Beaktats t.o.m. FörfS 1003/2019.

26.4.2019/552

Lag om sekundär användning av personuppgifter inom social- och hälsovården

Se anmärkningen för upphovsrätt i användningsvillkoren.

I enlighet med riksdagens beslut föreskrivs:

1 kap

Allmänna bestämmelser

1 §
Lagens syfte

Lagens syfte är att möjliggöra en effektiv och informationssäker behandling av personuppgifter som har registrerats i social- och hälsovårdsverksamhet och för styrnings-, tillsyns-, forsknings- och statistikändamål inom social- och hälsovården samt en samkörning av dessa personuppgifter med Folkpensionsanstaltens, Befolkningsregistercentralens, Statistikcentralens och Pensionsskyddscentralens personuppgifter.

Lagens syfte är dessutom att trygga skyddet för individens tillitsskydd samt rättigheter och friheter vid behandlingen av personuppgifter.

2 §
Tillämpningsområde

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, när personuppgifter som avses i 1 §, trots att de inte ursprungligen har registrerats för ändamålen, behandlas för följande användningsändamål:

1) statistikföring,

2) vetenskaplig forskning,

3) utvecklings- och innovationsverksamhet,

4) undervisning,

5) informationsledning,

6) myndighetsstyrning och myndighetstillsyn inom social- och hälsovården, samt

7) myndigheternas planerings- och utredningsuppgifter.

Bestämmelser om organisationer vars uppgifter får behandlas i enlighet med 1 mom. samt om inskränkningar i behandlingen av uppgifter finns i 6 och 7 §.

Bestämmelser om grunder för utlämnande personuppgifter och om mottagarens rätt att behandla de utlämnade personuppgifterna för sådana ändamål som avses i 1 mom. finns i 4 och 5 kap.

3 §
Definitioner

I denna lag avses med

1) kunduppgifter personuppgifter enligt artikel 4.1 i dataskyddsförordningen som enligt lag är sekretessbelagda och som har registrerats i ett kundregister i en kundrelation inom social- och hälsovården eller vid förmånshandläggning eller i ett administrativt register i anknytning till en kundrelation,

2) primärt användningsändamål för personuppgifter det användningsändamål för vilket personuppgifterna ursprungligen har registrerats,

3) sekundärt användningsändamål för personuppgifter behandling av personuppgifter för något annat användningsändamål än det primära användningsändamål som avses i 2 punkten,

4) utvecklings- och innovationsverksamhet tillämpning och användning av tekniska uppgifter och affärsinformation och annan befintlig kunskap tillsammans med personuppgifter som avses i denna lag i syfte att utveckla nya eller avsevärt förbättrade produkter, processer eller tjänster,

5) informationsledning behandling av information till stöd för tjänstetillhandahållare vid styrning, ledning och beslutsfattande i fråga om verksamhet, produktion och ekonomi i kund-, service- och produktionsprocesser,

6) myndighetsstyrning inom social- och hälsovården de nationella social- och hälsovårdsmyndigheternas lagstadgade styrning av aktörer inom branschen baserad på person- och statistikuppgifter som samlats in för ändamålet eller på uppgifter som i ett enskilt fall har erhållits för styrnings- eller tillsynsuppgiften,

7) myndighetstillsyn inom social- och hälsovården de nationella social- och hälsovårdsmyndigheternas lagstadgade tillsyn över yrkesutbildade personer och verksamhetsenheter inom social- och hälsovården,

8) dataanvändningstillstånd tillstånd enligt denna lag att behandla de sekretessbelagda personuppgifter som anges i tillståndet för det användningsändamål som avses i tillståndet,

9) begäran om information en begäran om att få aggregerade statistiska uppgifter som tagits fram utifrån personuppgifter som avses i denna lag för ett användningsändamål enligt denna lag,

10) informationssäker drifttjänst en informationssäker lösning via vilken parterna kan lämna ut och ta emot uppgifter som omfattas av användningsbegränsningar,

11) informationssäker driftmiljö en teknisk, organisatorisk och fysisk driftmiljö för behandling av uppgifter där informationssäkerheten har säkerställts genom lämpliga administrativa och tekniska åtgärder,

12) hanteringssystem för begäranden om information ett system via vilket den som ansöker om dataanvändningstillstånd eller den som på annat sätt begär information med stöd av denna lag lämnar in en ansökan om dataanvändningstillstånd eller en begäran om information enligt denna lag med bilagor till myndigheten och i vilket ett beslut om dataanvändningstillstånd eller om begäran om information delges den sökande,

13) tjänstetillhandahållare en myndighet som ordnar, producerar eller lämnar socialvård eller hälso- och sjukvård eller socialvårdstjänster eller hälso- och sjukvårdstjänster eller en sådan producent av privat service som avses i lagen om privat socialservice (922/2011) eller i lagen om privat hälso- och sjukvård (152/1990),

14) serviceanordnare en tillhandahållare av social- och hälsovårdstjänster som

a) i egenskap av myndighet är skyldig att se till att kunden får sådana tjänster eller förmåner som kunden har rätt till enligt lag eller ett myndighetsbeslut, eller

b) i egenskap av privat tjänstetillhandahållare är skyldig att se till att en kund som köper en tjänst privat får sådana tjänster som kunden har rätt till enligt konsumentskyddsbestämmelserna,

15) tjänsteproducent en tjänstetillhandahållare som enligt ett avtal med en serviceanordnare eller annars för en serviceanordnares räkning producerar social- eller hälsovårdstjänster,

16) tjänsteleverantör en aktör som tillhandahåller kunderna tjänster som syftar till en informationssäker driftmiljö,

17) plan för användning av uppgifter en forskningsplan, projektplan eller motsvarande plan av vilken framgår användningsändamålet för de uppgifter som avses i tillståndsansökan, den personuppgiftsansvarige och personuppgiftsbiträdena, den rättsliga grunden för behandlingen samt väsentliga omständigheter som gäller dataskydd och informationssäkerhet vid behandlingen av uppgifterna och som omfattar uppgifternas hela livscykel inklusive bevaring och förstöring eller arkivering av uppgifterna,

18) aggregerade statistiska uppgifter statistisk information som anonymiserats på ett tillförlitligt sätt,

19) färdigt datamaterial en materialhelhet som Tillståndsmyndigheten för social- och hälsovårdsuppgifter som avses i 4 § har sammanställt av uppgifter från en eller flera organisationer och samkört till ett enda material eller lagrat så att det finns en enhetlig kod för identifierarna för materialet,

20) bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar och myndigheter som Transport- och kommunikationsverket med stöd av lagen om bedömningsorgan för informationssäkerhet (1405/2011) har godkänt att utföra bedömningar av om informationssystem överensstämmer med kraven i fråga om informationssäkerhet.

2 kap

Myndigheter och organisationer

4 §
Tillståndsmyndigheten för användning av social- och hälsovårdsdata

Den i denna lag avsedda Tillståndsmyndigheten för användning av social- och hälsovårdsdata (Tillståndsmyndigheten) finns i anslutning till Institutet för hälsa och välfärd. För de uppgifter som föreskrivs för Tillståndsmyndigheten svarar vid institutet en självständig enhet som har avskilts från de uppgifter som anges i 2 § i lagen om Institutet för hälsa och välfärd (668/2008).

Tillståndsmyndigheten omfattas av social- och hälsovårdsministeriets resultatstyrning och har en separat direktör utnämnd av social- och hälsovårdsministeriet och en av ministeriet tillsatt styrgrupp.

5 §
Tillståndsmyndighetens uppgifter

Tillståndsmyndigheten fattar beslut om dataanvändningstillstånd som gäller andra personuppgiftsansvarigas material och beslutar om en begäran om information enligt 45 § överensstämmer med denna lag samt svarar för insamling, samkörning, förbehandling och utlämnande av uppgifter med stöd av dess beslut för sekundär användning enligt denna lag. Tillståndsmyndigheten får även för ett användningsändamål enligt denna lag på begäran om information samla in personuppgifter från olika personuppgiftsansvariga och genom att samköra dem producera anonym information åt den som framställt begäran.

Tillståndsmyndigheten driver ett hanteringssystem för begäranden om information för förmedling och behandling av begäranden om information och tillståndsansökningar samt en informationssäker drifttjänst för mottagande och utlämnande av personuppgifter. Tillståndsmyndigheten förvaltar även en informationssäker driftmiljö där tillståndshavaren kan behandla de personuppgifter som lämnats ut med stöd av ett dataanvändningstillstånd.

Tillståndsmyndigheten övervakar att villkoren för det beviljade tillståndet iakttas. Den får återkalla ett dataanvändningstillstånd, om tillståndshavaren inte iakttar lagen eller bryter mot villkoren i tillståndet.

Tillståndsmyndigheten svarar på det sätt som anges i 52 § för anonymiseringen av de personuppgifter som de publicerade resultaten bygger på.

