Lain valmistelusta vastannut neuvotteleva virkamies Joni Komulainen esitteli lain sisällön, soveltamisalan sekä lain tarjoamat mahdollisuudet info-tilaisuudessa 10.5.2019.
Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (toisiolaki)
1. LAKI SOSIAALI- JA TERVEYSTIETOJEN
TOISSIJAISESTA KÄYTÖSTÄ
- KESKEISET MUUTOKSET SOSIAALI- JA
TERVEYSVALIOKUNNAN KÄSITTELYN JÄLKEEN
Neuvotteleva virkamies, OTK Joni Komulainen
3. Laki sosiaali- ja terveysalan
tutkimus- ja
kehittämiskeskuksen (Stakes)
tilastotoimesta
Muita muuttuvia lakeja:
Henkilötietolaki, Julkisuuslaki, Biopankkilaki, Tartuntatautilaki,
Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista,
Laki kuolemansyyn selvittämisestä,
Laki sähköisestä lääkemääräyksestä
Laki terveydenhuollon
valtakunnallisista
henkilörekistereistä
Laki sosiaali- ja terveystietojen
Toissijaisesta käytöstä
Uusittu laki Terveyden- ja
hyvinvoinninlaitoksesta
Tietosuoja-asetusLaki sosiaali- ja terveydenhuollon
asiakastietojen sähköisestä
käsittelystä, Asiakastietolaki
Sosiaali- ja
terveydenhuollon
järjestämislaki
Korvattavat lait: Uudet lait:
Muuttuvat ja vaikuttavat säädökset:
KORVATUT, UUDET JA MUUTTUNEET
SÄÄDÖKSET
Laki Terveyden ja hyvinvoinnin laitoksesta
Kliinisiä lääketutkimuksia koskeva
asetus
EU:
3
4. LAIN TAVOITE 1 §
Mahdollistaa
1. sosiaali- ja terveydenhuollon toiminnassa sekä
2. sosiaali- ja terveysalan ohjaus-, valvonta-, tutkimus- ja
tilastotarkoituksessa tallennettujen henkilötietojen tehokas ja
tietoturvallinen käsittely,
3. sekä niiden yhdistäminen Kansaneläkelaitoksen,
Väestörekisterikeskuksen, Tilastokeskuksen ja
Eläketurvakeskuksen henkilötietoihin.
4. Turvata yksilön luottamuksensuoja sekä oikeudet ja vapaudet
henkilötietoja käsiteltäessä.
Joni Komulainen16.5.20194
5. SOVELTAMISALA 2 §
Henkilötietoja käsitellään seuraaviin käyttötarkoituksiin, vaikka niitä ei olisi alun
perin tallennettu mainitussa tarkoituksessa:
1) tilastointi;
2) tieteellinen tutkimus;
3) kehittämis- ja innovaatiotoiminta;
4) opetus;
5) tietojohtaminen;
6) sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta; sekä
7) viranomaisen suunnittelu- ja selvitystehtävä.
Joni Komulainen16.5.20195
6. PALVELUISTA VASTAAVAT VIRANOMAISET JA
ORGANISAATIOT SEKÄ
TIETOAINEISTORAJAUKSET 6 §
Sosiaali- ja terveysalan tietolupaviranomainen sekä seuraavat viranomaiset ja
organisaatiot:
1) sosiaali- ja terveysministeriö;
2) Terveyden ja hyvinvoinnin laitos lukuun ottamatta sen tilastoviranomaisena
tilastotarkoituksiin keräämiä tietoja;
3) Kansaneläkelaitos siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan
etuuskäsittelyn asiakassuhteessa tallennettuja henkilötietoja sekä sähköisestä
lääkemääräyksestä annetun lain (61/2007) 3 §:n 1 momentin 4 kohdassa
tarkoitettuun reseptikeskukseen ja 5 kohdassa tarkoitettuun reseptiarkistoon
tallennettuja tietoja lääkemääräyksistä ja niihin liittyvistä toimitustiedoista;
4) Sosiaali- ja terveysalan lupa- ja valvontavirasto;
5) aluehallintovirastot siltä osin kuin ne käsittelevät sosiaali- ja terveydenhuoltoon
liittyviä asioita;
Joni Komulainen16.5.20196
7. PALVELUISTA VASTAAVAT VIRANOMAISET JA
ORGANISAATIOT SEKÄ
TIETOAINEISTORAJAUKSET 6 §
Sosiaali- ja terveysalan tietolupaviranomainen sekä seuraavilla viranomaisilla ja organisaatioilla:
6) Työterveyslaitos siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan tietoja
työperäisten sairauksien ja altistumismittausten rekistereistä sekä laitoksen potilasrekistereistä;
7) Lääkealan turvallisuus- ja kehittämiskeskus;
8) sosiaali- ja terveydenhuollon julkiset palvelunjärjestäjät;
9) Tilastokeskus siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan kuolemansyyn
selvittämisestä annetussa laissa (459/1973) tarkoitettuja tietoja;
10) Eläketurvakeskus siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan
Eläketurvakeskuksen rekistereihin sisältyviä välttämättömiä henkilötietoja, jotka koskevat
työeläketurvan toimeenpanossa tallennettuja vakuutettujen työ- ja ansiotietoja sekä myönnettyjä
etuuksia ja niiden perusteita mukaan lukien työkyvyttömyyseläkkeiden diagnoosit; sekä
11) Väestörekisterikeskus siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan henkilöiden
perustietoja, henkilöiden perhesuhteita ja asuinpaikkoja koskevia tietoja sekä rakennustietoja
väestötietojärjestelmästä.
Joni Komulainen16.5.20197
8. BIO- JA
GEENI-
PANKIT
KANTA JA
OMAKANTA
TUTKI-
MUS
KEHIT-
TÄMI-
NEN JA
INNO-
VAATIOT
OPE-
TUS
OH-
JAUS
JA VAL-
VONTA
SUUN-
NITTELU
SELVITY
S
KANS.
TH:N
REKIS-
TERIT
SOTE-
TILASTO-
AINEIS-
TOT
SOS.-
EKON.
