisationer och myndigheter som nämns i 6 § 1–8 punkten i lagen om sekundär användning har emellertid med stöd av 10 § i lagen om sekundär användning möjlighet att använda Tillståndsmyndighetens informationssäkra driftmiljö. Tillståndsmyndighetens informationssäkra driftmiljö klarar dock ännu inte av att till exempel behandla en viss typ av datamaterial, exempelvis genominformation, som är massiv till sin volym. I Tillståndsmyndighetens miljö går det inte heller att behandla bilddiagnostiskt hälso- och sjukvårdsmaterial, exempelvis röntgenbilder. Behandlingen av bilddiagnostisk information kräver särskild utrustning som används inom hälso- och sjukvården. Endast sjukhus har sådan utrustning. Det innebär att den myndighet som beviljar dataanvändningstillstånd befinner sig i en svår situation om den enda möjliga miljön är Tillståndsmyndighetens driftmiljö, i den händelse att det material för vilket tillstånd söks är av en sådan art som av dessa orsaker inte kan behandlas i den miljön. 

Senareläggningen av ikraftträdandet för 55 § i lagen om sekundär användning har inga konsekvenser för myndigheterna. Konsekvenser uppkommer först när de rättigheter, skyldigheter och åtgärder som följer av 55 § börjar tillämpas. 

Konsekvenser för företagens verksamhet 

Propositionen har inga betydande konsekvenser för företagens verksamhet, eftersom det bara är fråga om att förlänga övergångsperioderna. Genom propositionen ökas inte företagens administrativa börda, eftersom det är fråga om att förlänga övergångsperioden. Tjänsteleverantörer som tillhandahåller informationssäkra driftmiljöer orsakas dock kostnader för revisioner av informationssäkra driftmiljöer. I praktiken torde dessa merkostnader överföras på de avgifter som tas ut hos användarna. Dessutom orsakas tjänsteleverantörerna kostnader för avgifter som tas ut för anmälningar till Valvira utifrån vilka uppgifterna om driftmiljöer förs in i ett offentligt register som Valvira förvaltar. Avgifterna varierar mellan 300 euro och 1 200 euro. 

Ändringen av bestämmelsen om ikraftträdandet för 55 § i lagen om sekundär användning har inga konsekvenser för företagens verksamhet. 

Konsekvenser för medborgarnas ställning 

Propositionen har konsekvenser för medborgarnas ställning närmast vad gäller skyddet för deras personuppgifter. Ställningen för registrerade personer förbättras efter övergångsperioden genom de informationssäkerhetsåtgärder som avses i lagen om sekundär användning och som är utgångspunkten vid all behandling av personuppgifter enligt lagen om sekundär användning. 

Den utgångspunkt för behandling av uppgifter som föreslås i propositionen är att uppgifterna efter övergångsperioden ska behandlas i en informationssäker driftmiljö, vilket innebär att behandlingen av uppgifter sker i en teknisk och fysisk miljö där informationssäkerheten har säkerställts genom ändamålsenliga administrativa och tekniska åtgärder och med ändamålsenliga standarder för informationssystemen. Detta innebär att uppgifterna behandlas i en informationssäker miljö som användarna ges åtkomsträttigheter till. 

En centraliserad administrering och behandling av ansökningar om dataanvändningstillstånd och uppgifter som lämnas ut med stöd av dem via informationssäkra anslutningar i en informationssäker användningsmiljö minskar väsentligt riskerna i anslutning till behandlingen av uppgifter från de registrerades synpunkt. Dessutom har bestämmelser som är noggrannare än förr utfärdats om övervakningen av behandlingen av uppgifter. De noggrannare bestämmelserna möjliggör ett bättre rättsskydd för de registrerade än tidigare. Personuppgiftsansvariga förpliktas att beskriva sitt datamaterial. När datamaterialen beskrivs bättre än för närvarande, kan även registrens allmänna datainnehåll mera öppet undersökas av alla. 

Att det för människorna har ordnats en kanal att via Tillståndsmyndigheten göra invändningar mot att de egna uppgifterna behandlas i syfte att användas sekundärt säkerställer för sin del att personer som inte har tillit till att deras uppgifter är tryggade eller inte över huvud taget vill att deras uppgifter ska användas för de ändamål som avses i lagen om sekundär användning kan göra en sådan anmälan om utövning av rätten att göra invändningar. 

Senareläggandet av ikraftträdandet för 55 § i lagen om sekundär användning har inga direkta konsekvenser för medborgarna. Möjligheten att på grund av kliniska fynd kontakta medborgare och medborgarnas rätt att förbjuda sådana kontakter senareläggs i samma mån som övergångsperioden föreslås bli förlängd. 

Konsekvenser för social- och hälsovårdssystemet 

Konsekvenserna bedömdes i regeringens proposition om lagen om sekundär användning (RP 159/2017 rd). Social- och hälsovårdssystemet står inför stora förändringar när social- och hälsovårdsreformen träder i kraft vid ingången av år 2023. Med tanke på planeringen och uppföljningen av hur servicesystemet ändras är det viktigt att processerna för användning av uppgifter ändras i enlighet med lagförslaget, i en riktning som förbättrar informationssäkerheten. 

Lagen om sekundär användning möjliggör ökade forskningsförutsättningar och ligger således till grund för högklassiga vetenskapliga forskningsmiljöer och för nya innovationer som uppstår ur dem. Nya serviceinnovationer skapar förutsättningar för en utveckling av servicesystemet i en mer kundorienterad riktning och lägger grunden för uppkomsten av en mera individuell vård- och servicekultur. 

Med tanke på servicestrukturens utveckling är det viktigt att få forskningsdata om verknings-fulla tekniker i anslutning till välfärd och hälsa som kan ersätta till exempel institutionsvård och således förskjuta tyngdpunkten i servicestrukturen från institutioner till människors hem. Denna förskjutning av tyngdpunkten har stor betydelse för hur den framtida servicestrukturen kommer att se ut och hur den bör byggas upp. Propositionen möjliggör också uppkomsten av ett ekosystem av informationssäkra miljöer som byggs upp kring forskning och produktutveckling och kan gynna privata och offentliga aktörer av olika storlek. Förutsättningen för att ett ekosystem ska uppkomma är att våra högklassiga registermaterial kan utnyttjas snabbt och så att kostnaderna för att ta uppgifterna i bruk är skäliga. 

Social- och hälsovårdsreformen betonar integration inom social- och hälsovården. Sett utifrån servicesystemet gagnar den alla klienter som använder fler än en tjänst. Allra mest hjälper den sådana klienter och patienter som använder rikligt med tjänster. Även om propositionen om ordnande av social- och hälsovården underlättar uppföljningen av tjänster som tillhandahålls dessa klient- och patientgrupper och även uppföljningen av servicekedjorna löser den inte i sig alla problem i anslutning till informationsinsamling och informationssäkerhet utan behöver basera sig på informationssäkra driftmiljöer av den typ som föreslås. 

Senareläggandet av ikraftträdandet för 55 § i lagen om sekundär användning har inga direkta konsekvenser för social- och hälsovårdssystemet. Möjligheten att på grund av kliniska fynd kontakta medborgare och medborgarnas rätt att förbjuda sådana kontakter realiseras senare än det ursprungligen var tänkt. Efter övergångsperioden har de ändringar som följer av 55 § i lagen om sekundär användning de konsekvenser som konstaterats i regeringens proposition om lagen om sekundär användning (RP 159/2017 rd). 

Konsekvenser för barn och jämställdhet mellan könen 

Propositionen bedöms inte ha några särskilda konsekvenser för barn eller för jämställdheten mellan könen. 

Konsekvenser för sysselsättningen och arbetslivet 

Propositionen har en sysselsättningsfrämjande inverkan, eftersom de tillståndssökande under övergångsperioden ska bygga upp och revidera informationssäkra driftmiljöer som avses i lagen om sekundär användning eller köpa motsvarande tjänst av Tillståndsmyndigheten eller av andra aktörer. Detta inverkar ökande på arbetsmängden för såväl aktörer i branschen, tillståndssökande och bedömningsorgan, vilket därmed indirekt ökar sysselsättningen. Informationssäkra driftmiljöer revideras inte bara en gång, utan revisionen behöver upprepas efter hand som tekniken och verksamhetsfältet genomgår förändringar. 

Senareläggandet av ikraftträdandet för 55 § i lagen om sekundär användning har en sysselsättningsfrämjande inverkan, eftersom de rättigheter, skyldigheter och åtgärder som föreskrivs i paragrafen ska beaktas i social- och hälsovårdsbranschens informationssystem, de nationella informationssystemen och de system som forskarna använder. 

Konsekvenser för brottsförebyggande och trygghet 

Att övergångsperioden förlängs har i och för sig ingen ökande inverkan på brottsförebyggandet. Kraven på informationssäkra miljöer, revisionen och loggningskravet främjar dock redan som sådana brottsförebyggandet. Informationssäkra miljöer är ett av många sätt att höja och trygga säkerheten. Vid verkställigheten gäller det ändå att se till att fungerande lösningar som garanterar informationssäkerheten finns innan den övergångsbestämmelse som föreslås i lagen träder i kraft. 

Senareläggandet av ikraftträdandet för 55 § i lagen om sekundär användning främjar brottsförebyggandet och tryggheten, eftersom de i paragrafen föreskrivna rättigheterna tillgodoses, skyldigheterna fullgörs och åtgärderna vidtas efter övergångsperioden men informationssäkert och med beaktande av dataskyddet och på ett sätt som tryggar medborgarnas självbestämmanderätt. 

