Regeringens proposition
RP
159
2017 rd
Regeringens proposition till riksdagen med förslag till lag om sekundär användning av personuppgifter inom social- och hälsovården och till vissa lagar som har samband med den
PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL
I denna proposition föreslås det att det stiftas en ny lag om sekundär användning av personuppgifter inom social- och hälsovården. Det föreslås också att lagen om Institutet för hälsa och välfärd, lagen om patientens ställning och rättigheter, lagen om klientens ställning och rättigheter inom socialvården, lagen om elektroniska recept, läkemedelslagen, lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården, lagen om smittsamma sjukdomar och lagen om utredande av dödsorsak ändras samt att lagen om riksomfattande personregister för hälsovården och lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården upphävs. 
Genom de föreslagna lagarna ändras bestämmelserna inom det aktuella lagstiftningsområdet så att de motsvarar kraven enligt EU:s allmänna dataskyddsförordning, som ska tillämpas från och med den 25 maj 2018. 
Syftet med propositionen är att skapa tidsenliga och enhetliga förutsättningar för att de kunduppgifter på personnivå som uppkommer i samband med serviceverksamheten inom social- och hälsovården samt andra personuppgifter som gäller hälsa och välfärd ska kunna användas för statistikföring, forskning, utvecklings- och innovationsverksamhet, undervisning, informationsledning, myndighetsstyrning och myndighetstillsyn samt för myndigheternas planerings- och utredningsuppgifter.  
Genom de föreslagna lagarna förenhetligas den samlade lagstiftning som styr användningen av kunduppgifter inom social- och hälsovården samt andra personuppgifter som gäller hälsa och välfärd. Användningstillstånd som gäller uppgifter av detta slag ska enligt propositionen i fortsättningen beviljas centraliserat av Tillståndsmyndigheten för social- och hälsovårdsuppgifter, det ska upprättas ett centraliserat system för hantering av förfrågningar om uppgifter för behandlingen av tillstånd och förfrågningar om uppgifter och det ska utformas informationssäkra driftmiljöer och anslutningar för de uppgifter som lämnas ut enligt tillstånden. Ett centralt syfte med propositionen är att i väsentlig grad öka smidigheten och snabbheten i behandlingen av tillstånd för användning av uppgifter och lätta på den därmed förknippade administrativa börda som föranleds av parallella tillståndsförfaranden. 
I propositionen har hänsyn tagits till integrationen inom social- och hälsovården, den kraftfulla inverkan som digitaliseringen har på den elektroniska behandlingen av kunduppgifter samt de dataskydds- och informationssäkerhetskrav som behandlingen ska uppfylla. Samtidigt har den tekniska utvecklingen skapat nya möjligheter att behandla känsliga kunduppgifter och att för tillåtna användningsändamål samköra dem med andra personuppgifter på ett sätt som bättre än tidigare tryggar skyddet av kundernas personuppgifter och deras tillitsskydd. 
De föreslagna lagarna avses träda i kraft den 1 januari 2018.  
Det föreslås dock att en del av bestämmelserna ska tillämpas först efter en övergångsperiod.  
ALLMÄN MOTIVERING
1
Inledning
1.1
Legislativ grund
I serviceprocesserna för kunderna inom social- och hälsovården samt vid förmånshandläggningen i anslutning till social trygghet införs det i kundhandlingarna kunduppgifter på personnivå som gäller utvärdering av kundens behov av vård och omsorg, rehabilitering eller någon annan service eller en viss förmån, planering och lämnande av service och vård samt beslut i anslutning till dessa processer. Kunduppgifter av detta slag används inom den registeransvariges egen verksamhet för det primära användningsändamålet. 
Uppgifter om någons hälsotillstånd, sjukdom, funktionsnedsättning, vårdåtgärder eller därmed jämförbara åtgärder samt någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit är enligt personuppgiftslagen (523/1999) till sin karaktär känsliga uppgifter. Behandling av känsliga uppgifter och utlämnande av känsliga uppgifter till tredje man är förbjudet förutom inom tjänstetillhandahållarens egen verksamhet och för ett sådant användningsändamål som är förenligt med det ursprungliga användningsändamålet. Behandling av uppgifter för historisk eller vetenskaplig forskning eller statistikföring anses enligt personuppgiftslagen inte stå i strid med det ursprungliga användningsändamålet för uppgifterna.  
Även genom lagen om offentlighet i myndigheternas verksamhet (621/1999, offentlighetslagen) har skyddet för privatlivet och tillitsskyddet för kunder inom social- och hälsovården tryggats genom bestämmelser om sekretessplikt. Bestämmelserna gäller uppgifter i myndighetshandlingar oavsett vilket förvaltningsområdes verksamhet uppgifterna hänför sig till. I speciallagstiftningen finns det dessutom rikligt med bestämmelser enligt vilka uppgifterna om kunder inom social- och hälsovården och om de tjänster och förmåner som de erhållit är sekretessbelagda. Sådana bestämmelser finns bl.a. i de lagar som gäller yrkesutbildade personer inom hälso- och sjukvården och socialvården, i lagen om patientens ställning och rättigheter (785/1992, patientlagen), i lagen om klientens ställning och rättigheter inom socialvården (812/2000, klientlagen) samt i lagstiftningen om Folkpensionsanstaltens förmåner och ersättningar. 
De bestämmelser som avses ovan tryggar förutom det skydd för privatlivet och skydd för personuppgifter som fastställs i 10 § i grundlagen också kundens tillitsskydd, som är en central förutsättning i samband med social- och hälsotjänster. Enligt 10 § i grundlagen utfärdas bestämmelser om skydd för personuppgifter genom lag. Genom riksdagslag kan det alltså utfärdas bestämmelser också om möjligheten att använda kunduppgifter inom social- och hälsovården för andra ändamål än deras primära användningsändamål, om bestämmelserna uppfyller de krav som skyddet för privatlivet förutsätter. 
I offentlighetslagen finns det bestämmelser om allmänna grunder för undantag från myndigheternas sekretessplikt. I dess 28 § anges förutsättningarna för att lämna ut sekretessbelagda uppgifter för vetenskaplig forskning och statistikföring och för sådana planerings- och utredningsuppgifter som en myndighet utför. Också många andra lagar innehåller bestämmelser som tillåter att personuppgifter inom social- och hälsovården samlas in, lagras och används för användningsändamål som överensstämmer med denna proposition, såsom för att utvärdera, utveckla, styra och övervaka verksamheten. De viktigaste lagarna med hänsyn till de lagar som föreslås i denna proposition är personuppgiftslagen, offentlighetslagen, patientlagen och klientlagen, statistiklagen (280/2004) samt lagen om riksomfattande personregister för hälsovården (556/1989, lagen om personregister för hälsovården) och lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården (409/2001, Stakes statistiklag). 
I praktiken har det blivit ett problem att det för de ändamål som nämns ovan ofta behövs uppgifter från flera olika registeransvariga samtidigt, att användningstillstånd för registeruppgifter behandlas separat av olika myndigheter och att uppgifterna också lämnas ut med stöd av bestämmelser i olika lagar. Syftet med lagförslaget är att avveckla den överlappande administrativa bördan i anslutning till tillståndsbehandlingen, i väsentlig grad göra processen för tillståndsbehandling och samkörning av uppgifter smidigare och snabbare, upprätta ett centraliserat elektroniskt tillståndsförfarande och förfarande för utlämnande av uppgifter samt skapa förutsättningar för informationssäker och dataskyddsgaranterad elektronisk behandling av de uppgifter som lämnas ut. Dessutom ska det föreskrivas i lag om möjligheterna för den centraliserade Tillståndsmyndigheten för social- och hälsovårdsuppgifter att med myndighetsansvar och utan tillståndsförfarande samla in och samköra uppgifter som lämnas ut anonymiserade till den som begär information, vilket i mycket hög grad kommer att minska den administrativa bördan i anslutning till bl.a. effektbedömning och informationsledning. 
1.2
Bakgrund
De finländska social- och hälsovårdsmyndigheterna och tillhandahållarna av service förfogar över datalager på personnivå som är omfattande och värdefulla i ett internationellt perspektiv. Datalagren innehåller information om tillståndet i fråga om befolkningens välfärd och hälsa samt om användningen av social- och hälsotjänster. Uppgifterna kan användas förutom i patienternas och kundernas serviceprocesser också i samband med statistikföring, forskning, utvecklings- och innovationsverksamhet, undervisning, informationsledning, myndighetsstyrning och myndighetstillsyn samt myndigheternas planerings- och utredningsuppgifter. För dessa ändamål behövs det uppgifter på personnivå inte bara ur kundregister hos tillhandahållare av social- och hälsotjänster och ur personregister hos myndigheter som för register på befolkningsnivå inom detta område, utan ofta också ur andra register över befolkningen, såsom Statistikcentralens, Folkpensionsanstaltens, Befolkningsregistercentralens och Pensionsskyddscentralens register. 
Med hjälp av personbeteckningarna kan kunduppgifter som finns i olika register också samköras med varandra och med personregister på befolkningsnivå, vilket skapar en betydande användningspotential för de användningsändamål som avses i denna proposition. I synnerhet med tanke på forsknings-, utvecklings- och innovationsverksamhet samt Finlands konkurrenskraft är det av väsentlig betydelse att den nationella lagstiftningen genererar smidiga och snabba användningstillstånds- och utlämningsförfaranden som lämpar sig för ett sådant här ändamål, men som samtidigt också tryggar skyddet för privatlivet och tillitsskyddet för de registrerade. 
I denna proposition görs det en begreppsmässig åtskillnad mellan å ena sidan det primära användningsändamålet för de kunduppgifter och andra personuppgifter som registreras i samband med kundprocesserna inom social- och hälsovården och Folkpensionsanstaltens förmånshandläggning och å andra sidan sådana andra användningsändamål som nämnts ovan och som social- och hälsovårdsuppgifter och andra personuppgifter som ansluter sig till dem kan användas för enligt den föreslagna lagstiftningen. Med kunduppgifternas primära användningsändamål avses behandlingen av uppgifter i samband med undersökning, vård och rehabilitering av patienter eller motsvarande användning inom serviceprocessen för socialvårdsklienter eller förmånshandläggningen inom den sociala tryggheten. Uppgifterna behandlas då för samma användningsändamål som det ändamål för vilket de enligt registerbeskrivningen har införts i kundregistret. Med sekundär användning av personuppgifter inom social- och hälsovården avses på lagstiftning baserad användning av kunduppgifter för något annat användningsändamål som överensstämmer med den lag som föreslås i propositionen. 
Vid sekundär användning av personuppgifter inom social- och hälsovården har det visat sig vara ett påtagligt problem att ansökningar om användningstillstånd för registeruppgifter som behövs för ett och samma forsknings- eller utvecklingsprojekt behandlas separat av olika registeransvariga, och längden på tillståndsbehandlingen kan variera väldigt mycket. Olika registeransvariga kan också bedöma ett projekts etiskhet och vetenskaplighet på diametralt motsatt sätt. De användningstillstånd som krävs för ett enskilt projekt och de urval och samkörningar av datamaterial som görs i enlighet med tillstånden kan i dagens läge ta flera år i anspråk. I värsta fall kan det också ta flera år innan man får veta att användningstillstånd inte beviljas för sådana registeruppgifter hos en viss registeransvarig som är nödvändiga för projektet, även om tillstånd har beviljats av andra registeransvariga på basis av samma plan för användning av uppgifter. 
Folkpensionsanstalten (FPA) förvaltar socialvårdens och hälso- och sjukvårdens riksomfattande informationssystemtjänster, Kanta-tjänsterna, som det föreskrivs om i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007, lagen om klientuppgifter). I det riksomfattande patientdataarkivet som tar sig uttryck i Kanta-tjänsterna lagras enligt den gällande lagen om klientuppgifter centrala patientuppgifter som serviceanordnarna är registeransvariga för. FPA är däremot centraliserat registeransvarig för de recept som lagrats i det Receptcenter samt Receptarkiv som ingår i Kanta-tjänsterna. Alla elektroniska recept lagras i dessa.  
Trots Kanta-tjänsterna finns en betydande del av de kunduppgifter inom hälso- och sjukvården som är betydelsefulla för forskning och statistikföring fortfarande tills vidare i separata informationssystem, såsom olika verksamhetsenheters egna system eller regionala system. En del av de äldsta kunduppgifterna har arkiverats i pappersform. Den hälso- och sjukvård som ordnas av kommunerna och samkommunerna har sedan 2013 lagrat en stor del av nya journalhandlingar i det riksomfattande patientdataarkivet (Kanta). Avsikten är att alla centrala patientuppgifter successivt ska lagras i arkivet i en så strukturerad form som möjligt. Även de viktigaste verksamhetsenheterna inom den privata hälso- och sjukvården har anslutit sig till patientdataarkivet. 
Klienthandlingarna inom socialvården förs än så länge in i ett flertal olika register som olika registeransvariga och tillhandahållare av service förvaltar enligt olika lagringsformer. De omfattas dock av den nya lag om klienthandlingar inom socialvården (254/2015, lagen om klienthandlingar) som träder i kraft stegvis och som förpliktar dem som tillhandahåller socialtjänster att anteckna klientuppgifter i formbundna, strukturerade klienthandlingar och att registrera dem antingen i socialvårdens klientregister eller i socialvårdens anmälningsregister, beroende på vilka uppgifter det är fråga om. Detta skapar förutsättningar för att också klientuppgifterna inom socialvården inom de närmaste åren ska kunna lagras i ett riksomfattande arkiv med klientuppgifter inom socialvården, vilket innebär att uppgifterna kommer att kunna användas på ett effektivare sätt än nu. Lagen om klienthandlingar gäller detta och den trädde i kraft 2015. Den tillämpas stegvis och en ändring av lagen om klientuppgifter som hänför sig till den är under beredning.  