TIEDOT
TIETOPYYNNÖT:
LUVAT, EETTINEN
ENNAKKOARVIOINTI,
TIETOSUOJA
TIETOJEN SAANTI:
TIETOAINEISTOJEN
KOONTI, YHDISTELY,
LUOVUTUS, SUOJAUS
TIETO-
JOHTA-
MINEN
LUPAVIRANOMAINEN (THL:N YHTEYDESSÄ) JA
PALVELUOPERAATTORI
SOSIAALI - JA TERVEYDENHUOLLON OPERATIIVISET JÄRJESTELMÄT
Aineiston
käyttö
Aineiston käsittely
Aineisto
Malmikasasta kansalliseksi aarteeksi -
Sosiaali- ja terveystietojen toissijainen käyttö
Joni Komulainen8
TILAS-
TOT
9. Joni Komulainen9
NYT
Käyttö
tieteelliseen
tutkimukseen ja
tilastointiin
Pitkäkestoinen
prosessi
Kuultava
tietosuoja-
valtuutettua
Lupaviranomainen antaa luvan rekistereiden käytölle ja vastaa
palvelusta: aineiston hallinta, yhdistely ja luovutus
Lupa kysyttävä
erikseen
rekisterinpitäjiltä
Aineistoa käsitellään tietoturvallisessa käyttöympäristössä
Rekisterinpitäjät neuvovat tietojen käytössä
Lupaprosessista häviää useamman rekisterin yhdistämiseen
tarvittavat luvat virtaviivaisempi ja yksinkertaisempi prosessi
EU:n tietosuoja-asetuksen mukainen
Aineiston käyttö laajenee: tieteellinen tutkimus ja tilastointi,
kehittäminen, innovaatiot, opetus ja tietojohtaminen
Lupaviranomainen vastaa kootun aineiston tietosuoja-
lainsäädännön mukaisesta käsittelystä
Sähköinen lupaportaali, johon kuvataan aineistot (metatiedot;
mitä, mihin käyttöön, missä) ja jossa on lupahakemukset
liitevaatimuksineen. nykyinen eettinen käsittely osaksi
JÄLKEEN
LISÄKSI
10.
11. YLEISET VAIKUTUKSET
• Uusi keskitetty lupaviranomainen ja tietoturvallinen
ympäristö -> nopeuttaa tietojen saamista, mahdollistaa
laajemmat käyttötarkoitukset
• Tietojen yhdistely ja yksilöllinen käyttö - > tehokkaat hoidot ja
uudet lääkkeet esim. riskiryhmille
• Mahdollisuudet tutkimukseen ja tuotekehitykseen paranevat ->
uutta liiketoimintaa, tuotteita ja palveluja
Etunimi Sukunimi
12. HYÖDYT SOSIAALI- JA TERVEYSPALVELUIDEN
JÄRJESTÄJILLE
• Palveluntuottajien tietoja voi hyödyntää reaaliaikaisesti
tietojohtamisessa
-> helpottaa palveluiden toimivuuden ja vaikuttavuuden
seurantaa, kehittämistä ja vertailua
• Uusia palveluinnovaatioita syntyy helpommin -> kehittää
palvelujärjestelmää asiakaslähtöisempään suuntaan ja luo
pohjaa yksilöllisempään hoito- ja palvelukulttuuriin
• sote-tietojen yhdistely ja tietopohjan laajentaminen auttaa
kehittämään parempia ja tehokkaampia palveluja sekä asiakkaan
kannalta toimivia sote-palvelukokonaisuuksia (esim. sote-
palveluja paljon käyttäville)
16.5.201912 Etunimi Sukunimi
13. 16.5.2019 Joni Komulainen
HYÖDYT KANSALAISILLE
• enemmän tutkimustietoa -> toimivampia palveluita ja tehokkaampia
lääkkeitä
• parempaa hoitoa ja hoivaa, kun tiedot ovat helpommin toimijoiden
käytettävissä
• vaikuttavammat sote-palvelut
• tietoja käsitellään tietoturvallisessa ympäristössä, jolloin ne eivät
joudu vahingossa vääriin käsiin
14. HYÖDYT TUTKIJOILLE
• Aggregoidut tilastomuotoiset tiedot saisi ilman käyttölupia
tietopyynnöllä
• sote-asiakastietoja sisältävien rekisterien käyttöluvista päättäisi
jatkossa yksi viranomainen
• laaja aineisto on helpommin saatavilla
• vähemmän odottelua ja hallinnollisia vaiheita tietojen saamisessa
• valmiiksi koottu ja homogenoitu aineisto
• tutkimuksen ja osaamisen vahvistaminen
16.5.201914 Joni Komulainen
15. 16.5.2019
HYÖDYT YRITYKSILLE
• enemmän tutkimustietoa
• laajempi aineisto helpommin saatavilla yhdeltä
luukulta
• paremmat innovaatiomahdollisuudet
• uusia sovellusalueita
• paremmat palveluiden ja liiketoimintaympäristön
kehitysedellytykset
• paremmat tuotekehitysmahdollisuudet
• helpottaa sosiaali- ja terveyspalveluyritysten
toimintaa
16. KESKEISET MÄÄRITELMÄT
Huom! HE:n termi käyttölupa muutettu termiksi TIETOLUPA
• tietolupa lupa käsitellä määriteltyjä salassa pidettäviä henkilötietoja
tai niistä johdettuja tietoja luvassa mainittuun käyttötarkoitukseen
• tietopyyntö pyyntö saada tämän lain mukaiseen käyttötarkoitukseen
henkilötiedoista muodostettua aggregoitua tilastotietoa (ei
tunnistamisriskiä)
• tietoturvallinen käyttöympäristö tietojärjestelmä ja fyysinen tila,
jossa tietoja käsitellään, joissa tietoturvallisuus on asianmukaisesti
varmistettu
• tiedonhyödyntämissuunnitelma tutkimus-, hanke-, tms.
suunnitelma, josta ilmenevät tietojen käyttötarkoitus, rekisterinpitäjä
ja käsittelijät, käsittelyn oikeudellinen peruste sekä tietosuojaan ja
tietoturvaan liittyvät olennaiset seikat
16.5.201916
17. KESKEISET MÄÄRITELMÄT
• aggregoitu tilastotieto tilastomuotoista, luotettavasti
anonymisoitua tietoa
vrt. anonymisoitu tieto, johon sisältyy jäännösriski
16.5.201917
18. STV KÄSITTELYSSÄ TAPAHTUNEET MUUTOKSET
POHJAUTUVAT:
• Perustuslakivaliokunnan lausuntoon
• StV:n saamiin asiantuntijalausuntoihin
• Kansanedustajien valiokuntakäsittelyssä
esittämiin huomioihin ja kysymyksiin
• Erityisesti anonymisoitujen tietojen käsittelyn
sekä tietosuojan ja tietoturvan osalta STM:n
kutsumien korkean tason asiantuntijoiden
esittämiin ratkaisuihin.
