Tutkimuspäällikkö Marit Holmberg 1.2.2021:
Rekisteritietoihin perustuva tutkimuslupamenettely muuttuu 1.5.2022 Sosiaali- ja terveysalan tietolupaviranomaisen (Findata) määräyksen takia. (Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019) 18 - 34 §, 60 § 1 momentti)
https://finlex.fi/fi/laki/alkup/2019/20190552
Hyvinvointitoimialaa koskeva, rekisteritietoihin perustuva tutkimuslupaprosessi muuttuu sosiaali- ja terveysalan tietolupaviranomaisen (jäljempänä Findata) antaman määräyksen mukaiseksi. Findatan määräys perustuu lakiin sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019) 18 - 34 §, 60 § 1 momenttiin. Tätä määräystä sovelletaan kaikkiin niihin toisiolaissa säädettyihin käyttötarkoituksiin, joihin toisiolain mukaan tarvitaan tietolupa, kuten tieteellinen tutkimus, tilastointi, opetus sekä viranomaisen suunnittelu- ja selvitystehtävä. Tässä selvityksessä keskitytään tieteellisen tutkimuksen tutkimuslupamenettelyyn ja sen muutoksiin.
Tietoturvallisella käyttöympäristöllä varmistetaan toisiolain nojalla luovutettujen tietojen tietoturvallinen, luvan mukainen käsittely. Viranomainen (hyvinvointitoimiala) saa luovuttaa tietoaineistot hakijalle tai tutkijalle vain, jos käyttöympäristö täyttää toisiolain 20 §:n 2 momentissa ja 21–29 §:ssä säädetyt edellytykset. Tiedon tulee olla aggregoitua, ei tunnisteellista.
Henkilötietoja sisältävät rekisterit ja tietoturvallinen käyttöympäristö
Henkilötietoja sisältävät potilas- ja asiakastietojärjestelmät (Pegasos, Effica ja WinHit) eivät täytä tietoturvallisen käyttöympäristön kriteerejä. Tietoturvallisen käyttöympäristön kriteerit täyttyvät ainoastaan rekistereissä, jotka eivät sisällä henkilötietoja. Tätä kirjoittaessa Suomessa ainoa organisaatio, jolla on käytettävissään määräyksen mukainen tietoturvallinen käyttöympäristö sertifikaatteineen, on Findata. Tietoturvallisuuden arvioinnista säädetään toisiolain 26 §: ssä. Toisiolain mukaisesti yksilötasoisten aineistojen analysointi on 1.5.2022 lähtien sallittua ainoastaan määräyksen vaatimukset täyttävissä käyttöympäristöissä.
General Data Protection Regulation (EU: n yleinen tietosuoja-asetus GDPR) edellyttää, että EU-alueella tiedot liikkuvat vapaasti. Laki on kuitenkin laadittu siten, että tietoja käsitellään pääsääntöisesti sosiaali- ja terveysalan tietolupaviranomaisen/Findatan keskitetyssä tietoturvallisessa käyttöympäristössä, jonne käyttöoikeuden saavat vain käyttöluvan saaneet henkilöt. Vain poikkeustapauksessa tietoja voitaisiin luovuttaa luvansaajan osoittamaan muuhun, tietoturvalliseen käyttöympäristöön. Tietoja saisi tällöinkin käyttää vain siinä tarkoituksessa, jossa ne on luvansaajalle luovutettu.
Laissa on myös määritelty edellytykset tietoturvalliselle käyttöympäristölle, jossa tutkimusluvan saajat voivat käsitellä tietoja. Ensisijaisesti tiedot luovutetaan luvansaajalle käsiteltäväksi etäkäyttöyhteyden välityksellä siten, että tiedot säilyvät tietolupaviranomaisen/Findatan tietoturvallisessa käyttöympäristössä.