6 §
Myndigheter och organisationer som svarar för tjänster samt begränsningar i fråga om datamaterial

Bestämmelser om tjänster som behövs för behandling av kunduppgifter inom social- och hälsovården samt av andra sådana personuppgifter som avses i denna lag och som ska samköras med kunduppgifterna för användningsändamål enligt 2 § finns i 3 kap. Ansvaret för produktionen av dessa tjänster ligger på Tillståndsmyndigheten och på följande myndigheter och organisationer:

1) social- och hälsovårdsministeriet,

2) Institutet för hälsa och välfärd, med undantag för de uppgifter som det i egenskap av statistikmyndighet samlat in för statistiska ändamål,

3) Folkpensionsanstalten till den del det för ändamål enligt denna lag behövs personuppgifter som registrerats i en kundrelation i samband med förmånsbehandling samt uppgifter om recept och anknytande receptexpedieringar vid det receptcenter som avses i 3 § 4 punkten i lagen om elektroniska recept (61/2007) och i det receptarkiv som avses i 3 § 5 punkten i den lagen,

4) Tillstånds- och tillsynsverket för social- och hälsovården,

5) regionförvaltningsverken till den del de behandlar ärenden med anknytning till social- och hälsovården,

6) Arbetshälsoinstitutet till den del det för ändamål enligt denna lag behövs uppgifter ur registren över arbetsrelaterade sjukdomar och exponeringsmätningar och ur institutets patientregister,

7) Säkerhets- och utvecklingscentret för läkemedelsområdet,

8) offentliga serviceanordnare inom social- och hälsovården,

9) Statistikcentralen till den del det för ändamål enligt denna lag behövs sådana uppgifter som avses i lagen om utredande av dödsorsak (459/1973),

10) Pensionsskyddscentralen till den del det för ändamål enligt denna lag behövs nödvändiga personuppgifter ur Pensionsskyddscentralens register om de försäkrades arbets- och förvärvsuppgifter samt om beviljade förmåner och grunderna för dem, inbegripet diagnoser för invalidpensioner och sjukpensioner som registrerats vid verkställigheten av arbetspensionsskyddet, och

11) Befolkningsregistercentralen till den del det för ändamål enligt denna lag behövs basuppgifter om personer, uppgifter om personers familjeförhållanden och bostadsort samt byggnadsuppgifter ur befolkningsdatasystemet.

7 §
Undantag som gäller behandling av statistikmyndigheters uppgifter

Statistikcentralen samt Institutet för hälsa och välfärd i egenskap av statistikmyndighet (statistikmyndigheter) svarar för dataanvändningstillstånd för uppgifter som de i egenskap av statistikmyndigheter för statistiska ändamål samlat in för vetenskaplig forskning och för att uppgifter som hänför sig till en och samma forskningsplan samkörs med deras egna uppgifter samt för pseudonymisering eller anonymisering av uppgifterna i enlighet med statistiklagen (280/2004). En tillståndsansökan som gäller andra uppgifter som avses i denna lag och uppgifter som statistikmyndigheterna samlat in för statistiska ändamål lämnas till Statistikcentralen och Institutet för hälsa och välfärd via det hanteringssystem för begäranden om information som avses i 16 §. Även kontakterna till den tillståndssökande vid behandlingen av en tillståndsansökan och delgivningen av beslutet sker via hanteringssystemet.

Bestämmelser om utlämnande av uppgifter till uppgifter enligt denna lag som sammanslagits i enlighet med statistiklagen finns i 51 § 4 mom.

8 §
Styrning av Tillståndsmyndighetens verksamhet och utvecklande av samarbetet mellan de personuppgiftsansvariga

För styrning av verksamheten vid Tillståndsmyndigheten och utvecklande av den gemensamma verksamheten mellan organisationer som svarar för tjänster tillsätter social- och hälsovårdsministeriet för en treårsperiod en styrgrupp för Tillståndsmyndigheten samt utser en ordförande för styrgruppen. Till ledamöter i styrgruppen utser social- och hälsovårdsministeriet

1) sex företrädare enligt förslag från de organisationer och myndigheter som anges i 6 §,

2) en ledamot som företräder kommunerna som anordnare av social- och hälsovårdstjänster,

3) utifrån Kommunförbundets förslag en ledamot som företräder kommunerna som anordnare av förebyggande social- och hälsovård,

4) en ledamot som företräder privata anordnare av social- och hälsovårdstjänster.

Styrgruppen har till uppgift att behandla och hos Institutet för hälsa och välfärd och social- och hälsovårdsministeriet göra en framställning om

1) Tillståndsmyndighetens årliga verksamhetsplan och anknytande budget,

2) verksamhetsberättelsen och bokslutet till den del de gäller Tillståndsmyndigheten,

3) det gemensamma utvecklandet av de personuppgiftsansvarigas verksamhet och de resurser som ska anvisas för detta,

4) resurser som ska anvisas varje aktör för utvecklande av informationssystemen och samarbetet.

Styrgruppen ger akt på hur Tillståndsmyndighetens verksamhet och tjänster fungerar och på hur tidsfristerna enligt 47 och 48 § följs när det gäller tillståndsbehandling respektive utlämnande av uppgifter. Styrgruppen kan dessutom

1) ställa målmätare för Tillståndsmyndighetens verksamhetsprocesser och starta externa revisioner av dem,

2) vid behov lägga fram förslag till utveckling av Tillståndsmyndighetens verksamhet för Institutet för hälsa och välfärd och social- och hälsovårdsministeriet, och

3) tillsätta expertgrupper som stöder Tillståndsmyndighetens verksamhet.

Social- och hälsovårdsministeriet ska utse en expertgrupp på hög nivå för Tillståndsmyndigheten. Gruppen har i uppgift att ta fram principiella riktlinjer för anonymisering, dataskydd och informationssäkerhet för myndighetens verksamhet. Expertgruppen ska ha en expert på artificiell intelligens, dataanalys, informationssäkerhet, dataskydd, sektorsforskning, statistik respektive statistikväsendet och en företrädare för Tillståndsmyndigheten. Närmare bestämmelser om expertgruppens uppgifter, antalet medlemmar och behörighetsvillkoren för dem får utfärdas genom förordning av social- och hälsovårdsministeriet.

9 §
Möjlighet att bilda aktiebolag

Social- och hälsovårdsministeriet får ensamt eller tillsammans med en eller flera organisationer som avses i 6 §, undervisnings- och kulturministeriet, arbets- och näringsministeriet eller finansministeriet bilda ett aktiebolag som verkar under Tillståndsmyndigheten. Bolaget ägs och förvaltas av staten. För ägarstyrningen av bolaget och förvaltningen av dess aktier svarar social- och hälsovårdsministeriet. Syftet med bolagets verksamhet är inte att bereda vinst.

Bolaget kan ges uppgifter i anknytning till de tjänster som avses i 10 § 3–7 punkten. Närmare bestämmelser om bolagets uppgifter får utfärdas genom förordning av statsrådet.

Institutet för hälsa och välfärd eller Tillståndsmyndigheten kan producera administrativa tjänster och andra stödtjänster för aktiebolaget mot ersättning till marknadspris.

Bolaget ska på begäran lämna social- och hälsovårdsministeriet de uppgifter som behövs för att bolaget ska kunna styras och övervakas. På bolagets handlingar tillämpas vad som i lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, föreskrivs om myndighetshandlingar. Beslut om att en bolagshandling inte lämnas ut till den som begär det ska fattas av Tillståndsmyndigheten i enlighet med 4 kap. i offentlighetslagen.

För bolagets verksamhet kan det beviljas statsunderstöd inom ramen för de anslag som tas in i statsbudgeten. Bestämmelser om statsunderstöd finns i statsunderstödslagen (688/2001).

På personer som är anställda hos bolaget och på ledamöter i bolagets styrelse tillämpas bestämmelserna om straffrättsligt tjänsteansvar.

3 kap

Tjänster som möjliggör sekundär användning

Informationstjänster
10 §
Tjänster som organisationer producerar för sekundär användning

För sekundär användning av registeruppgifter tillhandahålls följande tjänster producerade av de organisationer som avses i 6 §:

1) beskrivningar av datamaterial,

2) rådgivningstjänst,

3) tjänst för insamling, samkörning och förbehandling av uppgifter,

4) tjänst för administrering av identifierare,

5) hanteringssystem för begäranden om information,

6) informationssäker drifttjänst,

7) informationssäker driftmiljö.

11 §
Organisationernas ansvar för tjänsterna

Tillståndsmyndigheten svarar alltid för de tjänster som avses i 10 § 3–7 punkten när det är fråga om en begäran om information enligt 45 § eller när en ansökan om dataanvändningstillstånd gäller

1) personregister som förs av flera personuppgiftsansvariga enligt 6 §,

2) uppgifter som registrerats i de riksomfattande informationssystemtjänster (Kanta-tjänster) som avses i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007), nedan klientuppgiftslagen, eller

3) registeruppgifter hos en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården.

Tillståndsmyndigheten svarar dock för tjänster som gäller uppgifter hos Pensionsskyddscentralen, Befolkningsregistercentralen och Statistikcentralen endast om uppgifterna samkörs med uppgifter som innehas av de organisationer som avses i 6 § 1–8 punkten, med uppgifter som är registrerade i Kanta-tjänsterna eller med registeruppgifter hos en privat serviceanordnare inom socialvården eller hälso- och sjukvården.