Målet är att alla centrala elektroniska kunduppgifter inom social- och hälsovården ska lagras i strukturerad form i Kanta-tjänsterna före utgången av 2020. Då målbilden realiseras kommer det att vara betydligt lättare att använda uppgifter för de ändamål som avses i denna proposition än vad som var fallet då propositionen utarbetades.  
Institutet för hälsa och välfärd (THL) är enligt statistiklagen (280/2004) riksomfattande statistikmyndighet för social- och hälsovården och samlar för detta ändamål in uppgifter även på personnivå hos tillhandahållare av social- och hälsotjänster. Bestämmelser om detta finns i Stakes statistiklag. Institutet för hälsa och välfärd förvaltar också för sina lagstadgade uppgifter flera andra riksomfattande datalager som beskriver verksamheten och servicen inom social- och hälsovården och som även innehåller kunduppgifter på personnivå. Bestämmelser om institutets uppgifter och behandling av personuppgifter i anslutning till dem finns i flera olika lagar. 
Med stöd av lagen om personregister för hälsovården förvaltar Institutet för hälsa och välfärd flera personregister för vilka det får uppgifter från tillhandahållare av hälso- och sjukvårdstjänster. I lagen föreskrivs det om institutets rätt att samla in patientuppgifter på personnivå och föra in dem i ett s.k. vårdanmälningsregister, men bestämmelser om datainnehållet i de uppgifter som samlas in finns i en förordning som utfärdats med stöd av lagen. Bestämmelserna motsvarar inte det krav på att bestämmelser om skydd för personuppgifter ska utfärdas genom lag som anges i 10 § 1 mom. i grundlagen, och inte heller de krav på heltäckande och exakta bestämmelser på lagnivå som grundlagsutskottet har ställt inom sin praxis.  
Enligt den gällande lagen om klientuppgifter får uppgifter som registrerats i det riksomfattande patientdataarkivet användas endast för vård av patienten. Ett undantag utgörs av den rätt som föreskrivs för Institutet för hälsa och välfärd att i elektronisk form få sådana patientuppgifter ur Kanta-arkivet som det behöver för de uppgifter som det ska sköta enligt lagen om riksomfattande personregister för hälsovården. Hittills har detta inte varit möjligt i praktiken, eftersom de patientuppgifter som Institutet för hälsa och välfärd behöver än så länge inte registreras i Kanta-arkivet i den strukturerade form som för närvarande krävs för ändamålet. Också för en smidig samordning av social- och hälsotjänsterna, för utvärdering av dem enligt enhetliga kriterier och för bedömning av servicekedjornas funktion krävs det att tillräckligt enhetliga principer och datastrukturer iakttas när klient- och patientuppgifter registreras och behandlas på annat sätt. 
Mot bakgrund av de orsaker som nämnts ovan tillsatte social- och hälsovårdsministeriet för tiden 1 april 2015—31 maj 2016 en arbetsgrupp med uppgift att bereda en reform av lagstiftningen om sekundär användning av klient- och patientuppgifter inom social- och hälsovården. Arbetsgruppens mandattid förlängdes till den 31 december 2016. Under fortsättningsperioden fungerade arbetsgruppen som en sakkunniggrupp till stöd för beredningen av regeringens proposition. 
Denna proposition bygger alltså på ministeriets målsättning att skapa lagstiftningsmässiga förutsättningar för att de personuppgifter som samlas i det praktiska kundarbetet inom social- och hälsovården samt de uppgifter som registrerats i Institutet för hälsa och välfärds datalager på ett effektivare och smidigare sätt ska kunna användas för de ändamål som föreslås i propositionen. Utöver de uppgifter som nämnts behövs det emellertid centraliserat uppgifter även ur bl.a. vissa av Folkpensionsanstaltens, Statistikcentralens, Befolkningsregistercentralens och Pensionsskyddscentralens register. Arbetsgruppens arbete fokuserades i betydande grad på att lösa olika problem i anslutning till gemensam användning av uppgifter hos olika registeransvariga. Målet är att försöka bemöta dessa frågeställningar genom de föreslagna lagarna. 
1.3
Målsättning
Verksamhetsmiljön för informationshantering inom social- och hälsovården befinner sig i ett tillstånd av stor förändring. Även informationsbehoven och de tekniska möjligheterna att möta dem utvecklas snabbt. Ett nationellt strategiskt mål är att tyngdpunkten inom utvecklingsarbetet ska flyttas så att kunduppgifter som registrerats en gång ska kunna användas inte bara i patient- och kundarbetet utan också vid insatser för att främja kundens individuella välfärd och individuella möjligheter att klara sig samt för sådana användningsändamål inom området för hälsa och välfärd som presenteras i lagförslaget: för statistiska ändamål, forsknings-, utvecklings- och innovationsverksamhet, undervisning, informationsledning, myndighetsstyrning och myndighetstillsyn samt för myndigheternas planerings- och utredningsarbete.  
I regeringsprogrammet för statsminister Juha Sipiläs regering nämns digitalisering och avveckling av normer bland målen för regeringsperioden. Enligt programmet ska författningarna göras smidigare och målet är att utveckla användarorienterade, produktivitetshöjande och resultatgivande digitala offentliga tjänster som fås från ett och samma ställe. Enligt programmet är målet också att avveckla onödig reglering, göra regleringen och den administrativa bördan lättare samt att avhålla sig från att skapa ytterligare nationell reglering vid genomförandet av EU-rättsakter. De lagar som föreslås i denna proposition motsvarar regeringsprogrammets mål i fråga om smidigare författningar, avveckling av normer och framför allt en lättare administrativ börda. Genom propositionen samordnas också den nationella lagstiftningen i området med Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen). 
Syftet med de föreslagna lagarna är att skapa lagstiftningsmässiga förutsättningar för det utvecklingsarbete som avses ovan och för dess strategiska mål. Det föreslås att kunduppgifter som registrerats elektroniskt en gång ska kunna användas smidigt inte bara för sitt primära användningsändamål utan också för olika andra ändamål som anges i den föreslagna lagen. Samtidigt tryggas ändå skyddet för privatlivet och tillitsskyddet för kunden. I takt med att informationssystemen utvecklas kan man framöver också främja kundens rätt att känna till och i möjligaste mån också själv bestämma över hur hens uppgifter används. 
Riksomfattande register på befolkningsnivå, successivt expanderande riksomfattande Kanta-tjänster, en översyn av biobanksverksamheten och biobankslagstiftningen inom ramen för de projekt för Juha Sipiläs regering som genomförs med särskild finansiering samt ett genomcenter och ett nationellt cancercenter kommer för sin del att bidra till att skapa förutsättningar för att de föreslagna målen ska nås i framtiden. Även informationssystemen vid verksamhetsenheterna inom social- och hälsovården utvecklas på ett sätt som ger nya tekniska och informationssäkra möjligheter att för informationsledningens behov samköra uppgifter som uppkommer inom den egna verksamheten, om detta blir tillåtet genom lagstiftning. På riksplanet tryggas samma ändamål genom de ändringar som föreslås i det lagförslag som gäller Institutet för hälsa och välfärd och utifrån vilka institutets lagbaserade insamling av information på ett ändamålsenligare sätt än nu kunde riktas in på sådana uppgifter som behövs för att målen ska nås.  
De föreslagna ändringarna av lagstiftningen gör det möjligt att på ett väsentligt sätt effektivisera användningen av Finlands exceptionellt heltäckande och högklassiga datalager, som hittills inte har utnyttjats tillräckligt. För att målen ska nås behöver man dessutom grundligt se över användningstillståndsprocesserna i anslutning till sekundär användning av uppgifter samt utveckla informationssäkra, interoperabla informationssystem hos registermyndigheterna. För att säkerställa att utlämnade uppgifter behandlas på behörigt sätt behövs det också informationssäkra elektroniska anslutningar och driftmiljöer, som tryggar dataskyddet också för känsliga personuppgifter. 
2
Nuläge
2.1
Lagstiftning och praxis
2.1.1
2.1.1 Finlands grundlag
Finlands grundlag (731/1999) trädde i kraft den 1 mars 2000. Genom grundlagen tryggas vars och ens grundläggande fri- och rättigheter, såsom rätt till liv, personlig frihet och integritet, jämlikhet och skydd för privatlivet, rätt till social trygghet och rättsskydd. Inskränkningar av de grundläggande fri- och rättigheterna ska vara förankrade i lag. Enligt den regeringsproposition med förslag till ändring av bestämmelserna om de grundläggande fri- och rättigheterna (RP 309/1993 rd) som ledde till reformen av de grundläggande fri- och rättigheterna syftade revideringen till att substansmässigt närma det inhemska systemet för de grundläggande fri- och rättigheterna till de internationella förpliktelserna beträffande de mänskliga rättigheterna. Det viktigaste målet med reformen var att utvidga och stärka skyddet för individens rättigheter på grundlagsnivå.  
Med grundläggande fri- och rättigheter avses i grundlagen föreskrivna rättigheter som tillkommer individen. Enligt 22 § i grundlagen ska det allmänna se till att de grundläggande fri- och rättigheterna och de mänskliga rättigheterna tillgodoses. Huvudregeln är att de grundläggande fri- och rättigheterna skyddar varje individ (fysisk person) som omfattas av Finlands jurisdiktion under hela hens livstid. En människa blir fullständig innehavare av de grundläggande fri- och rättigheterna då hen föds och skyddas av dem fram till sin död. En juridisk person skyddas indirekt av de grundläggande fri- och rättigheterna, eftersom ingripande i en juridisk persons ställning kan innebära inkräktande på rättigheterna för en individ som finns bakom den juridiska personen.  
I 16 § 3 mom. i grundlagen tryggas vetenskapens frihet. Vetenskapens frihet är inte en absolut frihet, utan den kan inskränkas på vissa villkor. Till exempel skyddet av försökspersoners privatliv kan kräva inskränkningar i vetenskapens frihet.  
Enligt 10 § 1 mom. i grundlagen är vars och ens privatliv, heder och hemfrid tryggade. Enligt momentet utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Denna särskilda bestämmelse om datasekretess togs ursprungligen in i 8 § i regeringsformen i samband med reformen av bestämmelserna om de grundläggande fri- och rättigheterna (969/1995) och den hänvisar till behovet av att genom lagstiftning trygga individens rättsskydd och skydd för privatlivet när personuppgifter behandlas.  
Grundläggande fri- och rättigheter gäller för alla, även för barn och omyndiga som uppnått myndighetsåldern. Enligt 6 § i grundlagen är alla lika inför lagen. Ingen får särbehandlas utan godtagbart skäl på grund av exempelvis ålder eller hälsotillstånd eller av någon annan orsak som gäller hens person. Bestämmelser om minderårigas ställning finns i 6 § 3 mom., där det föreskrivs att barn ska bemötas som jämlika individer och att de ska ha rätt till medinflytande enligt sin utvecklingsnivå i frågor som gäller dem själva. Bestämmelsen grundar sig på barnkonventionen och den har beaktats i patientlagens och klientlagens bestämmelser. 
I 19 § i grundlagen föreskrivs det om rätt till social trygghet och oundgänglig omsorg. Enligt 3 mom. ska det allmänna, enligt vad som närmare bestäms genom lag, tillförsäkra var och en tillräckliga social-, hälsovårds- och sjukvårdstjänster samt främja befolkningens hälsa. Det allmänna har alltså skyldighet att se till att var och en har förutsättningar att fungera som en myndig samhällsmedlem. 
Enligt 80 § i grundlagen ska bestämmelser om grunderna för individens rättigheter och skyldigheter utfärdas genom lag. Inte heller bestämmelser om inskränkningar av de grundläggande fri- och rättigheterna får alltså utfärdas genom författningar på lägre nivå än lag. Grundlagsutskottet har tolkat paragrafen så att inskränkningar i de grundläggande fri- och rättigheterna ska vara noga avgränsade och tillräckligt exakt definierade (GrUB 25/1994 rd). Det ska finnas en godtagbar grund för bestämmelser som ingriper i de grundläggande fri- och rättigheterna och bestämmelserna ska vara proportionella (t.ex. GrUU 10/2004 rd). Proportionaliteten bedöms med hjälp av en jämförelse mellan de intressen som ligger bakom den rätt som garanteras av de grundläggande fri- och rättigheterna och inskränkningen. Inskränkningar av de grundläggande fri- och rättigheterna får inte heller beröva fri- eller rättigheten i fråga på sitt kärninnehåll (GrUU 23/1997 rd). Innehavaren av grundläggande fri- och rättigheter ska garanteras ett adekvat rättsskydd. Dessutom får inte inskränkningar av de grundläggande fri- och rättigheterna strida mot internationella förpliktelser i fråga om de mänskliga rättigheterna som är bindande för Finland. 
