Luonnos hallituksen esitykseksi eduskunnalle laiksi sosiaali- ja terveystietojen toissijaisesta  käytöstä annetun lain 60 §:n muuttamisesta

Kiitämme kutsusta kuulemistilaisuuteen (Sosiaali- ja terveysministeriö, VN/8786/2021) ja mahdollisuudesta lausua luonnoksesta hallituksen esitykseksi eduskunnalle laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain 60 §:n muuttamisesta.

Viittaamme samalla aiempiin toisiolakiin liittyviin lausuntoihimme, erityisesti lain siirtymissäädösten ja Findatan määräysluonnoksen osalta, sekä muissa yhteyksissä antamiimme sosiaali- ja terveydenhuollon tiedonhallintaa ja tietohallintoa koskeviin lausuntoihimme.

Esitys toisiolain 60 §:n voimaantulosäädöksen päivittämisestä 

Esityksessä ehdotetaan muutettavaksi sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain siirtymäsäännöstä siten, että lain tietoturvalliselta käyttöympäristöltä edellytettäviä vaatimuksia sovellettaisiin vasta 1 päivästä toukokuuta 2022. Ennen mainittua ajankohtaa tietoja voitaisiin kuitenkin luovuttaa luvansaajan käsiteltäväksi toisiolain nojalla, vaikka tietolupahakemuksessa ei osoitettaisi toisiolaissa tarkoitettua tietoturvallista käyttöympäristöä tietojen käsittelylle.

Pidämme po. siirtymäsäännöksen voimaantulon muutosta välttämättömänä. 

Perustelemme näkemystämme seuraavasti:

1. Lain valmistelun yhteydessä arvioitu tietoturvallisten käyttöympäristöjen rakentamisen aika, kaksi vuotta, oli jo lähtökohtaisesti riittämätön. Toiminta-, tieto- ja säädösympäristön kompleksisuutta, käynnissä olevien hankkeiden ja prosessien keskinäisriippuvuuksia ei selvästikään ole kyetty hahmottamaan realistisesti.  Eri viranomaisten toimivaltasuhteet ja lukemattomien säädösten risteämisistä johtuvat tulkinnallisuudet ovat näyttäytyneet alun perin ennakoimattomina haasteina ja hidasteina toimeenpanossa. Kun Tietolupaviranomainen antoi määräyksensä tietoturvallisille käyttöympäristöille asetettavista vaatimuksista 5.10.2020, noin 7 kk ennen siirtymäsäännöksen takarajaa, kesti vielä nelisen kuukautta, jotta määräys kyettiin huomioimaan edes käyttöympäristöjen tietoturvallisuutta arvioivien arviointilaitosten ohjeistuksessa (Traficom). Vaikutukseltaan vähäisenä ei voi liioin pitää arviointilaitosten rajallista palvelukykyä ja akkreditointiprosessin mittavuutta, joka tulee vääjäämättä heijastumaan vaatimukset täyttävien ympäristöjen käyttöönottoon.

   Merkille pantavaa on, että Tietolupaviranomaisen lisäksi kyseisten vaatimusten mukaista käyttöympäristöä ei tiettävästi ole yhdelläkään toisiolain 6 §:ssä luetellulla toimijalla, mukaan lukien sinänsä kyvykkäät alueelliset toimijat kuten yliopistolliset sairaanhoitopiirit ja suuret kaupungit. Ainoa mahdollinen johtopäätös on näin todeta, että tietoturvallisen käyttöympäristön toteutukselle ei voimassa olevien siirtymäsäännösten mukaisesti ole tosiasiallisesti ollut edellytyksiä.
    

2. Vaikka tietoturvasta ja -suojasta huolehtiminen ovat äärimmäisen tärkeitä, toisiolain tavoitetta tiedon lisäarvon lunastamisesta ja mahdollistavasta lainsäädännöstä ei tule unohtaa. Myös sekä tietosuoja-asetus että yhteiseurooppalaiset datatalouteen ja data-avaruuksiin liittyvät prosessit perustuvat tavoitteeseen tietojen mahdollisimman vapaasta liikkumisesta - arkaluontoisten tietojen käsittelyssä riittävät suojatoimet huomioiden.

   Toisiolain säätäminen, Tietosuojalupaviranomaisen perustaminen ja toisiolain 18 §:n säädös yleisistä tietoturvavaatimuksista sekä muut kansalliset ja kansainväliset toimet digitaalisen turvallisuuden kehittämiseksi ovat jo tällä hetkellä edistäneet ja turvanneet toisiolailla tavoiteltua henkilön luottamuksen suojaa. Tietolupaviranomaisella ja muilla tietolupia myöntävillä viranomaisilla on merkittävää harkintavaltaa lupien myöntämisessä. Tietosuojan kehittäminen edelleen, toiminnallisin käytäntein, on jatkossakin mahdollista. 