Konsekvenser för informationssamhället 

Konsekvenserna bedömdes redan i regeringens proposition om lagen om sekundär användning (RP 159/2017 rd). I och för sig har ändringen av övergångsperioden inga betydande konsekvenser för informationssamhället. Lagen om sekundär användning tryggar i sig att forsknings- och innovationsarbetet på social- och hälsovårdsområdet fortgår nationellt och att finländarna har möjligheter att delta i den internationella utvecklingen, samtidigt som arbetet för att långsiktigt förbättra dataskyddet och informationssäkerheten vid utnyttjandet av registeruppgifter fortsätts. 

Forsknings- och innovationsverksamheten resulterar i nya behandlingsmetoder, läkemedel och hälsotekniska lösningar samt bättre verksamhetsmodeller och processer inom social- och hälsovården. På samma gång utvecklas branschkompetensen, och ny och expanderande internationell export uppstår. Läkemedelsföretagens forskningsinvesteringar i Finland var 186 miljoner euro år 2019. Värdet på exporten av hälsotekniska produkter var 2,4 miljarder euro det året. Ökningen från det föregående året var 5,7 procent. Exporten av hälsotekniska produkter uppvisar ett stort överskott. Det forskande läkemedels- och hälsoekosystemets sysselsatte var cirka 14 000 personer år 2018. Den direkta registerforskningens andel av de sammanlagda effekterna är relativt liten. Utnyttjandet av personuppgifter inom social- och hälsovården som ett inslag i den övriga forskningen har emellertid en betydande inverkan på forsknings- och innovationsmöjligheterna. 

Om forsknings- och innovationsverksamheten delvis stannade av för den tid övergångsperioden pågår skulle detta och de påföljande multiplikatoreffekterna under de kommande åren ha en stor betydelse, även om konsekvenserna inte går att uppskatta i euro. Utvecklingen av behandlingsmetoder, läkemedel, hälsotekniska produkter och verksamhetsmodeller inom branschen skulle försvåras kraftigt. Kundrelationerna till forskningskonsortier och till de stora kunderna i branschen skulle äventyras, sysselsättningen och exportintäkterna skulle sjunka och branschens positiva trend skulle hotas. 

Forskningen och innovationerna ökar indirekt människornas välfärd och hälsa. Tack vare forskningssamarbete får finländarna tillgång till den nyaste branschkompetensen och till behandlingsmetoder som annars skulle nå Finland långsammare, kanske flera år senare. Ett avbrott i utnyttjandet av registeruppgifter är därmed till förfång för möjligheterna att utnyttja de nya och bästa metoderna och verktygen med vilka människornas välfärd och hälsa kan påverkas. 

Lagen om sekundär användning har haft en tydlig positiv inverkan på dataskyddet och informationssäkerheten vid användningen av personuppgifter inom social- och hälsovården i forsknings- och innovationsverksamhet. Förlängningen av övergångsperioden säkerställer att denna positiva utveckling fortsätter. Branschaktörerna, såsom personuppgiftsansvariga och forskare, har börjat ägna mer uppmärksamhet än förr åt dataskyddet och informationssäkerheten i sin egen verksamhet. Utvecklingen av informationssystem som är förenliga med lagens krav pågår och de centrala aktörerna har inlett processer för revision av informationssäkra driftmiljöer. Arbetet för att utveckla dataskyddet och informationssäkerheten är långsiktigt och kontinuerligt. 

De på betydande kliniska fynd baserade rättigheterna tillgodoses, skyldigheterna fullgörs och åtgärderna vidtas med utnyttjande av informationssamhällets tjänster. Ett förbud kan efter övergångsperioden meddelas både hos tjänstetillhandahållaren och via det medborgargränssnitt (Mina Kanta-sidor) som avses i klientuppgiftslagen. 

Alternativa handlingsvägar

5.1  Handlingsalternativen och deras konsekvenser

Alternativ 1: Man återgår till tidigare praxis 

Informationssäkra driftmiljöer är en i regeringens proposition om lagen om sekundär användning inskriven central åtgärd som tryggar skyddet för individens personuppgifter. Om kravet frångicks skulle hela den centrala grunden för lagen om sekundär användning kollapsa. Informationssäkra driftmiljöer spelar en framträdande roll när det gäller att förhindra missbruk och förverkliga cybersäkerheten. De är också en konkurrensfördel för Finland, eftersom vi på så sätt kan visa att vi aktivt drar försorg om skyddet för känsliga personuppgifter. Även i den allmänna dataskyddsförordningen förutsätts tillräckliga skyddsåtgärder när känsliga personuppgifter behandlas. 

Fastän informationssäkerheten är på hög nivå i lagen om sekundär användning har syftet med lagen om sekundär användning inte varit att försvåra den vetenskapliga forskningen utan tvärtom att främja den. I lagen om sekundär användning möjliggörs samtidigt användningen av uppgifter för de många olika användningsändamål som konstateras i den nämnda lagen och ses det till att skyddet för de registrerades personuppgifter och förtroendet för social- och hälsovårdstjänster samt för sekundär användning kan tryggas. Detta är en ovillkorlig förutsättning för att känsliga uppgifter ska kunna behandlas för de ändamål som anges i lagen om sekundär användning. 

I och med utvecklingen av lärande artificiell intelligens och tekniker för återidentifiering garanterar inte längre ens anonymisering med hjälp av de anonymiseringstekniker som är kända vid anonymiseringstillfället automatiskt att personer eller uppgifter som hör samman med dem inte går att klarlägga efteråt genom att flera olika anonymiserade datamaterial kombineras. 

Till fördelarna med informationssäkra driftmiljöer hör bland annat att datamaterial inte används eller förvaras i behandlarnas egna datorer, utan i driftmiljöer vars behandlingskapacitet är betydligt effektivare och där forskare och andra som behandlar uppgifterna har den bästa tekniska utrustningen till sitt förfogande. Givetvis medför uppbyggnaden av en informationssäker driftmiljö kostnader, men driftskostnaderna är skäliga också på en tillräcklig informationssäkerhetsnivå. Det är fråga om att bygga upp samhällets infrastruktur med tanke på den digitala ekonomin. Därför är det viktigt att för olika forskningsinstitut och universitet trygga de ekonomiska förutsättningarna att anskaffa tidsenliga, informationssäkra driftmiljöer för att den nationella forskningsinfrastrukturen ska bli attraktivare och för att förbättra dess informationssäkerhet och samtidigt de tekniskt genomförbara forskningsförutsättningarna. 

Informationssäkra driftmiljöer är en konkurrensfaktor. De som tillhandahåller säkra driftmiljöer kan profilera sig också internationellt och bland annat konkurrera om framstående forskare, eftersom projekten genomförs med hjälp av högklassiga datamaterial och materialen behandlas i en informationssäker miljö, vilket gör att de organisationer och andra som utnyttjar dem sparar kostnader för utrustning och andra kostnader. Bland annat Auria Datatjänster i Åbo har goda erfarenheter av informationssäkra ”skojiga, fina och arbetsbesparande” driftmiljöer tack vare vilka extra arbete har undvikits, de allra senaste verktygen står till förfogande och verksamheten är informationssäker. 

Inget hindrar heller universitetsforskare från att använda till exempel en reviderad informationssäker driftmiljö som ett universitetssjukhus tillhandahåller. I lagen förpliktas ingen annan än Tillståndsmyndigheten att inrätta en informationssäker driftmiljö. Varje aktör behöver alltså inte ett eget system för att kunna behandla uppgifter säkert. 

Folkpensionsanstalten och Institutet för hälsa och välfärd har uppgett att eftersom de ändringar som krävs i 55 § i lagen om sekundär användning förutsätter att ändringar görs i patientdatasystemen, de nationella informationssystemtjänsterna och de informationssäkra driftmiljöerna är det inte möjligt att de ändringar som förutsätts i lagen är genomförda den 1 maj 2021. De kontakter och den förbudsrätt som avses i 55 § i lagen om sekundär användning är inte möjliga vid en återgång till tidigare praxis. 

Även vid en eventuell återgång till tidigare praxis skulle de registrerades rättigheter, och särskilt dataskyddet och informationssäkerheten, skyddas av den allmänna dataskyddsförordningen, dataskyddslagen, informationshanteringslagen, lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011), statistiklagen (280/2004) och av de åtgärder som med stöd av ovannämnda lagar och lagen om sekundär användning redan har vidtagits för att öka dataskyddet och informationssäkerheten. Driftmiljöernas informationssäkerhet skulle dessutom kunna höjas genom frivilliga revisioner och certifikat. 

Vid en återgång till tidigare praxis skulle det finnas en risk för att patienter på grund av betydande kliniska fynd blir kontaktade utan laglig grund och på ett sådant sätt att patienternas i grundlagen föreskrivna självbestämmanderätt i fråga om uppgifter kränks. 

Alternativ 2: Övergångsperioden förlängs med bara sex månader i stället för med den tid som föreslås i propositionen 

Om övergångsperioden förlängs med bara sex månader blir situationen beträffande höjningen av informationssäkerhetens nivå i och för sig delvis bättre än för tillfället, men det kan ändå förmodas att inte alla centrala branschaktörer ännu kommer att ha reviderat sina miljöer. Däremot skulle dataskyddet och informationssäkerheten även under övergångsperioden tryggas av det stora antal åtgärder som Tillståndsmyndigheten har vidtagit med stöd av lagen om sekundär användning och av de dataskydds- och informationssäkerhetskrav som följer av ovannämnda lagar. Avgörande är dels bedömningsorganets färdigheter och resurser, dels antalet system som ska bedömas och deras kapacitet samt olika aktörers beredskap att inleda revision av den egna informationssäkra driftmiljön. Bedömningsorganen har uttryckt att de har beredskap att sköta revisionerna inom ett år, förutsatt att uppdragen att revidera driftmiljöer kommer in i jämn takt och inte enbart våren 2022. 