Om en ansökan om dataanvändningstillstånd gäller uppgifter i personregister hos endast en av de organisationer som avses i 6 § 1–8 punkten, svarar organisationen själv för alla de tjänster som avses i 10 § 1–4 punkten. De organisationerna kan emellertid underrätta Tillståndsmyndigheten att de avstår från att tillhandahålla andra tjänster än de som avses i 10 § 1 och 2 punkten. I så fall svarar Tillståndsmyndigheten för den anmälande organisationens tjänster avseende personuppgifter enligt 10 § 3–7 punkten.

12 §
Beskrivningar av datamaterial

De organisationer som avses i 6 § ska som personuppgiftsansvariga göra upp materialbeskrivningar av datainnehållet i sina datalager så att det på basis av dem är möjligt att bedöma om registeruppgifterna lämpar sig för de ändamål som anges i 2 §. Tillståndsmyndigheten ska göra upp materialbeskrivningar över sina i 14 § 5 mom. avsedda färdiga datamaterial.

Tillståndsmyndigheten meddelar närmare föreskrifter om materialbeskrivningarnas datainnehåll, begrepp och datastrukturer. Innan föreskrifterna meddelas ska Tillståndsmyndigheten höra organisationerna i fråga.

Bestämmelser om när de skyldigheter som föreskrivs i 1 mom. börjar tillämpas utfärdas genom förordning av social- och hälsovårdsministeriet.

13 §
Rådgivningstjänster

En personuppgiftsansvarig enligt 6 § ska ordna en rådgivningstjänst för sina egna registeruppgifter som avses i den paragrafen så att de som behöver uppgifterna för ändamål som avses i 2 § får tillräcklig information om de tillgängliga registrens datainnehåll och huruvida registeruppgifterna lämpar sig för det aktuella informationsbehovet.

Utöver vad som föreskrivs i 1 mom. ska Tillståndsmyndigheten ordna en rådgivningstjänst som avser förutsättningarna för beviljande av dataanvändningstillstånd, förutsättningarna för godkännande av begäran om information, innehållet i och betydelsen av de tjänster som avses i 10 § samt de färdiga datamaterial som avses i 14 § 5 mom.

14 §
Tjänst för insamling, samkörning och förbehandling av uppgifter

När Tillståndsmyndigheten har beviljat ett dataanvändningstillstånd enligt 44 § eller beslutat bifalla en begäran om information enligt 45 § ska den samla in, samköra och förbehandla och vid behov pseudonymisera eller anonymisera materialet för behandling av tillståndshavaren eller producera de aggregerade statistiska uppgifter som avses i begäran om information i enlighet med beslutet.

När dataanvändningstillståndet har beviljats av en enskild personuppgiftsansvarig enligt 6 § 1–8 punkten i fråga om uppgifter i dennes egna register ska den producera materialet enligt tillståndet för behandling av tillståndshavaren. Om materialet emellertid enligt tillståndet lämnas ut i anonymiserad form ska den personuppgiftsansvarige ge in tillståndet och det tillhörande datamaterialet till Tillståndsmyndigheten för samkörning, förbehandling och anonymisering.

Tillståndsmyndigheten ska bevara en beskrivning av hur datamaterial och aggregerade statistiska uppgifter som den lämnat ut bildats, av de pseudonymiserings- och anonymiseringsmetoder den använt och av det utlämnade slutresultatet.

Om personuppgifter med stöd av flera olika planer för användning av uppgifter lämnas ut i pseudonymiserad form, ska uppgifterna pseudonymiseras med olika identifierare för varje utlämnande.

Tillståndsmyndigheten får utforma färdiga datamaterial av uppgifter hos de myndigheter och organisationer som avses i 6 §. Tillståndsmyndigheten får senare plocka ut de uppgifter som behövs för beviljande av dataanvändningstillstånd och som avses i ett beviljat dataanvändningstillstånd eller i ett beslut med anledning av en begäran om information ur de färdiga datamaterialen.

15 §
Tjänst för administrering av identifierare

Den myndighet som beviljat dataanvändningstillstånd förvarar identifierarna för pseudonymiserat material på ett informationssäkert sätt så att materialet vid behov kan göras identifierbart och att detta samma material med hjälp av identifierarna kan produceras på nytt.

Myndigheten ska förvara identifierarna så länge de behövs för forskning och för säkerställande av ändamålsenliga forskningsresultat.

Informationssystemtjänster som verksamheten förutsätter och garanterande av deras säkerhet
16 §
Hanteringssystem för begäranden om information

Tillståndsmyndigheten driver ensam eller tillsammans med andra myndigheter ett system för hantering av begäranden om information, via vilket en ansökan om dataanvändningstillstånd eller en begäran om information enligt denna lag ska lämnas till Tillståndsmyndigheten.

Utredningar och kompletteringar som Tillståndsmyndigheten begär för att kunna behandla ansökan samt de utredningar, kompletteringar och ändringar i ansökan som sökanden lämnar in till Tillståndsmyndigheten förmedlas via hanteringssystemet. Tillståndsbeslutet delges sökanden via hanteringsystemet.

Om användningsändamålet enligt lag förutsätter en etisk förhandsgranskning av planen för användning av uppgifterna, inleds även en etisk granskning och lämnas ett utlåtande via hanteringssystemet.

17 §
Informationssäker drifttjänst

Tillståndsmyndigheten driver en informationssäker drifttjänst att användas vid utlämnande av de uppgifter som behövs vid behandlingen av en ansökan om dataanvändningstillstånd eller i begäran om information samt av uppgifter som avses i ett beviljat dataanvändningstillstånd. Via drifttjänsten får personuppgifter, under de förutsättningar som anges i denna lag, lämnas mellan Tillståndsmyndigheten och övriga myndigheter som anges i 6 §, mellan Tillståndsmyndigheten och privata tillhandahållare av social- och hälsovårdstjänster samt mellan den som ansöker om tillstånd och Tillståndsmyndigheten.

När personuppgifter förmedlas via den informationssäkra drifttjänsten ska deras integritet och ursprung säkerställas med en elektronisk underskrift. Integritet och ursprung hos uppgifter som sänds av en organisation och informationsteknisk utrustning ska säkerställas genom användning av teknik med motsvarande tillförlitlighet som vid elektronisk signering som görs av en fysisk person. Användare av den informationssäkra drifttjänsten måste vara starkt identifierade när personuppgifter lämnas ut till dem. Bestämmelser om avancerad elektronisk underskrift och stark elektronisk identifiering finns i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG och i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009).

Tillståndsmyndigheten ska skapa de gränssnitt som behövs för drifttjänstens interoperabilitet och sörja för att dataöverföringen kan göras med hjälp av allmänt använda tekniker.

18 §
Allmänna informationssäkerhetskrav

När personuppgifter behandlas med stöd av denna lag ska en tillräcklig informationssäkerhet för behandlingen säkerställas genom riskhantering, åtkomsthantering, aktiv övervakning och genom iakttagande av föreskrifter och anvisningar från den myndighet som svarar för förverkligandet och övervakningen av informationssäkerhet och dataskydd. Särskild uppmärksamhet ska fästas vid att användningsbegränsningar och sekretessplikten iakttas.

19 §
Logguppgifter

När personuppgifter behandlas för tillståndsprövning, beslutsfattande eller utlämnande av uppgifter enligt denna lag ska logguppgifter samlas in som följer:

1) Tillståndsmyndigheten och en organisation som avses i 6 § ska i användningslogguppgifterna registrera uppgifter om den organisation vars uppgifter används, den som har använt uppgifterna, de uppgifter och uppgiftsgrupper som har behandlats, användningsändamålet för uppgifterna, identifierare för en ansökan om dataanvändningstillstånd eller en begäran om information och användningstidpunkten, och

2) Tillståndsmyndigheten, en privat tillhandahållare av social- och hälsovårdstjänster och en organisation som avses i 6 § ska i utlämningslogguppgifterna registrera uppgifter om den utlämnande organisationen, den som lämnat ut uppgifterna, utlämningsändamålet enligt 2 §, identifierare för en ansökan om dataanvändningstillstånd eller en begäran om information, mottagaren och utlämningstidpunkten.

Den som behandlar personuppgifter med stöd av ett dataanvändningstillstånd enligt denna lag ska i användningslogguppgifterna registrera information om den personuppgiftsansvarige som fått dataanvändningstillstånd, användningsändamålet enligt 2 §, dataanvändningstillstånd som ger rätt till behandling, användare som är berättigad att behandla uppgifterna enligt dataanvändningstillståndet, de uppgifter och uppgiftsgrupper som har behandlats samt användningstidpunkten.

När en tjänstetillhandahållare behandlar personuppgifter i sina personregister och informationsledning är användningsändamålet ska denne i användningslogguppgifterna registrera information om vilka personuppgifter som använts, vem som har använt uppgifterna, användningsändamålet och användningstidpunkten.

Logguppgifterna ska förstöras eller arkiveras tolv år efter det att dataanvändningstillståndet upphört att gälla eller den behandling som avses i 3 mom. har upphört.

Tillståndsmyndigheten kan meddela närmare föreskrifter om de uppgifter som ska registreras i loggregistren och om deras datainnehåll.