2.1.2
2.1.2 Personuppgiftslagen
Personuppgiftslagen trädde i kraft den 1 juni 1999. Genom personuppgiftslagen reviderades den gällande allmänna lagstiftningen om insamling, registrering, användning och utlämnande av personuppgifter så att den blev överensstämmande med Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan dataskyddsdirektivet) samt andra internationella förpliktelser. Enligt 2 § i personuppgiftslagen ska lagen iakttas vid behandlingen av personuppgifter, om inte något annat bestäms i någon annan lag. I personuppgiftslagen beaktas 10 § i grundlagen, enligt vilken närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. 
Enligt 3 § i personuppgiftslagen avses med personuppgifter alla slags anteckningar som beskriver en fysisk person eller hens egenskaper eller levnadsförhållanden som kan hänföras till hen själv eller till hens familj eller någon som lever i gemensamt hushåll med hen. Med behandling av personuppgifter avses insamling, registrering, organisering, användning, översändande, utlämnande, lagring, ändring, samkörning, blockering, utplåning och förstöring av personuppgifter samt andra åtgärder som vidtas i fråga om personuppgifterna.  
Med registeransvarig avses en eller flera personer, sammanslutningar, inrättningar eller stiftelser för vilkas bruk ett personregister inrättas och vilka har rätt att förfoga över registret eller vilka enligt lag ålagts skyldighet att föra register. En registrerad är den som en personuppgift gäller. Med tredje man avses andra personer, sammanslutningar, inrättningar eller stiftelser än den registrerade, den registeransvarige, registerföraren eller den som behandlar personuppgifter för de två sistnämndas räkning. Samtycke innebär varje slag av frivillig, särskild och på information baserad viljeyttring genom vilken den registrerade godtar behandling av hens personuppgifter.  
I personuppgiftslagens 2 kap. föreskrivs det om de allmänna principerna för behandlingen av personuppgifter. Dessa är bl.a. aktsamhetsplikt vid behandlingen av personuppgifter, principen om planering av behandlingen av personuppgifter och principen om ändamålsbundenhet.  
Behandling av känsliga uppgifter är i princip förbjuden enligt 11 §. Såsom känsliga uppgifter betraktas personuppgifter som beskriver eller vilkas syfte är att beskriva bl.a. ras eller etniskt ursprung, någons hälsotillstånd, sjukdom eller funktionsnedsättning eller vårdåtgärder eller därmed jämförbara åtgärder som gäller personen i fråga, eller någons behov av socialvård eller de socialtjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit.  
I 12 § anges undantagen från förbudet mot att behandla känsliga uppgifter. Känsliga uppgifter får behandlas om den registrerade har gett sitt uttryckliga samtycke till det. Uppgifter får också behandlas för historisk eller vetenskaplig forskning eller för statistikföring. Förbudet mot att behandla känsliga uppgifter utgör inte heller hinder för att en verksamhetsenhet inom hälsovården eller en yrkesutbildad person inom hälso- och sjukvården behandlar uppgifter som de fått i samband med verksamheten och som gäller den registrerades hälsotillstånd, sjukdom eller funktionsnedsättning eller de vårdåtgärder som gäller den registrerade, eller andra uppgifter som är nödvändiga för vården av den registrerade.  
Också socialvårdsmyndigheterna och andra myndigheter, anstalter och privata socialserviceproducenter som beviljar socialvårdsförmåner får trots förbudet i egenskap av registeransvariga behandla uppgifter som myndigheten, anstalten eller serviceproducenten i fråga har fått i sin verksamhet och som gäller den registrerades behov av socialvård eller socialtjänster, stödåtgärder eller andra förmåner inom socialvården som beviljats den registrerade, eller andra uppgifter som är nödvändiga för vården av den registrerade.  
I 13 § finns det bestämmelser om villkoren för att få behandla personbeteckningar. En personbeteckning får behandlas med den registrerades entydiga samtycke eller när behandlingen regleras i lag. Dessutom får en personbeteckning behandlas om det är nödvändigt att entydigt individualisera den registrerade för att utföra en i lag angiven uppgift, för att uppfylla den registrerades eller den registeransvariges rättigheter och skyldigheter eller för historisk eller vetenskaplig forskning eller för statistikföring. Närmare bestämmelser om behandling av personuppgifter för forskning, statistikföring och myndigheternas planerings- och utredningsuppgifter finns i lagens 14—16 §. 
Den registrerade ska informeras om behandlingen av hens uppgifter i enlighet med 24—25 § och har rätt att granska sina egna uppgifter (26—28 §). Rätt till insyn finns dock inte enligt 27 § om de personuppgifter som finns i registret uteslutande används för historisk eller vetenskaplig forskning eller statistiskföring. Den registrerade har enligt 29 § rätt att kräva att en oriktig, onödig, bristfällig eller föråldrad personuppgift rättas. Den registeransvarige ska enligt 32 § säkerställa att personuppgifter skyddas med tekniska och organisatoriska åtgärder. I 33 § föreskrivs det om tystnadsplikt för den som behandlar uppgifter. Enligt 34 § ska ett personregister som inte längre behövs för den registeransvariges verksamhet förstöras, om det inte särskilt bestäms att de registrerade uppgifterna ska bevaras eller om registret inte ska överföras till ett arkiv på det sätt som avses i 35 §. 
2.1.3
2.1.3 Lagen om offentlighet i myndigheternas verksamhet
Offentlighetslagen trädde i kraft den 1 december 1999. Genom offentlighetslagen totalreviderades lagstiftningen om offentlighet och sekretess för myndigheternas handlingar. Målet med lagen är att garantera att offentlighetsprincipen iakttas i all utövning av offentlig makt. Enligt den princip som framgår av lagens 1 § är myndighetshandlingar i princip offentliga, om inte något annat föreskrivs särskilt i lag. Offentlighetslagens tillämpningsområde omfattar alla som sköter offentliga uppgifter, oberoende av om de är organiserade som myndigheter eller inte.  
I 5 § definieras handlingar och myndighetshandlingar. Med handling avses förutom en framställning i skrift eller bild även ett meddelande som avser ett visst objekt eller ärende och som uttrycks i form av tecken som på grund av användningen är avsedda att höra samman och vilket kan uppfattas endast med hjälp av automatisk databehandling eller en ljud- eller bildåtergivningsanordning eller något annat hjälpmedel. Med myndighetshandling avses en handling som innehas av en myndighet och som har upprättats av myndigheten eller av någon som är anställd hos en myndighet eller som har inkommit till en myndighet för behandling av ett visst ärende eller i övrigt inkommit i samband med ett ärende som hör till myndighetens verksamhetsområde eller uppgifter. En handling anses ha blivit upprättad av en myndighet även när den har upprättats på uppdrag av myndigheten. En handling anses ha inkommit till en myndighet även när den har inkommit till den som verkar på uppdrag av myndigheten eller i övrigt för myndighetens räkning, för att denne ska kunna utföra sitt uppdrag.  
I 6 § definieras tidpunkten för när en handling som upprättats av en myndighet blir offentlig och i 7 § tidpunkten för när en handling som inkommit till en myndighet blir offentlig. Enligt 9 § har var och en rätt att ta del av en offentlig myndighetshandling. Enligt 10 § får uppgifter om en sekretessbelagd myndighetshandling eller om dess innehåll lämnas ut endast om så särskilt bestäms i offentlighetslagen. Om begäran avser en sekretessbelagd handling, en uppgift ur ett personregister som förs av en myndighet eller någon annan handling ur vilken en uppgift kan lämnas ut endast under vissa förutsättningar, ska enligt 13 §, om inte något annat bestäms särskilt, den som begär att få ta del av en handling meddela för vilket ändamål uppgifterna ska användas, lämna sådana upplysningar om övriga omständigheter som myndigheten behöver för att kunna utreda förutsättningarna för utlämnande av uppgifter samt vid behov meddela hur uppgifterna kommer att skyddas. 
Om inte något annat särskilt bestäms i lag får personuppgifter med stöd av 16 § lämnas ut ur ett register i form av en kopia eller en utskrift eller i elektronisk form, om mottagaren enligt bestämmelserna om skydd för personuppgifter har rätt att registrera och använda sådana personuppgifter.  
I 5 kap. föreskrivs det om myndigheternas skyldighet att främja möjligheterna att ta del av en handling samt en god informationshantering och i 6 kap. om skyldighet att iaktta sekretess. En myndighetshandling ska enligt 22 § sekretessbeläggas om det i offentlighetslagen eller någon annan lag föreskrivs eller en myndighet med stöd av lag har föreskrivit att den ska vara sekretessbelagd eller om handlingen innehåller uppgifter för vilka tystnadsplikt föreskrivs genom lag.  
Om inte något annat föreskrivs särskilt, är handlingar som överlämnats till statistikmyndigheter för statistikframställning, liksom handlingar som frivilligt överlämnats till en myndighet för forskning eller statistikföring, enligt 24 § 1 mom. 16 punkten i offentlighetslagen sekretessbelagda myndighetshandlingar. Sekretessbelagda är enligt 25 punkten i samma moment även handlingar som innehåller uppgifter om en klient hos socialvården och de förmåner eller stödåtgärder eller den socialvårdsservice som hen har erhållit, eller uppgifter om en persons hälsotillstånd eller funktionsnedsättning eller den hälsovård eller rehabilitering som hen har erhållit, eller uppgifter om någons sexuella beteende eller inriktning.  
Bestämmelser om de allmänna grunderna för utlämnande av sekretessbelagda uppgifter finns i 26 §. Enligt den paragrafen får en myndighet ur en sekretessbelagd myndighetshandling lämna ut uppgifter om det i lag särskilt har tagits in uttryckliga bestämmelser om rätten att lämna ut eller att få uppgifter, eller när sekretessplikt har föreskrivits till skydd för någons intressen och denne samtycker till att uppgifter lämnas ut. Dessutom får en myndighet lämna ut sekretessbelagda uppgifter för uppdrag som den ger eller uppgifter som i övrigt handhas för myndighetens räkning. Förutsättningen är att det på förhand har säkerställts att uppgifterna kommer att hemlighållas och skyddas. 
Enligt 28 § kan en myndighet, om inte något annat föreskrivs genom lag, i enskilda fall bevilja tillstånd att ta del av en sekretessbelagd handling för vetenskaplig forskning eller statistikföring eller för ett sådant planerings- eller utredningsarbete som en myndighet utför, om det är uppenbart att de intressen som sekretessplikten är avsedd att skydda inte kränks om uppgifter lämnas ut. Prövningen av om tillstånd ska beviljas ska utgå från att den vetenskapliga forskningens frihet tryggas. Om uppgifter har lämnats ut till en myndighet med samtycke av den vars intressen sekretessplikten är avsedd att skydda, får tillstånd inte beviljas i strid med de villkor som uppställts i samtycket. Om tillstånd behövs för handlingar som finns hos flera myndigheter som är underställda samma ministerium, fattar ministeriet beslut om beviljande av tillstånd efter att vid behov ha hört myndigheterna. Uppgifter ur en sekretessbelagd myndighetshandling som har överförts till ett arkiv i den ordning som föreskrivs i arkivlagen får enligt 27 § lämnas ut för forskning eller något annat godtagbart ändamål, om inte den myndighet som har överfört handlingen har bestämt något annat.  
En myndighet kan enligt 29 § 3 mom. för en annan myndighet öppna en teknisk anslutning till sådana uppgifter i sitt personregister som den andra myndigheten enligt en i lag särskilt bestämd skyldighet ska beakta när den fattar beslut. Om personuppgifterna är sekretessbelagda, får uppgifter sökas med hjälp av en teknisk anslutning endast i fråga om sådana personer som har samtyckt till detta, om inte något annat uttryckligen föreskrivs särskilt om utlämnande av en sekretessbelagd uppgift. 
2.1.4
2.1.4 Lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården
Lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården, Stakes statistiklag, gäller för statistiska syften utförd behandling av kvantitativa uppgifter som beskriver socialvården samt hälso- och sjukvården och av uppgifter som är i identifierbar form och som hänför sig till verksamheten inom socialvården, till den del statistiken framställs och publiceras av forsknings- och utvecklingscentralen för social- och hälsovården (numera Institutet för hälsa och välfärd, se lag 668/2008, 11 §). Genom denna lag fick man lagstiftningen om insamling av uppgifter vid forsknings- och utvecklingscentralen att överensstämma med de krav som gäller för statistikväsendet och behandlingen av personuppgifter. Lagen innehåller bestämmelser om skyldighet att lämna uppgifter, uppgifter som ska samlas in, insamling av uppgifter och beslut om insamling av uppgifter samt om användning, utlämnande och bevaring av uppgifter. I övrigt tillämpas statistiklagen och vissa andra allmänna lagar, såsom personuppgiftslagen, på behandlingen av dessa uppgifter. 
Enligt 1 § tillämpas lagen när uppgifter som beskriver social- och hälsovården och dess utveckling behandlas för statistiska syften. Sådan statistik som avses i lagen produceras och publiceras av Institutet för hälsa och välfärd, som är en statistikmyndighet enligt 2 § 1 mom. i statistiklagen. Bestämmelser om behandlingen av uppgifter om hälso- och sjukvården för statistiska syften finns dessutom i lagen om riksomfattande personregister för hälsovården. Till den del något annat inte bestäms i lagen iakttas enligt 1 § 2 mom. dessutom statistiklagen vid skötseln av de statistikföringsuppgifter som avses i 1 § 1 mom. På behandlingen av personuppgifter som samlats in med stöd av lagen tillämpas enligt 1 § 3 mom. personuppgiftslagen, om inte något annat föreskrivs i lagen. 
