Riksdagens svar
RSv
303
2018 rd
Riksdagen
Regeringens proposition till riksdagen med förslag till lag om sekundär användning av personuppgifter inom social- och hälsovården och till vissa lagar som har samband med den
RP 159/2017 rd
ShUB 37/2018 rd
Ärende
Regeringens proposition till riksdagen med förslag till lag om sekundär användning av personuppgifter inom social- och hälsovården och till vissa lagar som har samband med den (RP 159/2017 rd). 
Beredning i utskott
Utskottets betänkande: Social- och hälsovårdsutskottet (ShUB 37/2018 rd). 
Beslut
Riksdagen har antagit följande lagar: 
Lag 
om sekundär användning av personuppgifter inom social- och hälsovården 
I enlighet med riksdagens beslut föreskrivs: 
1 kap. 
Allmänna bestämmelser 
1 § 
Lagens syfte 
Lagens syfte är att möjliggöra en effektiv och informationssäker behandling av personuppgifter som har registrerats i social- och hälsovårdsverksamhet och för styrnings-, tillsyns-, forsknings- och statistikändamål inom social- och hälsovården samt en samkörning av dessa personuppgifter med Folkpensionsanstaltens, Befolkningsregistercentralens, Statistikcentralens och Pensionsskyddscentralens personuppgifter. 
Lagens syfte är dessutom att trygga skyddet för individens tillitsskydd samt rättigheter och friheter vid behandlingen av personuppgifter. 
2 § 
Tillämpningsområde 
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, när personuppgifter som avses i 1 §, trots att de inte ursprungligen har registrerats för ändamålen, behandlas för följande användningsändamål: 
1) statistikföring, 
2) vetenskaplig forskning, 
3) utvecklings- och innovationsverksamhet, 
4) undervisning, 
5) informationsledning, 
6) myndighetsstyrning och myndighetstillsyn inom social- och hälsovården, samt 
7) myndigheternas planerings- och utredningsuppgifter. 
Bestämmelser om organisationer vars uppgifter får behandlas i enlighet med 1 mom. samt om inskränkningar i behandlingen av uppgifter finns i 6 och 7 §. 
Bestämmelser om grunder för utlämnande personuppgifter och om mottagarens rätt att behandla de utlämnade personuppgifterna för sådana ändamål som avses i 1 mom. finns i 4 och 5 kap. 
3 § 
Definitioner 
I denna lag avses med 
1) kunduppgifter personuppgifter enligt artikel 4.1 i dataskyddsförordningen som enligt lag är sekretessbelagda och som har registrerats i ett kundregister i en kundrelation inom social- och hälsovården eller vid förmånshandläggning eller i ett administrativt register i anknytning till en kundrelation, 
2) primärt användningsändamål för personuppgifter det användningsändamål för vilket personuppgifterna ursprungligen har registrerats, 
3) sekundärt användningsändamål för personuppgifter behandling av personuppgifter för något annat användningsändamål än det primära användningsändamål som avses i 2 punkten, 
4) utvecklings- och innovationsverksamhet tillämpning och användning av tekniska uppgifter och affärsinformation och annan befintlig kunskap tillsammans med personuppgifter som avses i denna lag i syfte att utveckla nya eller avsevärt förbättrade produkter, processer eller tjänster, 
5) informationsledning behandling av information till stöd för tjänstetillhandahållare vid styrning, ledning och beslutsfattande i fråga om verksamhet, produktion och ekonomi i kund-, service- och produktionsprocesser, 
6) myndighetsstyrning inom social- och hälsovården de nationella social- och hälsovårdsmyndigheternas lagstadgade styrning av aktörer inom branschen baserad på person- och statistikuppgifter som samlats in för ändamålet eller på uppgifter som i ett enskilt fall har erhållits för styrnings- eller tillsynsuppgiften, 
7) myndighetstillsyn inom social- och hälsovården de nationella social- och hälsovårdsmyndigheternas lagstadgade tillsyn över yrkesutbildade personer och verksamhetsenheter inom social- och hälsovården, 
8) dataanvändningstillstånd tillstånd enligt denna lag att behandla de sekretessbelagda personuppgifter som anges i tillståndet för det användningsändamål som avses i tillståndet, 
9) begäran om information en begäran om att få aggregerade statistiska uppgifter som tagits fram utifrån personuppgifter som avses i denna lag för ett användningsändamål enligt denna lag, 
10) informationssäker drifttjänst en informationssäker lösning via vilken parterna kan lämna ut och ta emot uppgifter som omfattas av användningsbegränsningar, 
11) informationssäker driftmiljö en teknisk, organisatorisk och fysisk driftmiljö för behandling av uppgifter där informationssäkerheten har säkerställts genom lämpliga administrativa och tekniska åtgärder, 
12) hanteringssystem för begäranden om information ett system via vilket den som ansöker om dataanvändningstillstånd eller den som på annat sätt begär information med stöd av denna lag lämnar in en ansökan om dataanvändningstillstånd eller en begäran om information enligt denna lag med bilagor till myndigheten och i vilket ett beslut om dataanvändningstillstånd eller om begäran om information delges den sökande, 
13) tjänstetillhandahållare en myndighet som ordnar, producerar eller lämnar socialvård eller hälso- och sjukvård eller socialvårdstjänster eller hälso- och sjukvårdstjänster eller en sådan producent av privat service som avses i lagen om privat socialservice (922/2011) eller i lagen om privat hälso- och sjukvård (152/1990), 
14) serviceanordnare en tillhandahållare av social- och hälsovårdstjänster som
a) i egenskap av myndighet är skyldig att se till att kunden får sådana tjänster eller förmåner som kunden har rätt till enligt lag eller ett myndighetsbeslut, eller
b) i egenskap av privat tjänstetillhandahållare är skyldig att se till att en kund som köper en tjänst privat får sådana tjänster som kunden har rätt till enligt konsumentskyddsbestämmelserna,
 
15) tjänsteproducent en tjänstetillhandahållare som enligt ett avtal med en serviceanordnare eller annars för en serviceanordnares räkning producerar social- eller hälsovårdstjänster, 
16) tjänsteleverantör en aktör som tillhandahåller kunderna tjänster som syftar till en informationssäker driftmiljö, 
17) plan för användning av uppgifter en forskningsplan, projektplan eller motsvarande plan av vilken framgår användningsändamålet för de uppgifter som avses i tillståndsansökan, den personuppgiftsansvarige och personuppgiftsbiträdena, den rättsliga grunden för behandlingen samt väsentliga omständigheter som gäller dataskydd och informationssäkerhet vid behandlingen av uppgifterna och som omfattar uppgifternas hela livscykel inklusive bevaring och förstöring eller arkivering av uppgifterna, 
18) aggregerade statistiska uppgifter statistisk information som anonymiserats på ett tillförlitligt sätt, 
19) färdigt datamaterial en materialhelhet som Tillståndsmyndigheten för social- och hälsovårdsuppgifter som avses i 4 § har sammanställt av uppgifter från en eller flera organisationer och samkört till ett enda material eller lagrat så att det finns en enhetlig kod för identifierarna för materialet, 
20) bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar och myndigheter som Transport- och kommunikationsverket med stöd av lagen om bedömningsorgan för informationssäkerhet (1405/2011) har godkänt att utföra bedömningar av om informationssystem överensstämmer med kraven i fråga om informationssäkerhet. 
2 kap. 
Myndigheter och organisationer 
4 § 
Tillståndsmyndigheten för användning av social- och hälsovårdsdata 
Den i denna lag avsedda Tillståndsmyndigheten för användning av social- och hälsovårdsdata (Tillståndsmyndigheten) finns i anslutning till Institutet för hälsa och välfärd. För de uppgifter som föreskrivs för Tillståndsmyndigheten svarar vid institutet en självständig enhet som har avskilts från de uppgifter som anges i 2 § i lagen om Institutet för hälsa och välfärd (668/2008). 
Tillståndsmyndigheten omfattas av social- och hälsovårdsministeriets resultatstyrning och har en separat direktör utnämnd av social- och hälsovårdsministeriet och en av ministeriet tillsatt styrgrupp. 
5 § 
Tillståndsmyndighetens uppgifter 
Tillståndsmyndigheten fattar beslut om dataanvändningstillstånd som gäller andra personuppgiftsansvarigas material och beslutar om en begäran om information enligt 45 § överensstämmer med denna lag samt svarar för insamling, samkörning, förbehandling och utlämnande av uppgifter med stöd av dess beslut för sekundär användning enligt denna lag. Tillståndsmyndigheten får även för ett användningsändamål enligt denna lag på begäran om information samla in personuppgifter från olika personuppgiftsansvariga och genom att samköra dem producera anonym information åt den som framställt begäran. 
Tillståndsmyndigheten driver ett hanteringssystem för begäranden om information för förmedling och behandling av begäranden om information och tillståndsansökningar samt en informationssäker drifttjänst för mottagande och utlämnande av personuppgifter. Tillståndsmyndigheten förvaltar även en informationssäker driftmiljö där tillståndshavaren kan behandla de personuppgifter som lämnats ut med stöd av ett dataanvändningstillstånd. 
Tillståndsmyndigheten övervakar att villkoren för det beviljade tillståndet iakttas. Den får återkalla ett dataanvändningstillstånd, om tillståndshavaren inte iakttar lagen eller bryter mot villkoren i tillståndet. 
Tillståndsmyndigheten svarar på det sätt som anges i 52 § för anonymiseringen av de personuppgifter som de publicerade resultaten bygger på. 
6 § 
Myndigheter och organisationer som svarar för tjänster samt begränsningar i fråga om datamaterial 
Bestämmelser om tjänster som behövs för behandling av kunduppgifter inom social- och hälsovården samt av andra sådana personuppgifter som avses i denna lag och som ska samköras med kunduppgifterna för användningsändamål enligt 2 § finns i 3 kap. Ansvaret för produktionen av dessa tjänster ligger på Tillståndsmyndigheten och på följande myndigheter och organisationer: 
1) social- och hälsovårdsministeriet, 
2) Institutet för hälsa och välfärd, med undantag för de uppgifter som det  i  egenskap  av statistikmyndighet samlat in för statistiska ändamål, 
3) Folkpensionsanstalten till den del det för ändamål enligt denna lag behövs personuppgifter som registrerats i en kundrelation i samband med förmånsbehandling samt uppgifter om recept och anknytande receptexpedieringar vid det receptcenter som avses i 3 § 4 punkten i lagen om elektroniska recept (61/2007) och i det receptarkiv som avses i 3 § 5 punkten i den lagen, 
4) Tillstånds- och tillsynsverket för social- och hälsovården, 
5) regionförvaltningsverken till den del de behandlar ärenden med anknytning till social- och hälsovården, 
6) Arbetshälsoinstitutet till den del det för ändamål enligt denna lag behövs uppgifter ur registren över arbetsrelaterade sjukdomar och exponeringsmätningar och ur institutets patientregister, 
7) Säkerhets- och utvecklingscentret för läkemedelsområdet, 
8) offentliga serviceanordnare inom social- och hälsovården, 
9) Statistikcentralen till den del det för ändamål enligt denna lag behövs sådana uppgifter som avses i lagen om utredande av dödsorsak (459/1973), 
10) Pensionsskyddscentralen till den del det för ändamål enligt denna lag behövs nödvändiga personuppgifter ur Pensionsskyddscentralens register om de försäkrades arbets- och förvärvsuppgifter samt om beviljade förmåner och grunderna för dem, inbegripet diagnoser för invalidpensioner och sjukpensioner som registrerats vid verkställigheten av arbetspensionsskyddet, och 
11) Befolkningsregistercentralen till den del det för ändamål enligt denna lag behövs basuppgifter om personer, uppgifter om personers familjeförhållanden och bostadsort samt byggnadsuppgifter ur befolkningsdatasystemet. 