1.5. 2022 lähtien hyvinvointitoimialan palvelualueilla ei voida myöntää tutkimuslupaa tai käyttölupaa suoraan rekisteritietoihin tutkimustarkoitukseen (toisiokäyttöön) tai viranomaisen suunnittelu- tai selvitystehtäviin, kuten aikaisemmin on tehty. Tämä koskee myös Erva- tutkimuksia.
Jos toisiolain 44 §:n 3 momentissa tarkoitettu yksittäinen rekisterinpitäjä (hyvinvointitoimiala) on tehnyt omiin rekistereihinsä sisältyviä tietoja koskevan tietolupapäätöksen, sen tulee luovuttaa tietoaineisto luvansaajan käsiteltäväksi aina toisiolain 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön.
Findatan toissijaista käyttöä varten tuottamat palvelut
Rekisteritietojen toissijaista käyttöä varten Findata ylläpitää seuraavia toisiolain 6 §:ssä tarkoitettujen palveluita:
1) tietoaineistojen kuvaukset tukipalvelu; 2) neuvontapalvelu; 3) tietojen kokoamis-, yhdistämis- ja esikäsittelypalvelu; 4) tunnisteiden hallinnointipalvelu; 5) tietopyyntöjen hallintajärjestelmä; 6) tieto- turvallinen käyttöpalvelu; 7) tietoturvallinen käyttöympäristö
Tietolupaviranomainen vastaa aina toisiolain yllä mainituista 10 §:n 3–7 kohdassa tarkoitetuista palveluista, kun kyse on toisiolain 45 §:ssä tarkoitetusta tietopyynnöstä tai kun tietolupahakemus koskee:
1) usean rekisterinpitäjän tietoja
2) sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (159/2007), tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin (esim. Kanta-palvelut, 1.1.2021 alkaen) tallennettuja tietoja;
3) yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja.
Tietolupaviranomainen vastaa myös alla mainittujen organisaatioiden tieto/tutkimusluvista ja niissä olevien tietojen yhdistämisestä, jos kyseisiä tietoja yhdistetään toisiolain 6 §:n 1–8 kohdassa tarkoitettujen organisaatioiden tietoihin tai Kanta-palveluihin tallennettuihin tietoihin taikka yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoihin.
Findata vastaa tietoluvista ja tietopyynnöistä silloin, kun tietoja yhdistellään seuraavilta rekisterinpitäjiltä: Sosiaali- ja terveydenhuollon toimintayksiköt, Terveyden ja hyvinvoinnin laitos (ei koske tilastotarkoitukseen kerättyjä tietoja), Kansaneläkelaitos (etuudet ja reseptit), Kanta-palveluihin tallennetut tiedot, Eläketurvakeskus (työ- ja ansiotiedot, etuudet ja niiden perusteet), Sosiaali- ja terveysalan lupa- ja valvontavirasto, Lääkealan turvallisuus- ja kehittämiskeskus, Työterveyslaitos (työperäiset sairaudet ja altistumismittaukset), Aluehallintovirastot (sosiaali- ja terveydenhuoltoon liittyvät asiat), Digi- ja väestötietovirasto, (henkilön perustiedot, perhesuhteet, asuinpaikat ja rakennustiedot), Tilastokeskus siltä osin, kun tarvitaan kuolemansyyn selvittämisestä annetussa laissa tarkoitettuja tietoja.
Jos tietolupahakemus koskee vain yhden 6 §:n 1–8 kohdassa tarkoitetun organisaation henkilörekistereissä olevia tietoja, hyvinvointitoimiala voi organisaationa vastata itse kaikista toisiolain 10 §:n 1–4 kohdassa tarkoitetuista palveluista, kuitenkin vain siinä tapauksessa, että sillä on tarjota tutkijalle arviointilaitoksen sertifikaatilla varustettu tietoturvallinen käyttöympäristö.
