HE laiksi sosiaali- ja terveystietojen tietoturvallisesta hyödyntämisestä sekä eräiksi siihen liittyviksi laeiksi

Hallituksen esitys laiksi sosiaali- ja terveystietojen tietoturvallisesta hyödyntämisestä sekä eräiksi siihen liittyviksi laeiksi

Tiivistelmä CSC:n lausunnosta:

Luonnoksen ehdotus kansallisten sosiaali- ja terveystietojen avaamisesta tutkimukselle ja tuotekehitykselle entistä laajemmin on kannatettava. Suomen hallinnon järjestyneisyys ja kansalaisten kattava terveydenhuolto on tuottanut ja tuottaa dataa, joka on kansainvälisesti tunnistettu ja arvostettu tietolähde ihmisten terveyden edistämiseksi. Datan tekee erityisen arvokkaaksi sen rakenteellinen muoto ja aineistojen väestöpohjallinen kattavuus. Yhdessä geneettisen perimän kanssa ne muodostavat kasvupohjan terveys- ja hyvinvoinnin asiantuntijoiden uusille yrityksille ja työpaikoille vuosikymmeniksi eteenpäin. Lain valmistelussa tulee kuitenkin huomioida se, että sosiaali- ja terveystietojen kansallisen tason avaamisen ehdoton edellytys on, että datan käsittelyn tietoturvallisuus varmistetaan merkittävästi kattavammin ja kestävämmin kuin se nykymuotoisessa luonnoksessa on kuvattu. Lisäksi lainsäädännön jatkovalmistelussa tulee kiinnittää huomiota siihen, että nyt rakennettava lainsäädäntö on EU:n tietosuoja-asetuksen mukainen. Teknisen käyttöympäristön luominen ei riitä, vaan EU:n tietosuoja-asetuksen edellyttämät prosessit tulee olla kunnossa.

Luonnoksessa ehdotetaan, että erilaisten henkilö- ja asiakastietojen käyttöluvat myöntäisi jatkossa keskitetysti yksi lupaviranomainen, että lupakäsittelyä varten luotaisiin sähköinen lupaportaali, ja että luvan nojalla luovutettaville tiedoille luotaisiin tietoturvalliset sähköiset käyttöympäristöt ja käyttöyhteydet. Esityksen keskeisenä tavoitteena on sujuvoittaa ja nopeuttaa olennaisesti tietojen käyttölupiin liittyvää käsittelyä ja keventää siihen liittyvää, rinnakkaisista lupamenettelyistä aiheutuvaa hallinnollista taakkaa. Nämä ovat kannatettavia tavoitteita ja ne tukevat myös hallitusohjelmassa esitettyjä tavoitteita. Toisaalta, hyvien tavoitteiden saavuttamiseksi tulee kuitenkin kiinnittää perusteellisesti huomiota keinoihin, joilla nämä asetetut tavoitteet pyritään saavuttamaan.

EU:n tietosuoja-asetuksen analysointi onkin ehdotetussa hallituksen esityksessä puutteellinen eivätkä asetuksen edellyttämät henkilötietojen käsittelyä ohjaavat prosessit tule selkeästi esille ehdotuksen nykymuodossa. Ehdotuksessa ei esimerkiksi huomioida riittävällä tavalla EU:n tietosuoja-asetuksen edellyttämiä organisatorisia ja teknologisia suojauskeinoja henkilötietojen käsittelylle eivätkä asetuksen edellyttämät vaatimukset näin ollen kokonaisuudessaan täyty nykymuotoisessa ehdotuksessa. Asetuksen mukaisesti tietoturvan tulee olla sisäänrakennettuna (by default ja by design) prosesseihin ja työkaluihin, mikä on aivan keskeinen asia tämän lainsäädännön luomisessa, ja tulisi siksi vahvasti huomioida jatkovalmistelussa.

Oikeudelliselta kannalta on lisäksi ongelmallista, että ehdotuksessa on puutteellisesti analysoitu kansalaisten ja rekisteröityjen oikeuksien toteutumista EU:n tietosuoja-asetuksen mukaisesti. Kaiken viranomaisen toiminnan tulee perustua lakiin ja henkilötietoja käsiteltäessä luottamus ja lainmukaisuus ovat tärkeitä itseisarvoja.

Jatkovalmistelussa tulisi myös keskittyä määrittelyyn, joka koskee yksiselitteisen ja selkeän suostumuksen antamista näytteiden yhdistämiseksi muihin rekistereihin. Henkilöiden oikeuksien toteutumisen kannalta on olennaista, että he tietävät tarkalleen, mihin antavat suostumuksensa.

Tietojen anonymisointi mainitaan ehdotuksessa useassa kohdassa, mutta sen määritelmää tulisi kuitenkin tarkentaa: anonymisointi viittaa siihen, että henkilön tunnistamisen mahdollistavat tiedot on peruuttamattomasti poistettu (ks. esim. linkki). Teknologian ja analytiikkakeinojen kehittyessä myös identifiointikeinot uudistuvat, jolloin aiemmin anonymisoidusta datasta voi olla tulevaisuudessa mahdollista löytää tunnistetietoja.

Tärkeää olisi kiinnittää tässä vaiheessa huomiota myös maiden rajat ylittävään tietojen hyödyntämiseen. Datan jatkokäyttö ja yhdistely ovat vahvasti EU:n agendalla, ja näitä teemoja pyritään edistämään komission digitaalisia sisämarkkinoita koskevalla strategialla (5/2015) ja siihen liittyvillä komission ehdotuksilla. Tieteen edistämisen ja innovaatioiden syntymisen kannalta datan laajempi käyttö on avainasemassa, mutta samanaikaisesti on muistettava, että toiminnan tulee perustua luottamukseen, oikeudelliseen varmuuteen ja vahvaan tietoturvaan.

Sosiaali- ja terveysministeriön hankesivu

Lue CSC:n lausunto kokonaisuudessaan täältä