7 § 
Undantag som gäller behandling av statistikmyndigheters uppgifter 
Statistikcentralen samt Institutet för hälsa och välfärd i egenskap av statistikmyndighet (statistikmyndigheter) svarar för dataanvändningstillstånd för uppgifter som de i egenskap av statistikmyndigheter för statistiska ändamål samlat in för vetenskaplig forskning och för att uppgifter som hänför sig till en och samma forskningsplan samkörs med deras egna uppgifter samt för pseudonymisering eller anonymisering av uppgifterna i enlighet med statistiklagen (280/2004). En tillståndsansökan som gäller andra uppgifter som avses i denna lag och uppgifter som statistikmyndigheterna samlat in för statistiska ändamål lämnas till Statistikcentralen och Institutet för hälsa och välfärd via det hanteringssystem för begäranden om information som avses i 16 §. Även kontakterna till den tillståndssökande vid behandlingen av en tillståndsansökan och delgivningen av beslutet sker via hanteringssystemet. 
Bestämmelser om utlämnande av uppgifter till uppgifter enligt denna lag som sammanslagits i enlighet med statistiklagen finns i 51 § 4 mom. 
8 § 
Styrning av Tillståndsmyndighetens verksamhet och utvecklande av samarbetet mellan de personuppgiftsansvariga 
För styrning av verksamheten vid Tillståndsmyndigheten och utvecklande av den gemensamma verksamheten mellan organisationer som svarar för tjänster tillsätter social- och hälsovårdsministeriet för en treårsperiod en styrgrupp för Tillståndsmyndigheten samt utser en ordförande för styrgruppen. Till ledamöter i styrgruppen utser social- och hälsovårdsministeriet 
1) sex företrädare enligt förslag från de organisationer och myndigheter som anges i 6 §, 
2) en ledamot som företräder kommunerna som anordnare av social- och hälsovårdstjänster, 
3) utifrån Kommunförbundets förslag en ledamot som företräder kommunerna som anordnare av förebyggande social- och hälsovård, 
4) en ledamot som företräder privata anordnare av social- och hälsovårdstjänster. 
Styrgruppen har till uppgift att behandla och hos Institutet för hälsa och välfärd och social- och hälsovårdsministeriet göra en framställning om 
1) Tillståndsmyndighetens årliga verksamhetsplan och anknytande budget, 
2) verksamhetsberättelsen och bokslutet till den del de gäller Tillståndsmyndigheten, 
3) det gemensamma utvecklandet av de personuppgiftsansvarigas verksamhet och de resurser som ska anvisas för detta, 
4) resurser som ska anvisas varje aktör för utvecklande av informationssystemen och samarbetet. 
Styrgruppen ger akt på hur Tillståndsmyndighetens verksamhet och tjänster fungerar och på hur tidsfristerna enligt 47 och 48 § följs när det gäller tillståndsbehandling respektive utlämnande av uppgifter. Styrgruppen kan dessutom 
1) ställa målmätare för Tillståndsmyndighetens verksamhetsprocesser och starta externa revisioner av dem, 
2) vid behov lägga fram förslag till utveckling av Tillståndsmyndighetens verksamhet för Institutet för hälsa och välfärd och social- och hälsovårdsministeriet, och  
3) tillsätta expertgrupper som stöder Tillståndsmyndighetens verksamhet. 
Social- och hälsovårdsministeriet ska utse en expertgrupp på hög nivå för Tillståndsmyndigheten. Gruppen har i uppgift att ta fram principiella riktlinjer för anonymisering, dataskydd och informationssäkerhet för myndighetens verksamhet. Expertgruppen ska ha en expert på artificiell intelligens, dataanalys, informationssäkerhet, dataskydd, sektorsforskning, statistik respektive statistikväsendet och en företrädare för Tillståndsmyndigheten. Närmare bestämmelser om expertgruppens uppgifter, antalet medlemmar och behörighetsvillkoren för dem får utfärdas genom förordning av social- och hälsovårdsministeriet.  
9 § 
Möjlighet att bilda aktiebolag 
Social- och hälsovårdsministeriet får ensamt eller tillsammans med en eller flera organisationer som avses i 6 §, undervisnings- och kulturministeriet, arbets- och näringsministeriet eller finansministeriet bilda ett aktiebolag som verkar under Tillståndsmyndigheten. Bolaget ägs och förvaltas av staten. För ägarstyrningen av bolaget och förvaltningen av dess aktier svarar social- och hälsovårdsministeriet. Syftet med bolagets verksamhet är inte att bereda vinst. 
Bolaget kan ges uppgifter i anknytning till de tjänster som avses i 10 § 3—7 punkten. Närmare bestämmelser om bolagets uppgifter får utfärdas genom förordning av statsrådet. 
Institutet för hälsa och välfärd eller Tillståndsmyndigheten kan producera administrativa tjänster och andra stödtjänster för aktiebolaget mot ersättning till marknadspris. 
Bolaget ska på begäran lämna social- och hälsovårdsministeriet de uppgifter som behövs för att bolaget ska kunna styras och övervakas. På bolagets handlingar tillämpas vad som i lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, föreskrivs om myndighetshandlingar. Beslut om att en bolagshandling inte lämnas ut till den som begär det ska fattas av Tillståndsmyndigheten i enlighet med 4 kap. i offentlighetslagen. 
För bolagets verksamhet kan det beviljas statsunderstöd inom ramen för de anslag som tas in i statsbudgeten. Bestämmelser om statsunderstöd finns i statsunderstödslagen (688/2001). 
På personer som är anställda hos bolaget och på ledamöter i bolagets styrelse tillämpas bestämmelserna om straffrättsligt tjänsteansvar. 
3 kap. 
Tjänster som möjliggör sekundär användning 
Informationstjänster 
10 § 
Tjänster som organisationer producerar för sekundär användning 
För sekundär användning av registeruppgifter tillhandahålls följande tjänster producerade av de organisationer som avses i 6 §: 
1) beskrivningar av datamaterial, 
2) rådgivningstjänst, 
3) tjänst för insamling, samkörning och förbehandling av uppgifter, 
4) tjänst för administrering av identifierare, 
5) hanteringssystem för begäranden om information, 
6) informationssäker drifttjänst, 
7) informationssäker driftmiljö. 
11 § 
Organisationernas ansvar för tjänsterna 
Tillståndsmyndigheten svarar alltid för de tjänster som avses i 10 § 3—7 punkten när det är fråga om en begäran om information enligt 45 § eller när en ansökan om dataanvändningstillstånd gäller 
1) personregister som förs av flera personuppgiftsansvariga enligt 6 §, 
2) uppgifter som registrerats i de riksomfattande informationssystemtjänster (Kanta-tjänster) som avses i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007), nedan klientuppgiftslagen, eller 
3) registeruppgifter hos en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården. 
Tillståndsmyndigheten svarar dock för tjänster som gäller uppgifter hos Pensionsskyddscentralen, Befolkningsregistercentralen och Statistikcentralen endast om uppgifterna samkörs med uppgifter som innehas av de organisationer som avses i 6 § 1—8 punkten, med uppgifter som är registrerade i Kanta-tjänsterna eller med registeruppgifter hos en privat serviceanordnare inom socialvården eller hälso- och sjukvården.  
Om en ansökan om dataanvändningstillstånd gäller uppgifter i personregister hos endast en av de organisationer som avses i 6 § 1—8 punkten, svarar organisationen själv för alla de tjänster som avses i 10 § 1—4 punkten. De organisationerna kan emellertid underrätta Tillståndsmyndigheten att de avstår från att tillhandahålla andra tjänster än de som avses i 10 § 1 och 2 punkten. I så fall svarar Tillståndsmyndigheten för den anmälande organisationens tjänster avseende personuppgifter enligt 10 § 3—7 punkten. 
12 § 
Beskrivningar av datamaterial 
De organisationer som avses i 6 § ska som personuppgiftsansvariga göra upp materialbeskrivningar av datainnehållet i sina datalager så att det på basis av dem är möjligt att bedöma om registeruppgifterna lämpar sig för de ändamål som anges i 2 §. Tillståndsmyndigheten ska göra upp materialbeskrivningar över sina i 14 § 5 mom. avsedda färdiga datamaterial. 
Tillståndsmyndigheten meddelar närmare föreskrifter om materialbeskrivningarnas datainnehåll, begrepp och datastrukturer. Innan föreskrifterna meddelas ska Tillståndsmyndigheten höra organisationerna i fråga. 
Bestämmelser om när de skyldigheter som föreskrivs i 1 mom. börjar tillämpas utfärdas genom förordning av social- och hälsovårdsministeriet. 
13 § 
Rådgivningstjänster 
En personuppgiftsansvarig enligt 6 § ska ordna en rådgivningstjänst för sina egna registeruppgifter som avses i den paragrafen så att de som behöver uppgifterna för ändamål som avses i 2 § får tillräcklig information om de tillgängliga registrens datainnehåll och huruvida registeruppgifterna lämpar sig för det aktuella informationsbehovet. 
Utöver vad som föreskrivs i 1 mom. ska Tillståndsmyndigheten ordna en rådgivningstjänst som avser förutsättningarna för beviljande av dataanvändningstillstånd, förutsättningarna för godkännande av begäran om information, innehållet i och betydelsen av de tjänster som avses i 10 § samt de färdiga datamaterial som avses i 14 § 5 mom. 
14 § 
Tjänst för insamling, samkörning och förbehandling av uppgifter 
När Tillståndsmyndigheten har beviljat ett dataanvändningstillstånd enligt 44 § eller beslutat bifalla en begäran om information enligt 45 § ska den samla in, samköra och förbehandla och vid behov pseudonymisera eller anonymisera materialet för behandling av tillståndshavaren eller producera de aggregerade statistiska uppgifter som avses i begäran om information i enlighet med beslutet. 
När dataanvändningstillståndet har beviljats av en enskild personuppgiftsansvarig enligt 6 §      1—8 punkten i fråga om uppgifter i dennes egna register ska den producera materialet enligt tillståndet för behandling av tillståndshavaren. Om materialet emellertid enligt tillståndet lämnas ut i anonymiserad form ska den personuppgiftsansvarige ge in tillståndet och det tillhörande datamaterialet till Tillståndsmyndigheten för samkörning, förbehandling och anonymisering.  
Tillståndsmyndigheten ska bevara en beskrivning av hur datamaterial och aggregerade statistiska uppgifter som den lämnat ut bildats, av de pseudonymiserings- och anonymiseringsmetoder den använt och av det utlämnade slutresultatet. 
Om personuppgifter med stöd av flera olika planer för användning av uppgifter lämnas ut i pseudonymiserad form, ska uppgifterna pseudonymiseras med olika identifierare för varje utlämnande. 
Tillståndsmyndigheten får utforma färdiga datamaterial av uppgifter hos de myndigheter och organisationer som avses i 6 §. Tillståndsmyndigheten får senare plocka ut de uppgifter som behövs för beviljande av dataanvändningstillstånd och som avses i ett beviljat dataanvändningstillstånd eller i ett beslut med anledning av en begäran om information ur de färdiga datamaterialen.  
15 § 
Tjänst för administrering av identifierare 
Den myndighet som beviljat dataanvändningstillstånd förvarar identifierarna för pseudonymiserat material på ett informationssäkert sätt så att materialet vid behov kan göras identifierbart och att detta samma material med hjälp av identifierarna kan produceras på nytt. 
Myndigheten ska förvara identifierarna så länge de behövs för forskning och för säkerställande av ändamålsenliga forskningsresultat. 
Informationssystemtjänster som verksamheten förutsätter och garanterande av deras säkerhet 
16 § 
Hanteringssystem för begäranden om information 
Tillståndsmyndigheten driver ensam eller tillsammans med andra myndigheter ett system för hantering av begäranden om information, via vilket en ansökan om dataanvändningstillstånd eller en begäran om information enligt denna lag ska lämnas till Tillståndsmyndigheten. 
Utredningar och kompletteringar som Tillståndsmyndigheten begär för att kunna behandla ansökan samt de utredningar, kompletteringar och ändringar i ansökan som sökanden lämnar in till Tillståndsmyndigheten förmedlas via hanteringssystemet. Tillståndsbeslutet delges sökanden via hanteringsystemet. 
Om användningsändamålet enligt lag förutsätter en etisk förhandsgranskning av planen för användning av uppgifterna, inleds även en etisk granskning och lämnas ett utlåtande via hanteringssystemet. 