Bestämmelser om skyldighet att lämna uppgifter finns i 2 §. Kommuner, samkommuner, statliga myndigheter samt offentliga och privata producenter av social- och hälsovårdservice är skyldiga att på begäran av Institutet för hälsa och välfärd lämna institutet sådana uppgifter om sin verksamhet inom social- och hälsovården som behövs för framställande av statistik och som inte innehåller några identifikationsuppgifter. På motsvarande sätt är Folkpensionsanstalten skyldig att lämna institutet uppgifter om utbetalade förmåner och antalet mottagare. I 2 mom. finns en förteckning över uppgifter som behövs för framställande av statistik och som kommuner och samkommuner samt offentliga och privata producenter av social- och hälsovårdsservice trots sekretessbestämmelserna är skyldiga att lämna Institutet för hälsa och välfärd på dess begäran. Institutet för hälsa och välfärd beslutar enligt 3 § vilka uppgifter som ska samlas in på basis av den skyldighet att lämna uppgifter som avses i 2 §, vilka tidsfrister och procedurer som ska iakttas när uppgifterna lämnas samt om återrapportering.  
Bestämmelser om användning av uppgifter finns i 4 §. Institutet för hälsa och välfärd får använda sådana uppgifter som omfattar i 2 § 3 mom. avsedda identifikationsuppgifter för statistiska syften endast så att personbeteckningarna har ändrats så att enskilda personer inte kan identifieras på basis av dem. Enligt 2 mom. får Institutet för hälsa och välfärd dessutom använda de uppgifter som det samlat in med stöd av lagen inom sådan forskningsverksamhet som avses i 2 § i lagen om Institutet för hälsa och välfärd (668/2008). 
Enligt lagens 5 § ska 17 § 1 och 2 mom. i statistiklagen tillämpas på hemlighållande av uppgifter som samlats in med stöd av lagen. Enligt 2 mom. får uppgifter som samlats in med stöd av lagen, trots vad som någon annanstans i lag bestäms om skyldigheten eller rätten att lämna ut sekretessbelagda uppgifter, inte lämnas ut för att användas vid administrativt beslutsfattande som gäller enskilda personer eller familjer eller vid annan motsvarande behandling av ärenden. Institutet för hälsa och välfärd får lämna ut sådana uppgifter som avses i 2 § 1 mom. samt sådana i 2 § 2 mom. avsedda uppgifter som inte innehåller i 2 § 3 mom. nämnda identifikationsuppgifter, så som föreskrivs i 18 § 2 mom. i statistiklagen. I 4 mom. föreskrivs det dessutom att på utlämnande av uppgifter som samlats in med stöd av lagen tillämpas inte 28 § i offentlighetslagen. 
Bestämmelser om bevaring av uppgifter finns i 6 §. Utgångspunkten är att Institutet för hälsa och välfärd får bevara uppgifter som innehåller i 2 § 3 mom. avsedda identifikationsuppgifter så länge det är nödvändigt med tanke på de ändamål för vilka uppgifter enligt denna lag ska användas. Därefter ska uppgifterna utplånas, om inte arkivverket med stöd av 8 § 3 mom. i arkivlagen (831/1994) bestämmer att uppgifterna ska bevaras varaktigt. Bestämmelser om bedömning av om de ändamål för vilka uppgifterna ska användas är nödvändiga finns i 12 § 2 mom. i personuppgiftslagen. 
2.1.5
2.1.5 Statistiklagen
Statistiklagen är en allmän lag om statens statistikväsen. Enligt lagens 2 § ska statens statistikväsen sörja för att statistik över samhällsförhållandena och deras utveckling framställs för allmänt bruk. För att säkerställa tillgången till tillförlitliga statistiska uppgifter som behövs för beslutsfattandet och planeringen i samhället och för att uppfylla förpliktelser i anslutning till det internationella statistiksamarbetet är syftet med lagen enligt 3 § att förenhetliga och effektivisera de principer och förfaringssätt som tillämpas vid insamling, behandling, användning, utlämnande och bevarande av uppgifter, att främja en god statistiksed inom statens statistikväsen samt att säkerställa att rättigheterna förverkligas för dem som lämnar uppgifter för statistiska ändamål eller som uppgifterna gäller. Syftet med lagen är även att främja användningen av uppgifter som insamlats för statistiska ändamål för vetenskaplig forskning och statistiska utredningar av samhällsförhållandena. 
Enligt 2 § 1 punkten är Institutet för hälsa och välfärd en statistikmyndighet enligt statistiklagen när institutet sköter lagstadgade uppgifter i anknytning till statistikframställning. Bestämmelserna om uppgiftsskyldighet i lagens 5 kap. gäller uteslutande lämnandet av uppgifter till Statistikcentralen. Andra statistikmyndigheters rätt att samla in uppgifter med stöd av uppgiftsskyldigheten bestäms enligt vad som föreskrivs i andra lagar.  
I statistiklagen finns det bestämmelser om bl.a. de allmänna grunderna för insamling av uppgifter och om organiseringen av insamlingen av uppgifter. Till de allmänna grunderna hör bl.a. att man vid framställning av statistik i första hand ska utnyttja uppgifter som samlats in i något annat sammanhang och att uppgifterna alltid ska samlas in utan identifikationsuppgifter om detta är möjligt med avseende på framställningen av statistiken. Den som samlar in uppgifter ska se till att endast de uppgifter som är nödvändiga för statistiken begärs av uppgiftslämnarna. Insamlingen av uppgifter ska ordnas så att uppgiftslämnarna åsamkas så liten olägenhet och så små kostnader som möjligt. Frågor som gäller de uppgifter som ska samlas in, de tidsfrister och förfaringssätt som ska tillämpas vid lämnandet av uppgifter, de kostnader som insamlingen av uppgifter orsakar olika parter samt återrapportering ska behandlas i samråd med uppgiftslämnarna eller de organisationer som företräder uppgiftslämnarna i ett så tidigt skede att uppgiftslämnarnas synpunkter kan beaktas.  
När uppgifter samlas in ska uppgiftslämnarna informeras om ändamålet med uppgifterna, vilka förfaringssätt som används vid framställning av statistiken, grunderna för lämnandet av uppgifter samt andra behövliga omständigheter som påverkar lämnandet av uppgifter. Statistiklagen innehåller också bestämmelser om bl.a. behandling och skydd av uppgifter som samlats in, uppgifternas tillförlitlighet samt sekretess för och utlämnande av uppgifter. Offentlighetslagen tillämpas i fråga om offentlighet, sekretess och tystnadsplikt beträffande uppgifter som samlats in för statistiska ändamål samt förbud mot utnyttjande av dem. 
Sekretessbelagda uppgifter som erhållits för statistiska ändamål får enligt 13 § i statistiklagen lämnas ut till utomstående i princip endast på de grunder som anges i en lag som gäller statens statistikmyndigheter, eller med samtycke av den som uppgifterna gäller. Det är helt förbjudet att lämna ut uppgifter för att användas vid administrativt beslutsfattande eller vid någon annan motsvarande behandling av ärenden.  
Enligt 13 § får en statistikmyndighet lämna ut uppgifter som den samlat in för statistiska ändamål för vetenskaplig forskning och statistiska utredningar som gäller samhällsförhållandena. Utlämnande av personuppgifter och identifikationsuppgifter om statistiska objekt är dock till övervägande del förbjudet, men statistikmyndigheten kan ge tillgång till sådana sekretessbelagda uppgifter på basis av vilka ett statistiskt objekt kan identifieras indirekt.  
Nödvändiga identifikationsuppgifter får lämnas ut till en annan statistikmyndighet för utvecklande, framställning och kvalitetsförbättring av statistik som hör till den myndighetens verksamhetsområde eller för att bilda forskningsmaterial för vetenskaplig forskning och statistiska utredningar av samhällsförhållandena. Enligt 19 § får Statistikcentralen under vissa förutsättningar också lämna ut uppgifter om personers ålder, kön, utbildning, yrke och socioekonomiska ställning. Uppgifter som erhållits för statistiska ändamål får inte lämnas ut med stöd av 28 § i offentlighetslagen. 
På uppgifter som lämnats för statistiska ändamål tillämpas enligt 12 § i statistiklagen det som föreskrivs i offentlighetslagen om offentlighet och sekretess samt om tystnadsplikt och förbud mot utnyttjande när det gäller uppgifter. Dessa bestämmelser i offentlighetslagen tillämpas emellertid inte på uppgifter som en myndighet som framställer statistik förfogar över och som beskriver statliga och kommunala myndigheter, deras verksamhet och uppgifter samt produktionen av offentlig service och inte heller på uppgifter som gäller företag och sammanslutningar enligt 18 § i statistiklagen. På handlingar som en myndighet som framställer statistik förfogar över och som har erhållits för statistiska ändamål tillämpas inte rätten enligt 11 och 12 § i offentlighetslagen att ta del av en handling som gäller en själv.  
2.1.6
2.1.6 Lagen och förordningen om riksomfattande personregister för hälsovården
Bestämmelser om behandling på riksnivå av uppgifter om någons hälsotillstånd för statistikföring, planering, forskning och tillsyn finns i lagen om riksomfattande personregister för hälsovården. Vid skötseln av statistikföringsuppgifter tillämpas förutom denna lag även statistiklagen som komplement. 
Med riksomfattande personregister för hälsovården avses centralregister som berör hela landet och som innehåller uppgifter om någons hälsotillstånd, sjukdom eller funktionsnedsättning eller om vårdåtgärder eller därmed jämförbara åtgärder som gäller en viss person. Registren förs av Institutet för hälsa och välfärd (THL) och av Säkerhets- och utvecklingscentret för läkemedelsområdet (Fimea).  
Enligt 2 § i lagen om riksomfattande personregister för hälsovården kan dessa myndigheter ha register för den statistikföring, planering, forskning och tillsyn som enligt lag eller förordning ankommer på dem. Förutom när det gäller det narkotikatillsynsregister som förs av Säkerhets- och utvecklingscentret för läkemedelsområdet finns det närmare bestämmelser om registren i förordningen om riksomfattande personregister för hälsovården (774/1989, ändrad 30.12.1993/1671). Register som förs av Institutet för hälsa och välfärd är enligt förordningen vårdanmälningsregistret, registret över födelser, registret över aborter och sterilisering, cancerregistret, missbildningsregistret, implantatregistret och synskaderegistret. Säkerhets- och utvecklingscentret för läkemedelsområdet för i sin tur utöver narkotikatillsynsregistret även registret över läkemedelsbiverkningar. I lagen föreskrivs det bl.a. om skyldigheter att lämna ut uppgifter till de register som nämnts och om när uppgifterna kan överlåtas vidare. Enligt 3 § är hälsovårdsmyndigheterna och hälsovårdsinrättningarna samt yrkesutbildade personer inom hälso- och sjukvården trots sekretessbestämmelserna skyldiga att ur handlingar och register i deras besittning lämna Institutet för hälsa och välfärd och Fimea de uppgifter som införs i registren. Enligt 4 § ska uppgifter som införs i centralregistren hållas hemliga. Efter att ha gett dataombudsmannen möjlighet att bli hörd kan dock Institutet för hälsa och välfärd för sin del och Fimea för sin del ge tillstånd till att personuppgifter lämnas ut för vetenskaplig forskning som gäller verksamheten inom hälsovården, förebyggande av sjukdomar eller vård, eller annan bestämd vetenskaplig forskning i samband med det. 
De riksomfattande personregistren förtecknas i den förordning om riksomfattande personregister för hälsovården som utfärdats med stöd av lagen. I förordningen anges också de uppgifter som ska föras in i vart och ett av registren. De många författningshänvisningarna i lagen och förordningen är föråldrade och har inte uppdaterats efter 1990-talet. 
2.1.7
2.1.7 Socialvårdslagen
Den nya socialvårdslagen (1301/2014) trädde i kraft den 30 december 2014. Syftet med lagen är att flytta tyngdpunkten från specialtjänster till allmänna tjänster, stärka klienternas jämlikhet och intensifiera myndigheternas samarbete. För att stärka klientorienteringen definierar lagen de stödbehov utifrån vilka socialservicen och annan socialvård ska ordnas. Grunden för ordnande av socialvård har skrivits in i grundlagen, i synnerhet i 19 §, där alla tillförsäkras rätt till oundgänglig försörjning och omsorg och det allmänna åläggs skyldighet att ordna tillräckliga social-, hälsovårds- och sjukvårdstjänster. Även andra grundläggande fri- och rättigheter är av betydelse när ordnandet av socialvård och innehållet i den granskas.  
Socialvårdslagen innehåller bestämmelser om skyldighet att ordna socialvård, förvaltning och förfarande när socialvård tillhandahålls. Enligt 1 § är syftet med lagen att 1) främja och upprätthålla välfärd och social trygghet, 2) minska ojämlikhet och främja delaktighet, 3) på lika grunder trygga behövlig, tillräcklig och högklassig socialservice samt andra åtgärder som främjar välfärden, 4) främja klientorientering och klientens rätt till god service och gott bemötande inom socialvården och 5) förbättra samarbetet mellan socialvården och kommunens olika sektorer samt andra aktörer för att de mål som avses i 1—4 punkten ska nås. Enligt 2 § tillämpas lagen på kommunal socialvård, om inte något annat bestäms i lag. 
