Lausunto luonnoksesta hallituksen esitykseksi eduskunnalle laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain muuttamisesta

Sosiaali- ja terveysministeriö pyytää Kuntaliitolta lausuntoa hallituksen esitysluonnoksesta, jolla ehdotetaan muutoksia sosiaali- ja terveydenhuollon asiakastietojen toissijaisesta käsittelystä annettuun lakiin.

Tietoturvallinen käyttöympäristö

Suomen kannalta on tärkeää olla mukana kansainvälisessä tutkimustyössä, jossa terveysdatan hyödyntäminen on keskeinen osakokonaisuus. Esitettyjen lakimuutosten jälkeen tietoturvallisia käyttöympäristöjä koskevat vaatimukset mahdollistaisivat toisiolaissa tarkoitettujen tietojen luovuttamisen Suomen ulkopuolella sijaitseviin tietoturvallisiin käyttöympäristöihin.

Pidämme esitettyä muutosta sosiaali- ja terveystietojen toissijaisesta käytöstä annettuun lakiin oikeansuuntaisena. Muutos osaltaan edesauttaa suomalaisten rekisteritietojen käyttöä kansainvälisessä tutkimusyhteistyössä. Ehdotus lisäisi myös joustavuutta tietoturvallisten käyttöympäristöjen vaatimustenmukaisuuden todistamiseen.

Katsomme kuitenkin, että esitetty muutos on riittämätön takaamaan suomalaisen rekisteridatan sisällyttämisen kansainvälisiin tutkimushankkeisiin. Ulkomaisten tutkimusorganisaatioiden olemassa olevien järjestelmien tulisi täyttää kansainvälisten standardien lisäksi Tietolupaviranomaisen määräyksessä määritellyt lisävaatimukset. Pidämme epätodennäköisenä, että kovin moni ulkomainen tutkimusorganisaatio on valmis toteuttamaan toisiolain edellyttämiä muutoksia tai akkreditointeja.

Toisiolain kehitystarpeet

Vaatimuksissa tulee selkeyttää, miten henkilötietojen käsittelyn osalta EU:n tietosuojasääntely ja kansallinen sääntely yhdessä suhteutuvat muiden jäsenmaiden sääntelyyn. Erityisesti tulee huomioida Suomen kansallisen sääntelyn uudet vaatimukset.

Tietoturvavaatimuksissa viitataan kansallisiin ja EU-tason työkaluihin, arviointikriteereihin ja vaatimuksiin. Niiden keskinäistä suhdetta tulisi selkeyttää ja kuvata tarkemmin toisiolain kontekstissa. Esityksessä pitäisi myös perustella, miksi joidenkin kansallisten määräysten sijaan vaatimuksia ei voi täyttää kansainvälisillä standardeilla.

Valvonnan tehokkuuden kannalta jää epäselväksi, mikä taho valvoo sertifiointielimelle ehdotetun valvontatehtävän asianmukaista toteutumista. Pelkkä vaatimustenmukaisuus ei takaa, että käyttöoikeuksien hallinta sekä tietoturva- ja tietosuojakäytänteet ulkomaisessa tutkimushankkeessa ovat asianmukaisella tasolla.

Nähdäksemme sosiaali- ja terveydenhuollon tutkimuksen edistämisen kannalta voi olla haaste, jos kansallisesti toteutettavassa ja ulkomailla toteutettavissa tutkimuksissa tietoturvallista käyttöympäristöä koskevat vaatimukset ovat erilaiset. Kansainvälisten standardien soveltuvuus toisiolain vaatimustenmukaisuuden varmistamiseksi tulee tutkia huolellisesti ja vastaavaa joustavuutta tulee edistää myös kansallisen tutkimuksen osalta. Kansainvälisten standardien ja määräyksessä asetettujen vaatimusten vastaavuustaulukkoon liittyen tulisi täsmentää, mitä standardeja taulukkoon otetaan ja millä perusteilla.

Sellaisia kansainvälisiä akkreditointielimiä, jotka kykenevät tekemään tehtävää pelkästään Suomen toisiolainsäädännön edellyttämällä tavalla ei välttämättä ole tarjolla ainakaan kohtuulliseen hintaan. Koemme, että lakiesityksen menettelyt tulevat niin kalliiksi toteuttaa, etteivät monetkaan ulkomaiset tutkimuslaitokset lähde tekemään sen edellytyksiä täyttäviä käyttöympäristöjä. Riskinä on, että suomalaiset tutkimusryhmät tai aineistot jäävät kansainvälisten hankkeiden ulkopuolelle käyttöympäristön kustannusten takia.

Suomen Kuntaliitto ry

Sari Raassina                                       Kaisa-Maria Kimmel
johtaja, sosiaali- ja terveysyksikkö          lakimies