17 § 
Informationssäker drifttjänst 
Tillståndsmyndigheten driver en informationssäker drifttjänst att användas vid utlämnande av de uppgifter som behövs vid behandlingen av en ansökan om dataanvändningstillstånd eller i begäran om information samt av uppgifter som avses i ett beviljat dataanvändningstillstånd. Via drifttjänsten får personuppgifter, under de förutsättningar som anges i denna lag, lämnas mellan Tillståndsmyndigheten och övriga myndigheter som anges i 6 §, mellan Tillståndsmyndigheten och privata tillhandahållare av social- och hälsovårdstjänster samt mellan den som ansöker om tillstånd och Tillståndsmyndigheten. 
När personuppgifter förmedlas via den informationssäkra drifttjänsten ska deras integritet och ursprung säkerställas med en elektronisk underskrift. Integritet och ursprung hos uppgifter som sänds av en organisation och informationsteknisk utrustning ska säkerställas genom användning av teknik med motsvarande tillförlitlighet som vid elektronisk signering som görs av en fysisk person. Användare av den informationssäkra drifttjänsten måste vara starkt identifierade när personuppgifter lämnas ut till dem. Bestämmelser om avancerad elektronisk underskrift och stark elektronisk identifiering finns i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG och i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009). 
Tillståndsmyndigheten ska skapa de gränssnitt som behövs för drifttjänstens interoperabilitet och sörja för att dataöverföringen kan göras med hjälp av allmänt använda tekniker. 
18 § 
Allmänna informationssäkerhetskrav 
När personuppgifter behandlas med stöd av denna lag ska en tillräcklig informationssäkerhet för behandlingen säkerställas genom riskhantering, åtkomsthantering, aktiv övervakning och genom iakttagande av föreskrifter och anvisningar från den myndighet som svarar för förverkligandet och övervakningen av informationssäkerhet och dataskydd. Särskild uppmärksamhet ska fästas vid att användningsbegränsningar och sekretessplikten iakttas. 
19 § 
Logguppgifter 
När personuppgifter behandlas för tillståndsprövning, beslutsfattande eller utlämnande av uppgifter enligt denna lag ska logguppgifter samlas in som följer: 
1) Tillståndsmyndigheten och en organisation som avses i 6 § ska i användningslogguppgifterna registrera uppgifter om den organisation vars uppgifter används, den som har använt uppgifterna, de uppgifter och uppgiftsgrupper som har behandlats, användningsändamålet för uppgifterna, identifierare för en ansökan om dataanvändningstillstånd eller en begäran om information och användningstidpunkten, och 
2) Tillståndsmyndigheten, en privat tillhandahållare av social- och hälsovårdstjänster och en organisation som avses i 6 § ska i utlämningslogguppgifterna registrera uppgifter om den utlämnande organisationen, den som lämnat ut uppgifterna, utlämningsändamålet enligt 2 §, identifierare för en ansökan om dataanvändningstillstånd eller en begäran om information, mottagaren och utlämningstidpunkten. 
Den som behandlar personuppgifter med stöd av ett dataanvändningstillstånd enligt denna lag ska i användningslogguppgifterna registrera information om den personuppgiftsansvarige som fått dataanvändningstillstånd, användningsändamålet enligt 2 §, dataanvändningstillstånd som ger rätt till behandling, användare som är berättigad att behandla uppgifterna enligt dataanvändningstillståndet, de uppgifter och uppgiftsgrupper som har behandlats samt användningstidpunkten. 
När en tjänstetillhandahållare behandlar personuppgifter i sina personregister och informationsledning är användningsändamålet ska denne i användningslogguppgifterna registrera information om vilka personuppgifter som använts, vem som har använt uppgifterna, användningsändamålet och användningstidpunkten. 
Logguppgifterna ska förstöras eller arkiveras tolv år efter det att dataanvändningstillståndet upphört att gälla eller den behandling som avses i 3 mom. har upphört. 
Tillståndsmyndigheten kan meddela närmare föreskrifter om de uppgifter som ska registreras i loggregistren och om deras datainnehåll. 
20 § 
Informationssäker driftmiljö 
Tillståndsmyndigheten ska ensam eller tillsammans med andra myndigheter förvalta en informationssäker driftmiljö som gör det möjligt att garantera en informationssäker, tillståndsenlig behandling av uppgifter som Tillståndsmyndigheten eller någon annan myndighet som avses i denna lag lämnat ut med stöd av denna lag. 
Behandlingen ska vara tekniskt möjlig att genomföra på olika sätt och driftmiljön ska vara tillgänglig från olika platser. Tillståndsmyndigheten ska bedöma hur känsliga de uppgifter som lämnas ut är och beakta detta i de krav som i beslutet om dataanvändningstillstånd ska ställas på användning av den informationssäkra driftmiljön. 
Om ansökan om dataanvändningstillstånd innehåller en begäran om att datamaterial ska lämnas ut för behandling i en annan miljö än den som avses i 1 mom., ska det i ansökan särskilt motiveras varför detta är nödvändigt. Tillståndsmyndigheten eller någon annan myndighet som avses i denna lag får då lämna ut uppgifter till sökanden endast om driftmiljön uppfyller villkoren i 2 mom. och i 21—29 §. 
21 § 
Identifiering av användare i informationssäkra driftmiljöer 
Användarna i en informationssäker driftmiljö ska identifieras på ett tillförlitligt sätt och verifieras. 
Närmare bestämmelser om de tekniska identifierings- och verifieringsmedlen får utfärdas genom förordning av social- och hälsovårdsministeriet. 
22 § 
Åtkomsträttigheter för användare i informationssäkra driftmiljöer 
Tjänsteleverantören ska specificera åtkomsträttigheterna till personuppgifter för tillståndshavaren och andra personer som behandlar personuppgifter i driftmiljön. Tillståndshavaren ges åtkomsträttighet till personuppgifter enligt dataanvändningstillståndet. Andra personer som behandlar personuppgifter i en driftmiljö beviljas åtkomsträttigheter till sådana nödvändiga personuppgifter som de behöver i sina arbetsuppgifter. 
Tjänsteleverantören ska föra register över användarna i den informationssäkra driftmiljön och deras åtkomsträttigheter. Uppgifter om åtkomsträttigheter för användarna i driftmiljön ska förstöras eller arkiveras tolv år efter det att åtkomsträtten upphört att gälla. 
Tillståndsmyndigheten meddelar föreskrifter om de grunder enligt vilka tjänsteleverantören ska specificera tillståndshavarens åtkomsträttigheter till kunduppgifterna. 
23 § 
Skydd för informationssäkra driftmiljöer 
En informationssäker driftmiljö ska skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet enligt vad som föreskrivs i 36 § i offentlighetslagen och i den statsrådsförordning som utfärdats med stöd av 1 mom. i den paragrafen. 
Driftmiljön ska i enlighet med 19 § möjliggöra insamling av logguppgifter om användningen av utlämnade uppgifter för uppföljning och tillsyn. 
24 § 
Minimikrav på informationssäkra driftmiljöer 
Informationssäkra driftmiljöer ska uppfylla kraven på informationssäkerhet och interoperabel informationsöverföring som bygger på myndigheternas föreskrifter, rekommendationer och de standarder som enligt dessa lämpar sig för en informationssäker driftmiljö. 
Tillståndsmyndigheten meddelar närmare föreskrifter om de krav som ska ställas på andra tjänsteleverantörers informationssäkra driftmiljöer. Kraven ska förutsätta informationssäkerhet på motsvarande nivå som i Tillståndsmyndighetens egen driftmiljö. 
25 § 
Påvisande av informationssäkerhet i en informationssäker driftmiljö 
Informationssäkerheten i driftmiljön ska påvisas genom ett i 26 § avsett intyg från ett bedömningsorgan för informationssäkerhet. 
Tillståndsmyndigheten får meddela närmare föreskrifter om de förfaranden som ska iakttas vid påvisande av informationssäkerhet. 
26 § 
Bedömning av informationssäkerhet 
Ett bedömningsorgan för informationssäkerhet bedömer i enlighet med denna lag och lagen om bedömningsorgan för informationssäkerhet, på ansökan av tjänsteleverantören om driftmiljön uppfyller kraven på informationssäkerhet. Som bedömningskriterier ska användas föreskrifter om kraven på en säker driftmiljö från Tillståndsmyndigheten. 
Om driftmiljön uppfyller informationssäkerhetskraven enligt denna lag, ska bedömningsorganet för informationssäkerhet ge tjänsteleverantören ett intyg över sin bedömning och en anknytande kontrollrapport. Om bedömningen eller en förnyad bedömning gäller endast en del av driftmiljön, ska det i bedömningsorganets intyg tydligt antecknas vilken del av driftmiljön som har bedömts. 
Bedömningsorganets intyg är i kraft högst fem år. Bedömningsorganet för informationssäkerhet kan av tjänsteleverantören kräva alla de uppgifter som förutsätts för bedömningen och för uppgörandet och upprätthållandet av intyget. På utfärdande av intyget tillämpas i övrigt 9 § 3 mom. i lagen om bedömningsorgan för informationssäkerhet. 
27 § 
Återkallande av bedömningsorganets intyg 
Om ett bedömningsorgan för informationssäkerhet konstaterar att en driftmiljö inte har uppfyllt eller inte längre uppfyller kraven i denna lag eller att ett intyg av någon annan orsak inte borde ha beviljats, ska organet uppmana tjänsteleverantören att avhjälpa bristerna. Bedömningsorganet får återkalla intyget för viss tid eller helt och hållet eller bevilja intyget med begränsningar, om inte tjänsteleverantören avhjälper bristerna inom den tid som organet satt ut. När tidsfristens längd bestäms ska det beaktas att en skälig tid behövs för att korrigera driftmiljön. 
28 § 
Anmälningsskyldighet för bedömningsorgan för informationssäkerhet 
Bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården om alla intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats för viss tid eller helt och hållet eller förvägrats samt om de uppmaningar och begränsningar som avses i 27 §. Dessutom ska bedömningsorgan för informationssäkerhet på begäran ge Tillstånds- och tillsynsverket för social- och hälsovården all behövlig ytterligare information i ärendet. 
29 § 
Uppföljning efter ibruktagande av informationssäker driftmiljö 
Tjänsteleverantören ska genom ett uppdaterat och systematiskt förfarande följa upp och utvärdera erfarenheterna av en informationssäker driftmiljö under den tid den används för produktion. Tjänsteleverantören ska ge akt på ändringar i denna lag och justera driftmiljön i enlighet med ändringarna. Väsentliga förändringar i driftmiljön ska anmälas till bedömningsorganet för informationssäkerhet. Bedömningsorganets intyg ska förnyas, om betydande förändringar görs i driftmiljön eller om minimikraven på driftmiljön har ändrats på ett sätt som förutsätter en förnyad bedömning. 
Tjänsteleverantören ska bevara uppgifterna om överensstämmelse med kraven och övriga uppgifter som tillsynen kräver i minst fem år efter det att den informationssäkra driftmiljön inte längre används för produktion. 
30 § 
Övervakning och inspektioner av informationssystem 
Tillstånds- och tillsynsverket för social- och hälsovården ska övervaka och främja att informationssäkra driftmiljöer uppfyller kraven på dataskydd och informationssäkerhet. Tillstånds- och tillsynsverket för social- och hälsovården för ett offentligt register över driftmiljöer som uppfyller kraven och som anmälts till verket. 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner som krävs för tillsynen. För att utföra en inspektion har en inspektör rätt att få tillträde till alla lokaler där det bedrivs verksamhet som avses i denna lag eller där det förvaras uppgifter som är viktiga för tillsynen över efterlevnaden av denna lag. Inspektioner får dock inte utföras i utrymmen som används för boende av permanent natur. 
Vid en inspektion ska alla handlingar som inspektören ber om och som behövs för inspektionen läggas fram. På inspektörens begäran ska dessutom kopior av de handlingar som behövs för inspektionen överlämnas till inspektören utan avgift. 
Tillstånds- och tillsynsverket för social- och hälsovården ska bevara inspektionsprotokollet i tio år efter det att inspektionen utfördes. 