I 2 kap. föreskrivs det om främjande av välfärd. Kommuninvånarna ska ha tillgång till rådgivning och handledning inom socialvården. Genom strukturellt socialt arbete ska information om social välfärd och sociala problem förmedlas och sakkunskapen inom socialvården utnyttjas för att främja välfärd och hälsa. Kapitlet innehåller också bestämmelser om att man ska ge akt på och främja välfärden hos personer som behöver särskilt stöd samt hos barn och unga och om utvecklande av service. 
Kapitel 3 gäller socialservice. I kapitlet behandlas sådana behov som socialservice ska ordnas för. I kapitlet tryggas rätten till nödvändig omsorg och försörjning samt sådan socialservice som är nödvändig med tanke på barnets hälsa och utveckling. I kapitlet anges det också vilken socialservice som ska omfattas av kommunernas organiseringsansvar. 
Bestämmelser om tillhandahållande av socialvård finns i 4 kap. Enligt 30 § har klienten rätt att av den som tillhandahåller socialvården få högklassig socialvård och ett gott bemötande utan diskriminering. Klienten ska bemötas så att hens övertygelse och integritet respekteras och människovärde inte kränks. Bestämmelser om hörande av klienten och klientens rätt att få redogörelse för olika alternativ finns i 31 §. Socialservicens innehåll och kvalitet ska enligt 33 § uppfylla kraven enligt lagstiftningen. Den allmänna kommunala socialservicen ska tillhandahållas så att den lämpar sig för alla klienter. I 4 kap. föreskrivs det dessutom om bedömning av servicebehovet, ordnande av service, vissa myndigheters skyldighet att styra en person till att söka socialservice, skyldighet för den som är anställd inom socialvården att styra en klient till annan service än socialvårdens tjänster samt sektorsövergripande samarbete. 
Bestämmelser om att säkerställa kvaliteten på tjänsterna finns i 5 kap. Kvalitetssäkringen sker genom en sådan plan för egenkontroll som avses i 47 §. Enligt 48—49 § ska yrkesutbildade personer inom socialvården meddela den person som ansvarar för verksamheten sådana missförhållanden som upptäckts i samband med klientens socialvård. 
2.1.8
2.1.8 Lagen om klienthandlingar inom socialvården
Lagen om klienthandlingar inom socialvården trädde i kraft den 1 april 2015. Lagen om klienthandlingar innehåller bestämmelser om sådana basuppgifter samt uppgifter i olika handlingstyper som blir aktuella i samband med olika serviceuppgifter som ska antecknas och registreras i socialvårdens klienthandlingar både inom socialvården och vid sektorsövergripande samarbete mellan olika myndigheter och tillhandahållare av socialservice. Lagen gäller alla klienthandlingar oberoende av vilken plattform de har sparats på.  
Enligt 1 § är syftet med lagen om klienthandlingar att skapa enhetliga förfaringssätt för behandlingen av uppgifter som gäller socialvårdsklienter och att på så sätt främja en korrekt skötsel av arbetsuppgifterna inom socialvården. Lagen stiftades för att förenhetliga uppgiftsinnehållet i klienthandlingarna inom socialvården samt förfarandena i fråga om upprättande, bevaring och annan behandling av klienthandlingar vid produktionen av socialtjänster, samt för att främja den elektroniska behandlingen av klientuppgifter inom socialvården. Enligt 2 §, som gäller lagens tillämpningsområde, innehåller lagen bestämmelser om registrering av klientuppgifter inom socialvården och om skyldigheterna i anslutning därtill. Lagen tillämpas på behandlingen av sådana klientuppgifter inom socialvården som avses i personuppgiftslagen inom såväl den offentliga som den privata socialvården. 
I lagens 2 kap. finns det bestämmelser om skyldigheter i fråga om anteckningen av klientuppgifter. Enligt 4 § är yrkesutbildad personal inom socialvården samt assisterande personal som deltar i klientarbetet skyldig att i formbundna handlingar anteckna sådan information som är behövlig och tillräcklig med tanke på ordnandet, planeringen, lämnandet, uppföljningen och övervakningen av socialvården, samt att registrera informationen i enlighet med 5 §.  
Bestämmelser om de klientuppgifter som ska antecknas i formbundna klienthandlingar finns i 3 kap. I 10 och 11 § finns det detaljerade förteckningar över vilka anteckningar om att uppgifter har lämnats ut eller tagits emot som ska göras. En minderårig har enligt klientlagen under vissa förutsättningar rätt att förbjuda att hens klientuppgifter lämnas ut till hens lagliga företrädare. Bestämmelser om anteckning av sådan förbudsrätt finns i 12 §. I 14—20 § definieras dessutom enligt handlingstyp vilka uppgifter som ska antecknas i olika handlingar. 
2.1.9
2.1.9 Lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården
Lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (lagen om klientuppgifter) trädde i kraft den 9 februari 2007. Syftet med lagen om klientuppgifter är att främja dataskyddet och informationssäkerheten vid elektronisk behandling av klientuppgifter inom social- och hälsovården samt informationssystemens interoperabilitet och funktionalitet genom bestämmelser om kravdefinition och tillsyn. 
För att känsliga och sekretessbelagda uppgifter ska kunna behandlas i informationssystemen krävs det att alla parter kan lita på att de tekniskt komplicerade system som används motsvarar lagstiftningen och uppfyller alla krav på informationssäkerhet i fråga om principer, tekniska lösningar och genomförande. Från systemanvändarnas synpunkt är det dessutom viktigt att informationssystemen är interoperabla och uppfyller kraven på praktisk funktionalitet.  
Lagen om klientuppgifter innehåller bestämmelser om de viktigaste kraven på dataskyddet och informationssäkerheten för social- och hälsovårdens informationssystem och på deras interoperabilitet och funktionalitet, samt bestämmelser om förfaranden. Likaså finns det bestämmelser om krav som ställs på verksamhetsenheterna för socialvård eller hälso- och sjukvård för att säkerställa dataskyddet och informationssäkerheten vid användning av elektroniska informationssystem. Med stöd av ett bemyndigande i lagen får Institutet för hälsa och välfärd ta fram och fastställa kriterier. Leverantörerna av informationssystemen och de organisationer som använder systemen ska se till att kriterierna följs. Dessutom ska de informationssystem som ansluts till de riksomfattande informationssystemtjänster som Folkpensionsanstalten förvaltar godkännas av ett bedömningsorgan för informationssäkerhet.  
Inom hälso- och sjukvården har man redan i hög grad infört riksomfattande informationssystemtjänster som består av elektroniska recept, det riksomfattande elektroniska patientdataarkivet (arkiveringstjänsten) samt i anslutning därtill läkemedelsdatabasen, åtkomst till recept- och patientuppgifter (omakanta.fi) och patientens informationshanteringstjänst, där patientens viljeyttringar lagras. Dessa bildar tillsammans Kanta-tjänsterna. De krav i fråga om patientuppgifter som lagen om klientuppgifter ställer i samband med anslutning till Kanta-tjänsterna har tillämpats fullt ut sedan 2013. Målet kan anses vara att de riksomfattande informationssystemtjänsterna för socialvården används fullt ut år 2020. 
Lagen om klientuppgifter ändrades år 2015 så att Folkpensionsanstalten och Befolkningsregistercentralen tekniskt kunde börja genomföra ett riksomfattande elektroniskt arkiv för klienthandlingar inom socialvården. Till lagen fogades en bestämmelse enligt vilken Folkpensionsanstalten kan utveckla en informationsförmedlings- och förfrågningsservice till de riksomfattande elektroniska Kanta-tjänsterna inom hälso- och sjukvården. Genom denna service kan en yrkesutbildad person inom hälso- och sjukvården elektroniskt och informationssäkert lämna ut utlåtanden och intyg som hen har skrivit till namngivna mottagare. Enligt den gällande lagen om klientuppgifter kan patient- och klientuppgifter i Kanta-tjänsterna inte direkt användas för t.ex. forskning och informationsledning.  
2.1.10
2.1.10 Lagen om klientens ställning och rättigheter inom socialvården
Lagen om klientens ställning och rättigheter inom socialvården (nedan klientlagen) fastställer centrala juridiska principer i anknytning till klientmedverkan, bemötande och rättsskydd inom socialvården. Lagen gäller klientens ställning och rättigheter inom socialvård som ordnas av såväl myndigheter som privata. Klientlagen innehåller bestämmelser om socialvårdsklientens rättigheter och skyldigheter, sekretessplikt i fråga om klientuppgifter och utlämnande av sekretessbelagda uppgifter, socialvårdsmyndighetens rätt att få sekretessbelagda uppgifter och rätt att få handräckning samt om anmärkningar och socialombudsmän. 
Bestämmelser om socialvårdsklientens självbestämmanderätt och medbestämmande finns i 8 §. Bestämmelser om omyndigas ställning finns i 9 och 10 §. När socialvård lämnas ska i första hand klientens önskemål och åsikt beaktas och klientens självbestämmanderätt även i övrigt respekteras. Utgångspunkten är alltid att klientens vilja, önskemål och åsikt ska utredas i samarbete med klientens lagliga företrädare, anhöriga eller någon annan närstående. När minderårigas önskemål och åsikt utreds ska deras ålder och utvecklingsnivå beaktas. En minderårig kan också, om det är möjligt med beaktande av hens ålder och utvecklingsnivå, självständigt sköta sina ärenden hos socialväsendet, och har i så fall under vissa förutsättningar rätt att förbjuda att hens klientuppgifter lämnas ut till vårdnadshavaren. 
Bestämmelser om utlämnande av klientuppgifter till klienten själv eller hens företrädare finns i 11 §. Bestämmelser om klientens och företrädarens skyldighet att lämna de uppgifter som behövs vid ordnandet och lämnandet av socialvård finns i 12 §. Klienten ska upplysas om vilka uppgiftskällor som kan användas för att inhämta upplysningar om hen oberoende av samtycke. Klienten ska också ges möjlighet att ta del av dessa uppgifter. Enligt 13 § har klienten eller klientens företrädare rätt att innan uppgifter lämnas till den som ordnar eller lämnar socialvård få veta för vilket ändamål de uppgifter som hen lämnar behövs, vilket användningsändamålet är, för vilka ändamål uppgifterna normalt lämnas ut samt i vilken i personuppgiftslagen avsedd registeransvarigs personregister uppgifterna kommer att registreras. Dessutom ska klienten eller klientens lagliga företrädare upplysas om hur de i personuppgiftslagen avsedda rättigheterna kan utövas, om klienten inte redan har fått denna information. 
Bestämmelser om sekretess för socialvårdshandlingar finns i 14 §. En sekretessbelagd handling eller en kopia eller utskrift av en sådan handling får inte visas för eller lämnas ut till utomstående eller med hjälp av teknisk anslutning eller på något annat sätt visas för eller lämnas ut till utomstående. När det gäller upphörande av sekretess hänvisas det till 31 § i offentlighetslagen. Enligt 15 § i klientlagen är det förbjudet för bl.a. den som ordnar eller producerar socialvård samt för den som är anställd hos denne att röja eller utnyttja sekretessbelagda uppgifter, om inte klienten eller klientens lagliga företrädare gett sitt samtycke till det i enlighet med 16 §. En vårdnadshavare eller annan laglig företrädare kan inte samtycka till att sådana uppgifter om en minderårig lämnas ut som hen själv har förvägrats av den minderårige. 
I 17, 18 och 27 § finns det dessutom bestämmelser om förutsättningarna för utlämnande av sekretessbelagda uppgifter även utan klientens samtycke. Enligt 18 § 5 mom. kan Institutet för hälsa och välfärd bevilja tillstånd att få uppgifter i enskilda fall, när det för vetenskaplig forskning behövs uppgifter ur handlingar om klienter som finns hos flera än en kommun eller samkommun som tillhandahåller socialvårdstjänster eller hos en serviceproducent som privat ordnar socialvård. 
I 19 § föreskrivs det om undantag i fråga om och upphörande av tystnadsplikt. Bestämmelser om myndigheternas rätt att få sekretessbelagda uppgifter finns i 20 §. Enligt 22 § har en socialvårdsmyndighet rätt att få den handräckning som den behöver för att sköta sina lagstadgade uppgifter, och i det sammanhanget även att få sekretessbelagda uppgifter. 
2.1.11
2.1.11 Lagen om patientens ställning och rättigheter
Patientlagen gäller patienternas ställning och rättigheter inom hälso- och sjukvården, om inte något annat föreskrivs någon annanstans i lag. I patientlagen föreskrivs det om patientens rättigheter, anmärkning och patientombudsmannen samt om journalhandlingar och annat material som hänför sig till vård och behandling. Enligt 3 § i patientlagen har var och en som varaktigt bor i Finland utan diskriminering och inom gränserna för de resurser som vid respektive tidpunkt står till hälso- och sjukvårdens förfogande rätt till sådan hälso- och sjukvård som hens hälsotillstånd förutsätter.  