20 §
Informationssäker driftmiljö

Tillståndsmyndigheten ska ensam eller tillsammans med andra myndigheter förvalta en informationssäker driftmiljö som gör det möjligt att garantera en informationssäker, tillståndsenlig behandling av uppgifter som Tillståndsmyndigheten eller någon annan myndighet som avses i denna lag lämnat ut med stöd av denna lag.

Behandlingen ska vara tekniskt möjlig att genomföra på olika sätt och driftmiljön ska vara tillgänglig från olika platser. Tillståndsmyndigheten ska bedöma hur känsliga de uppgifter som lämnas ut är och beakta detta i de krav som i beslutet om dataanvändningstillstånd ska ställas på användning av den informationssäkra driftmiljön.

Om ansökan om dataanvändningstillstånd innehåller en begäran om att datamaterial ska lämnas ut för behandling i en annan miljö än den som avses i 1 mom., ska det i ansökan särskilt motiveras varför detta är nödvändigt. Tillståndsmyndigheten eller någon annan myndighet som avses i denna lag får då lämna ut uppgifter till sökanden endast om driftmiljön uppfyller villkoren i 2 mom. och i 21–29 §.

21 §
Identifiering av användare i informationssäkra driftmiljöer

Användarna i en informationssäker driftmiljö ska identifieras på ett tillförlitligt sätt och verifieras.

Närmare bestämmelser om de tekniska identifierings- och verifieringsmedlen får utfärdas genom förordning av social- och hälsovårdsministeriet.

22 §
Åtkomsträttigheter för användare i informationssäkra driftmiljöer

Tjänsteleverantören ska specificera åtkomsträttigheterna till personuppgifter för tillståndshavaren och andra personer som behandlar personuppgifter i driftmiljön. Tillståndshavaren ges åtkomsträttighet till personuppgifter enligt dataanvändningstillståndet. Andra personer som behandlar personuppgifter i en driftmiljö beviljas åtkomsträttigheter till sådana nödvändiga personuppgifter som de behöver i sina arbetsuppgifter.

Tjänsteleverantören ska föra register över användarna i den informationssäkra driftmiljön och deras åtkomsträttigheter. Uppgifter om åtkomsträttigheter för användarna i driftmiljön ska förstöras eller arkiveras tolv år efter det att åtkomsträtten upphört att gälla.

Tillståndsmyndigheten meddelar föreskrifter om de grunder enligt vilka tjänsteleverantören ska specificera tillståndshavarens åtkomsträttigheter till kunduppgifterna.

23 §
Skydd för informationssäkra driftmiljöer

En informationssäker driftmiljö ska skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet enligt vad som föreskrivs i 36 § i offentlighetslagen och i den statsrådsförordning som utfärdats med stöd av 1 mom. i den paragrafen.

Driftmiljön ska i enlighet med 19 § möjliggöra insamling av logguppgifter om användningen av utlämnade uppgifter för uppföljning och tillsyn.

24 §
Minimikrav på informationssäkra driftmiljöer

Informationssäkra driftmiljöer ska uppfylla kraven på informationssäkerhet och interoperabel informationsöverföring som bygger på myndigheternas föreskrifter, rekommendationer och de standarder som enligt dessa lämpar sig för en informationssäker driftmiljö.

Tillståndsmyndigheten meddelar närmare föreskrifter om de krav som ska ställas på andra tjänsteleverantörers informationssäkra driftmiljöer. Kraven ska förutsätta informationssäkerhet på motsvarande nivå som i Tillståndsmyndighetens egen driftmiljö.

25 §
Påvisande av informationssäkerhet i en informationssäker driftmiljö

Informationssäkerheten i driftmiljön ska påvisas genom ett i 26 § avsett intyg från ett bedömningsorgan för informationssäkerhet.

Tillståndsmyndigheten får meddela närmare föreskrifter om de förfaranden som ska iakttas vid påvisande av informationssäkerhet.

26 §
Bedömning av informationssäkerhet

Ett bedömningsorgan för informationssäkerhet bedömer i enlighet med denna lag och lagen om bedömningsorgan för informationssäkerhet, på ansökan av tjänsteleverantören om driftmiljön uppfyller kraven på informationssäkerhet. Som bedömningskriterier ska användas föreskrifter om kraven på en säker driftmiljö från Tillståndsmyndigheten.

Om driftmiljön uppfyller informationssäkerhetskraven enligt denna lag, ska bedömningsorganet för informationssäkerhet ge tjänsteleverantören ett intyg över sin bedömning och en anknytande kontrollrapport. Om bedömningen eller en förnyad bedömning gäller endast en del av driftmiljön, ska det i bedömningsorganets intyg tydligt antecknas vilken del av driftmiljön som har bedömts.

Bedömningsorganets intyg är i kraft högst fem år. Bedömningsorganet för informationssäkerhet kan av tjänsteleverantören kräva alla de uppgifter som förutsätts för bedömningen och för uppgörandet och upprätthållandet av intyget. På utfärdande av intyget tillämpas i övrigt 9 § 3 mom. i lagen om bedömningsorgan för informationssäkerhet.

27 §
Återkallande av bedömningsorganets intyg

Om ett bedömningsorgan för informationssäkerhet konstaterar att en driftmiljö inte har uppfyllt eller inte längre uppfyller kraven i denna lag eller att ett intyg av någon annan orsak inte borde ha beviljats, ska organet uppmana tjänsteleverantören att avhjälpa bristerna. Bedömningsorganet får återkalla intyget för viss tid eller helt och hållet eller bevilja intyget med begränsningar, om inte tjänsteleverantören avhjälper bristerna inom den tid som organet satt ut. När tidsfristens längd bestäms ska det beaktas att en skälig tid behövs för att korrigera driftmiljön.

28 §
Anmälningsskyldighet för bedömningsorgan för informationssäkerhet

Bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården om alla intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats för viss tid eller helt och hållet eller förvägrats samt om de uppmaningar och begränsningar som avses i 27 §. Dessutom ska bedömningsorgan för informationssäkerhet på begäran ge Tillstånds- och tillsynsverket för social- och hälsovården all behövlig ytterligare information i ärendet.

29 §
Uppföljning efter ibruktagande av informationssäker driftmiljö

Tjänsteleverantören ska genom ett uppdaterat och systematiskt förfarande följa upp och utvärdera erfarenheterna av en informationssäker driftmiljö under den tid den används för produktion. Tjänsteleverantören ska ge akt på ändringar i denna lag och justera driftmiljön i enlighet med ändringarna. Väsentliga förändringar i driftmiljön ska anmälas till bedömningsorganet för informationssäkerhet. Bedömningsorganets intyg ska förnyas, om betydande förändringar görs i driftmiljön eller om minimikraven på driftmiljön har ändrats på ett sätt som förutsätter en förnyad bedömning.

Tjänsteleverantören ska bevara uppgifterna om överensstämmelse med kraven och övriga uppgifter som tillsynen kräver i minst fem år efter det att den informationssäkra driftmiljön inte längre används för produktion.

30 §
Övervakning och inspektioner av informationssystem

Tillstånds- och tillsynsverket för social- och hälsovården ska övervaka och främja att informationssäkra driftmiljöer uppfyller kraven på dataskydd och informationssäkerhet. Tillstånds- och tillsynsverket för social- och hälsovården för ett offentligt register över driftmiljöer som uppfyller kraven och som anmälts till verket.

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner som krävs för tillsynen. För att utföra en inspektion har en inspektör rätt att få tillträde till alla lokaler där det bedrivs verksamhet som avses i denna lag eller där det förvaras uppgifter som är viktiga för tillsynen över efterlevnaden av denna lag. Inspektioner får dock inte utföras i utrymmen som används för boende av permanent natur.

Vid en inspektion ska alla handlingar som inspektören ber om och som behövs för inspektionen läggas fram. På inspektörens begäran ska dessutom kopior av de handlingar som behövs för inspektionen överlämnas till inspektören utan avgift.

Tillstånds- och tillsynsverket för social- och hälsovården ska bevara inspektionsprotokollet i tio år efter det att inspektionen utfördes.

31 §
Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att anlita utomstående experter

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att anlita utomstående experter för bedömning av informationssäkra driftmiljöers överensstämmelse med kraven. Utomstående experter får delta i inspektioner som avses i denna lag samt undersöka och testa driftmiljöer. Utomstående experter ska ha den sakkunskap och kompetens som uppgifterna kräver.

På utomstående experter som utför uppgifter enligt denna lag tillämpas förvaltningslagens (434/2003) bestämmelser om tjänstemannajäv och bestämmelserna om straffrättsligt tjänsteansvar.

32 §
Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att få information

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att, avgiftsfritt och trots sekretessbestämmelserna, för tillsynen över driftmiljöer få nödvändiga uppgifter av statliga och kommunala myndigheter samt av fysiska och juridiska personer som omfattas av denna lag eller av bestämmelser som utfärdats med stöd av den.

33 §
Tillstånds- och tillsynsverket för social- och hälsovårdens åläggande att avhjälpa brister samt vite

Tillstånds- och tillsynsverket för social- och hälsovården får med anledning av en inspektion som gjorts med stöd av 30 § ålägga tjänsteleverantören att avhjälpa brister i driftmiljöer som används för produktion.