31 § 
Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att anlita utomstående experter 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att anlita utomstående experter för bedömning av informationssäkra driftmiljöers överensstämmelse med kraven. Utomstående experter får delta i inspektioner som avses i denna lag samt undersöka och testa driftmiljöer. Utomstående experter ska ha den sakkunskap och kompetens som uppgifterna kräver. 
På utomstående experter som utför uppgifter enligt denna lag tillämpas förvaltningslagens (434/2003) bestämmelser om tjänstemannajäv och bestämmelserna om straffrättsligt tjänsteansvar. 
32 § 
Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att få information 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att, avgiftsfritt och trots sekretessbestämmelserna, för tillsynen över driftmiljöer få nödvändiga uppgifter av statliga och kommunala myndigheter samt av fysiska och juridiska personer som omfattas av denna lag eller av bestämmelser som utfärdats med stöd av den. 
33 § 
Tillstånds- och tillsynsverket för social- och hälsovårdens åläggande att avhjälpa brister samt vite 
Tillstånds- och tillsynsverket för social- och hälsovården får med anledning av en inspektion som gjorts med stöd av 30 § ålägga tjänsteleverantören att avhjälpa brister i driftmiljöer som används för produktion. 
Om en informationssäker driftmiljö kan äventyra dataskyddet, eller om systemet inte uppfyller de krav som ställs på det i denna lag, och bristerna inte har avhjälpts inom den tidsfrist som Tillstånds- och tillsynsverket har satt ut, får verket förbjuda användningen av driftmiljön till dess att bristerna har avhjälpts. Vidare får Tillståndsmyndigheten eller någon annan myndighet som avses i 6 § stänga av förbindelsen till sina informationssystem, om den som använder dem äventyrar eller ett utomstående system som anslutits till dem kan äventyra en ändamålsenlig användning av informationssystemet. 
Tillstånds- och tillsynsverket för social- och hälsovården får ålägga tjänsteleverantören eller en befullmäktigad representant att inom den tid och på det sätt som verket bestämmer informera om beslut som gäller användningen av driftmiljön för produktion. 
Tillstånds- och tillsynsverket för social- och hälsovården kan förena beslut som fattats med stöd av 1 mom. med vite eller med hot om att verksamheten helt eller delvis avbryts eller att den försummade åtgärden vidtas på den försumliges bekostnad. Tillstånds- och tillsynsverket ska underrätta Tillståndsmyndigheten om sitt beslut. 
34 § 
Föreläggande att fullgöra skyldigheter 
Om en tjänsteleverantör, en myndighet som avses i 6 § eller någon som annars behandlar personuppgifter i enlighet med denna lag har underlåtit att fullgöra sin skyldighet enligt denna lag när det gäller informationssystem eller deras användning, får Tillstånds- och tillsynsverket för social- och hälsovården meddela ett föreläggande om att skyldigheten ska uppfyllas inom utsatt tid. 
Dessutom får Tillståndsmyndigheten eller någon annan myndighet som avses i 6 § stänga av förbindelsen till informationssystem som den förvaltar, om tjänsteleverantören, en myndighet enligt 6 § eller någon annan som behandlar personuppgifter enligt denna lag, trots den tid som Tillstånds- och tillsynsverket för social- och hälsovården satt ut, underlåtit att fullgöra sin skyldighet enligt denna lag när det gäller informationssystem eller deras användning.  
Tillstånds- och tillsynsverket för social- och hälsovården får förena ett föreläggande som det meddelat enligt 1 mom. med vite eller med hot om att verksamheten helt eller delvis avbryts eller att den försummade åtgärden vidtas på den försumliges bekostnad. Verket ska underrätta Tillståndsmyndigheten om sitt beslut.  
4 kap. 
Grunder och förutsättningar för sekundär användning av personuppgifter 
Allmänna grunder för sekundär användning 
35 § 
Grunder för behandling av personuppgifter 
Registeruppgifter hos personuppgiftsansvariga som avses i 6 § och registeruppgifter hos en privat serviceanordnare inom social- och hälsovården får behandlas för ett sekundärt användningsändamål med ett tidsbundet dataanvändningstillstånd från den personuppgiftsansvarige eller Tillståndsmyndigheten eller direkt med stöd av bestämmelser i lag, enligt vad som föreskrivs nedan. 
36 § 
Tillståndsmyndighetens rätt att få och behandla uppgifter trots sekretessplikten 
Tillståndsmyndigheten har oberoende av sekretessplikten och andra begränsningar som gäller användningen av uppgifter rätt att från de personuppgiftsansvariga som avses i 6 § och från privata tillhandahållare av social- och hälsovårdstjänster samt från Folkpensionsanstalten av de uppgifter i Kanta-tjänsterna som avses i klientuppgiftslagen få de uppgifter som är nödvändiga för att Tillståndsmyndigheten ska kunna utföra sina uppdrag enligt denna lag, såsom 
1) uppgifter som behövs för att ett dataanvändningstillstånd ska kunna beviljas, 
2) uppgifter som avses i det beviljade dataanvändningstillståndet för insamling, samkörning och förbehandling enligt 14 § och för utlämnande till tillståndshavaren för behandling, 
3) uppgifter för att bedöma om det är möjligt att anonymisera de uppgifter som avses i ansökan om dataanvändningstillstånd eller om det är möjligt att producera aggregerade statistiska uppgifter av de uppgifter som avses i 45 §, 
4) uppgifter som behövs för produktion av aggregerade statistiska uppgifter, och 
5) uppgifter som behövs för att sammanställa de färdiga datamaterial som avses i 14 § 5  mom. 
De uppgifter som avses i 1 mom. kan lämnas ut till Tillståndsmyndigheten via den informationssäkra drifttjänst som avses i 17 §. 
Tillståndsmyndigheten kan oberoende av sekretessplikten och andra begränsningar som gäller användningen av uppgifter via den informationssäkra drifttjänst som avses i 17 § plocka ut uppgifter enligt dataanvändningstillståndet ur uppgifter och datalager som innehas av de personuppgiftsansvariga som avses i 1 mom., om det är möjligt och ändamålsenligt med hänsyn till dessa uppgifters och datalagers innehåll och tekniska utförande. 
Tillståndsmyndigheten är personuppgiftsansvarig på det sätt som avses i denna paragraf för de uppgifter den har erhållit. 
Användning av uppgifter i form av aggregerade statistiska uppgifter 
37 § 
Utvecklings- och innovationsverksamhet 
Tillståndsmyndigheten får trots skyldigheten att iaktta sekretess i enskilda fall med stöd av en begäran om information enligt 3 § 9 punkten producera aggregerade statistiska uppgifter som bygger på kunduppgifter och andra personuppgifter från organisationer som avses i 6 § för sådan utvecklings- och innovationsverksamhet som genomförs på annat sätt än som vetenskaplig forskning som avses i 38 §. 
Uppgifterna enligt 1 mom. får lämnas i enlighet med 45 § förutsatt att avsikten med verksamheten, enligt begäran om information och den bifogade planen för användning av uppgifter, är att 
1) främja folkhälsan och den sociala tryggheten, 
2) utveckla social- och hälsovårdstjänsterna eller servicesystemet, eller 
3) skydda individers hälsa eller välfärd eller garantera deras fri- och rättigheter i anknytning till dessa.  
Uppgifter som lämnas ut med stöd av dataanvändningstillstånd 
38 § 
Dataanvändningstillstånd för vetenskaplig forskning och statistikföring 
För vetenskaplig forskning och statistikföring får trots sekretessplikten i enskilda fall ges dataanvändningstillstånd för kunduppgifter och andra personuppgifter från organisationer som avses i 6 §. 
Prövningen av om dataanvändningstillstånd ska beviljas eller inte ska utgå från att den vetenskapliga forskningens frihet tryggas. 
Bestämmelser om behandling av uppgifter för vetenskaplig forskning och statistikföring finns dessutom i dataskyddslagen (1050/2018). 
39 § 
Undervisning 
Kunduppgifter från en tillhandahållare av social- eller hälsovårdstjänster får trots sekretessplikten och med stöd av artikel 9.2 g i dataskyddsförordningen behandlas för att framställa undervisningsmaterial för undervisning av personal som behandlar kunduppgifter inom social- och hälsovården och av personer som studerar till en yrkesexamen inom social- och hälsovården, om det är nödvändigt för att syftet med undervisningen ska uppnås. En förutsättning för detta är dessutom att dataanvändningstillstånd enligt denna lag har beviljats för behandlingen. 
Identifierbara uppgifter får dock användas i undervisningssituationer endast om undervisningen inte kan hållas anonym på grund av att fallet i fråga är sällsynt, på grund av undervisningens natur eller av något annat motsvarande skäl. Undervisningspersonalen ska informera dem som följer undervisningen om den lagstadgade sekretessplikten och om sanktionerna för brott mot den. 
Den registrerade har inte i artikel 21 i dataskyddsförordningen avsedd rätt att göra invändningar mot behandling av personuppgifter om honom eller henne i undervisningssyfte, om behandlingen av uppgifter är nödvändig på grund av att fallet i fråga är sällsynt. 
Tillståndshavaren ska förstöra ett separat material som samlats in för undervisningsändamål när det inte längre är nödvändigt för det ändamålet. 
40 § 
Myndighetens planerings- och utredningsuppgifter 
Kunduppgifter som är nödvändiga för en myndighets planerings- och utredningsuppgifter samt andra personuppgifter från organisationer som avses i 6 § får behandlas med stöd av artikel 9.2 g i dataskyddsförordningen, om 
1) för behandlingen har beviljats ett i denna lag avsett dataanvändningstillstånd, 
2) behandlingen grundar sig på en ändamålsenlig plan för användning av uppgifter, och 
3) planerings- och utredningsuppgiften eller det informationsbehov som är syftet med den kan inte förverkligas utan behandling av personuppgifter. 
Behandling av uppgifter med stöd av lag utan dataanvändningstillstånd 
41 § 
Informationsledning 
Tillhandahållare av social- eller hälsovårdstjänster har trots sekretessplikten och med stöd av artikel 9.2 h i dataskyddsförordningen rätt att på ett identifierbart sätt behandla och samköra kunduppgifter som har uppstått i tillhandahållarens egen verksamhet eller är införda i tillhandahållarens egna register, om detta är nödvändigt för att den serviceverksamhet som tjänstetillhandahållaren är ansvarig för ska kunna produceras, följas, utvärderas, planeras, utvecklas, ledas och övervakas. 
Om en tjänstetillhandahållare för utvärdering, planering eller utveckling av serviceverksamhet som denna ansvarar för eller av servicekedjor behöver jämföra sin egen verksamhet med andra tjänstetillhandahållares verksamhet, kan Tillståndsmyndigheten producera behövligt jämförelsematerial i form av aggregerade statistiska uppgifter i enlighet med 45 § på grundval av en begäran om information enligt 3 § 9 punkten. 
Utöver vad som föreskrivs i 1 och 2 mom. har kommuner och samkommuner rätt att för informationsledning på ett identifierbart sätt behandla och samköra också sådana kunduppgifter som lagrats i ett sådant gemensamt register som avses i 9 § 1 mom. i hälso- och sjukvårdslagen (1326/2010). 
42 § 
Myndighetsstyrning och myndighetstillsyn inom social- och hälsovården 
Om en styrnings- och tillsynsmyndighet inom social- och hälsovården för utförande av sina lagstadgade styrnings- eller tillsynsuppgifter behöver samkörda uppgifter som är baserade på personuppgifter lagrade i register inom social- eller hälsovården eller på andra identifierbara registeruppgifter hos i 6 § avsedda personuppgiftsansvariga kan Tillståndsmyndigheten producera de behövliga aggregerade statistiska uppgifterna i enlighet med 45 § på grundval av en begäran om information enligt 3 § 9 punkten. 
Sådana uppgifter enligt 1 mom. som en tillsynsmyndighet som avses i det momentet har rätt att få enligt någon annan lag trots sekretessplikten kan på motiverad begäran lämnas ut också som identifierbara. 
De uppgifter som avses i 2 mom. kan lämnas ut till tillsynsmyndigheten via den informationssäkra drifttjänst som avses i 17 §. 