Folkpensionsanstalten och Institutet för hälsa och välfärd har uppgett att eftersom de ändringar som krävs i 55 § i lagen om sekundär användning förutsätter att ändringar görs i patientdatasystemen, de nationella informationssystemtjänsterna och de informationssäkra driftmiljöerna är det inte möjligt att de ändringar som förutsätts i lagen är genomförda vare sig den 1 maj 2021 eller den 1 maj 2022. Enligt uppgift från Folkpensionsanstalten går ändringarna att genomföra så att 55 § i lagen om sekundär användning kan träda i kraft tidigast den 1 januari 2024. 

Alternativ 3: Övergångsperioden kopplas ihop med social- och hälsovårdsreformens ikraftträdande den 1 januari 2023. 

I flera utlåtanden om social- och hälsovårdsreformen har det konstaterats att inga andra stora reformer bör åläggas social- och hälsovårdsaktörerna samtidigt som social- och hälsovårdsreformen träder i kraft, eftersom största delen av resurserna går till att förbereda social- och hälsovårdsreformen. En del av dem som gav utlåtanden förordade en ännu längre övergångsperiod, till exempel fram till maj 2024 eller tills EU-lagstiftningen på området preciseras. 

Folkpensionsanstalten och Institutet för hälsa och välfärd har uppgett att eftersom de ändringar som krävs i 55 § i lagen om sekundär användning förutsätter att ändringar görs i patientdatasystemen, de nationella informationssystemtjänsterna och de informationssäkra driftmiljöerna är det inte möjligt att de ändringar som förutsätts i lagen är genomförda vare sig den 1 maj 2021 eller den 1 maj 2023. Enligt uppgift från Folkpensionsanstalten går ändringarna att genomföra så att 55 § i lagen om sekundär användning kan träda i kraft tidigast den 1 januari 2024. I själva verket rekommenderar Folkpensionsanstalten och Institutet för hälsa och välfärd bland annat på grund av social- och hälsovårdsreformen att övergångsperioden pågår till den 1 januari 2025. 

Alternativ 4: Sameuropeiska lösningar 

Sådana godkända certifieringsmekanismer för dataskydd som avses i artikel 42 i den allmänna dataskyddsförordningen är inte i bruk ännu. Användningen av dem bör uppmuntras inom olika sektorer i syfte att komplettera den personuppgiftsansvariges interna övervakning och myndighetstillsynen på motsvarande sätt som de säkerhetsrevisioner som nu används. 

Dataskyddscertifieringar som utomstående certifieringsorgan utfärdar är ett med den allmänna dataskyddsförordningen förenligt sätt för den personuppgiftsansvarige att visa att dataskyddsförordningen efterlevs och särskilt att kraven på behandlingens säkerhet uppfylls. Bedömningar som görs av utomstående oberoende certifieringsorgan ökar verksamhetens trovärdighet, utökar i betydande grad kompetensen att bedöma huruvida bestämmelserna efterlevs (övervakning) och ger på samma gång den personuppgiftsansvarige viktig know-how i fråga om att utveckla dataskyddet. Detta förutsätter att certifieringsorgan ackrediteras, vilket är en uppgift för dataombudsmannen, samt att affärsverksamhet inom certifiering av dataskyddet inleds. 

I den nationella sekundära användningen av personuppgifter inom social- och hälsovården har utgångspunkten hela tiden varit gemensam internationell och europeisk praxis och dito lösningar. Den internationella och europeiska utvecklingen är dock ännu på en så allmän nivå och praxis i olika länder så varierande att det inte enbart med hjälp av dem är möjligt att säkerställa att utlämnandet av uppgifter till driftmiljöer är informationssäkert. Tillståndsmyndighetens föreskrift som gäller kraven på informationssäkra driftmiljöer konkretiserar de centrala lösningar som ska iakttas för dataskyddets och informationssäkerhetens del. Föreskriften grundar sig bland annat på standarden ISO 27001, som handlar om ledningssystem för informationssäkerhet, och på Katakri, som är ett nationellt verktyg för myndigheternas säkerhetsrevision. 

Sameuropeiska handlingsmodeller för och lösningar på dels det europeiska utbytet av hälsouppgifter på personnivå, dels utnyttjandet av sådana vid sekundär användning utreds som bäst i kommissionens samprojekt European Health Data Space. Kommissionen har också meddelat att den under år 2021 kommer att inleda ett European Health Data Space-lagstiftningsprojekt. Denna lagstiftning skapar eventuellt i framtiden sådana sameuropeiska handlingsmodeller och sådan sameuropeisk bedömningspraxis med vars hjälp också driftmiljöernas informationssäkerhet kan tryggas i hela Europeiska unionen. Än så länge existerar dock inte sådana sameuropeiska lösningar. 

Sameuropeiska lösningar innebär ingen lösning på det nationella tillgodoseendet av rättigheter på grund av betydande kliniska fynd eller på fullgörandet av skyldigheter och vidtagandet av åtgärder i anslutning till dem. 

Motsvarande slag av reglering om betydande kliniska fynd finns inte i andra länder. Det gäller att ge akt på den sameuropeiska regleringen på området, men på kort sikt är det ändamålsenligt att ge akt på ändringar som eventuellt föreslås i biobankslagen och genomlagen. 

5.2  Lagstiftning och andra handlingsmodeller i utlandet

Lagstiftningen och de andra handlingsmodellerna i utlandet bedömdes i samband med regeringens proposition om lagen om sekundär användning (RP 159/2017 rd) på sidorna 34–60 och bedöms ovan i avsnittet om alternativet sameuropeiska lösningar. I andra länder har det emellertid ännu inte föreskrivits om motsvarande informationssäkra reviderade driftmiljöer som i lagen om sekundär användning. 

Däremot förutsätter, alldeles som det konstaterats i en arbetsgruppsrapport Förbättring av informationssäkerheten och dataskyddet inom kritiska sektorer i samhället. Arbetsgruppens slutrapport se , utvecklingen av informations- och cybersäkerheten och dataskyddet förståelse av förändringar i cyberrymden på det nationella och det internationella planet.Inom kritiska sektorer förutsätter detta att olika aktörer delar och upprätthåller en lägesbild för cyberrymden samordnat och genom riktade lägesöversikter. För verksamhetsmiljöns del är det angeläget att lägga märke till att illvillig cyberverksamhet och cyberkränkningar riktar sig inte bara mot privata företag utan också mot statliga institutioner. Gärningen kan då utföras av en privat aktör, av en statlig aktör eller av en bulvan som en statlig aktör anlitar. I kränkningar som har statligt ursprung accentueras vid sidan av upptäckten och avhjälpandet av sårbarheter också gemensamt samordnade politiska åtgärder och signaler. Finland har deltagit aktivt i utvecklingen och utnyttjandet av den gemensamma EU-politiken och av gemensamma verktyg med vars hjälp ansvarsfullt statligt beteende i cyberrymden främjas. Till exempel har EU:s verktygslåda för cyberdiplomati och sanktioner mot ansvariga för cyberattacker utgjort sådana verktyg för bekämpning av illvillig cyberverksamhet på EU-nivå. 

Det är möjligt att påverka de ovannämnda faktorerna dels genom nationell och internationell reglering, dels genom utveckling av sektorernas verksamhetskulturer, genom frivilligt samarbete mellan myndigheterna och dem som tillhandahåller tjänster samt genom utveckling och utnyttjande av EU:s politikområden och verktyg. Det är dessutom viktigt att aktivt delta i internationellt samarbete där ansvarsfullt statligt beteende i cyberrymden förutsätts. Det är klart att det tvärsektoriella samarbetet för att effektivisera den påverkan som bedrivs på EU-nivån och internationellt ständigt utvecklas. Lägesbilden för utveckling av den internationella cyberrymden delas mellan förvaltningsområdena och detta beaktas också vid bedömningen av Finlands nationella verksamhetsmiljö. Dessa mer vittomfattande frågor kring cyberrymden och det internationella samarbetet för bekämpning av cyberhot behandlas dock inte i rekommendationerna i rapporten, utan arbete för att utveckla dem bedrivs oavbrutet, bland annat inom ramen för genomförandet av den nationella strategin för cybersäkerhet, enligt slutrapporten. 

Remissvar

Social- och hälsovårdsministeriet ordnade ett informationsmöte den 12 april 2021. I det deltog 68 personer. Vid mötet understödde 19 deltagare propositionsutkastets förslag till ändring av övergångsbestämmelserna om informationssäkra driftmiljöer så att de ska tillämpas först från och med den 1 maj 2022. Vid mötet motsatte sig ingen direkt en förlängning av övergångsperioden. Däremot rådde olika uppfattningar om i vilken mån övergångsbestämmelsen bör ändras. En företrädare för riksdagens justitieombudsmans kansli påpekade brister i propositionen i fråga om tryggandet av de grundläggande fri- och rättigheterna och ett eventuellt behov av att sända ärendet tillbaka för ny beredning. Vid informationsmötet understödde 17 personer förslaget i propositionsutkastet att övergångsbestämmelserna om rättigheter, skyldigheter och åtgärder på grund av betydande kliniska fynd ska ändras så att de tillämpas först från och med den 1 januari 2024. Inledningsvis motsatte sig ingen direkt ändringen av övergångsbestämmelsen, men i inläggen motsatte sig bland annat Helsingfors och Nylands sjukvårdsdistrikt att övergångsperioden förlängs. 