Joni Komulainen18
19. SÄÄNNÖSMUUTOKSET KOHDISTUIVAT
KESKEISIMMIN SEURAAVIIN SEIKKOIHIN:
• Miten ehdotetun toisiolain nojalla käsiteltävien henkilötietojen
tietoturva ja tietosuoja voidaan varmistaa.
• Erityisesti varmistuksen tarve koski:
- anonymisoitujen tietoaineistojen muodostamista ja
käsittelyä sekä
- vapaasti luovutettavia tietoja ja julkaistavia tuloksia.
• Keskeisenä syynä varmistusten tarpeeseen on nopeasti
kehittyvä, oppiva tekoäly sekä tietojenkäsittelylaitteiden
voimakkaasti kasvavat laskentatehot
Joni Komulainen19
20. TIETOJEN ANONYMISOINTI JA
ANONYMISOITUJEN TIETOJEN KÄSITTELY
• Ministeriö esitti, että Anonymisointitehtävä keskitetään
Tietolupaviranomaiselle, koska
• vallitsevassa ja kehittyvässä toimintaympäristössä anonymisointi
vaatii erityistä tietotaitoa.
• jos samoja tietoaineistoja anonymisoidaan eri tavoin eri yhteyksissä,
on niistä erityisesti oppivan teköälyn avulla yhdistelemällä mahdollista
myös pahantahtoisin tarkoituksin tunnistaa yksittäisiä henkilöitä ja
heihin liittyviä ominaisuuksia tai tapahtumia.
• =>
• Uutta tietoaineistoa anonymisoivalla viranomaisella oltava tieto, mitä
muita anonymisoituja tietoaineistoja samasta aineistosta on tuotettu
tai tuotetaan, ja miten niiden anonymisointi on toteutettu. (Vrt. isot
yliopistosairaalat, Biopankit, kuntayhtymät…)
• Tarvittaessa oikeutta käsitellä anonymisoitua tietoa tietoturvallisessa
käyttöympäristössäkin on rajoitettava anonymiteetin varmistamiseksi,
esim. rajaamalla kyselyiden määrää.
Joni Komulainen20
21. LAKISÄÄTEINEN ASIANTUNTIJARYHMÄ
ANONYMISOINNIN PERIAATELINJAUKSISTA
PÄÄTTÄMÄÄN
• Lausunnoissa esitettiin Tietolupaviranomaiselle keskitettäväksi
anonymisointitehtävä, joka edellyttää merkittävää ajantasaista
asiantuntemusta. Sitä ei kerry riittävästi nopeasti kehittyvässä
toimintaympäristössä yksittäiselle viranomaiselle arkitoiminnassa.
• Asiantuntijalausuntojen sekä STM:n kokoaman
asiantuntijaryhmän mukaan Tietolupaviranomaiselle oli
välttämätöntä nimittää korkean tason asiantuntijaryhmä
laatimaan kulloisenkin parhaan tieteellisen tiedon pohjalta
anonymisointia varten periaatelinjaukset.
• Uusi 8 §:n 4 momentti
Joni Komulainen21
22. PERIAATTEET ANONYMITEETIN
VARMISTAMISEKSI
PeVin vaatimuksen perusteella lisätyt
• Anonymisointi keskitetty lupaviranomaiselle, jolla paras
asiantuntijaryhmä tukena
• Tietopyyntö-prosessi aggregoidulle tilastotiedolle
• Julkaistavan tulostiedon anonymiteetin varmistus-prosessi
HEn aikaisemmat keskeiset keinot
• Tietolupa-prosessi henkilötiedoille
• Tietoturvallinen käyttöympäristö ja tietoturvalliset yhteydet (luovat
edellytykset joustavalle keskitetylle anonymisoinnille)
16.5.2019 Etunimi Sukunimi22
23. MUUTOKSIA SÄÄDÖSTASOLLA:
• Edellä esitetyistä syistä HE:n mukainen, anonymisoituja tietoja
koskeva 45 § on kokonaan muutettu. Uusi otsikko on
Tietopyynnön käsittely.
• 45 § koskee vain aggregoidussa tilastomuodossa luovutettavia
tietoja, joista päättää ja jotka tuottaa aina Tietolupaviranomainen
taikka, jos se pohjautuisi tilastoviranomaisen tietoihin, ao.
tilastoviranomainen.
• Aggregoitu tilastomuoto turvaa rekisteröityjen anonymiteetin niin,
ettei tilastotietoja yhdistelemälläkään voida päätellä yksittäisiä
rekisteröityjä tai heihin liittyviä tietoja. Lisätty 3 §:ään sanottu
määritelmä uudeksi 18 kohdaksi.
• Päätös ja toteutus edellyttää erityistä tietotaitoa ja siksi
keskittämistä.
08.01.2019 Joni Komulainen23
24. REKISTERINPITÄJIEN VELVOITTEISTA
• Organisaatioiden vastuu tietolupapäätöksistä
• Yksittäinen 6 §:ssä tarkoitettu organisaatio vastaa yksinomaan
omiin henkilörekistereihinsä kohdistuvista
tietolupapäätöksistä. Organisaatiot voisi kuitenkin sopia, että
Tietolupaviranomainen vastaa päätöksistä sen puolesta.
• Eduskuntakäsittelyn aikana on esitetty huoli, että
Tietolupaviranomaisella ei olisi velvollisuutta tähän.