Om en informationssäker driftmiljö kan äventyra dataskyddet, eller om systemet inte uppfyller de krav som ställs på det i denna lag, och bristerna inte har avhjälpts inom den tidsfrist som Tillstånds- och tillsynsverket har satt ut, får verket förbjuda användningen av driftmiljön till dess att bristerna har avhjälpts. Vidare får Tillståndsmyndigheten eller någon annan myndighet som avses i 6 § stänga av förbindelsen till sina informationssystem, om den som använder dem äventyrar eller ett utomstående system som anslutits till dem kan äventyra en ändamålsenlig användning av informationssystemet.

Tillstånds- och tillsynsverket för social- och hälsovården får ålägga tjänsteleverantören eller en befullmäktigad representant att inom den tid och på det sätt som verket bestämmer informera om beslut som gäller användningen av driftmiljön för produktion.

Tillstånds- och tillsynsverket för social- och hälsovården kan förena beslut som fattats med stöd av 1 mom. med vite eller med hot om att verksamheten helt eller delvis avbryts eller att den försummade åtgärden vidtas på den försumliges bekostnad. Tillstånds- och tillsynsverket ska underrätta Tillståndsmyndigheten om sitt beslut.

34 §
Föreläggande att fullgöra skyldigheter

Om en tjänsteleverantör, en myndighet som avses i 6 § eller någon som annars behandlar personuppgifter i enlighet med denna lag har underlåtit att fullgöra sin skyldighet enligt denna lag när det gäller informationssystem eller deras användning, får Tillstånds- och tillsynsverket för social- och hälsovården meddela ett föreläggande om att skyldigheten ska uppfyllas inom utsatt tid.

Dessutom får Tillståndsmyndigheten eller någon annan myndighet som avses i 6 § stänga av förbindelsen till informationssystem som den förvaltar, om tjänsteleverantören, en myndighet enligt 6 § eller någon annan som behandlar personuppgifter enligt denna lag, trots den tid som Tillstånds- och tillsynsverket för social- och hälsovården satt ut, underlåtit att fullgöra sin skyldighet enligt denna lag när det gäller informationssystem eller deras användning.

Tillstånds- och tillsynsverket för social- och hälsovården får förena ett föreläggande som det meddelat enligt 1 mom. med vite eller med hot om att verksamheten helt eller delvis avbryts eller att den försummade åtgärden vidtas på den försumliges bekostnad. Verket ska underrätta Tillståndsmyndigheten om sitt beslut.

4 kap

Grunder och förutsättningar för sekundär användning av personuppgifter

Allmänna grunder för sekundär användning
35 §
Grunder för behandling av personuppgifter

Registeruppgifter hos personuppgiftsansvariga som avses i 6 § och registeruppgifter hos en privat serviceanordnare inom social- och hälsovården får behandlas för ett sekundärt användningsändamål med ett tidsbundet dataanvändningstillstånd från den personuppgiftsansvarige eller Tillståndsmyndigheten eller direkt med stöd av bestämmelser i lag, enligt vad som föreskrivs nedan.

36 §
Tillståndsmyndighetens rätt att få och behandla uppgifter trots sekretessplikten

Tillståndsmyndigheten har oberoende av sekretessplikten och andra begränsningar som gäller användningen av uppgifter rätt att från de personuppgiftsansvariga som avses i 6 § och från privata tillhandahållare av social- och hälsovårdstjänster samt från Folkpensionsanstalten av de uppgifter i Kanta-tjänsterna som avses i klientuppgiftslagen få de uppgifter som är nödvändiga för att Tillståndsmyndigheten ska kunna utföra sina uppdrag enligt denna lag, såsom

1) uppgifter som behövs för att ett dataanvändningstillstånd ska kunna beviljas,

2) uppgifter som avses i det beviljade dataanvändningstillståndet för insamling, samkörning och förbehandling enligt 14 § och för utlämnande till tillståndshavaren för behandling,

3) uppgifter för att bedöma om det är möjligt att anonymisera de uppgifter som avses i ansökan om dataanvändningstillstånd eller om det är möjligt att producera aggregerade statistiska uppgifter av de uppgifter som avses i 45 §,

4) uppgifter som behövs för produktion av aggregerade statistiska uppgifter, och

5) uppgifter som behövs för att sammanställa de färdiga datamaterial som avses i 14 § 5 mom.

De uppgifter som avses i 1 mom. kan lämnas ut till Tillståndsmyndigheten via den informationssäkra drifttjänst som avses i 17 §.

Tillståndsmyndigheten kan oberoende av sekretessplikten och andra begränsningar som gäller användningen av uppgifter via den informationssäkra drifttjänst som avses i 17 § plocka ut uppgifter enligt dataanvändningstillståndet ur uppgifter och datalager som innehas av de personuppgiftsansvariga som avses i 1 mom., om det är möjligt och ändamålsenligt med hänsyn till dessa uppgifters och datalagers innehåll och tekniska utförande.

Tillståndsmyndigheten är personuppgiftsansvarig på det sätt som avses i denna paragraf för de uppgifter den har erhållit.

Användning av uppgifter i form av aggregerade statistiska uppgifter
37 §
Utvecklings- och innovationsverksamhet

Tillståndsmyndigheten får trots skyldigheten att iaktta sekretess i enskilda fall med stöd av en begäran om information enligt 3 § 9 punkten producera aggregerade statistiska uppgifter som bygger på kunduppgifter och andra personuppgifter från organisationer som avses i 6 § för sådan utvecklings- och innovationsverksamhet som genomförs på annat sätt än som vetenskaplig forskning som avses i 38 §.

Uppgifterna enligt 1 mom. får lämnas i enlighet med 45 § förutsatt att avsikten med verksamheten, enligt begäran om information och den bifogade planen för användning av uppgifter, är att

1) främja folkhälsan och den sociala tryggheten,

2) utveckla social- och hälsovårdstjänsterna eller servicesystemet, eller

3) skydda individers hälsa eller välfärd eller garantera deras fri- och rättigheter i anknytning till dessa.

Uppgifter som lämnas ut med stöd av dataanvändningstillstånd
38 §
Dataanvändningstillstånd för vetenskaplig forskning och statistikföring

För vetenskaplig forskning och statistikföring får trots sekretessplikten i enskilda fall ges dataanvändningstillstånd för kunduppgifter och andra personuppgifter från organisationer som avses i 6 §.

Prövningen av om dataanvändningstillstånd ska beviljas eller inte ska utgå från att den vetenskapliga forskningens frihet tryggas.

Bestämmelser om behandling av uppgifter för vetenskaplig forskning och statistikföring finns dessutom i dataskyddslagen (1050/2018).

39 §
Undervisning

Kunduppgifter från en tillhandahållare av social- eller hälsovårdstjänster får trots sekretessplikten och med stöd av artikel 9.2 g i dataskyddsförordningen behandlas för att framställa undervisningsmaterial för undervisning av personal som behandlar kunduppgifter inom social- och hälsovården och av personer som studerar till en yrkesexamen inom social- och hälsovården, om det är nödvändigt för att syftet med undervisningen ska uppnås. En förutsättning för detta är dessutom att dataanvändningstillstånd enligt denna lag har beviljats för behandlingen.

Identifierbara uppgifter får dock användas i undervisningssituationer endast om undervisningen inte kan hållas anonym på grund av att fallet i fråga är sällsynt, på grund av undervisningens natur eller av något annat motsvarande skäl. Undervisningspersonalen ska informera dem som följer undervisningen om den lagstadgade sekretessplikten och om sanktionerna för brott mot den.

Den registrerade har inte i artikel 21 i dataskyddsförordningen avsedd rätt att göra invändningar mot behandling av personuppgifter om honom eller henne i undervisningssyfte, om behandlingen av uppgifter är nödvändig på grund av att fallet i fråga är sällsynt.

Tillståndshavaren ska förstöra ett separat material som samlats in för undervisningsändamål när det inte längre är nödvändigt för det ändamålet.

40 §
Myndighetens planerings- och utredningsuppgifter

Kunduppgifter som är nödvändiga för en myndighets planerings- och utredningsuppgifter samt andra personuppgifter från organisationer som avses i 6 § får behandlas med stöd av artikel 9.2 g i dataskyddsförordningen, om

1) för behandlingen har beviljats ett i denna lag avsett dataanvändningstillstånd,

2) behandlingen grundar sig på en ändamålsenlig plan för användning av uppgifter, och

3) planerings- och utredningsuppgiften eller det informationsbehov som är syftet med den kan inte förverkligas utan behandling av personuppgifter.

Behandling av uppgifter med stöd av lag utan dataanvändningstillstånd
41 §
Informationsledning

Tillhandahållare av social- eller hälsovårdstjänster har trots sekretessplikten och med stöd av artikel 9.2 h i dataskyddsförordningen rätt att på ett identifierbart sätt behandla och samköra kunduppgifter som har uppstått i tillhandahållarens egen verksamhet eller är införda i tillhandahållarens egna register, om detta är nödvändigt för att den serviceverksamhet som tjänstetillhandahållaren är ansvarig för ska kunna produceras, följas, utvärderas, planeras, utvecklas, ledas och övervakas.