Utöver att informationsmötet ordnades var det möjligt att senast den 13 april 2021 ge in skriftliga utlåtanden om utkastet till regeringens proposition. Beredningsunderlaget till propositionen finns i den offentliga tjänsten under adressen https://stm.fi/sv/projektet?tunnus=STM047:00/2021

Sammanlagt 28 utlåtanden om propositionen kom in. En klar majoritet understödde förslaget att ändra övergångsbestämmelserna. En majoritet av de organisationer, myndigheter och personuppgiftsansvariga som hör till tillämpningsområdet för lagen om sekundär användning samt bland annat Kommunförbundet och intresseorganisationerna föreslog rentav mycket längre övergångsperioder för informationssäkra driftmiljöer. En del av dem som gav utlåtanden rekommenderade att EU:s datapolitik, EU:s dataekonomi och den framtida regleringen om dataförvaltning och om ett europeiskt hälsodataområde (Data Governance Act respektive European Health Data Space) samt Europeiska dataskyddsstyrelsens (EDPB) riktlinjer inväntas innan man åtar sig att förlänga den nationella övergångsperioden. Dessutom upprepade flera av dem som gav utlåtanden att dataskydds- och informationssäkerhetsnivån redan nu garanteras av bland annat den allmänna dataskyddsförordningen, dataskyddslagen, informationshanteringslagen och många andra lagar samt till exempel 18 § i lagen om sekundär användning. 

I kommunikationsministeriets utlåtande konstateras att informationssäkerheten i digitala driftmiljöer som aktörer inom social- och hälsovårdssektorn förfogar över och informationssäkerheten vid deras behandling av uppgifter bör säkerställas så snabbt som möjligt. Med anledning av detta bör det i propositionsutkastet föreslagna ett år långa senareläggandet av tillämpningen av informationssäkra driftmiljöer åtminstone inte förlängas mer än så. Kommunikationsministeriet anser att branschaktörerna under den föreslagna nya övergångsperioden bör ägna särskild uppmärksamhet åt att deras verksamhet och deras informationssystem som är i drift är informationssäkra så att de allmänna informationssäkerhetskraven i 18 § i lagen om sekundär användning uppfylls. Kommunikationsministeriet anser i linje med propositionsutkastet att det i framtiden gäller att överväga eventuella ytterliga krav avseende informationssäkerheten, om man vill lämna ut datamaterial informationssäkert till driftmiljöer som inte har reviderats i Finland. Den grundläggande principen kan anses vara att kraven på behandlingen av personuppgifter bör vara desamma i hela EU och att också informationssäkerheten i mottagarens driftmiljö bör gå att verifiera. Kommunikationsministeriet påpekar att resurserna för utveckling av informationssäkerheten är små i proportion till skadorna, om en aktör till exempel utsätts för ett omfattande dataintrång. I den i februari publicerade utredningen om förbättring av informationssäkerheten och dataskyddet inom kritiska sektorer i samhället beskrevs informationssäkerhetens och dataskyddets betydelse mer detaljerat. I utredningen bedömdes bland annat nyttan av att revidera informationssäkerheten inom kritiska sektorer. 

Transport- och kommunikationsverket (Traficom) finner att det med tanke på målsättningen för lagen om sekundär användning är centralt att uppgifterna behandlas i informationssäkra driftmiljöer och att driftmiljöerna har bedömts på det sätt som förutsätts i lagen. Traficom betonar vikten av att omsorgsfullt planera och genomföra informationssäkerheten och dataskyddet i digitala miljöer. Dataläckor som beror på bristfällig informationssäkerhet och äventyrande av skyddet för uppgifter kan medföra stora skador och kostnader. Traficom uppmanar organisationerna att så snabbt som möjligt uppfylla de krav som ställs på informationssäkra driftmiljöer för att det ska säkerställas att de i lagen om sekundär användning avsedda uppgifterna används säkert och smidigt. Det gäller att avsätta tillräckligt med tid för bedömningsprocessen. Traficom påminner om att de krav som ställs i lagen inte nödvändigtvis ger ett tillräckligt skydd om bedömningen utförs endast en gång, utan att de lösningar som genomförts också behöver bedömas regelbundet och riskbaserat under hela deras livscykel. 

I finansministeriets utlåtande konstateras att ministeriet anser det vara problematiskt att övergångsperioden förlängs till år 2022. Aktörerna har haft två år på sig att i sina informationssystem genomföra de ändringar som lagen förutsätter, och ändå har inte ett enda informationssystem, med undantag för Tillståndsmyndighetens miljö, ändrats så att dess nivå uppfyller lagens krav. Enligt finansministeriets synsätt finns det en stor risk för att systemen inte ens när den ettåriga förlängningen av övergångsperioden gått till ända har genomförts och certifierats så att den nivå som lagen förutsätter är uppnådd. Då är problemet vid den förlängda övergångsperiodens utgång detsamma som nu, och förlängningen av övergångsperioden styr inte aktörerna att handla i enlighet med lagens krav. Till följd av detta bör det bedömas hur lång den realistiska tid är inom vilken aktörerna hinner uppdatera sina system, och övergångsperioden bör dimensioneras utifrån den. Under övergångsperioden bör Tillståndsmyndigheten beviljas rätt att meddela för respektive aktör specifika, på en riskbedömning baserade tidsbegränsade undantag från kraven i lagens 20 § 3 mom. Beviljandet av undantag kan under övergångsperioden mycket väl grunda sig på vad uppgiftsanvändarna själva bedömer, för att bedömningsorganen inte ska belastas i onödan. Detta minskar de risker som övergångsperioden medför i fråga om informationssäkerheten och dataskyddet och gör att riskerna hålls under kontroll. Samtidigt bedöms det om uppgiftsanvändarnas informationssäkerhets- och dataskyddskontroller är tillräckliga i förhållande till riskerna. På samma gång skapar sig dataskyddsmyndigheten en bild av hur pass väl uppgiftsanvändarnas informationssäkerhets- och dataskyddslösningar uppfyller lagens krav, och uppgiftsanvändarna utsätts för press att se till att deras informationssystem börjar uppfylla lagens krav. 

Enligt det utlåtande som riksdagens biträdande justitieombudsman gav står den i propositionsutkastet föreslagna ändringen i strid med de krav som både grundlagsutskottet och social- och hälsovårdsutskottet ställde i syfte att garantera känsliga personuppgifters informationssäkerhet när regeringens proposition om lagen om sekundär användning behandlades i utskotten. Författningsrättsligt sett är det betydelsefullt att lagen om sekundär användning har möjliggjort behandling i stor skala av känsliga personuppgifter som sammanhänger med privatlivets kärna för ändamål som avviker från det ursprungliga användningsändamålet, däribland för utvecklings- och innovationsverksamhet. Biträdande justitieombudsmannen anser att en informationssäker driftmiljö är en central lagstiftningsbaserad åtgärd för tryggande av skyddet för privatlivet och den registrerades rättigheter när datalager bestående av känsliga personuppgifter behandlas. Biträdande justitieombudsmannen anser att regleringen om informationssäkra driftmiljöer är en kritiskt viktig förutsättning för att det ska vara tillåtet att använda datalager och för att den användningen ska vara godtagbar i konstitutionellt hänseende. Om det på det sätt som föreslås i propositionsutkastet avviks från kraven på informationssäkra driftmiljöer genom att övergångsperioden förlängs växer risken för att uppgifter råkar i fel händer. Allehanda missbruk av uppgifter medför mycket stora negativa följder såväl för enskilda personer som för tillförlitligheten hos det system som upprättats genom lagen om sekundär användning. Den föreslagna ändringen är såtillvida problematisk med avseende på rätten till privatlivet och skyddet för personuppgifter, vilka båda tryggas i 10 § i grundlagen, att propositionsutkastet bör sändas tillbaka för fortsatt beredning till den del som gäller informationssäkra driftmiljöer. 

Tillstånds- och tillsynsverket för social- och hälsovården (Valvira) finner det viktigt att organisationer som bedriver sekundär användning av personuppgifter inom social- och hälsovården har en faktisk möjlighet att se till att deras egna driftmiljöer uppnår en nivå som motsvarar kraven i lagen och i den föreskrift som preciserar lagen. De ändringar som behöver göras i de befintliga driftmiljöerna är omfattande och förutsätter en hel del tid, personresurser och ekonomiska resurser. En ändring av övergångsperioden i 60 § 1 mom. i lagen om sekundär användning möjliggör på ett genuint sätt att de viktigaste driftmiljöerna når den nivå som förutsätts i lagen och föreskriften, och den stärker de för driftmiljöernas genomförande ansvariga organisationernas långsiktiga engagemang i åtgärder och tekniska lösningar som förbättrar informationssäkerheten och dataskyddet. Valvira anser att den föreslagna ändringen av övergångsperioden är motiverad. 

Folkpensionsanstalten och största delen av dem som gett utlåtanden anförde att det är motiverat att ändringarna av 55 § i lagen om sekundär användning görs samtidigt som och i samband med att klientuppgiftslagen ändras (RP 212/2020 rd) och att övergångsperioden förlängs till den 1 januari 2024. 

Med anledning av utlåtandena och informationsmötet föreslås det inte att de viktigaste förslagen i regeringens proposition ändras. Även om övergångsperioden förlängs med ett år går det att säkerställa den i 10 § i grundlagen tryggade rätten till privatlivet och skyddet för personuppgifter med hjälp av redan gällande annan lagstiftning, skyddsåtgärder och praxis samt i enlighet med 18 § i lagen om sekundär användning genom riskhantering, åtkomsthantering, aktiv övervakning och genom iakttagande av föreskrifter och anvisningar från den myndighet som svarar för förverkligandet och övervakningen av informationssäkerhet och dataskydd. Särskild uppmärksamhet ska också fästas vid att användningsbegränsningar och sekretessplikten iakttas. 