• Valiokuntakäsittelyssä linjaus, että sanotut organisaatiot voisivat
ilmoittaa Tietolupaviranomaiselle luopuvansa
päätöstoimivallasta, jolloin vastuu päätöksistä siirtyisi
Tietolupaviranomaiselle.
08.01.2019 Joni Komulainen24
25. REKISTERINPITÄJIEN VELVOITTEISTA
Organisaatioiden velvoite ja oikeus ylläpitää 10 §:ssä tarkoitettuja
palveluita
• Eduskuntakäsittelyssä esitettiin huoli, ettei kaikilla rekisterinpitäjillä
ole tietoturvallista käyttöympäristöä (20 §) ja käyttöpalvelua (17
§) luovutettavien tietojen turvalliseksi käsittelemiseksi. Niiden
rakentaminen olisi merkittävä kustannuskysymys.
• HE:n tavoite oli hyödyntää ensisijaisesti Tietolupaviranomaisen
keskitettyjä palveluita (ks. 20 § 1 ja 3 mom.) antaen kuitenkin
organisaatioille mahdollisuus ylläpitää omaakin tietoturvallista
käyttöympäristöä, kunhan se täyttää lain 21 - 29 §:ssä säädetyt
edellytykset.
• Siitä, ettei yksittäisellä rekisterinpitäjällä ole velvollisuutta ylläpitää
kaikkia 10 §:n 3-7 kohdassa tarkoitettuja palveluja, säädetään nyt
tarkemmin muutetuissa 11 §:n 3 momentissa ja 51 § 3 momentissa.
08.01.2019 Joni Komulainen25
26. MITEN LUVAT JA TIETO SAADAAN?
Lupa- tai tietopyyntö
sähköisen järjestelmän kautta
Tietojen luovuttaminen:
• Aggregoidut tilastotiedot
voidaan luovuttaa sellaisinaan
• Henkilötietoja sisältävät
tietoturvalliseen käyttöympäristöön
TIetolupaviranomainen
• myöntää aineiston tietoluvan tai hyväksyy tietopyynnön ja
antaa käskyn palveluoperaattorille
• kertoo päätöksestä tiedon tarvitsijalle
Rekisterinpitäjät
• neuvontapalvelu, tietoaineistokuvaukset ja tietojen luovutus
lupahakemuksen tai tietopyynnön käsittelyä varten, luovuttaa
lupaviranomaisen luvittamat tiedot palveluoperaattorille
Palveluoperaattori
• kerää tiedot, yhdistelee, pseudonymisoi, anonymisoi,
luovuttaa käsiteltäväksi tietoturvalliseen
käyttöympäristöön, jota itse ylläpitää tai jota vastaanottaja
ylläpitää
Tiedon
tarvitsija
19.10.201726
27. 16.5.201927
EI HENKILÖTIETOA
• aggregoitu tilastotieto
Voidaan julkaista
yleiseen käyttöön
TIETOAINEISTOT, JOISTA
HENKILÖTIETOJA VOI PALJASTUA
• henkilötunnus-tasoinen tietoaineisto
• pseudonymisoitu tietoaineisto
• anonymisoitu tietoaineisto, johon liittyy
tunnistamisen jäännösriski
Annetaan käyttöön
tietoturvallisessa
käyttöympäristössä
Tietolupa 44 §
Päätöksentekijä:
Tietolupaviranomainen tai
Rekisterinpitäjä
Tietopyyntö 45 §
Päätöksentekijä:
Tietolupaviranomainen
LUOVUTUSPERUSTEET
28. • Ei koske Kannassa olevia tietoja muuta kuin tietopyynnön osalta
• Sote palveluiden tietojohtaminen 41 §
• Viranomaisohjaus ja -valvonta 42 §
• Tieteellinen tutkimus ja tilastointi 38 §
• Kehittämis- ja innovaatiotoiminta 37 § (vain 45 §!)
• Opetus 39 §
• Viranomaisen suunnittelu ja selvitystehtävät 40 §
Rekisterinpitäjän omien tietojen käsittely
asemavaltuudella
TIETOJEN KÄYTTÖTARKOITUKSET
Tietopyyntö 45 §
Päätöksentekijä:
Tietolupaviranomainen
Tietolupa 44 §
Päätöksentekijä:
Tietolupaviranomainen tai
Viranomaisasemassa oleva rekisterinpitäjä
Tietopyyntö 45 §
Päätöksentekijä:
Tietolupaviranomainen
29. TIETOLUVAN PÄÄTTÄJÄ 44 §
16.5.2019 Etunimi Sukunimi29
• Päätöksen tietoluvasta tekee tietolupaviranomainen aina, jos se
koskee
• usean rekisterinpitäjän aineistoja 1 mom
• Kanta-palveluihin tallennettuja henkilötietoja 1 mom
• yksityisen rekisterinpitäjän tietoja 1 mom
• Viranomaisasemassa oleva yksittäinen rekisterinpitäjä tekee
päätöksen tietoluvasta omista rekisteriaineistoistaan 3 mom
• koskee 6 §:n 1-8 kohdan rekisterinpitäjiä
• voi ilmoittaa luovuttavansa vastuun päätöksentekoon myös omista
tietoaineistoistaan tietolupaviranomaiselle
30. TIETOLUVAN NOJALLA LUOVUTETUISTA
TIEDOISTA JOHDETTUJEN TULOSTEN
JULKAISEMINEN (UUSI 52 §)
16.5.201930
Edellytykset
• Koskee tietoja, jotka on luovutettu tietoturvalliseen
käyttöympäristöön ja
• Koskee niitä tuloksia, jotka halutaan julkaista näiden tietojen
pohjalta
• Koskee kaikkia käyttötarkoituksia
Päätöksentekijä
• Julkaistavien tietojen anonymisoinnin varmistamisesta vastaa
aina tietolupaviranomainen
• Tulosten anonymisoinnin varmistaminen on keskitetty, jotta
turvataan riittävä osaaminen ja yhtenäinen käytäntö tietosuojan
varmistamiseksi
32. KEHITTÄMIS- JA INNOVAATIOTOIMINTA 37 §
16.5.201932
EI HENKILÖTIETOA