5 kap. 
Behandling av ansökan om dataanvändningstillstånd, begäran om information och uppgifter som utlämnas 
43 § 
Allmänna grunder för beviljande av dataanvändningstillstånd 
Ett dataanvändningstillstånd för personuppgifter får beviljas, om användningsändamålet för uppgifterna enligt ansökan och planen för användning av uppgifterna överensstämmer med dataskyddsförordningen, dataskyddslagen samt denna och någon annan lag som gäller uppgifterna i fråga och om användningsändamålet mest ändamålsenligt förverkligas genom användning av de i ansökan avsedda uppgifterna. 
Om ansökan om dataanvändningstillstånd hänför sig till ett sådant användningsändamål för vilket det föreskrivs separat om tillståndsförfarandet och grunderna för beviljande av tillstånd, ska samtliga förutsättningar för tillståndet i fråga uppfyllas. 
Om de uppgifter som lämnas ut har sammanställts med den registrerades samtycke, kan dataanvändningstillstånd för registeruppgifter som gäller den registrerade beviljas endast om det är förenligt med samtycket och med villkoren för användningen och utlämnandet av informationen. Om uppgifterna om ansökan om dataanvändningstillstånd hänför sig till ett användningsändamål som baserar sig på den registrerades samtycke, kan dataanvändningstillstånd beviljas endast för sådana uppgifter som omfattas av den registrerades samtycke. 
Ett dataanvändningstillstånd kan beviljas för viss tid, om det är uppenbart att de intressen som sekretessen är avsedd att skydda inte kränks av att uppgifterna lämnas ut. Tillståndet ska utifrån riskerna förenas med krav på åtgärder till skydd för behandlingen av uppgifter samt andra föreskrifter som behövs för att skydda enskilda intressen. Ett tillstånd kan återkallas om det prövas föreligga skäl för återkallandet. 
Om Tillståndsmyndigheten utifrån ansökan om dataanvändningstillstånd konstaterar att ärendet kan behandlas som en begäran om information enligt 45 § och inte som en tillståndsansökan, ska Tillståndsmyndigheten ta kontakt med den tillståndssökande och föreslå att ärendet behandlas som en begäran om information. Om den tillståndssökande kräver att ärendet behandlas som en tillståndsansökan, ska Tillståndsmyndigheten fatta beslut i ärendet. 
44 § 
Behörighet för behandling av dataanvändningstillstånd 
Tillståndsmyndigheten svarar alltid för ett beslut om dataanvändningstillstånd, om ansökan om dataanvändningstillstånd gäller 
1) uppgifter hos flera av de personuppgiftsansvariga som avses i 6 § 1 —8 punkten,  
2) uppgifter som registrerats i Kanta-tjänsterna, eller 
3) registeruppgifter hos en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården. 
Tillståndsmyndigheten svarar dessutom för beslut om dataanvändningstillstånd för Pensionsskyddscentralens, Befolkningsregistercentralens och Statistikcentralens uppgifter enligt 6 §     9—11 punkten, om de uppgifterna samkörs med de uppgifter som avses i 1 mom. 1—3 punkten. 
Om en ansökan om dataanvändningstillstånd gäller uppgifter i personregister hos endast en av de organisationer som avses i 6 § 1—8 punkten, svarar organisationen själv för beslutet om dataanvändningstillstånd. Om organisationen emellertid i enlighet med 11 § 3 mom. har underrättat Tillståndsmyndigheten om att den avstår från att tillhandahålla andra tjänster än de som avses i 10 § 1 och 2 punkten, svarar Tillståndsmyndigheten för beslut om dataanvändningstillstånd för dess personuppgifter enligt denna lag. 
Den myndighet som svarar för beslut om dataanvändningstillstånd har rätt att begära utlåtande från dataombudsmannen om en ansökan om dataanvändningstillstånd, om den beslutande myndigheten bedömer att det behövs. 
45 § 
Behandling av en begäran om information 
Tillståndsmyndigheten beslutar om en begäran om information enligt 3 § 9 punkten överensstämmer med användningsändamålen enligt 2 § 1 mom. och övriga krav som ställs på en sådan begäran. 
När den fattar sådana beslut ska Tillståndsmyndigheten, med stöd av artiklarna 9.2 g och 86 i dataskyddsförordningen och med beaktande av den i 8 § 4 mom. avsedda expertgruppens principiella riktlinjer, bedöma om det är möjligt att av de begärda registeruppgifterna utforma aggregerade statistiska uppgifter enligt begäran. 
Om användningsändamålet för den information som begärs är forskning och begäran också gäller uppgifter som en statistikmyndighet samlat in för statistiska ändamål, ska förfarandet ske enligt 7 § och 51 § 4 mom.  
46 § 
Lämnande av ansökan om dataanvändningstillstånd och begäran om information till Tillståndsmyndigheten  
Begäranden om information och ansökningar om dataanvändningstillstånd till Tillståndsmyndigheten ska lämnas via det system för hantering av begäranden om information som avses i 16 §. Om sökanden kompletterar sin ansökan, ska även kompletteringen lämnas till Tillståndsmyndigheten via hanteringssystemet för begäranden om information. Till en tillståndsansökan och en informationsbegäran om aggregerade statistiska uppgifter ska det fogas en plan för användning av uppgifterna. 
Tillståndsmyndigheten meddelar föreskrifter om datainnehållet och datastrukturerna i ansökan om dataanvändningstillstånd, planen för användning av uppgifterna och begäran om information. 
47 § 
Tidsfrister för behandling av dataanvändningstillstånd 
Beslut om ansökan om dataanvändningstillstånd ska meddelas utan dröjsmål, dock senast tre månader från det att tillståndsansökan har inkommit i fullständig form till myndigheten. 
Tillståndsmyndigheten kan av vägande skäl besluta att behandlingstiden för en ansökan om dataanvändningstillstånd ska förlängas med högst tre månader, om behandlingen av ansökan och den anknytande planen för användning av uppgifterna förutsätter en exceptionellt omfattande behandling som omfattar flera olika personuppgiftsansvarigas uppgifter eller särskilt krävande prövning. Tillståndsmyndigheten ska underrätta den som ansöker om tillstånd om förlängning av tidsfristen och om grunden för förlängningen samt om den nya tidsfrist inom vilken tillståndsbeslutet meddelas. 
Om den myndighet som svarar för beslutet om dataanvändningstillstånd begär ett utlåtande enligt 44 § 4 mom. från dataombudsmannen, avbryts den ansvariga myndighetens tidsfrist för behandling av ansökan tills utlåtandet har kommit in. 
En personuppgiftsansvarig som avses i 6 § och en privat tillhandahållare av social- eller hälsovårdstjänster ska utan dröjsmål lämna Tillståndsmyndigheten de uppgifter som behövs för behandlingen av en ansökan om dataanvändningstillstånd eller av en sådan informationsbegäran om aggregerade statistiska uppgifter som avses i 45 §, dock senast 15 vardagar från det att begäran inkom. 
48 § 
Tidsfrister för utlämnande av uppgifter 
En personuppgiftsansvarig som avses i 6 § och en privat tillhandahållare av social- eller hälsovårdstjänster ska på begäran av Tillståndsmyndigheten utan dröjsmål lämna ut registeruppgifter enligt ett beviljat dataanvändningstillstånd eller uppgifter som behövs för behandlingen av en sådan begäran om aggregerade statistiska uppgifter som avses i 45 §, dock senast 30 vardagar från det att Tillståndsmyndigheten har fattat beslut om att uppgifterna får lämnas ut till sökanden. Om den utredning som den sökande anfört till stöd för utlämnande av uppgifter är otillräcklig, ska Tillståndsmyndigheten utan dröjsmål underrätta sökanden om vilka tilläggsutredningar som krävs. De begärda uppgifterna ska då lämnas till sökanden inom 30 vardagar från det att tilläggsutredningen togs emot, om säkerhet om förutsättningarna för utlämnandet kan nås med stöd av den inlämnade tilläggsutredningen. 
Om uppgifterna inte kan lämnas ut till Tillståndsmyndigheten inom den tid som avses i 1 mom., ska den personuppgiftsansvarige före tidsfristens utgång informera om dröjsmålet, om orsaken till dröjsmålet och om den förlängning av tidsfristen som behövs för utlämnande av uppgifter. Tillståndsmyndigheten ska av grundad anledning ställa en ny tidsfrist för utlämnandet. 
Tillståndsmyndigheten ska lämna ut de uppgifter som den med stöd av ett dataanvändningstillstånd samlat in och samkört till tillståndshavaren utan dröjsmål, dock senast 60 vardagar från det att tillståndet beviljades. 
Tillståndsmyndigheten kan av vägande skäl förlänga tidsfristen för utlämnandet, om uppgifternas användningsändamål förutsätter en exceptionellt omfattande behandling som berör uppgifter hos flera olika personuppgiftsansvariga eller en särskilt krävande samkörning. Tillståndsmyndigheten ska informera tillståndshavaren om förlängningen av tidsfristen och om grunden för förlängningen samt om den nya tidsfrist inom vilken uppgifterna lämnas ut. 
49 § 
Avgift för dataanvändningstillstånd och för beslut om begäran om information 
Tillståndsmyndigheten eller någon annan myndighet som beviljat tillstånd får ta ut en avgift för ett dataanvändningstillstånd och för ett beslut som gäller en begäran om information. Bestämmelser om grunderna för fastställande av avgifter finns i lagen om grunder för avgifter till staten (150/1992). 
50 § 
Ersättningar för tjänster 
Tillståndsmyndigheten får ta ut ersättning för urval, tillhandahållande, samkörning, förbehandling, pseudonymisering och anonymisering av uppgifter enligt ett dataanvändningstillstånd som avses i denna lag samt för användning av en informationssäker driftmiljö. 
Ersättningar som gäller uppgifter som med stöd av dataanvändningstillstånd plockas ut och tillhandahålls från andra datalager än Tillståndsmyndighetens egna bestäms i enlighet med vad som föreskrivs om varje personuppgiftsansvarig som tillhandahållit uppgifterna. Den personuppgiftsansvarige eller det personuppgiftsbiträde som lämnar ut uppgifter till Tillståndsmyndigheten med stöd av ett dataanvändningstillstånd enligt denna lag har rätt att av myndigheten som ersättning få en på föreskrivet sätt bestämd andel av de kostnadsersättningar som påförts tillståndshavaren. 
Den som har rätt till ersättning i enlighet med denna paragraf ska på begäran tillhandahålla Tillståndsmyndigheten en uppskattning av vilka kostnader den som har rätt till ersättning för behandlingen av uppgifter orsakas. Tillståndsmyndigheten gör utifrån de uppgifter den erhållit upp ett kostnadsförslag för tillmötesgående av en begäran om information och lämnar den till den som ansöker om tillstånd. Tillståndsmyndigheten tar ut de ersättningar som avses i 2 mom. hos tillståndshavaren och betalar dem till de personuppgiftsansvariga som lämnat uppgifter. 
Bestämmelser om grunderna för bestämmande av ersättningar till Tillståndsmyndigheten finns i lagen om grunderna för avgifter till staten. Bestämmelser om avgifter som bedömningsorgan för informationssäkerhet tar ut för bedömningar finns i 11 § i lagen om bedömningsorgan för informationssäkerhet. 
Registrering och införande av en i 30 § 1 mom. i denna lag avsedd anmälan i ett offentligt register hos Tillstånds- och tillsynsverket för social- och hälsovården är avgiftsbelagd. 
51 § 
Behandling och utlämnande av datamaterial till tillståndshavaren sedan dataanvändningstillstånd beviljats 
Om Tillståndsmyndigheten har beviljat dataanvändningstillstånd i en situation där detta förutsätts enligt 44 §, ska den samla in och vid behov samköra samt pseudonymisera eller anonymisera de uppgifter som specificeras i dataanvändningstillståndet samt lämna ut datamaterialet till tillståndshavaren för behandling enligt 3 mom. i denna paragraf. 