För att det ska kunna säkerställas att datamaterial efter övergångsperioden behandlas endast i informationssäkra driftmiljöer har propositionen med anledning av utlåtandena ändrats så att datamaterial före ovannämnda tidpunkt får lämnas ut för behandling till tillståndshavaren endast med stöd av tidsbundna dataanvändningstillstånd som gäller högst till den 30 april 2022, även om det i ansökan om dataanvändningstillstånd inte anvisas en i 51 § 3 mom. i lagen om sekundär användning avsedd informationssäker driftmiljö för behandlingen av uppgifter. Däremot får datamaterial även under övergångsperioden lämnas ut till informationssäkra driftmiljöer. Till denna del föreslås inte tidsbegränsad reglering om dataanvändningstillståndets varaktighet. 

Med anledning av utlåtandena har det i propositionen i motiveringen till lagstiftningsordningen dessutom ytterligare preciserats hur det i den redan gällande lagstiftningen ställs krav på dataskyddet och på informationssäkerhetens nivå och hur Tillståndsmyndighetens förfaranden fungerar när datamaterial lämnas ut till tillståndshavare. Till skillnad från vad som konstaterats i det av grundlagsutskottet givna utlåtande som biträdande justitieombudsmannen hänvisar till är det inte möjligt att med stöd av lagen om sekundär användning lämna ut datamaterial för utvecklings- och innovationsverksamhet annat än till följd av en begäran om information, och utlämnandet sker bara i form av aggregerade statistiska uppgifter. I motiveringen till lagstiftningsordningen gås det dessutom igenom kompletterande skyddsåtgärder som fogades till lagen om sekundär användning efter att grundlagsutskottet hade gett sitt utlåtande. 

Specialmotivering

60 §.Övergångsbestämmelser. Det föreslås att 1 mom. ändras så att bestämmelserna om kraven på informationssäkra driftmiljöer i 20 § 3 mom. och 21–34 § i lagen om sekundär användning tillämpas från och med den 1 maj 2022. 

Informationssäkra driftmiljöer är en i regeringens proposition om lagen om sekundär användning inskriven central åtgärd som tryggar skyddet för individens personuppgifter. Informationssäkra driftmiljöer spelar en framträdande roll när det gäller att förhindra missbruk och förverkliga cybersäkerheten. De är också en konkurrensfördel för Finland, eftersom vi på så sätt kan visa att vi aktivt drar försorg om skyddet för känsliga personuppgifter. Även i den allmänna dataskyddsförordningen förutsätts tillräckliga skyddsåtgärder när känsliga personuppgifter behandlas. 

Enligt uppgift från Tillståndsmyndigheten kommer ingen aktör, bortsett från Tillståndsmyndigheten själv, att den 1 maj 2021 ha en sådan informationssäker driftmiljö som förutsätts i 20 § i lagen om sekundär användning och till vilken Tillståndsmyndigheten kan lämna ut datamaterial för att behandlas av tillståndshavaren. Tillståndsmyndighetens driftmiljö klarar dock ännu inte av att behandla allt datamaterial som det finns behov av att behandla, i synnerhet inom den medicinska forskningen. Som exempel kan nämnas bilddiagnostiskt hälso- och sjukvårdsmaterial (exempelvis röntgenbilder, ultraljudsbilder och EKG-upptagningar), vilket är material som ingår i tillämpningsområdet för lagen om sekundär användning. Bilddiagnostiskt material förutsätter i praktiken utrustning och programvaror som bara hälso- och sjukvårdsaktörer har. Också därför är det angeläget att bland annat de mest betydande hälso- och sjukvårdsaktörerna i Finland hinner revidera sina egna driftmiljöer i överensstämmelse med lagen om sekundär användning och Tillståndsmyndighetens krav för att klara av att behandla dessa särskilda datamaterial också i sina egna miljöer. Enligt regeringens uppfattning bör detta ske utan obefogat dröjsmål, men senast bör tillämpningen ske från och med den 1 maj 2022. Man kan anta att branschaktörernas informationssäkra driftmiljöer senast då har reviderats så som förutsätts i lagen om sekundär användning så att datamaterial kan lämnas ut till tillståndshavarens reviderade informationssäkra driftmiljö i enlighet med lagen om sekundär användning. Före nämnda tidpunkt får uppgifter emellertid med stöd av i 43 § 4 mom. avsedda dataanvändningstillstånd som beviljats för viss tid och som gäller högst till den 30 april 2022 lämnas ut för behandling till tillståndshavaren med stöd av 51 § 1 och 2 mom. i lagen om sekundär användning, även om det i ansökan om dataanvändningstillstånd inte anvisas en i 51 § 3 mom. i lagen om sekundär användning avsedd informationssäker driftmiljö för behandlingen av uppgifter. Däremot får datamaterial även under övergångsperioden lämnas ut till en driftmiljö som redan uppfyller kraven på informationssäkra driftmiljöer i lagens 20 § 3 mom. och 21–34 §. 

Eftersom de tekniska ändringar som följer av bestämmelserna om betydande kliniska fynd i 55 § i lagen om sekundär användning förutsätter att ändringar görs i patientdatasystemen, de nationella informationssystemtjänsterna och de informationssäkra driftmiljöerna kommer de ändringar som förutsätts i lagen inte att gå att genomföra före den 1 maj 2021. Det är kostnadseffektivt att ändringarna sammanslås med de ändringar avseende en viljeyttringstjänst och förbud som föreslås i regeringens proposition om en ny kunduppgiftslag (RP 212/2020 rd). Ändringarna går att genomföra så att 55 § i lagen om sekundär användning kan träda i kraft den 1 januari 2024. Därför föreslås det att 1 mom. ändras så att bestämmelserna om kliniska fynd i 55 § i lagen om sekundär användning tillämpas från och med den 1 januari 2024. 

I detta sammanhang föreslås inte att den i 1 mom. angivna övergångsperioden för bestämmelserna om logguppgifter i 19 § i lagen om sekundär användning ändras. Kravet beträffande logguppgifter är ett centralt instrument med hjälp av vilket den registrerade, den personuppgiftsansvarige och myndigheterna kan följa och övervaka behandlingen av särskilt känsliga personuppgifter inom tillämpningsområdet för lagen om sekundär användning. Dessutom omfattas myndigheterna av motsvarande förpliktelse redan med stöd av informationshanteringslagen. 

Ikraftträdande

För att beviljandet av dataanvändningstillstånd enligt lagen om sekundär användning ska kunna fortgå, eventuellt utan avbrott, föreslås lagen träda i kraft så snart som möjligt efter det att den har blivit stadfäst. 

Verkställighet och uppföljning

Social- och hälsovårdsutskottet konstaterade i sitt betänkande om regeringens proposition om lagen om sekundär användning (RP 159/2017 rd) att statsrådet noga måste följa upp och ta ställning till hur regelverket har verkställts och fungerar. Detta är viktigt för att lagstiftningen ska tillgodose de behov som kommer med den tekniska utvecklingen, för att den sekundära användningen av personuppgifter ska fungera smidigt, för att informationssäkerheten för behandling av känsliga social- och hälsovårdsutgifter ska ligga på hög nivå och för att den sekundära användningen av personuppgifter ska vara till nytta för social- och hälsovårdssystemet. Utskottet poängterade att det är viktigt att statsrådet noga följer upp och utvärderar hur systemet och den anknytande lagstiftningen fungerar i sin helhet också när verksamheten har kommit i gång. Detta är av relevans för att man ska kunna nyttiggöra den tekniska utvecklingen på behörigt sätt för att skydda personuppgifter. I förekommande fall måste lagarna ändras. 

Enligt regeringens uppfattning bör verkställigheten av lagen om sekundär användning alltjämt följas upp tillsammans med de myndigheter som utövar tillsyn och den expertgrupp på hög nivå som nämns i 8 § 4 mom. i lagen om sekundär användning så att det säkerställs att den tekniska utvecklingen utnyttjas på lämpligt sätt i verksamheten för att trygga skyddet av personuppgifter. 

Ett av målen i programmet för statsminister Sanna Marins regering 2019 är att Finland är en internationellt attraktiv plats för studier, forskning och investeringar. I regeringsprogrammet anges bland annat att det i Finland ska utarbetas en långsiktig plan genom vilken förhållandena för forskning, utveckling och innovationer förbättras och därigenom eftersträvas att den privata och offentliga investerings- och finansieringsnivån uppgår till fyra procent av bruttonationalprodukten. Dessutom ska Finlands förmåga att locka internationella och inhemska företag att bedriva forsknings- och utvecklingsverksamhet i landet främjas, och det finländska forskar- och vetenskapssamfundets internationella konkurrens- och attraktionskraft ska stärkas genom satsningar på forskningsmiljöer och forskningsinfrastrukturer. 