Asiakkaan
TIETOPYYNTÖ 46 §
Lupaviranomaisen
PÄÄTÖS
(yleiset perusteet 45 §)
Lisäedellytykset: 38.4 §
TSA:n mukainen käyttötarkoitus
(kansallinen liikkumavara)
Tilastoaineiston
kokoaminen ja
aggregoidun
tilaston
muodostus
Luovutus
asiakkaan
vapaaseen
käyttöön
Tiedonhyödyntämis-
suunnitelma 46 §
33. KEHITTÄMIS- JA INNOVAATIOTOIMINTA
TARKOITTAA
16.5.2019 Etunimi Sukunimi33
Teknisen ja liiketoimintatiedon sekä olemassa olevan muun tiedon
soveltamista ja käyttöä yhdessä tässä laissa tarkoitettujen henkilötietojen
kanssa, kun tavoitteena on kehittää uusia tai merkittävästi parannettuja
tuotteita, prosesseja ja palveluja 3 § 4 kohta
Esimerkkejä
• Hoitojen, lääkkeiden, menetelmien ja toimintamallien vaikuttavuuden
arviointi
• Terveysteknologian uusien tuotteiden tai ratkaisujen kehitys
• Sosiaali- ja terveyspalvelujen ja palveluprosessien vaikuttavuuden ja
tuottavuuden arviointi ja kehittäminen
EI ole esimerkiksi
• Myyntiä ja markkinointia
• Vakuutustoimintaa
34. KEHITTÄMIS- JA INNOVAATIOTOIMINNAN
ERITYISET EDELLYTYKSET 37 §
16.5.2019 Etunimi Sukunimi34
Lisäedellytykset tietopyynnössä
• edistää kansanterveyttä tai sosiaaliturvaa; tai
• kehittää sote-palveluja tai palvelujärjestelmää; taikka
• suojella yksilöiden terveyttä tai hyvinvointia taikka turvata heidän niihin
liittyviä oikeuksia ja vapauksia.
(nämä ovat TSA:n mukaisia käyttötarkoituksia, joihin kansallinen
liikkumavara voidaan perustaa)
35. KEHITTÄMIS- JA INNOVAATIOTOIMINNAN
37§:N TIETOSUOJA-ASETUKSEN MUKAISUUS
16.5.201935
• Sosiaali- ja terveystietoa koskeva kansallinen liikkumavara
perustuu TSA:n 6 art. 1 c tai e alakohtaan. C alakohdan mukaan
kansallisesti voidaan säätää yleisen edun mukaisesta käsittelystä.
• 6 art. 4 k. ; henkilötietojen jatkokäsittelystä voi säätää jäsenvaltion
lailla, joka muodostaa demokraattisessa yhteiskunnassa
välttämättömän ja oikeasuhteisen toimenpiteen asetuksen 23 art.
tavoitteiden turvaamiseksi. Näitä tavoitteita ovat mm. yleiseen
etuun liittyvät tärkeät tavoitteet, kuten kansanterveys ja
sosiaaliturva sekä rekisteröidyn suojelu tai muille kuuluvat oikeudet
ja vapaudet.
• Ministeriö on esittänyt 37 §:n soveltamisalan rajattavaksi em.
tavoitteiden mukaiseksi.
• Kansallista liikkumavara on vain, jos henkilötietoja käsitellään lain
nojalla (PeV edellytti suostumuksen rajaamista: käsittely ei
suostumuksen nojalla mahdollista).
36. TIETEELLINEN TUTKIMUS JA TILASTOINTI 38 §
EI HENKILÖTIETOA
Lupaviranomaisen/
tilastoviranomaisen
PÄÄTÖS
(yleiset perusteet 45 §
+ 2.1 § + TietosuojaL+TSA)
Tilastoaineiston
kokoaminen ja
aggregoidun
tilastotiedon
muodostus
Luovutus
asiakkaan
vapaaseen
käyttöön
HENKILÖTIETOA
Tietoaineiston
kokoaminen ja
muodostus 36 §
(Lupaviranomainen/
Tilastoviranomainen/
Rekisterinpitäjä)
Luovutus
tietoturvalliseen
käyttöympäristöön
(Lupaviranomaisen/
Tilastokeskuksen/
Muun)
Asiakas
käyttää
aineistoa
Asiakkaan
TIETOPYYNTÖ 46 §
Asiakkaan
LUPAHAKEMUS 46 §
Tiedonhyödyntämis-
suunnitelma 46 §
Tiedonhyödyntämis-
suunnitelma 46 §
Lupaviranomaisen/
tilastoviranomaisen/
rekisterinpitäjän
TIETOLUPA
(yleiset perusteet 35, 36 ja 43 §
> TietosuojaL+TSA)
37. OPETUS 39 §
• Sote-palvelunantajan asiakastietoja saa käsitellä salassapitovelvoitteiden
estämättä sekä opetusaineistojen valmistamiseksi sote-asiakastietoja
käsittelevän henkilöstön ja sote-ammattihenkilöiksi opiskelevien opetukseen,
jos se on välttämätöntä opetuksen tarkoituksen toteuttamiseksi.
• Edellytyksenä on lisäksi, että käsittelylle on myönnetty tässä laissa tarkoitettu
tietolupa.
• Tunnisteellisina tietoja saa käyttää opetustilanteissa kuitenkin vain, jos
opetusta ei voida toteuttaa anonyyminä käsiteltävän tapauksen
harvinaislaatuisuuden, opetuksen luonteen tai muun vastaavan syyn
vuoksi.
• Opetusta antavan henkilön on informoitava opetusta seuraavia laissa
säädetystä salassapitovelvollisuudesta ja sen rikkomisesta seuraavista
sanktioista.
• Rekisteröidyllä ei ole tietosuoja-asetuksen 21 artiklan mukaista oikeutta
vastustaa henkilötietojensa käsittelyä opetustarkoituksessa, jos tietojen käsittely
on välttämätöntä tapauksen harvinaislaatuisuuden vuoksi.
• Luvansaajan on hävitettävä opetustarkoitusta varten koottu erillinen
aineisto, kun se ei enää ole välttämätön kyseistä tarkoitusta varten.