Om en tjänstetillhandahållare för utvärdering, planering eller utveckling av serviceverksamhet som denna ansvarar för eller av servicekedjor behöver jämföra sin egen verksamhet med andra tjänstetillhandahållares verksamhet, kan Tillståndsmyndigheten producera behövligt jämförelsematerial i form av aggregerade statistiska uppgifter i enlighet med 45 § på grundval av en begäran om information enligt 3 § 9 punkten.

Utöver vad som föreskrivs i 1 och 2 mom. har kommuner och samkommuner rätt att för informationsledning på ett identifierbart sätt behandla och samköra också sådana kunduppgifter som lagrats i ett sådant gemensamt register som avses i 9 § 1 mom. i hälso- och sjukvårdslagen (1326/2010).

42 §
Myndighetsstyrning och myndighetstillsyn inom social- och hälsovården

Om en styrnings- och tillsynsmyndighet inom social- och hälsovården för utförande av sina lagstadgade styrnings- eller tillsynsuppgifter behöver samkörda uppgifter som är baserade på personuppgifter lagrade i register inom social- eller hälsovården eller på andra identifierbara registeruppgifter hos i 6 § avsedda personuppgiftsansvariga kan Tillståndsmyndigheten producera de behövliga aggregerade statistiska uppgifterna i enlighet med 45 § på grundval av en begäran om information enligt 3 § 9 punkten.

Sådana uppgifter enligt 1 mom. som en tillsynsmyndighet som avses i det momentet har rätt att få enligt någon annan lag trots sekretessplikten kan på motiverad begäran lämnas ut också som identifierbara.

De uppgifter som avses i 2 mom. kan lämnas ut till tillsynsmyndigheten via den informationssäkra drifttjänst som avses i 17 §.

5 kap

Behandling av ansökan om dataanvändningstillstånd, begäran om information och uppgifter som utlämnas

43 §
Allmänna grunder för beviljande av dataanvändningstillstånd

Ett dataanvändningstillstånd för personuppgifter får beviljas, om användningsändamålet för uppgifterna enligt ansökan och planen för användning av uppgifterna överensstämmer med dataskyddsförordningen, dataskyddslagen samt denna och någon annan lag som gäller uppgifterna i fråga och om användningsändamålet mest ändamålsenligt förverkligas genom användning av de i ansökan avsedda uppgifterna.

Om ansökan om dataanvändningstillstånd hänför sig till ett sådant användningsändamål för vilket det föreskrivs separat om tillståndsförfarandet och grunderna för beviljande av tillstånd, ska samtliga förutsättningar för tillståndet i fråga uppfyllas.

Om de uppgifter som lämnas ut har sammanställts med den registrerades samtycke, kan dataanvändningstillstånd för registeruppgifter som gäller den registrerade beviljas endast om det är förenligt med samtycket och med villkoren för användningen och utlämnandet av informationen. Om uppgifterna om ansökan om dataanvändningstillstånd hänför sig till ett användningsändamål som baserar sig på den registrerades samtycke, kan dataanvändningstillstånd beviljas endast för sådana uppgifter som omfattas av den registrerades samtycke.

Ett dataanvändningstillstånd kan beviljas för viss tid, om det är uppenbart att de intressen som sekretessen är avsedd att skydda inte kränks av att uppgifterna lämnas ut. Tillståndet ska utifrån riskerna förenas med krav på åtgärder till skydd för behandlingen av uppgifter samt andra föreskrifter som behövs för att skydda enskilda intressen. Ett tillstånd kan återkallas om det prövas föreligga skäl för återkallandet.

Om Tillståndsmyndigheten utifrån ansökan om dataanvändningstillstånd konstaterar att ärendet kan behandlas som en begäran om information enligt 45 § och inte som en tillståndsansökan, ska Tillståndsmyndigheten ta kontakt med den tillståndssökande och föreslå att ärendet behandlas som en begäran om information. Om den tillståndssökande kräver att ärendet behandlas som en tillståndsansökan, ska Tillståndsmyndigheten fatta beslut i ärendet.

44 §
Behörighet för behandling av dataanvändningstillstånd

Tillståndsmyndigheten svarar alltid för ett beslut om dataanvändningstillstånd, om ansökan om dataanvändningstillstånd gäller

1) uppgifter hos flera av de personuppgiftsansvariga som avses i 6 § 1–8 punkten,

2) uppgifter som registrerats i Kanta-tjänsterna, eller

3) registeruppgifter hos en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården.

Tillståndsmyndigheten svarar dessutom för beslut om dataanvändningstillstånd för Pensionsskyddscentralens, Befolkningsregistercentralens och Statistikcentralens uppgifter enligt 6 § 9–11 punkten, om de uppgifterna samkörs med de uppgifter som avses i 1 mom. 1–3 punkten.

Om en ansökan om dataanvändningstillstånd gäller uppgifter i personregister hos endast en av de organisationer som avses i 6 § 1–8 punkten, svarar organisationen själv för beslutet om dataanvändningstillstånd. Om organisationen emellertid i enlighet med 11 § 3 mom. har underrättat Tillståndsmyndigheten om att den avstår från att tillhandahålla andra tjänster än de som avses i 10 § 1 och 2 punkten, svarar Tillståndsmyndigheten för beslut om dataanvändningstillstånd för dess personuppgifter enligt denna lag.

Den myndighet som svarar för beslut om dataanvändningstillstånd har rätt att begära utlåtande från dataombudsmannen om en ansökan om dataanvändningstillstånd, om den beslutande myndigheten bedömer att det behövs.

45 §
Behandling av en begäran om information

Tillståndsmyndigheten beslutar om en begäran om information enligt 3 § 9 punkten överensstämmer med användningsändamålen enligt 2 § 1 mom. och övriga krav som ställs på en sådan begäran.

När den fattar sådana beslut ska Tillståndsmyndigheten, med stöd av artiklarna 9.2 g och 86 i dataskyddsförordningen och med beaktande av den i 8 § 4 mom. avsedda expertgruppens principiella riktlinjer, bedöma om det är möjligt att av de begärda registeruppgifterna utforma aggregerade statistiska uppgifter enligt begäran.

Om användningsändamålet för den information som begärs är forskning och begäran också gäller uppgifter som en statistikmyndighet samlat in för statistiska ändamål, ska förfarandet ske enligt 7 § och 51 § 4 mom.

46 §
Lämnande av ansökan om dataanvändningstillstånd och begäran om information till Tillståndsmyndigheten

Begäranden om information och ansökningar om dataanvändningstillstånd till Tillståndsmyndigheten ska lämnas via det system för hantering av begäranden om information som avses i 16 §. Om sökanden kompletterar sin ansökan, ska även kompletteringen lämnas till Tillståndsmyndigheten via hanteringssystemet för begäranden om information. Till en tillståndsansökan och en informationsbegäran om aggregerade statistiska uppgifter ska det fogas en plan för användning av uppgifterna.

Tillståndsmyndigheten meddelar föreskrifter om datainnehållet och datastrukturerna i ansökan om dataanvändningstillstånd, planen för användning av uppgifterna och begäran om information.

47 §
Tidsfrister för behandling av dataanvändningstillstånd

Beslut om ansökan om dataanvändningstillstånd ska meddelas utan dröjsmål, dock senast tre månader från det att tillståndsansökan har inkommit i fullständig form till myndigheten.

Tillståndsmyndigheten kan av vägande skäl besluta att behandlingstiden för en ansökan om dataanvändningstillstånd ska förlängas med högst tre månader, om behandlingen av ansökan och den anknytande planen för användning av uppgifterna förutsätter en exceptionellt omfattande behandling som omfattar flera olika personuppgiftsansvarigas uppgifter eller särskilt krävande prövning. Tillståndsmyndigheten ska underrätta den som ansöker om tillstånd om förlängning av tidsfristen och om grunden för förlängningen samt om den nya tidsfrist inom vilken tillståndsbeslutet meddelas.

Om den myndighet som svarar för beslutet om dataanvändningstillstånd begär ett utlåtande enligt 44 § 4 mom. från dataombudsmannen, avbryts den ansvariga myndighetens tidsfrist för behandling av ansökan tills utlåtandet har kommit in.

En personuppgiftsansvarig som avses i 6 § och en privat tillhandahållare av social- eller hälsovårdstjänster ska utan dröjsmål lämna Tillståndsmyndigheten de uppgifter som behövs för behandlingen av en ansökan om dataanvändningstillstånd eller av en sådan informationsbegäran om aggregerade statistiska uppgifter som avses i 45 §, dock senast 15 vardagar från det att begäran inkom.

48 §
Tidsfrister för utlämnande av uppgifter

En personuppgiftsansvarig som avses i 6 § och en privat tillhandahållare av social- eller hälsovårdstjänster ska på begäran av Tillståndsmyndigheten utan dröjsmål lämna ut registeruppgifter enligt ett beviljat dataanvändningstillstånd eller uppgifter som behövs för behandlingen av en sådan begäran om aggregerade statistiska uppgifter som avses i 45 §, dock senast 30 vardagar från det att Tillståndsmyndigheten har fattat beslut om att uppgifterna får lämnas ut till sökanden. Om den utredning som den sökande anfört till stöd för utlämnande av uppgifter är otillräcklig, ska Tillståndsmyndigheten utan dröjsmål underrätta sökanden om vilka tilläggsutredningar som krävs. De begärda uppgifterna ska då lämnas till sökanden inom 30 vardagar från det att tilläggsutredningen togs emot, om säkerhet om förutsättningarna för utlämnandet kan nås med stöd av den inlämnade tilläggsutredningen.