Yllä luetellut organisaatiot, kuten hyvinvointitoimiala voivat kuitenkin ilmoittaa tietolupaviranomaiselle, että ne luopuvat ylläpitämästä muita kuin 10 §:n 1 ja 2 kohdassa tarkoitettuja palveluita (aineistojen kuvaukset ja neuvonta). Findata vastaa tällöin ilmoituksen tehneen organisaation henkilötietoja koskevista toisiolain 10 §:n 3–7 §:ssä tarkoitetuista tutkimuslupiin liittyvistä palveluista. Teknisesti ja juridisesti kyseessä on hyvinvointitoimialan/Turun kaupungin niin halutessa ilmoitusmenettelystä. Sopimusta ei tarvita, sillä tehtävä tulee suoraan laista.
Findata tarjoaa järjestelmän pitäjälle (hyvinvointitoimialalle) aineiston käytön osalta etäkäyttöjärjestelmän tutkijalle, neuvontapalvelua, tietojen kokoamis-, yhdistämis- ja esikäsittelypalvelua, tunnisteiden hallinnointipalvelua, tietopyyntöjen hallintajärjestelmän, tietoturvallisen käyttöpalvelun ja käyttöympäristön.
Mikäli kaupunginhallitus päättää siirtää rekisteritutkimuksiin perustuvat tutkimusluvat Findatan käsiteltäviksi, hyödyt ovat lain noudattamisen lisäksi mm. päällekkäisen neuvonnan, hallinnollisen käsittelyn ja hallinnoinnin säästöt. Palvelualueilla ajankäytön säästö hallintomenettelyn, neuvonnan ja ohjauksen osalta voidaan suunnata palvelujen tuottamiseen. Lupien käsittelypalvelu Findatassa rekisterinpitäjän (hyvinvointitoimialan) puolesta on maksuton. Findata (käytännössä tutkija) korvaa Turun kaupungille henkilöstökulut, toisin sanoen 2M-IT: n otannasta ilmoittamat laskennalliset kustannukset.
Otannan suorittaa 2M-IT, johon rekistereidemme pääkäyttäjät siirtyivät liikkeen luovutuksella. Hyvinvointitoimialan tekemä sopimus 2M-IT: n kanssa suoritettavista korvauksista, sisältää edellä mainitut otannat. Rekisterinpitäjänä hyvinvointitoimiala toimittaa Findatalle (2M-IT: n kautta) myöntämällään, sopimukseen kirjatulla valtuutuksella, luvan mukaisen aineiston tietoturvallista tiedonsiirtoväylää käyttäen. (Findata käyttää teknisenä alustana Nextcloud pilvipalvelua). Sopimus Turun hyvinvointitoimialan ja 2M-IT: n välillä (toistaiseksi voimassa oleva sopimus), sisältää pysyvän valtuutuksen tutkimushankkeiden otantaa (tietopyyntöjä) varten. Näin ollen Findata ei tarvitse myöntämänsä tietolupaa varten erillistä päätöstä Turun kaupungilta.
Vuonna 2020 anotuista n. 135: stä hakemuksesta, rekistereihin perustuvat tutkimusluvat muodostavat n. 25 % kaikista hyvinvointitoimialan tutkimuslupahakemuksista. Luvut sisältävät myös Erva- tutkimuslupahakemukset. Muut kuin rekistereihin perustuvat tutkimusluvat säilyvät hyvinvointitoimialan valmistelussa.