Joni Komulainen16.5.201937
38. OPETUS 39 §
EI HENKILÖTIETOA
Lupaviranomaisen
PÄÄTÖS
HENKILÖTIETOA
Luovutus
tietoturvalliseen
käyttö-
ympäristöön
Luvan saada
käyttää
aineistoa
Tunnisteellisena vain jos opetusta
ei voida muuten toteuttaa tapauksen
harvinaislaatuisuuden, opetuksen
luonteen tai muun syyn vuoksi
Opetusta seuraavat on
informoitava
salassapito-
velvollisuudesta
Lupaviranomaisen
PÄÄTÖS
(yleiset perusteet 45 §)
Asiakkaan
TIETOPYYNTÖ 46 §
Asiakkaan
LUPAHAKEMUS 46 §
Tiedonhyödyntämis-
suunnitelma 46 §
Tiedonhyödyntämis-
suunnitelma 46 §
Rekisterinpitäjän/
Lupaviranomaisen
TIETOLUPA
(yleiset perusteet 35 ja 43 §)
Rekisterinpitäjä antaa
omalle työntekijälle
luvan koota aineiston
itse
Tilastoaineiston
kokoaminen ja
aggregoidun
tilastotiedon
muodostus
Luovutus
asiakkaan
vapaaseen
käyttöön
Tietoaineiston
kokoaminen ja
muodostus 36 §
(Lupaviranomainen/
Tilastoviranomainen/
Rekisterinpitäjä)
Aineisto
rekisterinpitäjän
tieto-
järjestelmässä
39. VIRANOMAISEN SUUNNITTELU- JA
SELVITYSTEHTÄVÄT 40 §
EI HENKILÖTIETOA
Tilastoaineiston
kokoaminen ja
aggregoidun
tilastotiedon
muodostus
Luovutus
asiakkaan
vapaaseen
käyttöön
HENKILÖTIETOA
Tietoaineiston
kokoaminen ja
muodostus
Luovutus
tietoturvalliseen
käyttö-
ympäristöön
Asiakas
käyttää
aineistoa
40 §:n edellytykset:
• asianmukainen
tiedonhyödyntämissuunnitelma
• tietotarvetta ei voida toteuttaa ilman
henkilötietojen käsittelyä
Lupaviranomaisen
PÄÄTÖS
(yleiset perusteet 45 §)
Lupaviranomaisen/
rekisterinpitäjän
TIETOLUPA
(yleiset perusteet 35 ja 43 §)
Asiakkaan
TIETOPYYNTÖ 46 §
Asiakkaan
LUPAHAKEMUS 46 §
Tiedonhyödyntämis-
suunnitelma 46 §
Tiedonhyödyntämis-
suunnitelma 46 §
40. SOTE-PALVELUIDEN TIETOJOHTAMINEN 41 §.
• Palvelujärjestelmää kyetään kehittämään vaikuttavampaan suuntaan
• Asiakkaiden saamien palveluiden tuloksellisuutta pystyttään seuraamaan
tehokkaasti
• Tunnisteellisten tietojen käsittely ja yhdistely mahdollistaa palvelunantajille
operatiivisen ja strategisen johtamisen ja päätöksenteon tueksi.
• Toimintaa, tuotantoa ja taloutta kyetään ohjaamaan paremmin.
• Nykyään tuotantoprosessien kehittämiseen, potilaan hoidon kokonaisuuden
yhteensovittamiseen, asiakassegmentointiin ja muihin vastaaviin tuottavuutta
ja vaikuttavuutta parantaviin käyttötarkoituksiin tarvittavien tunnisteellisten
tietojen tulee olla hyödynnettävissä johtamistiedon pohjana reaaliaikaisesti,
jatkuvaluontoisesti ja kumuloituen, osana organisaatioiden päivittäistä
toimintaa ja ilman erillisten tutkimushankkeiden käynnistämistä.
• Palvelunantajalla tulee olla käytettävissään tietoa, jonka pohjalta se voi
vastata terveydenhuoltolaissa, sosiaalihuoltolaissa sekä alan
erityislainsäädännössä säädettyjen taikka sopimukseen pohjautuvien
tehtäviensä ja velvollisuuksiensa asianmukaisesta hoitamisesta.
Joni Komulainen16.5.201940
41. SOTE-PALVELUIDEN TIETOJOHTAMINEN 41 §.
• Palveluiden järjestäminen on sote-palvelunantajien lakiin perustuva tehtävä.
Pykälän tavoitteena on parantaa palvelunantajan tosiasiallisia
edellytyksiä hoitaa tehtäväänsä
• Lain määritelmän mukaan tarkoitetaan ”tiedon käsittelemistä
palvelunantajan asiakas-, palvelu- ja tuotantoprosesseissa toiminnan,
tuotannon ja talouden ohjauksen, johtamisen ja päätöksenteon tukena”
• Pykälän 1 momentissa säädetään sote-palvelunantajan oikeudesta käsitellä
tunnisteellisina salassa pidettäviä ja arkaluonteisia henkilötietoja, jos se on
välttämätöntä sanotun palvelunantajan vastuulla toteutettavan
palvelutoiminnan tuottamista, seurantaa, arviointia, suunnittelua,
kehittämistä, johtamista ja valvontaa varten.
• Palvelunantaja ei tarvitsisi lupaa tietojen yhdistelyyn tai muuhun käsittelyyn
pykälässä säädetyssä tarkoituksessa, jos tiedot ovat syntyneet
palvelunantajan omassa toiminnassa tai se on niiden tietosuoja-
asetuksessa tarkoitettu rekisterinpitäjä.
Joni Komulainen16.5.201941
42. SOTE-PALVELUIDEN TIETOJOHTAMINEN 41 §.
• Pykälän 2 momentissa säädetään tilanteesta, joissa palvelunantaja
voisi verrata omaa toimintaansa muiden palvelunantajien
toimintaan.
• Nämä tilanteet on rajattu palvelunantajan vastuulla toteutettavan
palvelutoiminnan tai palveluketjujen arviointiin, suunnitteluun
ja kehittämiseen.