Om uppgifterna inte kan lämnas ut till Tillståndsmyndigheten inom den tid som avses i 1 mom., ska den personuppgiftsansvarige före tidsfristens utgång informera om dröjsmålet, om orsaken till dröjsmålet och om den förlängning av tidsfristen som behövs för utlämnande av uppgifter. Tillståndsmyndigheten ska av grundad anledning ställa en ny tidsfrist för utlämnandet.

Tillståndsmyndigheten ska lämna ut de uppgifter som den med stöd av ett dataanvändningstillstånd samlat in och samkört till tillståndshavaren utan dröjsmål, dock senast 60 vardagar från det att tillståndet beviljades.

Tillståndsmyndigheten kan av vägande skäl förlänga tidsfristen för utlämnandet, om uppgifternas användningsändamål förutsätter en exceptionellt omfattande behandling som berör uppgifter hos flera olika personuppgiftsansvariga eller en särskilt krävande samkörning. Tillståndsmyndigheten ska informera tillståndshavaren om förlängningen av tidsfristen och om grunden för förlängningen samt om den nya tidsfrist inom vilken uppgifterna lämnas ut.

49 §
Avgift för dataanvändningstillstånd och för beslut om begäran om information

Tillståndsmyndigheten eller någon annan myndighet som beviljat tillstånd får ta ut en avgift för ett dataanvändningstillstånd och för ett beslut som gäller en begäran om information. Bestämmelser om grunderna för fastställande av avgifter finns i lagen om grunder för avgifter till staten (150/1992).

50 §
Ersättningar för tjänster

Tillståndsmyndigheten får ta ut ersättning för urval, tillhandahållande, samkörning, förbehandling, pseudonymisering och anonymisering av uppgifter enligt ett dataanvändningstillstånd som avses i denna lag samt för användning av en informationssäker driftmiljö.

Ersättningar som gäller uppgifter som med stöd av dataanvändningstillstånd plockas ut och tillhandahålls från andra datalager än Tillståndsmyndighetens egna bestäms i enlighet med vad som föreskrivs om varje personuppgiftsansvarig som tillhandahållit uppgifterna. Den personuppgiftsansvarige eller det personuppgiftsbiträde som lämnar ut uppgifter till Tillståndsmyndigheten med stöd av ett dataanvändningstillstånd enligt denna lag har rätt att av myndigheten som ersättning få en på föreskrivet sätt bestämd andel av de kostnadsersättningar som påförts tillståndshavaren.

Den som har rätt till ersättning i enlighet med denna paragraf ska på begäran tillhandahålla Tillståndsmyndigheten en uppskattning av vilka kostnader den som har rätt till ersättning för behandlingen av uppgifter orsakas. Tillståndsmyndigheten gör utifrån de uppgifter den erhållit upp ett kostnadsförslag för tillmötesgående av en begäran om information och lämnar den till den som ansöker om tillstånd. Tillståndsmyndigheten tar ut de ersättningar som avses i 2 mom. hos tillståndshavaren och betalar dem till de personuppgiftsansvariga som lämnat uppgifter.

Bestämmelser om grunderna för bestämmande av ersättningar till Tillståndsmyndigheten finns i lagen om grunderna för avgifter till staten. Bestämmelser om avgifter som bedömningsorgan för informationssäkerhet tar ut för bedömningar finns i 11 § i lagen om bedömningsorgan för informationssäkerhet.

Registrering och införande av en i 30 § 1 mom. i denna lag avsedd anmälan i ett offentligt register hos Tillstånds- och tillsynsverket för social- och hälsovården är avgiftsbelagd.

51 §
Behandling och utlämnande av datamaterial till tillståndshavaren sedan dataanvändningstillstånd beviljats

Om Tillståndsmyndigheten har beviljat dataanvändningstillstånd i en situation där detta förutsätts enligt 44 §, ska den samla in och vid behov samköra samt pseudonymisera eller anonymisera de uppgifter som specificeras i dataanvändningstillståndet samt lämna ut datamaterialet till tillståndshavaren för behandling enligt 3 mom. i denna paragraf.

Om en enskild personuppgiftsansvarig som avses i 44 § 3 mom. har fattat ett beslut om dataanvändningstillstånd i fråga om uppgifter i dess egna register, ska den samla in uppgifterna ur registren, vid behov samköra, förbehandla och pseudonymisera dem och överlämna datamaterialet till tillståndshavaren för behandling i enlighet med 3 mom. i denna paragraf. Om datamaterialet ändå överlämnas till tillståndshavaren i anonymiserad form, ska den personuppgiftsansvarige ge in tillståndsbeslutet samt uppgifterna enligt tillståndet till Tillståndsmyndigheten, vid behov för samkörning och förbehandling samt anonymisering. Tillståndsmyndigheten svarar alltid för anonymiseringen av uppgifter som lämnas ut för behandling och för att de lämnas ut till tillståndshavaren för behandling.

Utlämning av datamaterial enligt ett dataanvändningstillstånd för behandling av tillståndshavaren ska alltid ske i en sådan informationssäker driftmiljö som avses i 20 § via en sådan informationssäker drifttjänst som avses i 17 §, såvida det inte har bildats aggregerade statistiska uppgifter av datamaterialet. Det datamaterial som avses i 1 och 2 mom. i denna paragraf ska i första hand lämnas ut för att behandlas i den informationssäkra driftmiljö som avses i 20 § 1 mom. och som Tillståndsmyndigheten förvaltar. Om det emellertid av ett särskilt skäl som framgår av planen för användning av uppgifterna eller dataanvändningstillståndet är viktigt kan datamaterialet lämnas ut för behandling på motsvarande sätt i en annan informationssäker driftmiljö som avses 20 § 3 mom.

Om användningsändamålet kräver uppgifter som Statistikcentralen eller Institutet för hälsa och välfärd i egenskap av statistikmyndighet samlat in för statistiska ändamål, samkör statistikmyndigheten i fråga och vid behov förbehandlar och pseudonymiserar eller anonymiserar de uppgifter som ska lämnas ut. Om användningsändamålet kräver uppgifter av båda statistikmyndigheterna, ska de sinsemellan komma överens om vilken myndighet som samkör och pseudonymiserar eller anonymiserar uppgifterna. Uppgifterna kan därefter, beroende på art och omfattning, lämnas ut via den informationssäkra drifttjänst som avses i 17 § till tillståndshavaren för behandling i en informationssäker driftmiljö som förvaltas av Statistikcentralen eller Tillståndsmyndigheten eller i någon annan driftmiljö enligt 20 §.

Leverantören av en driftmiljö ska innan en anslutning till tillståndshavaren öppnas säkerställa att tillståndshavaren uppfyller kraven i dataanvändningstillståndet.

52 §
Publicering av resultat baserade på uppgifter utlämnade med stöd av ett dataanvändningstillstånd

När uppgifter lämnats ut med stöd av ett dataanvändningstillstånd för behandling i en sådan informationssäker driftmiljö som avses i 20 § och någon vill publicera resultatet utifrån uppgifterna ska Tillståndsmyndigheten försäkra sig om att de uppgifter som publiceras är anonymiserade. Myndigheten kan emellertid av grundad anledning i tillståndsbeslutet bevilja tillståndshavaren rätt att själv anonymisera de uppgifter som ska publiceras, förutsatt att uppgifterna ges in till myndigheten i efterhand.

Tillståndsmyndigheten producerar anonymiserade resultat och överlämnar dem till tillståndshavaren som får publicera dem fritt enligt sin begäran och de bifogade förslagen oberoende av om dataanvändningstillståndet beviljats av en enskild personuppgiftsansvarig eller Tillståndsmyndigheten.

53 §
Redogörelseskyldighet för myndigheter som ansvarar för behandlingen av dataanvändningstillstånd

Myndigheter som ansvarar för behandlingen av dataanvändningstillstånd ska minst en gång om året lämna dataombudsmannen en detaljerad redogörelse för behandlingen av uppgifter med stöd av denna lag och för behandlingen av uppgifter som registrerats i loggregistret.

54 §
Sekretessplikt

Även på andra uppgifter som erhållits med stöd av denna lag än uppgifter från myndigheter tillämpas offentlighetslagens

1) 22 § om handlingssekretess,

2) 23 § om tystnadsplikt och förbud mot utnyttjande,

3) 24 § om sekretessbelagda uppgifter,

4) 31 § om upphörande av sekretess i fråga om en handling,

5) 32 § om undantag i fråga om och upphörande av tystnadsplikt.

Om sekretessbelagda uppgifter med stöd av denna lag lämnas ut till någon annan än en myndighet, ska mottagaren i samband med utlämnandet informeras om sekretessplikten så som föreskrivs i 25 § i offentlighetslagen.