Om en enskild personuppgiftsansvarig som avses i 44 § 3 mom. har fattat ett beslut om dataanvändningstillstånd i fråga om uppgifter i dess egna register, ska den samla in uppgifterna ur registren, vid behov samköra, förbehandla och pseudonymisera dem och överlämna datamaterialet till tillståndshavaren för behandling i enlighet med 3 mom. i denna paragraf. Om datamaterialet ändå överlämnas till tillståndshavaren i anonymiserad form, ska den personuppgiftsansvarige ge in tillståndsbeslutet samt uppgifterna enligt tillståndet till Tillståndsmyndigheten, vid behov för samkörning och förbehandling samt anonymisering. Tillståndsmyndigheten svarar alltid för anonymiseringen av uppgifter som lämnas ut för behandling och för att de lämnas ut till tillståndshavaren för behandling.  
Utlämning av datamaterial enligt ett dataanvändningstillstånd för behandling av tillståndshavaren ska alltid ske i en sådan informationssäker driftmiljö som avses i 20 § via en sådan informationssäker drifttjänst som avses i 17 §, såvida det inte har bildats aggregerade statistiska uppgifter av datamaterialet. Det datamaterial som avses i 1 och 2 mom. i denna paragraf ska i första hand lämnas ut för att behandlas i den informationssäkra driftmiljö som avses i 20 § 1 mom. och som Tillståndsmyndigheten förvaltar. Om det emellertid av ett särskilt skäl som framgår av planen för användning av uppgifterna eller dataanvändningstillståndet är viktigt kan datamaterialet lämnas ut för behandling på motsvarande sätt i en annan informationssäker driftmiljö som avses 20 § 3 mom.  
Om användningsändamålet kräver uppgifter som Statistikcentralen eller Institutet för hälsa och välfärd i egenskap av statistikmyndighet samlat in för statistiska ändamål, samkör statistikmyndigheten i fråga och vid behov förbehandlar och pseudonymiserar eller anonymiserar de uppgifter som ska lämnas ut. Om användningsändamålet kräver uppgifter av båda statistikmyndigheterna, ska de sinsemellan komma överens om vilken myndighet som samkör och pseudonymiserar eller anonymiserar uppgifterna. Uppgifterna kan därefter, beroende på art och omfattning, lämnas ut via den informationssäkra drifttjänst som avses i 17 § 3 mom. till tillståndshavaren för behandling i en informationssäker driftmiljö som förvaltas av Statistikcentralen eller Tillståndsmyndigheten eller i någon annan driftmiljö enligt 20 §. 
Leverantören av en driftmiljö ska innan en anslutning till tillståndshavaren öppnas säkerställa att tillståndshavaren uppfyller kraven i dataanvändningstillståndet. 
52 § 
Publicering av resultat baserade på uppgifter utlämnade med stöd av ett dataanvändningstillstånd 
När uppgifter lämnats ut med stöd av ett dataanvändningstillstånd för behandling i en sådan informationssäker driftmiljö som avses i 20 § och någon vill publicera resultatet utifrån uppgifterna ska Tillståndsmyndigheten försäkra sig om att de uppgifter som publiceras är anonymiserade. Myndigheten kan emellertid av grundad anledning i tillståndsbeslutet bevilja tillståndshavaren rätt att själv anonymisera de uppgifter som ska publiceras, förutsatt att uppgifterna ges in till myndigheten i efterhand. 
Tillståndsmyndigheten producerar anonymiserade resultat och överlämnar dem till tillståndshavaren som får publicera dem fritt enligt sin begäran och de bifogade förslagen oberoende av om dataanvändningstillståndet beviljats av en enskild personuppgiftsansvarig eller Tillståndsmyndigheten. 
53 § 
Redogörelseskyldighet för myndigheter som ansvarar för behandlingen av dataanvändningstillstånd 
Myndigheter som ansvarar för behandlingen av dataanvändningstillstånd ska minst en gång om året lämna dataombudsmannen en detaljerad redogörelse för behandlingen av uppgifter med stöd av denna lag och för behandlingen av uppgifter som registrerats i loggregistret. 
54 § 
Sekretessplikt 
Även på andra uppgifter som erhållits med stöd av denna lag än uppgifter från myndigheter tillämpas offentlighetslagens 
1) 22 § om handlingssekretess, 
2) 23 § om tystnadsplikt och förbud mot utnyttjande, 
3) 24 § om sekretessbelagda uppgifter, 
4) 31 § om upphörande av sekretess i fråga om en handling, 
5) 32 § om undantag i fråga om och upphörande av tystnadsplikt. 
Om sekretessbelagda uppgifter med stöd av denna lag lämnas ut till någon annan än en myndighet, ska mottagaren i samband med utlämnandet informeras om sekretessplikten så som föreskrivs i 25 § i offentlighetslagen. 
Trots vad som någon annanstans i lag föreskrivs om rätten eller skyldigheten att lämna ut sekretessbelagda uppgifter, får uppgifter som samlats in med stöd av denna lag inte lämnas ut för administrativt beslutsfattande eller någon annan motsvarande behandling av ärenden som gäller en enskild person utan hans eller hennes uttryckliga samtycke. En tillsynsmyndighet inom social- och hälsovården får dock i en tillsynsuppgift som gäller någon annan än den registrerade använda uppgifter som den erhållit med stöd av 42 §, när lagenligheten eller den professionella lämpligheten bedöms i verksamhet som bedrivs av verksamhetsenheter eller yrkesutbildade personer inom social- och hälsovården. 
6 kap. 
Särskilda bestämmelser 
55 § 
Rättigheter, skyldigheter och åtgärder på grund av betydande kliniska fynd 
Trots vad som föreskrivs i 54 § 3 mom. har en innehavare av dataanvändningstillstånd rätt att till den ansvariga person som Tillståndsmyndigheten utsett anmäla betydande kliniska fynd på grundval av vilka hälsorisker för en viss patient kan förebyggas eller vårdens kvalitet betydligt förbättras. 
Om de uppgifter som är grunden för den anmälan som avses i 1 mom. är pseudonymiserade, ska den ansvariga personen utreda vem eller vilka informationen gäller. När Tillståndsmyndighetens ansvariga person känner till vilken eller vilka personer som en anmälan enligt 1 mom. gäller, ska den ansvariga personen utan obefogat dröjsmål lämna uppgifterna till en expert som utsetts av Institutet för hälsa och välfärd. 
Den expert som avses i 2 mom. ska i samarbete med övriga experter som utsetts av institutet bedöma betydelsen av informationen och den förväntade nyttan med de åtgärder som kan vidtas med stöd av den. Om nyttan bedöms vara så uppenbar att det skulle vara viktigt att den som ska undersökas får vård, ska den expert vid Institutet för hälsa och välfärd som avses i 2 mom. anmäla fyndet till den verksamhetsenhet som med stöd av hälso- och sjukvårdslagen är regionalt ansvarig för den aktuella personens hälso- och sjukvård. 
Den verksamhetsenhet som avses i 3 mom. ska kontakta patienten och klarlägga om han eller hon vill ha information om det betydande kliniska fyndet och de undersöknings- och vårdåtgärder som eventuellt ska vidtas på grundval av det samt om den förväntade nyttan med åtgärderna. 
Patienten har rätt att förbjuda kontakt som tas på basis av ett kliniskt betydande fynd. Förbudet antecknas i patientens informationshanteringstjänst som avses i 14 a § i klientuppgiftslagen. Patienten kan meddela förbudet skriftligt hos en valfri verksamhetsenhet som producerar offentlig hälso- och sjukvård eller elektroniskt via det medborgargränssnitt som avses i 19 § i klientuppgiftslagen. 
56 § 
Styrning, övervakning och uppföljning 
För den allmänna planeringen, styrningen och övervakningen av behandling av kunduppgifter enligt denna lag och av anknytande informationsförvaltning svarar social- och hälsovårdsministeriet. 
Dataombudsmannen, Tillstånds- och tillsynsverket för social- och hälsovården samt Tillståndsmyndigheten styr och övervakar inom sitt verksamhetsområde i enlighet med sin behörighet efterlevnaden av denna lag. 
Tillståndsmyndigheten och övriga myndigheter som beviljar dataanvändningstillstånd i enlighet med denna lag samt Tillstånds- och tillsynsverket för social- och hälsovården ska för sin del följa och övervaka att det dataskydd och den datasäkerhet som hänför sig till deras tjänster förverkligas och att villkoren i tillstånd som de beviljat iakttas. Om någon har behandlat personuppgifter i strid med lag, ska den behöriga myndigheten på eget initiativ vidta behövliga åtgärder. Om uppgifter med stöd av 20 § 3 mom. behandlas i någon annan driftmiljö än Tillståndsmyndighetens informationssäkra driftmiljö, ska logguppgifterna enligt 19 § och uppgifterna i ett användarregister enligt 22 § 2 mom. på Tillståndsmyndighetens begäran lämnas till den utan obefogat dröjsmål för förverkligande av uppföljningen och övervakningen. 
Om Tillståndsmyndigheten eller en myndighet som beviljar dataanvändningstillstånd i enlighet med denna lag har grundad anledning att misstänka att den som behandlar uppgifter med stöd av ett dataanvändningstillstånd från myndigheten inte behandlar personuppgifter i enlighet med lag, ska myndigheten underrätta dataombudsmannen om saken snarast möjligt. 
57 § 
Tillståndsmyndighetens skyldighet att rapportera till styrgruppen 
Tillståndsmyndigheten ska rapportera till styrgruppen om avvikelser från de tidsfrister som avses i 47 och 48 § och publicera uppgifter om dem. 
58 § 
Överklagande 
I ett beslut enligt denna lag som Tillståndsmyndigheten eller en personuppgiftsansvarig som avses i 6 § meddelat om en begäran om information enligt 45 § samt om en ansökan om dataanvändningstillstånd eller återkallelse av tillstånd samt i ett beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med stöd av denna lag får omprövning begäras på det sätt som anges i förvaltningslagen hos den myndighet som fattat beslutet. 
I ett beslut som har fattats med anledning av en begäran om omprövning får ändring sökas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). Förvaltningsdomstolens beslut får överklagas genom besvär bara om högsta förvaltningsdomstolen beviljar besvärstillstånd. 
59 § 
Ikraftträdande 
Denna lag träder i kraft den 20
60 § 
Övergångsbestämmelser 
Bestämmelserna om logguppgifter i 19 § och om kraven på informationssäkra driftmiljöer i 20 § 3 mom. och 21—34 § samt om kliniska fynd i 55 § tillämpas från och med den 1 maj 2021. Före denna tidpunkt får uppgifter lämnas ut för behandling till tillståndstagaren med stöd av 51 § 1 och 2 mom., även om det i ansökan om dataanvändningstillstånd inte anvisas en i 51 § 3 mom. avsedd informationssäker driftmiljö för behandlingen av uppgifter. 
Tidsfristerna för utlämnande av uppgifter enligt 47 § 4 mom. och 48 § tillämpas på Folkpensionsanstalten och serviceanordnare inom socialvården från och med den 1 januari 2024 samt på uppgifter om recept och anknytande receptexpedieringar som registrerats i det receptcenter som avses i 3 § 4 punkten och i det receptarkiv som avses i 3 § 5 punkten i lagen om elektroniska recept från och med den 1 januari 2021. 
Denna lag tillämpas på de Kanta-tjänster som avses i klientuppgiftslagen från och med den 1 januari 2021. 
Uppgifter som före lagens ikraftträdande samlats in med den berördas samtycke får i enlighet med denna lag användas och lämnas ut för användningsändamål enligt 2 § 1 mom. 1, 2 och 7 punkten trots vad som föreskrivs i 43 § 2 mom., om det är uppenbart att användningen och utlämnandet inte avviker från de syften för vilka uppgifterna har lämnats. Den myndighet som fattar beslut om dataanvändningstillståndet kan förutsätta att den som ansöker om tillstånd, till grund för tillståndsbeslutet ska be om en etisk bedömning av den etiska kommittén vid Institutet för hälsa och välfärd. 