• Tietolupaviranomainen voi 45 §:ssä säädetyin edellytyksin tuottaa
tarvittavan vertailuaineiston aggregoituna tilastotietona 45 §:n
mukaisesti tietopyynnön perusteella.
• Sen lisäksi, mitä 1 ja 2 momentissa säädetään, kunnalla tai
kuntayhtymällä on tietojohtamisen tarkoituksessa oikeus
käsitellä ja yhdistellä tunnisteellisesti myös asiakastietoja, jotka
on tallennettu terveydenhuoltolain (1326/2010) 9 §:n 1
momentissa tarkoitettuun yhteisrekisteriin. (Uusi)
Joni Komulainen16.5.201942
43. HENKILÖTIETOA
Tietolupaviranomainen vastaa kuitenkin Eläketurvakeskuksen,
Väestörekisterikeskuksen ja Tilastokeskuksen tietoihin kohdistuvasta
tietolupapäätöksestä vain, jos kyseisiä tietoja yhdistetään 6 §:n 1—8 kohdassa
tarkoitettujen organisaatioiden tietoihin.
SOTE PALVELUIDEN TIETOJOHTAMINEN 41 §
Aineiston
kokoaminen ja
muodostus omista
rekistereistä
Käsittely omassa
käyttöympäristössä
edellytykset:
• Tiedot syntyneet omassa toiminnassa tai
ovat omiin rekistereihin tallennettuja
• käyttö on välttämätöntä toiminnan
tuottamista, seurantaa, arviointia,
suunnittelua, kehittämistä, johtamista ja
valvontaa varten
Rekisterinpitäjän oma
valtuutukseen
perustuva harkinta
käytön perusteista
SOTE-
palvelunantajan
tietotarve
omat
tiedot
Tarve
vertailuaineistoon
muilta
organisaatiolta
Tilastoaineiston
kokoaminen ja
aggregoidun
tilastotiedon
muodostus
Lupaviranomaisen
PÄÄTÖS
(yleiset perusteet 45 §)
Asiakkaan
TIETOPYYNTÖ 46 §
Tiedonhyödyntämis-
suunnitelma 46 §
Luovutus
asiakkaan
vapaaseen
käyttöön
44. SOTE VIRANOMAISOHJAUS JA -VALVONTA 42 §
EI HENKILÖTIETOA
HENKILÖTIETOA (ks. 40 § viranomaisselvityksestä ohjaavan viranomaisen osalta)
Tietoaineiston
kokoaminen ja
muodostus
Luovutus valvonta-
viranomaisen omaan
käyttöympäristöön
(17 §:n tietoturvallisen
käyttöpalvelun välityksellä)
Valvontaviranomainen
käyttää
Aineistoa lakisääteisiin
tehtäviinsä
Edellytykset:
Valvontaviranomaisella on muun lain
mukaan oikeus saada tunnisteellista tietoa
(oikeuttava säännös + tapauskohtaisen
tarpeen perustelu 42.2 §)
Valvontaviranomaisen
TIETOPYYNTÖ 42 §
Viranomaisen perusteltu
pyyntö 42.2 ja 42.3 §
Tilastoaineiston
kokoaminen ja
aggregoidun
tilastotiedon
muodostus
Luovutus
asiakkaan
vapaaseen
käyttöön
Lupaviranomaisen
PÄÄTÖS
(yleiset perusteet 45 §)
Asiakkaan
TIETOPYYNTÖ 46 §
Tiedonhyödyntämis-
suunnitelma 46 §
Lupaviranomaisen
PÄÄTÖS
(yleiset perusteet 45 §)
45. ANONYMISOINNIN TOIMINTAMALLI 51 §
a) Malli prosessin etenemisestä loppuun asti siltä osin kuin luvan antaja
on joku muu kuin tietolupaviranomainen, mutta tiedot toimitetaan
anonymisoitavaksi tietolupaviranomaiselle
51 § mukaisesti anonymisointi tapahtuu
• Jos tietoaineisto luovutetaan luvansaajalle anonymisoituna on
rekisterinpitäjän toimitettava luvan mukaiset tiedot
Tietolupaviranomaiselle esikäsiteltäväksi, yhdisteltäväksi ja
anonymisoitavaksi
• Tietolupaviranomainen luovuttaa aineiston luvansaajalle käsiteltäväksi
hyväksyttyyn tietoturvalliseen käyttöympäristöön
46. ANONYMISOINTI – PROSESSI
Luovutus
tietoturvalliseen
käyttöympäristöön
51 § (Lupaviranomaisen
tai muun toimijan)
Asiakas
käyttää
aineistoa
Asiakkaan
LUPAHAKEMUS 46 §
Tiedonhyödyntämis-
suunnitelma 46 §
Yksittäisen
rekisterinpitäjän
TIETOLUPA
(yleiset perusteet 35, 36 ja 43 §
> TietosuojaL+TSA)
a) Malli prosessin etenemisestä loppuun asti siltä osin kuin luvan antaja on
joku muu kuin tietolupaviranomainen, mutta tiedot toimitetaan
anonymisoitavaksi tietolupaviranomaiselle
Anonymisointi 51 §
(Lupaviranomainen
huomioiden asiakkaan tarve
yhteistyössä rekisterinpitäjän
kanssa)
Tietoaineiston
kokoaminen ja
muodostus 36 §
(Lupaviranomainen)
Aineistojen
toimittaminen
(rekisterinpitäjä)
Julkaisun
tekeminen
(asiakas/tutkija)
Julkaistavan
tulostiedon
anonymiteetin
varmistus 52 §
(Lupaviranomainen)
Artikkelin
julkaiseminen
Aikaisemmin esitetty
Tarkentava täydennys
47. JULKAISTAVAN TULOSTIEDON ANONYMITEETIN
VARMISTAMINEN 52 §
b) 52 §:n tietolupaviranomaisen vastuu julkistavien tulosten anonymisoinnin
varmistamisesta. Miten prosessi menee tietojen antamisesta alkaen
julkaisuvaiheeseen ja julkaisuvaiheessa (myös huomioiden jos julkaisuja tehdään
pidemmällä aikavälillä samasta aineistosta uudelleen)
52 § mukaisesti julkaisun tulostiedon anonymiteetin varmistaminen tapahtuu
• Kun tietoluvan nojalla on luovutettu tietoja käsiteltäväksi tietoturvallisessa
käyttöympäristössä, ja niiden pohjalta tuotettuja tuloksia halutaan julkaista, vastaa
tietolupaviranomainen julkaistavien tulosten tietojen anonymisoinnin
varmistamisesta, ellei tietoluvassa erikseen toisin mainita.