Trots vad som någon annanstans i lag föreskrivs om rätten eller skyldigheten att lämna ut sekretessbelagda uppgifter, får uppgifter som samlats in med stöd av denna lag inte lämnas ut för administrativt beslutsfattande eller någon annan motsvarande behandling av ärenden som gäller en enskild person utan hans eller hennes uttryckliga samtycke. En tillsynsmyndighet inom social- och hälsovården får dock i en tillsynsuppgift som gäller någon annan än den registrerade använda uppgifter som den erhållit med stöd av 42 §, när lagenligheten eller den professionella lämpligheten bedöms i verksamhet som bedrivs av verksamhetsenheter eller yrkesutbildade personer inom social- och hälsovården.

6 kap

Särskilda bestämmelser

55 §
Rättigheter, skyldigheter och åtgärder på grund av betydande kliniska fynd

Trots vad som föreskrivs i 54 § 3 mom. har en innehavare av dataanvändningstillstånd rätt att till den ansvariga person som Tillståndsmyndigheten utsett anmäla betydande kliniska fynd på grundval av vilka hälsorisker för en viss patient kan förebyggas eller vårdens kvalitet betydligt förbättras.

Om de uppgifter som är grunden för den anmälan som avses i 1 mom. är pseudonymiserade, ska den ansvariga personen utreda vem eller vilka informationen gäller. När Tillståndsmyndighetens ansvariga person känner till vilken eller vilka personer som en anmälan enligt 1 mom. gäller, ska den ansvariga personen utan obefogat dröjsmål lämna uppgifterna till en expert som utsetts av Institutet för hälsa och välfärd.

Den expert som avses i 2 mom. ska i samarbete med övriga experter som utsetts av institutet bedöma betydelsen av informationen och den förväntade nyttan med de åtgärder som kan vidtas med stöd av den. Om nyttan bedöms vara så uppenbar att det skulle vara viktigt att den som ska undersökas får vård, ska den expert vid Institutet för hälsa och välfärd som avses i 2 mom. anmäla fyndet till den verksamhetsenhet som med stöd av hälso- och sjukvårdslagen är regionalt ansvarig för den aktuella personens hälso- och sjukvård.

Den verksamhetsenhet som avses i 3 mom. ska kontakta patienten och klarlägga om han eller hon vill ha information om det betydande kliniska fyndet och de undersöknings- och vårdåtgärder som eventuellt ska vidtas på grundval av det samt om den förväntade nyttan med åtgärderna.

Patienten har rätt att förbjuda kontakt som tas på basis av ett kliniskt betydande fynd. Förbudet antecknas i patientens informationshanteringstjänst som avses i 14 a § i klientuppgiftslagen. Patienten kan meddela förbudet skriftligt hos en valfri verksamhetsenhet som producerar offentlig hälso- och sjukvård eller elektroniskt via det medborgargränssnitt som avses i 19 § i klientuppgiftslagen.

56 §
Styrning, övervakning och uppföljning

För den allmänna planeringen, styrningen och övervakningen av behandling av kunduppgifter enligt denna lag och av anknytande informationsförvaltning svarar social- och hälsovårdsministeriet.

Dataombudsmannen, Tillstånds- och tillsynsverket för social- och hälsovården samt Tillståndsmyndigheten styr och övervakar inom sitt verksamhetsområde i enlighet med sin behörighet efterlevnaden av denna lag.

Tillståndsmyndigheten och övriga myndigheter som beviljar dataanvändningstillstånd i enlighet med denna lag samt Tillstånds- och tillsynsverket för social- och hälsovården ska för sin del följa och övervaka att det dataskydd och den datasäkerhet som hänför sig till deras tjänster förverkligas och att villkoren i tillstånd som de beviljat iakttas. Om någon har behandlat personuppgifter i strid med lag, ska den behöriga myndigheten på eget initiativ vidta behövliga åtgärder. Om uppgifter med stöd av 20 § 3 mom. behandlas i någon annan driftmiljö än Tillståndsmyndighetens informationssäkra driftmiljö, ska logguppgifterna enligt 19 § och uppgifterna i ett användarregister enligt 22 § 2 mom. på Tillståndsmyndighetens begäran lämnas till den utan obefogat dröjsmål för förverkligande av uppföljningen och övervakningen.

Om Tillståndsmyndigheten eller en myndighet som beviljar dataanvändningstillstånd i enlighet med denna lag har grundad anledning att misstänka att den som behandlar uppgifter med stöd av ett dataanvändningstillstånd från myndigheten inte behandlar personuppgifter i enlighet med lag, ska myndigheten underrätta dataombudsmannen om saken snarast möjligt.

57 §
Tillståndsmyndighetens skyldighet att rapportera till styrgruppen

Tillståndsmyndigheten ska rapportera till styrgruppen om avvikelser från de tidsfrister som avses i 47 och 48 § och publicera uppgifter om dem.

58 §
Överklagande

I ett beslut enligt denna lag som Tillståndsmyndigheten eller en personuppgiftsansvarig som avses i 6 § meddelat om en begäran om information enligt 45 § samt om en ansökan om dataanvändningstillstånd eller återkallelse av tillstånd samt i ett beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med stöd av denna lag får omprövning begäras på det sätt som anges i förvaltningslagen hos den myndighet som fattat beslutet.

I ett beslut som har fattats med anledning av en begäran om omprövning får ändring sökas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). Förvaltningsdomstolens beslut får överklagas genom besvär bara om högsta förvaltningsdomstolen beviljar besvärstillstånd.

59 §
Ikraftträdande

Denna lag träder i kraft den 1 maj 2019.

60 §
Övergångsbestämmelser

Bestämmelserna om logguppgifter i 19 § och om kraven på informationssäkra driftmiljöer i 20 § 3 mom. och 21–34 § samt om kliniska fynd i 55 § tillämpas från och med den 1 maj 2021. Före denna tidpunkt får uppgifter lämnas ut för behandling till tillståndstagaren med stöd av 51 § 1 och 2 mom., även om det i ansökan om dataanvändningstillstånd inte anvisas en i 51 § 3 mom. avsedd informationssäker driftmiljö för behandlingen av uppgifter.

Tidsfristerna för utlämnande av uppgifter enligt 47 § 4 mom. och 48 § tillämpas på Folkpensionsanstalten och serviceanordnare inom socialvården från och med den 1 januari 2024 samt på uppgifter om recept och anknytande receptexpedieringar som registrerats i det receptcenter som avses i 3 § 4 punkten och i det receptarkiv som avses i 3 § 5 punkten i lagen om elektroniska recept från och med den 1 januari 2021.

Denna lag tillämpas på de Kanta-tjänster som avses i klientuppgiftslagen från och med den 1 januari 2021.

Uppgifter som före lagens ikraftträdande samlats in med den berördas samtycke får i enlighet med denna lag användas och lämnas ut för användningsändamål enligt 2 § 1 mom. 1, 2 och 7 punkten trots vad som föreskrivs i 43 § 3 mom., om det är uppenbart att användningen och utlämnandet inte avviker från de syften för vilka uppgifterna har lämnats. Den myndighet som fattar beslut om dataanvändningstillståndet kan förutsätta att den som ansöker om tillstånd, till grund för tillståndsbeslutet ska be om en etisk bedömning av den etiska kommittén vid Institutet för hälsa och välfärd.

Behandlingen av en ansökan som har gjorts innan denna lag trätt i kraft slutförs i enlighet med de bestämmelser som gällde vid ikraftträdandet. På en ansökan som gäller utlämnande av personuppgifter enligt 4 § i lagen om riksomfattande personregister för hälsovården (556/1989) tillämpas dock inte skyldigheten enligt 1 mom. i den paragrafen att ge dataombudsmannen möjlighet att bli hörd, utan rätten enligt 44 § 4 mom. i denna lag att begära utlåtande från dataombudsmannen om en ansökan om dataanvändningstillstånd.

Bestämmelserna om en rådgivningstjänst i 13 § i denna lag ska tillämpas från och med den 1 november 2019.

Bestämmelserna om behandling av begäranden om aggregerade statistiska uppgifter i 41 § 2 mom., 42 § 1 mom. och 45 § i denna lag ska tillämpas från och med den 1 januari 2020.

Bestämmelserna om en tjänst för insamling, samkörning och förbehandling av uppgifter och om pseudonymisering och anonymisering av uppgifter i 14 § 1 och 2 mom., om ett hanteringssystem för begäranden om information i 16 § och om en informationssäker driftmiljö i 20 § 1 mom. tillämpas från och med den 1 januari 2020.

Behörighet för behandling av dataanvändningstillstånd bestäms i enlighet med 44 § 1–3 mom. i denna lag från och med den 1 april 2020. Ansökan om dataanvändningstillstånd och begäran om information ska via det i 16 § avsedda hanteringssystemet för begäranden om information lämnas till Tillståndsmyndigheten från och med den 1 april 2020.

RP 159/2017, ShUB 37/2018, RSv 303/2018

Finlex ® är en offentlig och gratis internettjänst för rättsligt material som ägs av justitieministeriet.
Innehållet i Finlex produceras och upprätthålls av Edita Publishing Ab. Varken justitieministeriet eller Edita svarar för eventuella fel i innehållet i databaserna, för den omedelbara eller medelbara skada som orsakas av att felaktig information används eller för avbrott i användningen av eller andra störningar i Internet.