   Edellä viitattuina keinoina voitaisiin nostaa esille esim. palvelunjärjestäjien esittämä aineistojen luokittelu, luvitus ja käsittely niiden mittavuuden, suuruuden ja muiden oleelliseksi katsottujen ominaisuuksien mukaisesti: Mitä mittavampi aineisto, mitä enemmän arkaluontoista ja eri alkuperäislähteistä poimittua tietoa, sitä selkeämmin edellytettävä käsittely-ympäristöltä vaatimusten mukaisuutta.
    

3. Kuntien ja kuntayhtymien mahdollisuudet hyödyntää tietoa alueellisesti on varmistettava - ilman katkoksia. HE-luonnoksessa esitetyistä vaikutusarvioista poiketen tällä on vaikutusta alueiden ja kuntien elinvoimaan, tieteellisen tutkimukseen alueilla ja kunnissa, uusiin innovaatioihin sekä kansalaisen hyvään hoitoon, hoitokäytäntöjen kehittymiseen. 

   Arkaluontoisten tietojen hyödyntäminen yleishyödyllisiksi katsottavissa käyttötarkoituksissa ja tieteellisessä tutkimuksessa on perustellusti haluttu varmistaa kansainvälisessä ja kansallisessa sääntelyssä. Tätä peruslähtökohtaa ei tule alimitoitetuin siirtymäsäännöksin ohittaa. Tietosuoja-asetus ja muut kansalliset ja kansainväliset säädökset velvoittavat jo nyt julkisia palvelunjärjestäjiä huolehtimaan erityisiin tietoryhmiin kuuluvista, arkaluontoisista tiedoista erityisen huolellisesti. Sosiaali- ja terveyspalveluiden rekisterinpitäjien kykyyn arkaluontoisten tietojen käsittelyssä ei tule suhtautua kategorisesti tietosuojaa heikentävänä. Esimerkkinä kehittyvistä oikeuskäytänteistä on huomioitava muun muassa tietojen anonymisointiin ja pseudonymisointiin liittyvä ns. Breyer-päätös.

   Liian tiukka siirtymäsäännös vaikuttaa kielteisesti rekisterinpitäjän mahdollisuuteen päättää vastuullaan olevien tietojen käyttötarkoituksista. Sitä kautta siirtymäsäännöksen toimivuudella on kytkös julkistoimijoiden mahdollisuudesta päättää omasta toiminnasta, toiminnan sisällöstä ja muutoksista toimintaansa. Kapea siirtymäsäännös heikentää merkittävästi julkistoimijoiden mahdollisuuksia ennakoitavasti investoida ja kehittää toimintaansa.

HE:n luonnostekstistä poiketen esitämme lisäksi, että 60 §:n tietoturvallisia käyttöympäristöjä koskeva siirtymäsäännös ulotettaisiin aina 1.5.2024 asti.

Perustelemme näkemystämme seuraavasti:

1. HE-luonnoksessa esitetty muutos käyttöympäristön vaatimusten soveltamisajankohdan lykkääntymisestä ainoastaan vuodella on oikeasuuntainen, mutta edelleen alimitoitettu ja riittämätön. Toisiolain valmistelussa ja Tietosuojalupaviranomaisen toiminnan käynnistämisessä on painotettu, korkean tason tietosuojan ja tietoturvan osaamisen ohella, kokonaisuudessaan riittäviä voimavaroja.

   Kuten HE-luonnoksessa (s. 14) on kiteytetty, tällä hetkellä ainoa toisiolain mukainen tietoturvallinen käyttöympäristö, Tietolupaviranomaisen tietoympäristö, ei kykene käsittelemään kaiken tyyppisiä tietoaineistoja, kuten geenitietoa tai kuvantamisaineistoja.

   Vaikutukset työllisyyteen sekä kuntien ja alueiden elinvoimaisuuteen on kuvattu esityksessä kapeasti. Mikäli siirtymäsäännöstä ei päivitetä, tieteellinen tutkimus alueilla, innovaatio- ja kehittämistoiminta kärsivät välittömästi. Palvelunjärjestäjien arviot ympäristöjen toteutuksesta vaihtelevat organisaatiosta ja järjestelmäkokonaisuuksista riippuen sadoista tuhansista euroista jopa miljardiluokkaan. HE-luonnoksen (s. 6-7) mukaan myös akkreditointikustannukset ovat yli kolminkertaiset alun perin esitettyihin arvioihin. 