• Tietolupaviranomainen varmistaa julkaistavaksi tarkoitettujen tulosten
anonymisoinnin ja luovuttaa ne luvansaajalle vapaasti julkaistavaksi tämän
tekemän pyynnön ja pyyntöön liitetyn ehdotuksen perusteella riippumatta siitä,
onko tietoluvan myöntänyt yksittäinen rekisterinpitäjä vai Tietolupaviranomainen.
• Tietolupaviranomainen säilyttää aineiston muodostamisen kuvauksen 14 §
48. JULKAISTAVAN TULOSTIEDON ANONYMITEETIN
VARMISTAMINEN 52 §
b) 52 §:n tietolupaviranomaisen vastuu julkistavien tulosten anonymisoinnin
varmistamisesta. Miten prosessi menee tietojen antamisesta alkaen
julkaisuvaiheeseen ja julkaisuvaiheessa (myös huomioiden jos julkaisuja tehdään
pidemmällä aikavälillä samasta aineistosta uudelleen)
Luovutus
tietoturvalliseen
käyttöympäristöön
Asiakas
käyttää
aineistoa
Asiakkaan
LUPAHAKEMUS 46 §
Tiedonhyödyntämis-
suunnitelma 46 §
Lupaviranomaisen/
tilastoviranomaisen/
rekisterinpitäjän
TIETOLUPA
(yleiset perusteet 35, 36 ja 43 §
> TietosuojaL+TSA)
Tietoaineiston
kokoaminen ja
muodostus 36 §
Julkaisun
tekeminen
(asiakas/tutkija)
Julkaistavan
tulostiedon
anonymiteetin
varmistus
(Lupaviranomainen)
Artikkelin
julkaiseminen
Aikaisemmin esitetty
Tarkentava täydennys
Tietoluvassa ilmaistaan tarve
julkaisun tulostietojen anonymiteetin
varmistamiseen
Mikäli asiakkaan tietotarve voidaan
toteuttaa aggregoidulla tilastotiedolla
käsitellään tietopyyntönä 43 § ja
anonymiteetin varmistamista ei tarvita
1
Tietolupaviranomainen
toteaa että julkaisun
tulostieto on
aggrekoitua
tilastotietoa
2
Tietolupaviranomainen toteaa, että
julkaisun osana on tulostietoja, joihin
voi liittyä jäännosriski
Lupaviranomainen tuottaa
anonymisoidun tulostiedon tutkijan
tarpeen mukaisesti
3
UUSI AINEISTO
Tietoaineiston
kuvauksen ja pysyvän
tunnisteen
muodostaminen 14 §
49. JULKAISTAVAN TULOSTIEDON ANONYMITEETIN
VARMISTAMINEN 52 §
b) 52 §:n tietolupaviranomaisen vastuu julkistavien tulosten anonymisoinnin
varmistamisesta. Miten prosessi menee tietojen antamisesta alkaen
julkaisuvaiheeseen ja julkaisuvaiheessa (myös huomioiden jos julkaisuja tehdään
pidemmällä aikavälillä samasta aineistosta uudelleen)
Luovutus
tietoturvalliseen
käyttöympäristöön
Asiakas
käyttää
aineistoa
Asiakkaan
LUPAHAKEMUS 46 §
Tiedonhyödyntämis-
suunnitelma 46 §
TIETOLUPA
(yleiset perusteet 35, 36 ja 43 §
> TietosuojaL+TSA)
Tietoaineiston
uudelleen
kokoaminen ja
muodostus tai haku
säilytyksestä 36 §
Julkaisun
tekeminen
(asiakas/tutkija)
Julkaistavan
tulostiedon
anonymiteetin
varmistus
(Lupaviranomainen)
Artikkelin
julkaiseminen
Aikaisemmin esitetty
Tarkentava täydennys
OLEMASSA OLEVAN AINEISTON UUDELLEENKÄYTTÖ
Tieto mitä aikaisempaa
aineistoa halutaan käyttää
(pysyvä tunniste, löytyy
julkaistusta artikkelista)
(pysyvän tunnisteen
perusteella)
50. STM:N VERKKOSIVUILLA ON PALJON
INFORMAATIOTA
16.5.201950
Ks. https://stm.fi/sote-tiedon-hyodyntaminen
UKK-kysymykset: https://stm.fi/usein-kysyttya-sote-
tiedon-toisiokaytosta
Ks. https://stm.fi/artikkeli/-/asset_publisher/uusi-laki-
mahdollistaa-sosiaali-ja-terveystietojen-tehokkaan-ja-
tietoturvallisen-kayton
51. LAINSÄÄDÄNNÖN
VALMISTELUN
VAIHEET
• Työryhmä valmisteli ehdotuksen uudeksi laiksi
• Lausunnolla syksyllä 2016, lausunnot löytyvät
Innokylästä
https://www.innokyla.fi/web/verkosto1598477/lakiluonnoksesta-annetut-
lausunnot-lokakuu-2016-
• Ruotsinkielinen kuuleminen 11/16
• Asiantuntijatyöryhmä muokkasi esitystä 4/17
• Virkamiesvalmistelu kevät-kesä 2017
• HE eduskuntaan 26.10.2017
• Perustuslakivaliokunnan lausunto 1/2018 vp.
• Esityksen käsittely sosiaali- ja
terveysvaliokunnassa päättyi 1.3.2019. Mietintö
• Ensimmäinen käsittely 6.3.2019. Hyväksytty
toisessa käsittelyssä 13.3.2019.
• Voimaantulo keskeisiltä osiltaan 1.5.2019
alkaen, ks. siirtymäsäännökset
16.5.201951