Sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (toisiolaki) muuttaminen

Hallituksen esityksen tavoitteena on mahdollistaa Suomessa kerättyjen sosiaali- ja terveydenhuollon rekisteritietojen käyttö kansainvälisessä tutkimusyhteistyössä. Toisiolain tietoturvallisille käyttöympäristöille asetettuja vaatimuksia muutettaisiin niin, että toisiolain ja Tietolupaviranomaisen asettamat vaatimukset olisi mahdollista täyttää myös kansainvälisiä standardeja ja menettelyjä noudattamalla. Tietoturvallisten käyttöympäristöjen vaatimustenmukaisuuden arviointeja voisivat esityksen mukaan tehdä Traficomin hyväksymien tietoturvallisuuden arviointilaitosten lisäksi akkreditoidut sertifiointielimet. Vaatimustenmukaisuutta valvoisi Sosiaali- ja terveysalan lupa- ja valvontavirasto (Valvira), joka antaisi tarkempia määräyksiä käyttöympäristöjen valvonnasta.  

Esityksen perusteella suomalaisten viranomaisten mahdollisuudet vaikuttaa toisiolain mukaisten tietojen käyttöympäristöjen arviointiin ja valvontaan samoin kuin niitä arvioivien toimijoiden ohjaamiseen ja valvontaan näyttäisivät heikkenevän samalla, kun tietojen käytöstä ihmisten oikeuksille ja vapauksille aiheutuvien riskien arvioitiin kasvavan.

Toisiolain tarkoittamissa tietoturvallisissa käyttöympäristöissä käsiteltävät tiedot koskevat ihmisten yksityisyyden ydinalueelle kuuluvia arkaluonteisia tietoja. Apulaisoikeuskansleri katsoi, että esityksessä oli syytä käsitellä ja arvioida muutoksen mahdollisesti ihmisten oikeuksille ja vapauksille aiheuttamia riskejä perusteellisemmin ja konkreettisemmin. Vasta sen jälkeen esitystä oli aidosti mahdollista arvioida perusoikeuksien suojan kannalta. 

Esityksessä oli lisäksi syytä käsitellä sitä, miten suomalaiset viranomaiset voisivat käytännössä varmistua sertifiointielinten ja ulkomailla sijaitsevien käyttöympäristöjen toiminnan lainmukaisuudesta ja asianmukaisuudesta. Esityksen täsmentäminen tältä osin oli perusteltua myös siksi, ettei käyttöympäristöjen vaatimuksenmukaisuutta valvovalle viranomaiselle asetettaisi velvoitteita, joita se ei käytännössä pystyisi toteuttamaan. 

Esitystä oli lisäksi syytä käsitellä siitä näkökulmasta, että hoitaisivatko muualla kuin Suomessa sijaitsevat sertifiointielimet toisiolaissa tarkoitettuja tehtäviä hoitaessaan julkisia hallintotehtäviä.