Kaikkiin tutkimuslupiin on suunnitteilla lupamaksu, jolla tutkimuslupaan liittyvät valmistelukustannukset voidaan periä tutkijalta. Kyseeseen tulee lähinnä tuntiveloitus siten, että vähimmäiskustannus olisi ensimmäisen tunnin suuruinen. Suurista kaupungeista näin menettelee mm. Espoo ja Vantaa. Maksuissa noudatetaan kunnassa kustannusvastaavuuden periaatetta. Kuntien maksut määrätään ja peritään siten kuin kuntalain nojalla säädetään. Kuntien on tietopyynnöissä otettava huomioon julkisuuslain 34 §:n maksusäännökset. Maksu määräytyy tutkimustietojen poimintaan ja aineiston käsittelyyn käytetyn työajan perusteella. Päätösehdotus lupamaksuista tuodaan valtuustoon erikseen. (Vertaa Turun kaupunginvaltuuston päätös 26.2.2018 § 38 asiakirjamaksuista)
Tällä hetkellä seuraavat rekisterinpitäjät ovat siirtäneet lupatoimivallan Findatalle: Terveyden ja hyvinvoinnin laitos THL, lukuun ottamatta sen sisäistä lupahallintaa, sen tilastoviranomaisena keräämiä tietoja sekä THL: n biopankkiin siirrettyjen näytteiden ja tietojen luovuttamisen lupahallintaa, Rauman kaupungin sosiaali- ja terveyslautakunta ja Porin kaupungin perusturva- lautakunta. Suurten kaupunkien osalta valmistelu on käynnissä. Tutkimuspäällikkö on laatuhankkeessa määritelty tutkimuslupaprosessien omistajaksi.
Kuva lupaprosesseista on seuraavalla sivulla. Linkki Findatan webinaariaineistoon
https://thl.fi/documents/10531/2935965/2020-06-09-findata-laaturekisterit-yhteiswebinaari.pdf/6c37a2e0-2f89-f6e7-a6eb-a862aa79f7d8?t=1591788679271 ja Findatan sivustoille https://www.findata.fi/
REKISTERITUTKIMUKSIIN LIITTYVÄ TUTKIMUSLUPAPROSESSI
Tutkimuspäällikkö Hallinto, 2M-IT |
Hyvinvointitoimiala Palvelualue |
Findata
|
NYKYINEN TUTKIMUSLUPAPROSESSI
Yhteydenotto Hytoon, lomakkeet ja ohjeet tutkijalle | Lupa-anomus saapuu, lisäselvi-tyspyynnöt tutkijalle | Lakisäät. salassapidet. ja eettinen toimikunta | Tutk.pääll. allekirjoittaa hakemuksen osaltaan | Lausuntopyyntö kohteena olevalta yksiköltä | Lupa läh. palvelualue- johtajalle päätettäväksi |
Anomus saapuu palvelualueelle | Palv.aluejohtajan valmistelu päätöstä varten | Sihteeri- valmistelu päätöstä varten | Palv. aluejoht. allekirjoittaa päätöksen | Päätös viedään Joutsen järj. ja läh. asian- osaisille (sihteeri) | Tutkijan opastus ja otannan suorittaminen 2M-IT (Salakoski) |
UUSI TUTKIMUSLUPAPROSESSI
Tutkijan yhteydenotto Findataan ohjeet ja neuvonta tutkijalle | Lupa-anomus saapuu Findataan Lisäselvityspyynnöt | Lupa-anomus saapuu Hytoon, lähetys 2M-IT: lle kustannus selvi- tystä varten | Kust. selvitys saapuu Hytoon 2M-IT: ltä ja lähetetään Findataan
| Findata informoi tutkijaa hinnasta | Tutkija ilmoittaa joko hinnan hyväksymisestä tai hylkäämisestä Findataan |
Findata tekee tietolupa- päätöksen tutkijalle | Tieto tutkimuksen toteutuksesta saapuu Hytoon ja siitä tieto alueelle | Aineistopoiminta 2M-IT: n otanta lähetys Findataan tietoturvallisesti | Findata Pseudonymisoi tai anomymisoi tiedot ja luovuttaa ne tietoturvalliseen käyttöympäristöön | Findata arkistoi tiedot ja mahdollistaa vertaisarvioinnin |
Hyvinvointitoimiala laskuttaa Findataa otannasta ja henkilöstökustannuksista |
Seikkaperäinen prosessikuvauskuvaus Findatan osuudesta sisältyy määräykseen.
|
Findatan lupaprosessi