Behandlingen av en ansökan som har gjorts innan denna lag trätt i kraft slutförs i enlighet med de bestämmelser som gällde vid ikraftträdandet. På en ansökan som gäller utlämnande av personuppgifter enligt 4 § i lagen om riksomfattande personregister för hälsovården (556/1989) tillämpas dock inte skyldigheten enligt 1 mom. i den paragrafen att ge dataombudsmannen möjlighet att bli hörd, utan rätten enligt 44 § 4 mom. i denna lag att begära utlåtande från dataombudsmannen om en ansökan om dataanvändningstillstånd. 
Bestämmelserna om en rådgivningstjänst i 13 § i denna lag ska tillämpas från och med den 1 november 2019. 
Bestämmelserna om behandling av begäranden om aggregerade statistiska uppgifter i 41 § 2 mom., 42 § 1 mom. och 45 § i denna lag ska tillämpas från och med den 1 januari 2020. 
Bestämmelserna om en tjänst för insamling, samkörning och förbehandling av uppgifter och om pseudonymisering och anonymisering av uppgifter i 14 § 1 och 2 mom., om ett hanteringssystem för begäranden om information i 16 § och om en informationssäker driftmiljö i 20 § 1 mom. tillämpas från och med den 1 januari 2020. 
Behörighet för behandling av dataanvändningstillstånd bestäms i enlighet med 44 §             1—3 mom. i denna lag från och med den 1 april 2020. Ansökan om dataanvändningstillstånd och begäran om information ska via det i 16 § avsedda hanteringssystemet för begäranden om information lämnas till Tillståndsmyndigheten från och med den 1 april 2020. 
Lag 
om ändring av lagen om Institutet för hälsa och välfärd 
I enlighet med riksdagens beslut 
ändras i lagen om Institutet för hälsa och välfärd (668/2008) 2 § 1 mom. 3 och 4 punkten samt 5 §, av dem 5 § sådan den lyder delvis ändrad i lag 1067/2009, samt 
fogas till 2 § 1 mom., sådant det lyder delvis ändrat i lagarna 1067/2009 och 1231/2010, nya 3 a-, 3 b-, 4 c- och 4 d-punkter samt till lagen nya 5 a—5 i § som följer: 
2 § 
Uppgifter 
Institutet ska 
3) bedriva forskning inom branschen, 
3 a) främja utveckling och innovationer, 
3 b) ta initiativ och göra framställningar som behövs för att utveckla social- och hälsovården och dess service och främja befolkningens hälsa och välfärd, 
4) upprätthålla datafiler samt föra register inom området och sörja för kunskapsunderlaget inom sitt uppgiftsområde och för nyttiggörandet av det, 
4 c) vara en statistikmyndighet som avses i 2 § 2 mom. i statistiklagen (280/2004), 
4 d) föra kvalitetsregister inom branschen, 
5 § 
Rätt att få och att behandla uppgifter 
För skötseln av de uppgifter som Institutet för hälsa och välfärd har enligt 2 § 1—3, 4  och    4 d-punkten har institutet rätt att avgiftsfritt och trots sekretessplikten och andra begränsningar i fråga om användningen av uppgifter få nödvändiga uppgifter om befolkningen tillsammans med identifieringsuppgifter enligt följande: 
1) av myndigheter som ordnar social- och hälsovård enligt 4 § i lagen om offentlighet i myndigheternas verksamhet (621/1999) samt av privata aktörer som ordnar och producerar social- och hälsovårdstjänster uppgifter som gäller institutionsvård och öppenvård samt prehospital akutsjukvård inom social- och hälsovården i fråga om
a) kunder och patienter,
b) foster, barn som fötts levande och barn som fötts döda samt uppgifter om modern och om fadern, om han är känd,
c) serviceanordnare och serviceproducenter,
d) tidpunkt för inledande och avslutande av servicen,
e) kundens hemkommun och boendeform,
f) grunden för tillhandahållande av servicen och tillgången till den,
g) behovet, arten och omfattningen av servicen,
h) sjukdom, skada, handikapp, social situation eller medicinskt tillstånd samt till dessa anknytande åtgärder och beslut, tjänster och vård, undersökningsresultat, medicinering och rehabilitering,
i) vaccineringar samt annat förebyggande av sjukdomar och servicebehov,
j) kvaliteten på åtgärder och tjänster och deras verkningsfullhet,
k) produktsäkerheten i fråga om produkter och utrustning för hälso- och sjukvård,
l) kund- och patientsäkerheten,
m) personal och andra resurser som använts för tjänsterna och kostnaderna för dessa resurser,
n) avgifter som tagits ut för tjänsterna,
 
2) av Folkpensionsanstalten
a) uppgifter om de förmåner som Folkpensionsanstalten ålagts att verkställa och uppgifter om hur förmånerna använts samt uppgifter om recept och anknytande receptexpedieringar ur det receptcenter och det receptarkiv som avses i lagen om elektroniska recept (61/2007),
b) uppgifter ur de riksomfattande informationssystemtjänster (Kanta-tjänster) som avses i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007),
 
3) av Tillstånds- och tillsynsverket för social- och hälsovården
a) uppgifter om avbrytande av havandeskap och om sterilisering enligt lagen om avbrytande av havandeskap (239/1970) och steriliseringslagen (283/1970),
b) uppgifter om yrkesutbildade personer inom socialvården och hälso- och sjukvården ur det centralregister över yrkesutbildade personer inom hälso- och sjukvården som avses i 24 a § i lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994) och ur det centralregister över yrkesutbildade personer inom socialvården som avses i 16 § i lagen om yrkesutbildade personer inom socialvården (817/2015),
 
4) av Befolkningsregistercentralen grundläggande personuppgifter, uppgifter om personers familjeförhållanden och bostadsort samt byggnadsuppgifter ur befolkningsdatasystemet som avses i 3 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009), samt 
5) av Statistikcentralen uppgifter som avses i lagen om utredande av dödsorsak (459/1973). 
Som identifieringsuppgift enligt 1 mom. insamlas för en person personbeteckningen och för en annan dataenhet en identifieringskod. 
De uppgifter som avses i 1 och 2 mom. får inhämtas med hjälp av en teknisk anslutning. 
5 a § 
Utlämnande av uppgifter 
Uppgifter som samlats in med stöd av 5 § 1 mom. 1 punkten i denna lag får lämnas ut med iakttagande av vad som föreskrivs i lagen om sekundär användning av personuppgifter inom social- och hälsovården (/). 
Trots vad som någon annanstans i lag föreskrivs om rätten eller skyldigheten att lämna ut sekretessbelagda uppgifter, får uppgifter som samlats in med stöd av denna lag inte lämnas ut för att användas vid administrativt beslutsfattande som gäller enskilda personer eller familjer eller vid någon annan motsvarande behandling av ärenden. 
Vad som föreskrivs i 2 mom. eller i någon annan lag utgör inget hinder för att uppgifterna lämnas tillbaka till den myndighet eller den tjänstetillhandahållare som har lämnat datamaterialet till institutet. 
5 b § 
Bevaringstid för uppgifter 
Institutet för hälsa och välfärd får bevara uppgifterna så länge det är nödvändigt för att fullgöra de uppdrag där uppgifterna behandlas, om det inte föreskrivs något annat om bevaring av uppgifter i någon annan lag som gäller institutet. Efter detta ska uppgifterna förstöras inom ett år, om inte arkivverket med stöd av arkivlagen (831/1994) bestämmer att uppgifterna ska bevaras varaktigt. 
Uppgifter som avses i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, ska dock utplånas ur registret så snart den i 1 mom. avsedda grunden för behandling inte längre finns. Grunden och behovet av behandling ska bedömas minst vart femte år, om inte något annat följer av lag. 
5 c § 
Uppgiftsskyldighet och beslut om uppgiftsinsamling 
En personuppgiftsansvarig vars registeruppgifter omfattas av den rätt att få information som Institutet för hälsa och välfärd har enligt 5 § 1 mom., är skyldig att lämna institutet de uppgifter som avses i 5 § i enlighet med institutets beslut. 
Institutet för hälsa och välfärd beslutar vilka nya insamlingar av uppgifter som ska genomföras på basis av den uppgiftsskyldighet som avses i 1 mom. samt om utvidgning av insamlingar av uppgifter, vilka tidsfrister och förfaranden som ska iakttas när uppgifterna lämnas samt om återrapportering till uppgiftslämnarna. 
Omprövning av institutets beslut enligt 2 mom. får begäras på det sätt som anges i förvaltningslagen (434/2003). Vidare har dataombudsmannen rätt att begära omprövning och söka ändring i ett beslut som avses i 2 mom. 
I ett beslut som har fattats med anledning av en begäran om omprövning får ändring sökas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (568/1996). Förvaltningsdomstolens beslut får överklagas genom besvär bara om högsta förvaltningsdomstolen beviljar besvärstillstånd. Ett beslut kan verkställas omedelbart, om inte besvärsmyndigheten förbjuder verkställigheten. 
5 d § 
Samrådsskyldighet och bedömning av behovet av information 
Om det är fråga om en ny insamling av uppgifter, en betydande ändring av informationsinnehållet i uppgifter som redan samlas in eller en utvidgning av insamlingar av uppgifter, ska Institutet för hälsa och välfärd samråda med organisationer som företräder de uppgiftslämnare som avses i 5 c § 1 mom. samt höra dataombudsmannen om i 5 § 2 mom. avsedd insamling av uppgifter innan institutet fattar beslut om uppgiftskyldigheten. 
Vid samråd enligt 1 mom. bedöms behovet av de uppgifter som ska samlas in, innehållet och förändringar i det, bevaringstiden för uppgifterna och sättet att samla in dem samt behovet av identifieringsuppgifter. 
Samråd och hörande enligt 1 mom. ska ordnas i så god tid att synpunkterna hos de instanser som företräder uppgiftslämnarna och dataombudsmannens synpunkter kan beaktas. Samråd ska ordnas också om en instans som företräder uppgiftslämnarna begär det. 
5 e § 
Rätt att få och att hantera prov 
För fullgörande av sina forsknings- och utredningsuppgifter enligt 2 § eller någon annan lag får Institutet för hälsa och välfärd samla in och behandla blod- och vävnadsprov om det är nödvändigt för skötseln av uppgifterna. 
Institutet får i enlighet med biobankslagen (688/2012) överföra blod- och vävnadsprov som det innehar samt tillhörande uppgifter till en biobank. 
På förvaring av blod- och vävnadsprov tillämpas 5 b § om bevaringstid för uppgifter. 
5 f § 
Överföring av betydelsefullt forskningsmaterial till Institutet för hälsa och välfärd 
Om forskning och material från forskning som bedrivs av universitet, andra forskningsinstitut, enskilda forskare, forskargrupper eller verksamhetsenheter inom social- och hälsovården är speciellt betydelsefulla för befolkningens välfärd eller hälsa och för forskning som gäller dem, får materialet oberoende av sekretessbestämmelserna överföras till Institutet för hälsa och välfärd genom ett avtal för att användas inom forskningsverksamhet. 
För överföring av forskningsmaterial som avses i 1 mom. förutsätts det att den etiska kommittén vid Institutet för hälsa och välfärd ger ett positivt utlåtande om överlåtelsen. Uppgifter som samlats in med den berördes samtycke får dock överföras bara om det är uppenbart att sådan användning och överlåtelse av uppgifter inte i väsentlig mån avviker från de syften som uppgifterna lämnats för. 
5 g § 
Rätt för Institutet för hälsa och välfärd att få uppgifter för att utföra sinnesundersökningar 
Institutet för hälsa och välfärd och den som på förordnande av Institutet för hälsa och välfärd med stöd av mentalvårdslagen (1116/1990) utför sinnesundersökningar har rätt att avgiftsfritt och trots bestämmelserna om sekretess få uppgifter som är nödvändiga för utförande av sinnesundersökningar från statliga och kommunala myndigheter och andra offentligrättsliga sammanslutningar, Folkpensionsanstalten, Pensionsskyddscentralen, patientskadenämnden, pensionsstiftelser och andra pensionsanstalter, försäkringsanstalter, serviceproducenter enligt 2 § 2 mom. i lagen om privat hälso- och sjukvård (152/1990) och självständiga yrkesutövare enligt 2 § 3 mom. i den lagen, verksamhetsenheter enligt 3 § 2 mom. i lagen om privat socialservice (922/2011) samt apotek. Nämnden för rättspsykiatriska ärenden har rätt till motsvarande uppgifter för fullgörande av dess uppgifter enligt 3 a § 2 mom. i denna lag. 