Kraven på behandling av personuppgifter bör i princip vara desamma i hela EU, oberoende av om personuppgifterna behandlas i Finland eller annanstans inom EU. Internationella forskare kan behandla registeruppgifter på personnivå som är förenliga med lagen om sekundär användning endast i Tillståndsmyndighetens informationssäkra driftmiljö eller möjligen i andra finländska driftmiljöer som vid det laget har reviderats. Aggregerade material får dock lämnas ut fritt för att användas. Den medicinska forskningen är internationell till sin natur och bedrivs mycket ofta inom internationella konsortier. Nu uppstår svårigheter även efter den tid som fastställts för övergångsperiodens slut, särskilt i fråga om internationella undersökningar där det datamaterial som fås från Finland utgör bara en del av det datamaterial som ska användas i undersökningen och samlas ihop från andra länder. I lagen om sekundär användning förutsätts det att datamaterial som fås från Finland lämnas ut bara till en reviderad informationssäker driftmiljö, oberoende av var denna driftmiljö är geografiskt belägen. Utländska aktörer har inte heltäckande kännedom om denna revisionsskyldighet, och ingen utländsk aktör har vidtagit åtgärder för att revidera sina egna system så att de blir förenliga med lagen om sekundär användning. Det kan inte betraktas som ett sannolikt alternativ att internationella undersökningar i stort antal börjar överföras till Tillståndsmyndighetens driftmiljö eller till andra finländska aktörers driftmiljöer. Internationella aktörer antas inte ha intresse av att revidera sin egen driftmiljö i enlighet med de krav som ställs i Finland, annat än i enstaka fall. Situationen är på väg att leda till att utnyttjandet av data från Finland i den internationella forskningen försvåras, och därmed finländska forskares möjlighet att medverka i den. Nu för tiden bedrivs forskning mycket ofta med hjälp av en kombination av så kallade studier av registertyp, prover från en biobank och klinisk forskning (antingen läkemedelsprövning eller sådan medicinsk forskning som är invasiv). Det är alltså inte brukligt att utföra undersökningar per lagstiftning, utan flera olika forskningslagstiftningar som gäller i Finland tillämpas nu för tiden parallellt i undersökningarna. Lagen om sekundär användning är allmän lagstiftning när det gäller sekundär användning av personuppgifter inom social- och hälsovården och vissa registeruppgifter som anknyter till dem. 

Avsikten är att det vid social- och hälsovårdsministeriet ska inrättas en arbetsgrupp där ledande branschsakkunniga inom informationssäkerhet och dataskydd, de myndigheter som styr och utövar tillsyn över lagen om sekundär användning och de centrala branschaktörerna klarlägger vilka lagstiftningskrav gällande informationssäkerhet som i fortsättningen skulle kunna ställas i lagen om sekundär användning, om man vill lämna ut datamaterial till sådana driftmiljöer som inte har reviderats som informationssäkra i Finland. Det är meningen att arbetsgruppens arbete ska utmynna i att det under år 2021 bereds ett utkast till en regeringsproposition om sådana bestämmelser om informationssäkerhet i lagen om sekundär användning som är tillämpliga på internationellt utlämnande och genom vilka också den internationella forskningen tryggas informationssäkert och med respekt för dataskyddet. 

10  Förhållande till andra propositioner

10.1  Samband med andra propositioner

När det gäller ändringen av övergångsperioden för 55 § i lagen om sekundär användning har propositionen en koppling till regeringens proposition om kunduppgiftslagen (RP 212/2020 rd), som håller på att behandlas i riksdagens social- och hälsovårdsutskott. Det skulle vara kostnadseffektivast att tidsmässigt förlägga de ändringar som följer av 55 § i lagen om sekundär användning så att de görs samtidigt som de föreslagna ändringar som gäller viljeyttringstjänsten och förbud, det vill säga före den 1 januari 2024. 

10.2  Förhållande till budgetpropositionen

Propositionen anses inte ha några betydande konsekvenser för budgetpropositionen. Propositionens budgetkonsekvenser bedömdes i regeringens proposition om lagen om sekundär användning (RP 159/2017 rd) och i regeringens proposition om kunduppgiftslagen (RP 212/2020 rd). Eftersom det bara är fråga om att förlänga övergångsperioden finns i detta sammanhang inte behov av att bedöma de särskilda budgetkonsekvenserna. 

11  Förhållande till grundlagen samt lagstiftningsordning

Skydd för privatlivet 

I regeringens proposition om lagen om sekundär användning (RP 159/2017 rd) bedömdes i synnerhet propositionens förhållande till skyddet för privatlivet och till offentlighetsprincipen samt utövningen av offentlig makt. 

Enligt 10 § 1 mom. i grundlagen är vars och ens privatliv, heder och hemfrid tryggade. Närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Bestämmelsen hänvisar till behovet att trygga skyddet för individens privatliv vid behandlingen av personuppgifter, det vill säga att skyddet för personuppgifter delvis ingår i skyddet för privatlivet. Närmare bestämmelser om skyddet för personuppgifter kan utfärdas genom lag, men samtidigt ska dataskyddet tryggas på ett sätt som kan anses godtagbart med avseende på systemet för de grundläggande fri- och rättigheterna som helhet. 

Riksdagens grundlagsutskott har i sina utlåtanden (GrUU 8/1995 rd, GrUU 26/1996 rd samt GrUU 7, 28 och 29/1997 rd) tagit ställning till skyldigheten enligt 8 § 1 mom. i regeringsformen (nuvarande 10 § 1 mom. i grundlagen) att utfärda bestämmelser genom lag om behandling av personuppgifter. Utskottet har konstaterat att det utifrån bestämmelsen om grundläggande fri- och rättigheter som gäller skydd för personuppgifter är viktigt att åtminstone reglera syftet med registreringen, de registrerade personuppgifternas innehåll, ändamålen för vilka uppgifterna får användas inbegripet möjligheterna att lämna ut uppgifterna och uppgifternas bevaringstider samt den registrerades rättsskydd. Detsamma gäller i vilken utsträckning dessa omständigheter ska regleras och hur ingående på lagnivå. I senare utlåtanden (GrUU 12/2002 rd, 14/2002 rd, 51/2002 rd och 11/2008 rd) har utskottet upprepat sin åsikt och konstaterat att kravet på bestämmelser i lag också gäller möjligheten att lämna ut personuppgifter via en teknisk anslutning. 

Lagstiftning som gäller behandlingen av personuppgifter ska vara heltäckande, exakt och noga avgränsad. Grundlagsutskottet har dessutom i flera utlåtanden noterat vad och vem rätten att få uppgifter gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och möjlighet att lämna ut uppgifter har enligt utskottet kunnat gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att ”uppgifterna är nödvändiga” för ett visst syfte (till exempel GrUU 10/2014 rd, s6/II, GrUU 17/2016 rd, s. 2–3, GrUU 38/2016 rd, s. 2). Dessutom krävs bestämmelser i lag om möjligheten att kombinera registeruppgifter (GrUU 17/2007 rd och GrUU30/2005 rd). 

Genom den föreslagna lagen preciseras och kompletteras den allmänna dataskyddsförordningen till de delar det är möjligt och ändamålsenligt inom ramen för det nationella handlingsutrymmet. 

Med avseende på 10 § 1 mom. i grundlagen räcker det enligt grundlagsutskottet i princip att bestämmelserna uppfyller kraven i EU:s allmänna dataskyddsförordning. Enligt utskottet bör skyddet för personuppgifter i första hand tillgodoses utifrån den allmänna dataskyddsförordningen och den allmänna lagstiftningen på nationell nivå. Lagstiftaren bör alltså vara restriktiv när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 14/2018 rd, s. 5). 

Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av uppgifterna orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 14/2018 rd, s. 5). 

Behovet av bestämmelser som är mer detaljerade än bestämmelserna i den allmänna dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. Då bör också det riskbaserade synsättet i förordningen vägas in. Utskottet har framhållit att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd, s. 6). 

Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (se GrUU 13/2016 rd, s. 4, GrUU 14/2009 rd, s. 3/I). Även i skäl 51 i den allmänna dataskyddsförordningen framhålls det att särskilda personuppgifter som avses i artikel 9 i förordningen och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt, och bestämmelserna om behandling av känsliga uppgifter måste vara detaljerade och omfattande, inom de ramar som dataskyddsförordningen tillåter (GrUU 65/2018 rd, s. 45 och GrUU 15/2018 rd, s. 40). 

Grundlagsutskottet har betonat att datasäkerhetsarrangemangen för att förhindra missbruk ska vara fungerande och tillgängliga genast när systemet tas i bruk. Utskottet anser att det i och för sig är nödvändigt, men inte tillräckligt, att i efterhand och effektivt övervaka, exempelvis med hjälp av logguppgifter, att behandlingen är nödvändig och laglig. Utskottet har betonat att skyddet för uppgifter från obehörig användning inte uteslutande kan baseras på det tjänsteansvar som gäller för den personuppgiftsansvarige eller den som behandlar uppgifterna eller på något annat påföljdssystem (GrUU 65/2018 rd, s. 47, GrUU 51/2018 rd, s. 5, GrUU 52/2018 rd, s. 4). 

I de avsnitt i denna proposition som handlar om konsekvenserna för dataskyddet och informationssäkerheten beskrivs dataskydds- och informationssäkerhetsarrangemang som redan tillämpas i stor utsträckning. 

I lagen om sekundär användning finns bestämmelser om utnyttjande av personuppgifter inom social- och hälsovården samt personuppgifter som gäller välfärd för andra ändamål än det primära användningsändamålet. I lagen anges så exakt och noga avgränsat som möjligt de användningsändamål för vilka nämnda uppgifter får lämnas ut och de grunder på vilka beslutet om utlämnande ska avgöras. Det föreskrivs i detalj om användningsändamålen. Personuppgifter får lämnas ut för dessa användningsändamål trots sekretessplikten. Behandlingen av personuppgifter är dessutom på flera punkter bunden till nödvändighetskriteriet. 

Lagen om sekundär användning innehåller en avsevärd mängd tekniska och andra säkerhetsgarantier med vars hjälp man kan säkerställa att uppgiftsmottagaren behandlar uppgifter så att den registrerades privatliv skyddas när det på grund av användningsändamålet är nödvändigt att undantagsvis lämna ut de begärda uppgifterna med personbeteckning eller så att den registrerade kan identifieras indirekt. 