Enligt 5 § har en patient rätt att få upplysningar om sitt hälsotillstånd, vårdens och behandlingens betydelse, olika vård- och behandlingsalternativ och deras verkningar samt om andra omständigheter som hänför sig till vården och behandlingen och som har betydelse då beslut fattas om hur patienten ska vårdas. I 6 § föreskrivs det om patientens självbestämmanderätt och om en omyndigs ställning. En närstående till den omyndiga patienten ska höras före ett viktigt vårdbeslut i avsikt att utreda hurdan vård som bäst motsvarar patientens vilja. Om detta inte kan utredas, ska patienten vårdas på ett sätt som kan anses vara förenligt med hens bästa. 
Bestämmelser om minderåriga patienters ställning finns i 7 §. Också när det gäller en minderårig patient ska vården och behandlingen ske i samförstånd med patienten, om hen med beaktande av ålder eller utveckling är mogen att fatta beslut om vården. I så fall har hen enligt 9 § 2 mom. också rätt att förbjuda att patientuppgifter som gäller vården i fråga lämnas ut till hens vårdnadshavare. Av detta följer att vårdnadshavaren inte kan ge sitt samtycke till att uppgifterna i fråga lämnas ut. 
Lagen innehåller en grundläggande bestämmelse om anteckning och annan behandling av patientuppgifter. Enligt 12 § 1 mom. ska en yrkesutbildad person inom hälso- och sjukvården anteckna sådana uppgifter i journalhandlingar som behövs för att ordna, planera, tillhandahålla och följa upp vården och behandlingen av en patient. Enligt bestämmelsen ska journalhandlingar samt prov innehållande biologiskt material och modeller av organ som uppkommer vid undersökning och vård av patienten bevaras den tid som behövs för att ordna och tillhandahålla vård och behandling för patienten, behandla eventuella ersättningsanspråk i anknytning till vården och behandlingen och bedriva vetenskaplig forskning. I 2 mom. finns det ett bemyndigande för social- och hälsovårdsministeriet att genom förordning utfärda närmare föreskrifter om bevaringstider. 
Uppgifter i journalhandlingar är enligt 13 § sekretessbelagda. Enligt huvudregeln får uppgifter inte utan patientens skriftliga samtycke lämnas till utomstående. I 3 mom. anges de villkor som gäller för att uppgifter ska få lämnas ut utan samtycke. Enligt 5 mom. kan Institutet för hälsa och välfärd dessutom bevilja tillstånd att få uppgifter i enskilda fall, när det för vetenskaplig forskning behövs uppgifter ur journalhandlingar som finns hos flera än en kommun eller samkommun som tillhandahåller hälso- och sjukvårdstjänster, hos en i lagen om privat hälso- och sjukvård avsedd enhet som tillhandahåller hälso- och sjukvårdstjänster eller hos en yrkesutbildad person inom hälso- och sjukvården som utövar sitt yrke självständigt. Tillstånd kan beviljas om det är uppenbart att de intressen som sekretessen är avsedd att skydda inte kränks om uppgifter lämnas ut. 
2.1.12
2.1.12 Social- och hälsovårdsministeriets förordning om journalhandlingar
Social- och hälsovårdsministeriets förordning om upprättande av journalhandlingar samt om förvaring av dem och annat material som hänför sig till vård (298/2009, nedan förordningen om journalhandlingar) innehåller bestämmelser om de allmänna principerna för upprättande, förvaring och annan behandling av journalhandlingar samt om förvaring av annat material som hänför sig till vård. Enligt 4 § i förordningen ska ett system för journalhandlingar verkställas så att dess struktur och datainnehåll motsvarar ändamålet med journalhandlingarna samt de personers åligganden och ansvar som deltar i vården eller i anslutande uppgifter. När handlingarnas förvaring och struktur planeras ska bl.a. rätten att använda uppgifterna samt behovet av att överföra och lämna ut uppgifter beaktas. Vid hanteringen av journalhandlingar ska man se till att förtroligheten i patientförhållandet och patientens integritetsskydd tryggas. Journalhandlingar ska enligt 3 § upprättas och förvaras med sådana medel och metoder som säkerställer att integriteten och användbarheten hos de uppgifter som finns i handlingarna kan tryggas under bevaringstiden.  
Enligt 4 § får de som deltar i vården av en patient eller i anslutande uppgifter hantera uppgifter i journalhandlingar endast i den omfattning som deras arbetsuppgifter och ansvar förutsätter. Användningen av de journalhandlingar som har upprättats med hjälp av automatisk databehandling ska övervakas med till buds stående tillräckliga tekniska metoder. När tjänster köps av en annan serviceproducent ska man enligt 5 § försäkra sig om att bestämmelserna om sekretess och tystnadsplikt iakttas i fråga om uppgifterna i journalhandlingarna.  
Bestämmelser om anteckningar i journalhandlingar och om rättelse av anteckningarna finns i 6—21 §. För förvaringen av journalhandlingar och annat material som gäller vården ansvarar enligt 22 § den verksamhetsenhet för hälso- och sjukvård eller den självständiga yrkesutövare inom hälso- och sjukvården inom vars verksamhet handlingarna och materialet har uppkommit. Enligt 23 § ska journalhandlingar samt sådana prov och modeller av organ som uppkommer vid undersökning och vård och som innehåller biologiskt material bevaras den tid som anges i bilagan till förordningen. När bevaringstiden har löpt ut eller när handlingarna och det biologiska materialet inte längre är nödvändiga för att ordna eller genomföra patientens vård, ska de förstöras omedelbart och så att utomstående inte får kännedom om dem. 
2.1.13
2.1.13 Lagen om elektronisk kommunikation i myndigheternas verksamhet
Syftet med lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003) är att genom främjande av elektroniska dataöverföringsmetoder göra uträttandet och behandlingen av ärenden smidigare och snabbare i förvaltningen, vid domstolar och andra rättskipningsorgan, samt att öka datasäkerheten i anslutning till dessa. Lagen tillämpas i tillämpliga delar också på andra aktörer än myndigheter, om de sköter offentliga förvaltningsuppgifter. Lagen innehåller bestämmelser om bl.a. en myndighets skyldighet att ordna elektronisk service, avsändande av elektroniska meddelanden, elektronisk signering av beslutshandlingar och elektronisk delgivning. 
Med elektronisk dataöverföringsmetod avses telefax, elektroniska blanketter, elektronisk post och rätten att använda elektroniska datasystem, samt andra på elektronisk teknik baserade metoder där data förmedlas via en trådlös överföringskanal eller kabel. Med elektronisk dataöverföringsmetod avses dock inte telefonsamtal. Ett elektroniskt meddelande är information som har sänts med en elektronisk dataöverföringsmetod och som vid behov kan sparas i skriftlig form. Med elektroniskt dokument avses ett elektroniskt meddelande som hänför sig till anhängiggörandet eller behandlingen av ett ärende eller till delgivningen av ett beslut. 
Enligt lagen ska myndigheterna erbjuda möjlighet att sända elektroniska meddelanden i syfte att anhängiggöra ärenden eller för behandlingen av dem. Myndigheterna ska också se till att deras elektroniska dataöverföringsmetoder fungerar och informera om de adresser som ska användas vid den elektroniska kommunikationen med dem.  
Elektroniska meddelanden sänds till myndigheterna på avsändarens ansvar. Vid anhängiggörande och behandling av ärenden uppfyller också elektroniska dokument som sänts till en myndighet kravet på skriftlig form. Ett elektroniskt dokument som kommit in till en myndighet behöver inte kompletteras med en underskrift, om dokumentet innehåller uppgifter om avsändaren och om det inte finns anledning att betvivla dokumentets autenticitet och integritet. Lagen innehåller också bestämmelser om hur ankomsttidpunkten för ett elektroniskt meddelande fastställs samt om diarieföring eller annan registrering av elektroniska dokument, teknisk behandling och överföring av meddelanden.  
Lagen gäller också elektronisk signering av beslutshandlingar och elektronisk delgivning av beslut. Vid delgivning bör det dock beaktas att delgivningssättet inte får äventyra den personliga integriteten eller något annat särskilt behov av skydd eller säkerhet hos kunden eller tryggandet av rättigheterna för den som saken gäller.  
2.1.14
2.1.14 Arkivlagen
Arkivlagen (831/1994) trädde i kraft den 1 oktober 1994. Genom arkivlagen minskade den detaljerade regleringen av myndigheternas arkivfunktion och arkivverkets tillsynsuppgifter betydligt. I lagen beaktades också den utveckling som hade skett inom datateknik och informationsanvändning och som hade konsekvenser för arkivfunktionen. Lagen innehåller bestämmelser om arkivverket, arkivfunktionen och organiseringen av den, framställning, förvaring och användning av handlingar samt om privata arkiv.  
Enligt 4 § har arkivverket till uppgift att säkerställa att handlingar som hör till vårt nationella kulturarv bevaras och är tillgängliga, främja forskning samt styra, utveckla och undersöka arkivfunktionen. Enligt 6 § omfattar ett arkiv de handlingar som inkommit till arkivbildaren på grund av dess uppgifter eller som tillkommit genom dess verksamhet. Med handling avses i arkivlagen en framställning i skrift eller bild eller en på elektronisk väg eller på annat sätt åstadkommen framställning som kan läsas, avlyssnas eller annars uppfattas med tekniska hjälpmedel. Enligt 7 § har arkivfunktionen till uppgift att säkerställa att handlingar hålls tillgängliga och bevaras, att sköta den informationstjänst som hänför sig till dem, att bestämma handlingars förvaringsvärde och att gallra ut onödigt material. Arkivfunktionens krav ska beaktas i arkivbildarens informations- och dokumentförvaltning.  
Enligt 8 § ska arkivbildaren med beaktande av de bestämmelser och föreskrifter som utfärdats särskilt bestämma hur planeringen av, ansvaret för och skötseln av arkivfunktionen samt bevaringstiderna och förvaringssätten ordnas. Arkivverket bestämmer vilka handlingar och uppgifter i handlingar som ska förvaras varaktigt. I 10 § föreskrivs det om arkivverkets rätt att trots sekretessbestämmelserna få uppgifter om arkivbildarnas arkivfunktion.  
Handlingar som hör till de arkivbildare som anges i lagen och som ska förvaras varaktigt ska enligt 14 § överföras till riksarkivet, ett landsarkiv eller något annat arkiv. Handlingar som inte ska förvaras varaktigt ska enligt 13 § efter den bevaringstid som fastställts för dem gallras ut så att datasekretessen är tryggad. I 17 § föreskrivs det att även ett privat arkiv eller handlingar som hör till det med stöd av ett avtal kan övertas för att vårdas av de ovannämnda arkiven. 
2.1.15
2.1.15 Biobankslagen
Syftet med biobankslagen (688/2012) är enligt dess 1 § att stödja forskning som använder sig av prover från människa, främja öppenheten i användningen av prover och säkerställa integritetsskyddet och självbestämmanderätten vid hanteringen av prover. Lagen innehåller bestämmelser om inrättande av biobanker och biobankers verksamhet, hantering av prover och behandling av tillhörande personuppgifter, de register som ansluter sig till biobanken samt tillsyn över verksamheten. 
Bestämmelser om hantering av prover och behandling av tillhörande uppgifter finns i 3 kap. Rätten att hantera prover i en biobank ska i regel grunda sig på samtycke. En person har enligt 12 § när som helst rätt att återkalla eller ändra ett samtycke eller att förbjuda användningen av ett prov som avses i 13 § i forskning eller att begränsa denna användning, om provet förvaras i biobanken som identifierbart. När prover samlas in eller överförs till en biobank får enligt 14 § uppgifter om den registrerade och hens hälsotillstånd samt uppgifter som den registrerade gett om faktorer som inverkar på hens hälsa fogas till provet, om personen har gett sitt samtycke. 
Särskilda bestämmelser om hantering av gamla prover finns i 13 §. Verksamhetsenheter inom hälso- och sjukvården som när lagen träder i kraft förvarar biologiska prover som uppkommit i samband med undersökning och behandling av patienter och journalhandlingar som hör till proverna får överföra proverna och tillhörande uppgifter till en biobank trots sekretessbestämmelserna. Likaså får högskolor, forskningsinstitut, verksamhetsenheter inom hälso- och sjukvården och andra enheter överföra prover och tillhörande uppgifter som samlats in och analyserats i samband med forskning som inletts före ikraftträdandet av lagen till en biobank.  
I 16 § föreskrivs det om allmän aktsamhetsplikt vid hanteringen av prover och behandlingen av tillhörande uppgifter och i 17 § om skydd för uppgifter. Oberoende av vad som bestäms någon annanstans i lag om myndigheternas rätt att få sekretessbelagda uppgifter, får prover och tillhörande uppgifter som förvaras i en biobank eller prover eller uppgifter som härrör från en biobank enligt 19 § inte lämnas ut eller användas i brottsutredningar eller vid administrativt eller annat beslutsfattande som avser en person.  
En biobank har enligt 20 § rätt att för biobanksforskning föra ett sådant prov- och dataregister som avses i 21 §, ett samtyckesregister enligt 22 § och ett kodregister enligt 23 §. Inrättningar, företag, sammanslutningar och personer som bedriver biobanksforskning har rätt att ur prov- och dataregistret få uppgifter om de prover som förvaras i biobanken som tjänar provernas användning för forskning, för bedömning av hur användbara proverna och uppgifterna är. Uppgifterna får inte inbegripa sådana känsliga uppgifter som avses i 11 § i personuppgiftslagen. Bestämmelser om avförande och överföring av prover och registeruppgifter finns i 25 §. 