5 h § 
Behandling av uppgifter som statistikmyndighet 
När Institutet för hälsa och välfärd verkar som statistikmyndighet enligt 2 § 1 mom. 4 c-punkten är kommuner, samkommuner, statliga myndigheter samt offentliga och privata tjänsteproducenter inom social- och hälsovården skyldiga att på begäran förse institutet med sådana uppgifter om sin social- och hälsovårdsverksamhet som är nödvändiga för att upprätta statistik och som inte innehåller identifieringsuppgifter. På motsvarande sätt är Folkpensionsanstalten skyldig att lämna Institutet för hälsa och välfärd uppgifter om betalda förmånsbelopp och antalet förmånstagare. 
Uppgifter som erhållits med stöd av denna paragraf får behandlas endast i enlighet med statistiklagen. 
Institutet för hälsa och välfärd får vidare använda uppgifter som det erhållit med stöd av 5 § även för statistikmyndighetsuppgifter. 
5 i § 
Kvalitetsregister 
Med kvalitetsregister avses ett register vars uppgifter används för utvärdering av behandlingen av en viss sjukdom eller en viss behandlingsmetod eller för utvärdering av socialservice. I registret lagras nödvändiga personuppgifter i anknytning till sjukdomen och behandlingsmetoden eller tillhandahållandet av socialservice. För att behandlingens eller servicens kvalitet ska kunna utvärderas får det i registret dessutom lagras uppgifter om vilken verksamhetsenhet som svarat för behandlingen eller servicen och vilka personer som gett behandlingen eller servicen. 
Ett kvalitetsregister som omfattas av Institutet för hälsa och välfärds registeransvar får användas för användningsändamål som avses i lagen om sekundär användning av personuppgifter inom social- och hälsovården. 
Bestämmelser om vilka kvalitetsregister som omfattas av Institutet för hälsa och välfärds registeransvar utfärdas genom förordning av social- och hälsovårdsministeriet. Institutet för hälsa och välfärd meddelar föreskrifter om datastrukturer och datainnehåll i sina kvalitetsregister. 
Denna lag träder i kraft den 20
Om personuppgifter före denna lags ikraftträdande har samlats i ett kvalitetsregister och den personuppgiftsansvarige för kvalitetsregistret inte är en myndighet eller en verksamhetsenhet inom social- och hälsovården, ska den personuppgiftsansvarige senast den 30 november 2019 lämna uppgifter till Institutet för hälsa och välfärd om registret och dess registerbeskrivning samt andra nödvändiga uppgifter för bedömning av ärendet. 
Lag 
om ändring av 30 e § i läkemedelslagen 
I enlighet med riksdagens beslut 
upphävs i läkemedelslagen (395/1987) 30 e § 4 mom., sådant det lyder i lag 330/2013, samt 
ändras 30 e § 2, 3 och 6 mom., sådana de lyder i lag 330/2013, som följer: 
30 e § 
Säkerhets- och utvecklingscentret för läkemedelsområdet registrerar de i 1 mom. angivna uppgifterna i det riksomfattande registret över biverkningar som centret för i syfte att säkerställa läkemedels- och patientsäkerheten. Säkerhets- och utvecklingscentret för läkemedelsområdet får dessutom när som helst begära uppgifter om förhållandet risk/nytta hos ett läkemedelspreparat. Dessutom är de som avses i lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994) trots bestämmelserna om sekretessplikt skyldiga att avgiftsfritt i syfte att säkerställa läkemedels- och patientsäkerheten till Säkerhets- och utvecklingscentret för läkemedelsområdet lämna ut följande uppgifter i journalhandlingar: patienters personuppgifter, uppgifter om medicinering, indikationer för medicineringen och biverkningar hos läkemedel samt uppgift om vem som gjort anmälan.  
Uppgifterna i ett register över biverkningar som förs av den som innehar försäljningstillstånd för läkemedelspreparat, försäljningstillstånd för läkemedelspreparat i parallellimport eller registrering av ett traditionellt växtbaserat preparat och uppgifterna i registret över biverkningar som förs av Säkerhets- och utvecklingscentret för läkemedelsområdet får användas endast för uppföljning och rapportering som gäller biverkningar av läkemedel, för de användningsändamål som avses i lagen om sekundär användning av personuppgifter inom social- och hälsovården (/) i enlighet med den lagen och för bedömning av säkerheten hos läkemedel och förhållandet risk/nytta i fråga om läkemedel. Uppgifter får dock inte lämnas ut eller användas för beslut som gäller den registrerade. Säkerhets- och utvecklingscentret för läkemedelsområdet ska till Institutet för hälsa och välfärd lämna ut uppgifter som centret har fått i fråga om vaccin. Uppgifter från registret över biverkningar som Säkerhets- och utvecklingscentret för läkemedelsområdet förvaltar får lämnas ut via en teknisk anslutning. Innan den tekniska anslutningen öppnas ska den som begär uppgifter lägga fram en utredning om att uppgifterna skyddas på behörigt sätt.  
Säkerhets- och utvecklingscentret för läkemedelsområdet meddelar närmare föreskrifter om förande av register över biverkningar och om rapportering av uppgifter till Säkerhets- och utvecklingscentret för läkemedelsområdet. Centret får vid behov meddela föreskrifter om rapporteringen av biverkningar av läkemedelspreparat till dem som har rätt att förskriva och expediera läkemedel. 
Denna lag träder i kraft den 20
Lag 
om upphävande av 18 § 5 mom. i lagen om klientens ställning och rättigheter inom socialvården 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs i lagen om klientens ställning och rättigheter inom socialvården (812/2000) 18 § 5 mom., sådant det lyder i lag 796/2010. 
2 § 
Denna lag träder i kraft den 20
Lag 
om upphävande av 13 § 5 mom. i lagen om patientens ställning och rättigheter 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs i lagen om patientens ställning och rättigheter (785/1992) 13 § 5 mom., sådant det lyder i lag 795/2010. 
2 § 
Denna lag träder i kraft den 20
Lag 
om ändring av 15 § i lagen om elektroniska recept 
I enlighet med riksdagens beslut 
ändras i lagen om elektroniska recept (61/2007) 15 § 4 och 5 mom., av dem 15 § 4 mom. sådant det lyder i lag 251/2014, som följer: 
15 § 
Utlämnande av uppgifter till myndigheter och för vetenskaplig forskning  
Tillståndsmyndigheten för social- och hälsovårdsuppgifter (Tillståndsmyndigheten) har rätt att behandla och lämna ut uppgifter ur receptcentret och receptarkivet i enlighet med lagen om sekundär användning av personuppgifter inom social- och hälsovården (/). 
Folkpensionsanstalten får upprätta och överlåta sammanställningar över sådana uppgifter i receptcentret och receptarkivet som kan vara av betydelse för utredning av läkemedelssäkerheten samt nyttan av och kostnaderna för läkemedelsbehandlingar samt för utvecklandet av Folkpensionsanstaltens verksamhet och tjänster. Folkpensionsanstalten har rätt att utan dataanvändningstillstånd från Tillståndsmyndigheten använda uppgifter i receptcentret och receptarkivet i anstaltens vetenskapliga forskning. Den ska i så fall själv bevilja tillståndet att använda uppgifter i receptcentret och receptarkivet. 
Denna lag träder i kraft den 20
Lag 
om upphävande av 10 § 3 mom. i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs 10 § 3 mom. i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007). 
2 § 
Denna lag träder i kraft den 20
Lag 
om upphävande av 15 § 3 mom. i lagen om utredande av dödsorsak 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs i lagen om utredande av dödsorsak (459/1973) 15 § 3 mom., sådant det lyder i lag 684/1999. 
2 § 
Denna lag träder i kraft den 20
Lag 
om ändring av lagen om smittsamma sjukdomar 
I enlighet med riksdagens beslut 
upphävs i lagen om smittsamma sjukdomar (1227/2016) 42 § och 
ändras 25 § 1 mom., 34 §, 36 § 2 mom., 51 § 2 mom. och 53 § 2 mom. som följer: 
25 §  
Tillgång till information för att avvärja en allvarlig epidemi 
Om skyndsamma åtgärder är nödvändiga för att skydda befolkningens hälsa när en allvarlig epidemi hotar eller under epidemin för att avvärja epidemin eller utreda orsakerna till den och förhindra att den sprids, har Institutet för hälsa och välfärd oberoende av sekretessbestämmelserna och kostnadsfritt rätt att få tillgång till uppgifter i journalhandlingar och i Folkpensionsanstaltens förmånsregister samt till uppgifter det fått med stöd av 5 § i lagen om Institutet för hälsa och välfärd (668/2008) och att samköra uppgifterna i registren. Institutet har också rätt att slumpmässigt plocka ut jämförelsepersoner eller ett befolkningssampel från det befolkningsdatasystem som avses i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009). Sådana uppgifter är uppgifter om sjukdomsalstrare och deras egenskaper, diagnoser, riskfaktorer, faktorer som påverkat sjukdomsförloppet och om den insjuknades vårdplats, vården och resultatet av vården. Uppgifterna får samköras om det är nödvändigt för att fastställa en allvarlig epidemis ursprung eller konsekvenserna av epidemin. 
34 §  
Samkörning av uppgifterna i det sampelbaserade uppföljningsregistret 
Institutet för hälsa och välfärd får komplettera uppgifterna i det sampelbaserade uppföljningsregistret med uppgifter om klientens och patientens boendekommun, boningsort, födelseland, nationalitet och eventuella dödsfall ur det befolkningsdatasystem som avses i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster och samköra dessa uppgifter med uppgifterna i registret över smittsamma sjukdomar och Folkpensionsanstaltens förmånsregister samt med uppgifter det fått med stöd av 5 § i lagen om Institutet för för hälsa och välfärd. 
36 §  
Register över vårdrelaterade infektioner 
Institutet kan komplettera uppgifterna med befolkningsdatasystemets uppgifter om patientens och klientens boendekommun och boningsort och eventuella dödsfall. Följande nödvändiga uppgifter får samlas in och sparas i registret: sjukdomsalstrare och deras egenskaper, diagnoser, riskfaktorer, faktorer som påverkat smittförloppet och uppgifter om den insjuknades vårdplats, vården och resultatet av vården från vårdanmälningsregistret för socialvården och hälso- och sjukvården eller registret över smittsamma sjukdomar, eller uppgifter som erhållits med stöd av 5 § i lagen om Institutet för hälsa och välfärd. 
51 §  
Uppföljning av verkningarna av vaccinationer och utredning av biverkningar eller misstänkta fall av biverkningar 
Institutet för hälsa och välfärd har oberoende av sekretessbestämmelserna och kostnadsfritt rätt att få tillgång till nödvändiga journaluppgifter för att utföra de uppgifter som avses i 1 mom. och samköra dessa med uppgifterna i registret över smittsamma sjukdomar och Folkpensionsanstaltens förmånsregister samt med uppgifter det fått med stöd av 5 § i lagen om Institutet för hälsa och välfärd. 
53 §  
Dokumentation av anmälningar om biverkningar av vacciner och vaccinationer 
Bestämmelser om registret finns i läkemedelslagen (395/1987). 
Denna lag träder i kraft den 20
Lag 
om upphävande av lagen om riksomfattande personregister för hälsovården 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs lagen om riksomfattande personregister för hälsovården (556/1989). 
2 § 
Denna lag träder i kraft den 20
Lag 
om upphävande av lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården (409/2001). 
2 § 
Denna lag träder i kraft den 20
Lag 
om upphävande av 14 g § 3 mom. i lagen om utkomststöd 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs 14 g § 3 mom. i lagen om utkomststöd (1412/1997), sådant det lyder i lag 815/2015. 
2 § 
Denna lag träder i kraft den 20
Helsingfors 13.3.2019 
På riksdagens vägnar
talman
generalsekreterare
Senast publicerat 16.4.2019 13:45