Den registrerades rättigheter och friheter skyddas bland annat så att personuppgifter i regel kan behandlas endast med stöd av ett användningstillstånd från en myndighet och tillståndshavaren omfattas av sekretessplikt. Sekretessplikten är viktig också utifrån offentlighetsprincipen i 12 § 2 mom. i grundlagen. Riksdagen har betonat att bestämmelserna om sekretess för myndigheternas uppgifter borde tas in centraliserat i offentlighetslagen i stället för i speciallagstiftning (GrUU 25/2010 rd, s. 3, GrUU 2/2008 rd, s. 2). I nämnda sekretessparagraf i lagen om sekundär användning är det fråga om en utvidgning av sekretessbestämmelserna så att de också gäller annan än myndighetsverksamhet. I paragrafen förbjuds dessutom i regel användningen av uppgifter vid beslutsfattande om en enskild person. Syftet med sekretessplikten är att samtidigt trygga skyddet för individers personuppgifter som en grundläggande rättighet. 

Personuppgifter ska anonymiseras eller pseudonymiseras alltid när det är möjligt med tanke på användningsändamålet, och för behandlingen av dem skapas senast den 1 maj 2022 tjänster enligt 3 kap. I tjänsterna ingår en informationssäker driftmiljö. Personuppgifter får lämnas ut endast till en sådan driftmiljö från och med den 1 maj 2022. För att det ska kunna säkerställas att datamaterial efter övergångsperioden behandlas endast i informationssäkra driftmiljöer har propositionen med anledning av utlåtandena ändrats så att datamaterial före ovannämnda tidpunkt får lämnas ut för behandling till tillståndshavaren endast med stöd av tidsbundna dataanvändningstillstånd som gäller högst till den 30 april 2022, även om det i ansökan om dataanvändningstillstånd inte anvisas en i 51 § 3 mom. i lagen om sekundär användning avsedd informationssäker driftmiljö för behandlingen av uppgifter. Däremot får datamaterial även under övergångsperioden lämnas ut till en driftmiljö som redan uppfyller kraven på informationssäkra driftmiljöer i lagens 20 § 3 mom. och 21–34 §. 

Den myndighet som beviljat dataanvändningstillstånd ska övervaka att tillståndsvillkoren iakttas. Dessutom ska den i enlighet med 53 § rapportera till dataombudsmannen om behandlingen av uppgifter. 

När det gäller jämlik behandling av de registrerade garanterar lagen om sekundär användning att tolkningslinjerna och besluten som gäller användning av personuppgifter inom social- och hälsovården samt andra välfärdsuppgifter som omfattas av skyddet för privatlivet blir så enhetliga som möjligt. Det centraliserade tillståndsförfarandet garanterar skyddet för privatlivet också så att behandlingen av personuppgifter kan minimeras även när man med stöd av en och samma plan för användning av uppgifter behöver uppgifter med anknytning till hälsa och välfärd från flera olika registeransvariga. 

Fastän de informationssäkra driftmiljöer som föreskrivs i lagen om sekundär användning är en central åtgärd vid säkerställandet av informationssäkerheten och dataskyddet är de ändå inte det enda sättet att säkerställa informationssäkerheten och dataskyddet. Trots förlängningen av övergångsperioden gäller i lagen om sekundär användning alltjämt den starka och entydiga principen att uppgifter i första hand alltid lämnas ut till Tillståndsmyndighetens egen informationssäkra driftmiljö. 

Det gäller särskilt att beakta att redan den allmänna dataskyddsförordningen, dataskyddslagen, informationshanteringslagen, lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation, lagen om patientens ställning och rättigheter (785/1992, patientlagen), lagen om klientens ställning och rättigheter inom socialvården (812/2000), klientuppgiftslagen och bland annat 18 § i lagen om sekundär användning redan ställer många krav beträffande dataskyddet och informationssäkerheten vid behandlingen av datamaterial som avses i lagen om sekundär användning. I 10 § i lagen om sekundär användning uppräknas dessutom flera tjänster som förbättrar också informationssäkerhetens nivå, exempelvis tjänst för insamling, samkörning och förbehandling av uppgifter, tjänst för administrering av identifierare, hanteringssystem för begäranden om information och informationssäker drifttjänst. Efter grundlagsutskottets utlåtande fogades till lagen om sekundär användning dessutom flera skyddsåtgärder som redan är i bruk. Till dem hör bland annat att endast Tillståndsmyndigheten får anonymisera material och producera aggregerade statistiska uppgifter, att användningsändamålet utvecklings- och innovationsverksamhet är möjligt bara med stöd av en begäran om information och i fråga om aggregerade statistiska uppgifter, att processerna för begäran om information och dataanvändningstillstånd är separata, att datamaterial med stöd av dataanvändningstillstånd i första hand lämnas ut till tillståndshavaren för att behandlas i Tillståndsmyndighetens driftmiljö och att det finns en process för säkerställande av att de uppgifter som publiceras är anonymiserade samt att det till stöd för Tillståndsmyndigheten har utsetts en expertgrupp på hög nivå som har i uppgift att ta fram principiella riktlinjer för anonymisering, dataskydd och informationssäkerhet för Tillståndsmyndighetens verksamhet. Expertgruppen ska ha en expert på artificiell intelligens, dataanalys, informationssäkerhet, dataskydd, sektorsforskning, statistik respektive statistikväsendet och en företrädare för Tillståndsmyndigheten. 

I den mån Tillståndsmyndigheten har lämnat ut uppgifter till någon annan driftmiljö än Tillståndsmyndighetens egen driftmiljö, har det i de flesta fall varit fråga om antingen Institutet för hälsa och välfärds egna forskningsprojekt eller om att uppgifterna har lämnats ut till Statistikcentralens motsvarande informationssäkra miljö (”Fiona”). Dessutom har datamaterial lämnats ut till universitetssjukhusens egna informationsmiljöer eller till miljöer som finländska universitet förvaltar. I endast några få enstaka situationer har uppgifter lämnats ut antingen till en privat aktör eller till utlandet. Merparten av dem som förvaltar uppgifter som lämnats ut till en annan miljö är alltså antingen inhemska myndigheter eller inhemska aktörer inom den specialiserade sjukvården, vilka redan i övrigt förfogar över en stor mängd hälsovårdsuppgifter, och vilka med stöd av klientuppgiftslagen har system som hör till klass A. 

Tillståndsmyndighetens verksamhet förbättrar redan informationssäkerheten och dataskyddet. I tillståndsprocessen överväger Tillståndsmyndigheten mycket noggrant flera olika omständigheter som anknyter till informationssäkerheten och dataskyddet. För det första går Tillståndsmyndigheten tillsammans med den tillståndssökande mycket noggrant igenom vilka uppgifter och i vilken mängd som behövs för det användningsändamål som ansökan gäller. Det är mycket vanligt att datamaterialet under ansökningsprocessen preciseras betydligt i förhållande till vad som ursprungligen angetts i ansökan. Tillståndsmyndigheten bedömer inte huruvida undersökningen i fråga eller det användningsändamål av annat slag som ansökan gäller är behövlig och ändamålsenlig. Den bedömer ändå huruvida det för ändamålet behövs så mycket uppgifter som sökts och huruvida de uppgifter som sökts lämpar sig för användningsändamålet. 

I beslutet om dataanvändningstillstånd specificerar Tillståndsmyndigheten variabel för variabel de uppgifter som användningstillståndet omfattar. Även detta förbättrar dataskyddet. Tillstånden är tidsbundna, de beviljas för högst fem år i genomsnitt. Tillstånd beviljas alltså inte tills vidare. Tillståndet förenas med särskilda villkor som innehåller bestämmelser med avseende på dataskydd och informationssäkerhet. Om villkoren inte iakttas, har Tillståndsmyndigheten rätt att återkalla ett tillstånd som den har beviljat. Dataanvändningstillstånd har inte återkallats, men i några situationer har Tillståndsmyndigheten påpekat för sökanden att det är viktigt att tillståndsvillkoren iakttas. Enligt Tillståndsmyndighetens uppfattning är tillståndsbesluten som den meddelar och tillståndsvillkoren som förenas med dem mer detaljerade än före lagen om sekundär användning. 

Uppgifterna samlas in och lämnas ut till den tillståndssökande i första hand så att materialet först kommer till Tillståndsmyndigheten, som samkör materialen och pseudonymiserar dem. Materialet sänds via en i lagen om sekundär användning föreskriven elektronisk informationssäker drifttjänst (eftersom forskningsgruppen eller en del av den har kännedom om person-uppgifterna). 

Under övergångsperioden kan branschaktörerna revidera sina miljöer. Dessutom omfattas de registrerade även under övergångsperioden av alla de rättigheter för registrerade som följer av den allmänna dataskyddsförordningen, och de som behandlar datamaterial omfattas redan av de skyldigheter som följer av all annan lagstiftning och av lagen om sekundär användning. I 18 § i lagen om sekundär användning föreskrivs att när personuppgifter behandlas med stöd av lagen om sekundär användning ska en tillräcklig informationssäkerhet för behandlingen säkerställas genom riskhantering, åtkomsthantering, aktiv övervakning och genom iakttagande av föreskrifter och anvisningar från den myndighet som svarar för förverkligandet och övervakningen av informationssäkerhet och dataskydd. Särskild uppmärksamhet ska fästas vid att användningsbegränsningar och sekretessplikten iakttas. Den gällande regleringen är i själva verket vad informationssäkerheten och dataskyddet beträffar redan i befintligt skick mer täckande än Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG. 

I 55 § 5 mom. i lagen om sekundär användning föreskrivs om möjligheten för patienter att förbjuda kontakt som tas på basis av ett kliniskt betydande fynd. Patienten kan redan i förväg meddela förbudet elektroniskt via det medborgargränssnitt (Mina Kanta-sidor) som avses i klientuppgiftslagen eller meddela förbudet skriftligt hos en valfri verksamhetsenhet som producerar offentlig hälso- och sjukvård, varvid förbudet antecknas i patientens informationshanteringstjänst som avses i 14 a § i klientuppgiftslagen. Å andra sidan kan patienten förbjuda uppgifter, undersökningar och vård som föreslagits vid individuell kontakt. Genom förbudsrätten och förfarandena i 55 § i lagen om sekundär användning tryggas skyddet för privatlivet så snart 55 § träder i kraft, liksom också anmälningarna om betydande kliniska fynd. 