Bestämmelser om principer för utlämnande av prover och uppgifter finns i 26 §. En biobank får lämna ut, undersöka och på annat sätt hantera och behandla prover och uppgifter som den förvarar, om 1) den tilltänkta användningen motsvarar det forskningsområde som fastställts för biobanken samt grunden och villkoren för hanteringen av provet, 2) de villkor och begränsningar som anges i biobankslagen eller någon annanstans i lag eller som biobanken fastställt iakttas i forskningen och i hanteringen av proverna och behandlingen av uppgifterna och 3) den som tar emot proverna eller uppgifterna har tillbörlig yrkesmässig och vetenskaplig kompetens för hanteringen av proverna och behandlingen av uppgifterna, och utlämnandet har en koppling till mottagarens uppgifter. Proverna och tillhörande uppgifter ska kodas innan de lämnas ut för forskning, om det inte finns särskilda skäl att förfara på annat sätt.  
Den som begär att få prover eller uppgifter från en biobank ska enligt 27 § i en skriftlig begäran om utlämnande som riktas till biobanken foga en forskningsplan, ett utlåtande från den behöriga etiska kommittén enligt forskningslagen eller annan utredning som behövs för bedömningen av förutsättningarna för utlämnande och en redogörelse för hanteringen av proverna och behandlingen av uppgifterna. Ett skriftligt avtal ska ingås om utlämnandet och om villkoren för utlämnandet. 
Enligt 28 § får en biobank lämna ut nödvändiga personuppgifter till Institutet för hälsa och välfärd eller någon annan registeransvarig, om det för genomförandet av forskningen är motiverat att samköra uppgifterna i den registeransvariges personregister med prover eller uppgifter i biobanken och utlämnandet uppfyller villkoren i 26 § 1 mom.  
2.1.16
2.1.16 Institutet för hälsa och välfärds registeruppgifter och sekundär användning av dem
Med tanke på verksamheten vid Institutet för hälsa och välfärd förvaltas flera rikstäckande datalager som beskriver social- och hälsoservicesystemet. Bestämmelser om institutets uppgifter och behandlingen av personuppgifter finns i flera lagar, såsom lagen om Institutet för hälsa och välfärd och lagen om smittsamma sjukdomar (1227/2016).  
Riksomfattande personregister för hälsovården 
Bestämmelser om riksomfattande personregister för hälsovården finns i lagen och förordningen om riksomfattande personregister för hälsovården. Nedan beskrivs de riksomfattande personregister som för närvarande förs med tanke på Institutet för hälsa och välfärds lagstadgade uppgifter. 
Utskrivnings- eller vårdanmälningsregistret 
Utskrivnings- eller vårdanmälningsregistret för den specialiserade sjukvården och primärvården omfattar sådana uppgifter som är nödvändiga för innehållet i och inriktningen av verksamheten vid verksamhetsenheterna inom hälso- och sjukvården. Uppgifterna inbegriper patientens personuppgifter, uppgifter om hälso- och sjukvårdsenheten, grunden för kundrelationen, hur vården och eftervården ska ordnas, diagnoser och vårdåtgärder samt uppgifter om betalningar som patienten, kommunen eller någon annan part har erlagt för vårdperioden. 
Registret över födelser 
I registret över födelser införs sådana uppgifter som behövs för utveckling och ordnande av mödravården, förlossningsverksamheten och vården av nyfödda. Uppgifterna inbegriper moderns personuppgifter, uppgifter om barnet, uppgifter om moderns graviditeter och förlossningar samt uppgifter om sjukhuset.  
Registret över aborter och sterilisering 
I registret över aborter och sterilisering har det för varje ingrepp införts sådana uppgifter som behövs för skötseln av de arbetsuppgifter som det föreskrivs om i 8 och 11 § i lagen om avbrytande av havandeskap (239/1970), 8—10 § i förordningen om avbrytande av havandeskap (359/1970), 8 § i steriliseringslagen (283/1970), 7 § i steriliseringsförordningen (427/1985) samt i lagen om Institutet för hälsa och välfärd. Dessa uppgifter omfattar patientens personuppgifter, uppgifter om tidigare graviditeter, uppgifter om utlåtandeläkaren och ingreppsläkaren samt en berättelse över nödsterilisering. I fråga om aborter införs också uppgifter om graviditetens längd, beslutsfattaren, grunden för aborten, ingreppet, den planerade preventionen och tidiga komplikationer, och i fråga om sterilisering också uppgifter om beslutsfattaren, grunden för steriliseringen, ingreppet och konstaterade komplikationer, samt uppgifter om sjukhuset och utskrivningen från sjukhuset. 
Enligt förordningen om avbrytande av havandeskap ska ansökan vara gjord och det läkarutlåtande och det beslut som hör till ansökan vara utfärdade på en blankett enligt ett fastställt formulär. Abortsjukhuset eller någon annan verksamhetsenhet inom hälso- och sjukvården ska inom en månad efter det att havandeskapet har avbrutits skicka en anmälan om åtgärden till Institutet för hälsa och välfärd. I fråga om förvaring av handlingar som rör aborter gäller det som föreskrivs om förvaring av journalhandlingar i patientlagen och i lagen om klientuppgifter samt med stöd av dem. 
I social- och hälsovårdsministeriets förordning om blanketter för avbrytande av graviditet och sterilisering (1063/2008) föreskrivs det om ansökan och beslut om avbrytande av graviditet och sterilisering samt om blanketter för att anmäla dessa åtgärder. Formulären för blanketterna fastställs av social- och hälsovårdsministeriet (SHM:s föreskrift 1997:48). 
Enligt steriliseringsförordningen, som utfärdats med stöd av steriliseringslagen, ska besluten avfattas på en blankett enligt fastställt formulär. En verksamhetsenhet inom hälso- och sjukvården eller en läkare som är verksam som självständig yrkesutövare ska anmäla en utförd sterilisering till Institutet för hälsa och välfärd. 
Cancerregistret och, som en del av det, registren över massundersökning av bröstcancer och cancer i livmoderhalsen 
I cancerregistret och registren över massundersökning av bröstcancer och cancer i livmoderhalsen, som ingår i cancerregistret, införs de uppgifter som behövs med tanke på förekomsten, förebyggandet och behandlingen av cancersjukdomar samt den medicinska rehabiliteringen och utnyttjandet av tjänster. Dessa uppgifter inbegriper patientens personuppgifter, uppgifter om cancern, dödsattestuppgifter samt uppgifter om massundersökningar för att upptäcka bröstcancer och cancer i livmoderhalsen. 
Enligt 42 § i social- och hälsovårdsministeriets förordning om medicinsk användning av strålning (423/2000) ska den som genomför screeningprogrammet se till att ett sammandrag görs av screeningsundersökningarna och resultaten av dem på basis av vilket screeningens kvalitet och resultat kan bedömas. Kraven på framställningen av sammandraget anges i samband med att screeningprogrammet godkänns. Sammandraget ska sändas till massundersökningsregistret i cancerregistret. Särskilda bestämmelser utfärdas om vilka uppgifter i cancerregistret som för uppföljning av resultaten av screeningen ska lämnas till den som genomför screeningprogrammet. 
I 11 § i förordningen om personregister för hälsovården anges det att Institutet för hälsa och välfärd kan avtala med Cancerföreningen i Finland rf om det tekniska upprätthållandet av cancerregistret. Cancerföreningen i Finland rf är alltså en registerförare enligt dataskyddsförordningen för de uppgifter som förts in i cancerregistret. 
Missbildningsregistret 
I missbildningsregistret införs sådana uppgifter som behövs för övervakning av förekomsten av missbildningar. Uppgifterna inbegriper föräldrarnas och barnens personuppgifter, uppgifter om moderns graviditeter och uppgifter om sjukhuset samt uppgifter om missbildningen. 
I missbildningsregistret införs uppgifter ur flera andra register avsedda för hälsovården (vårdanmälningsregistret, registret över födelser, registret över aborter, dödsorsaksregistret), abortansökningar som behandlats av Valvira samt journalhandlingar. 
Synskaderegistret 
I synskaderegistret införs sådana uppgifter som behövs för att utreda utbredningen av synskador, epidemiologin, förebyggandet, vården och den medicinska rehabiliteringen samt utnyttjandet och behovet av specialservice. Dessa uppgifter inbegriper personuppgifter, diagnos av synskadan, uppgifter om etiologi och svårighetsgrad, uppgifter om synen, uppgifter om multihandikapp, uppgifter om dödsdag och dödsorsak samt uppgifter om den läkare som har gjort anmälan.  
I 11 § i förordningen om personregister för hälsovården anges det att Institutet för hälsa och välfärd kan avtala med De synskadades centralförbund rf om det tekniska upprätthållandet av synskaderegistret. De synskadades centralförbund rf är alltså en registerförare enligt dataskyddsförordningen för de uppgifter som förts in i synskaderegistret. 
Implantatregistret 
I implantatregistret införs sådana uppgifter om ortopediska endoproteser och tandimplantat som behövs för sjukvårdsutrustningens och sjukvårdsartiklarnas produktsäkerhet. Dessa uppgifter inbegriper patientens personuppgifter, uppgifter om hälso- och sjukvårdsenheten samt uppgifter om sjukdomen, operationen och implantatet.  
Institutet för hälsa och välfärds register för socialvården 
Enligt 2 § i Stakes statistiklag är kommuner och samkommuner samt offentliga och privata producenter av social- och hälsovårdsservice trots sekretessbestämmelserna skyldiga att årligen på begäran av Institutet för hälsa och välfärd lämna institutet sådana uppgifter som närmare anges i lagen och som behövs för framställande av statistik. Vid Institutet för hälsa och välfärd har det utgjorts tre register av uppgifterna. I enlighet med lagen är personbeteckningen för den som fått service eller utkomststöd identifikationsuppgift i registren. 
Vårdanmälningsregistret för socialvården och klientinventeringen inom hemvården den 30 november 
Vårdanmälningsregistret för socialvården och klientinventeringen inom hemvården innehåller i enlighet med 2 § i Stakes statistiklag när det gäller personer som fått sluten socialvård samt dem som fått sådana öppenvårdstjänster inom social- och hälsovården som ersätter sluten vård och som tillhandahållits kontinuerligt och regelbundet uppgifter om klientens hemkommun och boendeform, serviceproducenten, servicens art och omfattning, när servicen har börjat tillhandahållas och upphört samt huvudorsaken till att servicen tillhandahållits och klientens behov av service. 
Barnskyddsregistret 
Barnskyddsregistret innehåller uppgifter om placeringsställe, placeringsgrund, placeringstid och vårdnad när det gäller barn och unga som placerats utanför hemmet. 
Registret över utkomststöd 
Registret över utkomststöd innehåller uppgifter om familjens storlek och struktur, stödbelopp och stödets varaktighet samt faktorerna bakom behovet av stöd för personer och familjer som beviljats utkomststöd med stöd av lagen om utkomststöd (1412/1997). Med en person som har fått utkomststöd avses i lagen den på vars ansökan utkomststöd beviljats samt personens make eller den som lever tillsammans med personen under äktenskapsliknande förhållanden. 
Användningen av registeruppgifter i Institutet för hälsa och välfärds egen verksamhet 
Registren används i huvudsak inom Institutet för hälsa och välfärds verksamhet som statistikmyndighet samt för vetenskaplig forskning. Det är uppenbart att registren i allt högre grad också behövs för andra uppgifter som ålagts institutet, såsom uppgifter enligt lagen om smittsamma sjukdomar som har att göra med uppföljning av smittsamma sjukdomar och vaccinsäkerheten samt för uppföljning av verksamheten inom social- och hälsovården, forskning och styrning. 
Inom Institutet för hälsa och välfärds interna tillståndsförfarande för forskning behandlas forskningsprojekt som uppfyller alla följande kriterier: 1) forskningen har en ansvarig ledare som står i ett arbetsavtals- eller tjänsteförhållande till institutet, 2) Institutet för hälsa och välfärd är registeransvarig för det forskningsmaterial som bildas, 3) avdelningschefen för den avdelning som genomför forskningen har gett sitt bifall till att forskningen följer Institutet för hälsa och välfärds strategi och att man kan binda avdelningens resurser till den och 4) forskningen grundar sig på en adekvat forskningsplan som vid behov kan godkännas av Institutet för hälsa och välfärds forskningsetiska arbetsgrupp på det sätt som bestämts i arbetsordningen för Institutet för hälsa och välfärd eller, om lagen kräver det, av sjukvårdsdistriktets etiska kommitté på det sätt som anges i lagen om medicinsk forskning (488/1999). 
Vid behandlingen av uppgifter iakttas följande interna anvisningar, föreskrifter och principer (på finska) som meddelats av generaldirektören och som gäller vid behandlingen av personuppgifter vid Institutet för hälsa och välfärd: 
Institutet för hälsa och välfärds loggpolicy (21.5.2014, THL/648/0.01.00/14), 
Internt tillståndsförfarande för utlämning av sekretessbelagda uppgifter från Institutet för hälsa och välfärds lagstadgade personregister och handlingar (12.9.2013, THL/652/0.01/13), 
Anvisning om datasekretessen vid Institutet för hälsa och välfärd (14.8.2013), 
Klassificering och behandling av sekretessbelagda handlingar vid Institutet för hälsa och välfärd (14.8.2013), 
Rapportering och behandling av avvikelser i datasäkerheten vid Institutet för hälsa och välfärd (14.8.2013), 
Administration av behörigheten till informationssystemen vid Institutet för hälsa och välfärd (29.2.2012, THL/266/3.01.00/12), 
Intern anvisning om behandlingen av begäranden av uppgifter och handlingar och om utlämnande av uppgifter vid Institutet för hälsa och välfärd (1.11.2012, THL/1479/3.00.00/12) och 
Datasäkerhetspolicy (1.7.2011, THL/957/3.01.00/11). 