   Kyseessä ovat yhteiskunnallisesti merkittävät panostukset ja heijastusvaikutukset jo entuudestaan kestämättömänä pidettyihin elinkaarensa päätepisteessä olevia tietojärjestelmiä koskeviin vaatimuksiin. Liiallisen tiukka siirtymäsäädös estää käytännössä toisiolain päätavoitteen, mittavien ja arvokkaiden tietovarantojen täysipainoisen ja optimaalisenkin hyödyntämisen.
    

2. Tiedonhallintalain mukaiset tietoturvallisuusvaatimukset (12-17§) ovat kuntakentälle velvoittavia vuoden 2023 alusta, ja olemassa olevien tietojärjestelmien muuttaminen vastaamaan sähköistä tiedonluovutusta koskevia vaatimuksia (22-24§) edelleen vuoden 2024. Tietojärjestelmämuutosten toteuttaminen ilman riittävää kokonaiskuvaa ja kokonaisuuksien hallintaa, myös toiminnallisuuksien ja taloudellisten vaikutusten näkökulmasta ei tule kansallisen, alueellisen ja kuntienedun nimissä edistää.  Muun muassa sosiaali- ja terveydenhuollon tehtävien siirtyminen hyvinvointialueille tulee huomioida asianmukaisesti, ja myös tästä näkökulmasta toimintaympäristön vaatimusten ajoittaminen vuodelle 2024 olisi mielekästä. 

   Juridisen, teknisen, toiminnallisen ja tiedon yhteentoimivuuden näkökulmasta ei ole hyväksyttävää, että palvelunjärjestäjät ja muut organisaatiot joutuvat tulkitsemaan asioita. Ylikorostunutta etenemistä ja toteutuksia ’ varmuuden maksimoinnin säännön” mukaisesti ei voida pitää perusteltuna. 

   Infrastruktuurin rakentaminen digitaalitaloutta varten (HE s. 18) edellyttää huomattavasti laajempia pohdintoja, toimenpiteitä, riskien hallintaa ja riippuvuuksien tarkastelua kuin toisiolaissa on huomioitu ja säännellään. Siirtymäsäännöksen laajentaminen/pidentäminen esitettyä pidemmälle on perusteltu myös tästä syystä.

Esitys toisiolain 55 §:n voimaantulosäädöksen päivittämisestä 

Siirtymäsäännöstä esitetään muutettavaksi siten, että lain merkittäviin kliini-siin löydöksiin perustuvia oikeuksia, velvoitteita ja toimenpiteitä sovellettaisiin 1 päivästä tammikuuta 2024.
Kuntaliitto kannattaa esitettyä muutosta - kuitenkin niin, että organisaatiot voivat soveltaa säädöstä omassa toiminnassaan, voimavarojensa ja järjestelmiensä kehityskaaren mahdollistamissa rajoissa, myös ennen siirtymäsäädöksen umpeutumista.

Yhteenveto kannastamme

Siirtymäsäännösten muutos siten, että toisiolain päivityksessä huomioidaan toimeenpanon tosiasialliset edellytykset ja mahdollisuudet kunnissa ja alueilla, on perusteltua ja jopa välttämätöntä. Tiedon hyötykäytön näkökulmasta on selvää, että ilman siirtymäsäännöksen muutosta, mahdollistavaksi tarkoitettu sääntely toimii itse itseään vastaan. Luonnostekstistä poiketen esitämme kuitenkin, että 60 §:n tietoturvallisia käyttöympäristöjä koskeva siirtymäsäännös ulotettaisiin aina toukokuun 1. päivään 2024 asti.

Riittävä, tosiasialliset kansallisen, alueellisen ja paikallisen tason kyvykkyydet huomioiva siirtymäaika vahvistaisi toisiolain alkuperäistä tarkoitusta ja periaatetta luoda arvokkaiden tietovarantojemme käyttöä mahdollistavaa sääntelyä. Siirtymäsäännöksen muutos esityksemme mukaisesti huomioisi kestävällä tavalla sekä tietojen hyötykäytön että henkilön luottamuksen ja tietojen suojan. 

Kuntien ja kuntayhtymien mahdollisuudet hyödyntää tietoa alueellisesti on varmistettava - ilman katkoksia. HE-luonnoksessa esitetyistä vaikutusarvioista poiketen tällä on vaikutusta tieteellisen tutkimukseen alueilla, alueiden ja kuntien elinvoimaan, uusiin innovaatioihin sekä kansalaisen hyvään hoitoon hoitokäytäntöjen kehittyessä datapohjaisesti.

Suomen Kuntaliitto ry

Tarja Myllärinen                                      Tuija Savolainen
johtaja, sosiaali- ja terveysasiat                kehityspäällikkö