Utövning av offentlig makt 

I 124 § i grundlagen föreskrivs om överföring av förvaltningsuppgifter på andra än myndig-heter. Enligt den kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. 

Enligt motiveringen till 124 § i grundlagen och grundlagsutskottets tolkningspraxis hänvisar ”offentlig förvaltningsuppgift” till en större helhet än ”utövning av offentlig makt”. En offentlig förvaltningsuppgift kan också vara en serviceuppgift som inte nödvändigtvis innebär utövning av offentlig makt, eller andelen utövning av offentlig makt kan åtminstone vara obetydlig. 

Enligt 124 § i grundlagen kan dessutom en uppgift med betydande offentlig makt endast skötas av en myndighet. Sådan betydande offentlig makt kan bland annat ingå i prövningen av dataanvändningstillstånd och andra beslut om utlämnande av uppgifter med stöd av denna lag. Skötseln av en offentlig förvaltningsuppgift är med stöd av paragrafen i regel en myndighetsuppgift och kan endast i begränsad omfattning anförtros andra än myndigheter. 

Av grundlagsutskottets tolkningspraxis framgår att ett arrangemang enligt 124 § i grundlagen, det vill säga att anförtro en förvaltningsuppgift åt andra än myndigheter, i synnerhet i situationer som väsentligt inverkar på den rättsliga ställningen för enskilda endast kan vara sådant som kompletterar och bistår myndigheternas verksamhet. Grundlagsutskottet har i sin praxis bland annat utvärderat övervakning av flygtrafiken (GrUU 47/2005 rd), utläggning av förfarandet för utfärdande av pass (GrUU 6/2013 rd), anförtroendet av verksamheten i myndigheternas säkerhetsnät åt statliga bolag (GrUU 8/2014 rd) och anförtroendet av den tekniska bedömningen av järnvägstrafikens överensstämmelse och inspektionsuppgifter åt enskilda juridiska personer (GrUU 16/2002 rd). Det har varit fråga om en verksamhetshelhet som skapar förutsättningar för myndighetsverksamheten, är av teknisk karaktär eller osjälvständig. 

Grundlagsutskottet har i sin praxis delat in bedömningen enligt 124 § i tre delar. Indelningen baserar sig på förarbetena till grundlagen. Utskottet har förutsatt följande:  

– det är inte fråga om överföring av betydande offentlig makt, 

– uppgiftsöverföringen är ändamålsenlig bland annat med tanke på förvaltningens effektivitet och övriga interna behov inom förvaltningen liksom också enskilda personers och samfunds behov, och  

– de grundläggande fri- och rättigheterna, rättsskyddet och övriga krav på god förvaltning tillgodoses i samband med överföringen. 

En informationssäker driftmiljö enligt 20 § i lagen om sekundär användning kan också inrättas av en annan än en myndighet, även av en privaträttslig juridisk person. I driftmiljöer behandlas personuppgifter. Bestämmelsen ska också bedömas enligt 10 § i grundlagen, vilken gäller skydd för personuppgifter, och även enligt 124 § i grundlagen. 

Efter övergångsperioden ska Tillståndsmyndighetens informationssäkra driftmiljö alltid vara den primära miljö som personuppgifter lämnas ut till. Tillståndsmyndighetens driftmiljö möjliggör dock inte nödvändigtvis alltid behandling av uppgifter för tillståndshavarens behov, eftersom uppgifter kan behandlas på så många olika sätt. För olika användningsändamål kan behövas olika verktyg, som Tillståndsmyndigheten inte alltid kan tillhandahålla tillståndshavaren. Till exempel vetenskaplig forskning kan utföras med många olika metoder och där kan behövas olika typer av analysverktyg. Tillståndsmyndighetens driftmiljö möjliggör därför inte alltid i praktiken behandling av uppgifter för det i sig sakliga användningsändamål för personuppgifterna som anges i ansökan om dataanvändningstillstånd. 

Tillståndsmyndighetens driftmiljö bör inte begränsa ett i sig grundlagsenligt användningsändamål. Därför skulle det vara ändamålsenligt att uppgifter kan behandlas även någon annan-stans än i Tillståndsmyndighetens driftmiljö. Mot bakgrunden av den nuvarande regleringen har dessutom även känsliga personuppgifter kunnat behandlas någon annanstans än i myndighetens driftmiljö. Av dem som behandlar uppgifterna har givetvis förutsatts tystnadsplikt. 

Även om uppgifter kan överföras till någon annan miljö än Tillståndsmyndighetens driftmiljö, får den registrerades grundläggande rättigheter inte äventyras i sådana situationer. I syfte att skydda personuppgifter ställs i lagens 21–29 § minimikrav på informationssäkerheten i informationssäkra driftmiljöer som ska uppfyllas. Bedömningsorganet för informationssäkerhet genomför en revision av systemen för att säkerställa att minimikraven uppfylls. Tillstånds- och tillsynsverket för social- och hälsovården ska övervaka systemen. Tillståndshavaren är dessutom bunden av tystnadsplikt. Dataombudsmannen övervakar inom sitt verksamhetsområde och Tillståndsmyndigheten för användning av social- och hälsovårdsdata under de villkor som anges i lagen att personuppgifter behandlas i enlighet med lagen och tillståndsvillkoren. På så vis kan man bättre än för närvarande sörja för att personuppgifter behandlas på behörigt sätt. 

I 10 § i grundlagen förutsätts inte att personuppgifter behandlas av en myndighet. I praktiken behandlar privata aktörer personuppgifter i betydande utsträckning, även känsliga personuppgifter. Även privaträttsliga juridiska personer sköter tekniska uppgifter i samband med myndigheternas behandling av personuppgifter till exempel med stöd av avtal. 

I 55 § i lagen om sekundär användning föreskrivs det om rättigheter och skyldigheter som uppkommer för olika aktörer, om det vid användning enligt lagen om sekundär användning av kunduppgifter inom hälso- och sjukvården eller av registeruppgifter som innehåller kunduppgifter kommer fram ett kliniskt betydande fynd. Enligt 1 mom. har en innehavare av dataanvändningstillstånd som enligt den föreslagna lagen använder kunduppgifter inom hälso- och sjukvården eller registeruppgifter som innehåller kunduppgifter rätt att anmäla betydande kliniska fynd. En förutsättning är att det enligt anmälarens yrkesmässiga uppfattning på grundval av fyndet är möjligt att förebygga hälsorisker för en viss patient eller betydligt förbättra vårdens kvalitet. Som ovan konstateras förutsätts i 10 § i grundlagen inte att personuppgifter behandlas av en myndighet. Anmälan görs däremot, på grund av sakens betydelse, till en ansvarig person som utsetts av Tillståndsmyndigheten. 

Efter att ha fått anmälan ska den ansvariga personen vid Tillståndsmyndigheten enligt 55 § 2 mom. i lagen om sekundär användning avkoda eventuella pseudonymiserade uppgifter och utreda vem eller vilka informationen gäller samt utan obefogat dröjsmål lämna uppgifterna till en expert som utsetts av Institutet för hälsa och välfärd. I regeringens proposition om lagen om sekundär användning föreslås det på grund av den specialexpertis som saken förutsätter bli föreskrivet att en expert vid Institutet för hälsa och välfärd ska sköta uppgiften och att denne expert i samarbete med övriga experter som utsetts av institutet ska bedöma betydelsen av informationen och den förväntade nyttan med de åtgärder som kan vidtas med stöd av den. Om nyttan bedöms vara så uppenbar att det skulle vara viktigt att den som ska undersökas får vård, ska den expert som avses ovan anmäla fyndet till den verksamhetsenhet som med stöd av hälso- och sjukvårdslagen är regionalt ansvarig för den aktuella personens hälso- och sjukvård. 

Verksamhetsenheten för hälso- och sjukvård ska enligt 55 § 4 mom. kontakta patienten och klarlägga om han eller hon vill ha information om det betydande kliniska fyndet och de undersöknings- och vårdåtgärder som fyndet eventuellt kräver samt om den förväntade nyttan med åtgärderna. 

På de grunder som anges ovan kan lagförslaget behandlas i vanlig lagstiftningsordning. Regeringen anser det dock önskvärt att grundlagsutskottet ger ett utlåtande i frågan. 

Kläm 

Kläm 

Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 

Lagförslag

Lag om ändring av 60 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården 

I enlighet med riksdagens beslut 
ändras i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019) 60 § 1 mom. som följer: 
60 § Övergångsbestämmelser 
Bestämmelserna om logguppgifter i 19 § tillämpas från och med den 1 maj 2021. Bestämmelserna om kraven på informationssäkra driftmiljöer i 20 § 3 mom. och 21–34 § tillämpas från och med den 1 maj 2022. Före denna tidpunkt får uppgifter lämnas ut för behandling till tillståndshavaren med stöd av 51 § 1 och 2 mom., även om det i ansökan om dataanvändningstillstånd inte anvisas en i 51 § 3 mom. avsedd informationssäker driftmiljö för behandlingen av uppgifter. Utlämnandet av uppgifter förutsätter då ett dataanvändningstillstånd som med stöd av 43 § 4 mom. beviljats för viss tid och som gäller högst till den 30 april 2022. Bestämmelserna om kliniska fynd i 55 § tillämpas från och med den 1 januari 2024. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors den 27 maj 2021 
Statsminister Sanna Marin 
Familje- och omsorgsminister Krista Kiuru