Utlämnande av Institutet för hälsa och välfärds registeruppgifter för externa forskningsändamål 
För att sekretessbelagda uppgifter ska lämnas ut krävs det användningstillstånd. Institutet för hälsa och välfärd kan bevilja användningstillstånd i första hand för vetenskaplig forskning. Eftersom de uppgifter som ska lämnas ut som regel också är personuppgifter, betonas i tillståndsprocessen de krav som anges i 14 § i personuppgiftslagen, såsom att det ska kontrolleras att forskningsplanen är tillbörlig. Vid utlämnandet av uppgifter och i tillståndsvillkoren har Institutet för hälsa och välfärd sedan 2006 följt promemorian ”Salassa pidettävien rekisteritietojen luovutuksen periaatteet ja käytännöt” (Principer och praxis vid utlämnande av sekretessbelagda registeruppgifter), daterad den 2 juni 2006 och utarbetad genom myndighetssamarbete. Tillståndsprocessen varierar dock beroende på dokumentgrupp, eftersom det i olika lagar finns olika bestämmelser om utlämnande för olika register- och dokumentgrupper. 
Riksomfattande personregister för hälsovården 
Med stöd av 4 § 1 mom. i lagen om riksomfattande personregister för hälsovården kan Institutet för hälsa och välfärd för sin del ge tillstånd till att uppgifter i riksomfattande personregister för hälsovården lämnas ut, om detta sker för vetenskaplig forskning som gäller verksamheten inom hälsovården, förebyggande av sjukdomar eller vård eller annan bestämd vetenskaplig forskning i samband med det och om utlämnandet uppfyller kraven i 19 § 1 mom. 3 punkten i personregisterlagen (471/1987). Innan tillståndsbeslutet meddelas ska dataombudsmannen ges möjlighet att bli hörd. Ett tillståndsbeslut ska förenas med de föreskrifter som behövs för att trygga den registrerades integritet. 
Oberoende av vad som bestäms i någon annan lag får uppgifter i riksomfattande personregister för hälsovården enligt lagens 5 § inte lämnas ut eller användas för beslut som gäller den registrerade. 
Registret över smittsamma sjukdomar 
Enligt 7 § i lagen om smittsamma sjukdomar (1227/2016) är Institutet för hälsa och välfärd nationell sakkunniginrättning för bekämpningen av smittsamma sjukdomar, som med sin sakkunskap stöder social- och hälsovårdsministeriet och regionförvaltningsverken, upprätthåller rikstäckande epidemiologiska uppföljningssystem för bekämpningen av smittsamma sjukdomar samt styr och stöder bekämpningen av smittsamma sjukdomar i kommunerna, samkommunerna för sjukvårdsdistrikten och verksamhetsenheterna inom socialvården och hälso- och sjukvården. Institutet undersöker smittsamma sjukdomar, följer upp och utreder incidensen och förekomsten av smittsamma sjukdomar, utvecklar diagnostiken, uppföljningen och bekämpningen av dem samt informerar om dem och ger befolkningen instruktioner om hur man kan undvika smitta och förebygga smittspridning. Institutet ska för sin del sköta vaccinförsörjningen, följa upp verkningarna av vaccinen samt utreda biverkningarna av vacciner och vaccinationer. Institutet ska också som behörig myndighet i Europeiska unionen svara för den epidemiologiska uppföljningen och anmälningen av smittsamma sjukdomar. Närmare bestämmelser om Institutet för hälsa och välfärds rätt att få sådan information som behövs för skötseln av dessa uppgifter finns i de paragrafer som gäller var och en av uppgifterna.  
Enligt 32 § i lagen om smittsamma sjukdomar ska Institutet för hälsa och välfärd föra ett riksomfattande register över smittsamma sjukdomar och enligt 33 § ett sampelbaserat uppföljningsregister över smittsamma sjukdomar för uppföljning, bekämpning, myndighetsverksamhet, statistikföring och forskning i fråga om de smittsamma sjukdomar som anges i förordning av statsrådet, samt enligt 36 § ett register över vårdrelaterade infektioner för uppföljning och bekämpning av samt statistikföring och forskning i fråga om dessa. I registret införs som identitetsuppgifter de uppgifter som avses i 29 §. Sådana uppgifter är patientens identifieringsuppgifter och uppgifter om den som gjort anmälan samt sådana uppgifter om patienten, den smittsamma sjukdomen, mikrobfynd och mikrobens egenskaper, smittsätt, tidpunkt och plats för smitta, vård och behandling samt faktorer som påverkar smittförloppet som är nödvändiga för att förhindra sjukdomsspridning och för att utreda epidemin. Som identifieringsuppgift uppges patientens personbeteckning samt vid allmänfarliga och övervakningspliktiga smittsamma sjukdomar dessutom patientens namn.  
Institutet kan komplettera uppgifterna i registren med uppgifter från befolkningsdatasystemet som gäller patientens boendekommun, boningsort, födelseland, datum för inflyttning till landet, nationalitet och eventuella dödsfall. Institutet för hälsa och välfärd kan också upprätta register över fall av en viss sjukdom eller över en begränsad epidemi som utgör ett hot mot befolkningens hälsa för spårning av en allmänfarlig eller övervakningspliktig smittsam sjukdom eller någon annan smittsam sjukdom eller för uppföljning av bärare av mikrober och för uppföljning av dem som med fog misstänks ha utsatts för smitta, om det är nödvändigt för att skyndsamt ordna vård för dem som insjuknat och förebygga sjukdomsspridning. Lagen innehåller närmare bestämmelser om rätten att få information vid upprättandet av register. 
Uppgifterna i registren ska enligt 40 § i princip hållas hemliga. Institutet för hälsa och välfärd kan emellertid enligt 42 § oberoende av sekretessbestämmelserna besluta att personuppgifter ska lämnas ut från register, om det gäller hälso- och sjukvårdsverksamhet, förebyggande eller behandling av sjukdomar eller för vetenskaplig forskning i samband med det och om utlämnandet uppfyller villkoren i 28 § i lagen om offentlighet i myndigheternas verksamhet (621/1999). 
Uppgifter som samlats in med stöd av Stakes statistiklag 
Enligt 5 § 3 mom. i Stakes statistiklag får Institutet för hälsa och välfärd lämna ut sådana uppgifter som avses i 2 § 1 mom. samt sådana uppgifter som avses i 2 § 2 mom. och som inte innehåller i 2 § 3 mom. nämnda identifikationsuppgifter, enligt vad som föreskrivs i 18 § 2 mom. i statistiklagen. Enligt 5 § 2 mom. i Stakes statistiklag får uppgifter som samlats in med stöd av lagen, trots vad som någon annanstans i lag bestäms om skyldigheten eller rätten att lämna ut sekretessbelagda uppgifter, inte lämnas ut för att användas vid administrativt beslutsfattande som gäller enskilda personer eller familjer eller vid annan motsvarande behandling av ärenden. På utlämnande av uppgifter som samlats in med stöd av lagen tillämpas enligt 4 mom. inte 28 § i offentlighetslagen. 
Bestämmelser om utlämnande av uppgifter finns i 13 § i statistiklagen. Enligt paragrafen får, oberoende av vad som föreskrivs någon annanstans i lag om myndigheternas skyldighet att lämna ut sekretessbelagda uppgifter, uppgifter som en statistikmyndighet erhållit för statistiska ändamål lämnas ut till utomstående endast på de grunder som anges i denna lag eller i någon annan lag som särskilt gäller statens statistikväsen, eller med uttryckligt samtycke av den som uppgifterna gäller. Dessa uppgifter får inte lämnas ut för att användas vid undersökningar eller utredningar, tillsyn, rättegångar, administrativt beslutsfattande eller vid någon annan motsvarande behandling av ärenden som gäller personer, företag, sammanslutningar eller stiftelser. 
En statistikmyndighet, såsom Institutet för hälsa och välfärd, får med stöd av 13 § i statistiklagen lämna ut sekretessbelagda uppgifter som den samlat in för statistiska ändamål bland annat 
för vetenskaplig forskning och statistiska undersökningar som gäller samhällsförhållandena, 
till en annan statistikmyndighet för utvecklande, framställning och kvalitetsförbättring av statistik som hör till den myndighetens verksamhetsområde, och 
till en annan statistikmyndighet för att tekniskt bilda forskningsmaterial för vetenskaplig forskning och statistiska utredningar av samhällsförhållandena. 
Statistikmyndigheten får i sådana situationer som avses i 13 § 2 mom. 1 punkten inte lämna ut uppgifter på basis av vilka ett statistiskt objekt kan identifieras direkt. Statistikmyndigheten kan emellertid i de situationer som avses ovan ge tillgång till sådana sekretessbelagda uppgifter på basis av vilka ett statistiskt objekt kan identifieras indirekt. I de situationer som avses i 2 mom. 2—5 punkten får nödvändiga identifikationsuppgifter lämnas ut. 
Register för socialvården och rättspsykiatriska handlingar som samlats in före Stakes statistiklag 
På utlämnandet av uppgifter som samlats in med stöd av Stakes statistiklag tillämpas inte 28 § i offentlighetslagen. Däremot tillämpas offentlighetslagens 28 § på utlämnandet av uppgifter ur sådana register för socialvården som samlats in innan Stakes statistiklag trädde i kraft. Samma bestämmelse tillämpas också då uppgifter lämnas ut ur Institutet för hälsa och välfärds rättspsykiatriska handlingar. 
Rättsmedicinska handlingar 
Enligt 15 § 3 mom. i lagen om utredande av dödsorsak (459/1973) kan Statistikcentralen och de i lagen avsedda myndigheter som deltar i utredandet av dödsorsaker ge tillstånd till att uppgifter ur dödsattester och ur andra handlingar som gäller utredande av dödsorsak lämnas ut för vetenskaplig forskning, statistikföring och planerings- och utredningsarbete som en myndighet utför med iakttagande av vad som bestäms i offentlighetslagen. De som får uppgifter är skyldiga att hemlighålla dem.  
Med stöd av lagen i fråga har Institutet för hälsa och välfärd sedan den 1 januari 2010 ansvarat för den rättsmedicinska obduktionsverksamheten och beviljat tillstånd att använda de rättsmedicinska handlingar som uppkommit i verksamheten. Enligt bestämmelsen är Statistikcentralen tillståndsmyndighet när det gäller dödsorsaksregistret och regionförvaltningsverken är tillståndsmyndighet när det gäller rättsmedicinska handlingar som uppkommit före 2010. 
Institutet för hälsa och välfärds uppgifter vid utlämnande av kunduppgifter inom social- och hälsovården för externa forskningsändamål  
Journalhandlingar 
Enligt 13 § 5 mom. i patientlagen gäller i fråga om utlämnande av uppgifter som ingår i journalhandlingar för vetenskaplig forskning och statistikföring vad som bestäms i offentlighetslagen, lagen om personregister för hälsovården och personuppgiftslagen. Dessutom kan Institutet för hälsa och välfärd bevilja tillstånd att få uppgifter i enskilda fall, när det för vetenskaplig forskning behövs uppgifter ur journalhandlingar som finns hos flera än en kommun eller samkommun som tillhandahåller hälso- och sjukvårdstjänster, hos en i lagen om privat hälso- och sjukvård avsedd enhet som tillhandahåller hälso- och sjukvårdstjänster eller hos en yrkesutbildad person inom hälso- och sjukvården som utövar sitt yrke självständigt. Tillstånd kan beviljas om det är uppenbart att de intressen som sekretessen är avsedd att skydda inte kränks om uppgifter lämnas ut. Prövningen av om tillstånd ska beviljas eller inte ska utgå från att den vetenskapliga forskningens frihet tryggas. Ett tillstånd kan beviljas för viss tid, och det ska förenas med sådana bestämmelser som behövs för att skydda enskilda intressen. Ett tillstånd kan återkallas, om det anses att det finns skäl för återkallandet.  
Det finns anvisningar om tillståndsförfarandet för journalhandlingar också i social- och hälsovårdsministeriets handbok om journalhandlingar från 2012 och på Institutet för hälsa och välfärds webbplats. När någon ansöker om åtkomst till en hälso- och sjukvårdsenhets journalhandlingar hos Institutet för hälsa och välfärd, bör sökanden ta kontakt med den berörda verksamhetsenheten redan då ansökan bereds. Av den tillståndsansökan som lämnats till Institutet för hälsa och välfärd ska det framgå att man på behörigt sätt kommit överens med verksamhetsenheten om hur de uppgifter som ska användas i undersökningen ska samlas in, om deras informationsinnehåll, om datasäkerheten och om kostnaderna. 
Klienthandlingar inom socialvården 
Enligt 18 § 5 mom. i klientlagen gäller i fråga om utlämnande av uppgifter som ingår i sekretessbelagda handlingar inom socialvården för vetenskaplig forskning vad som bestäms i lagen om offentlighet i myndigheternas verksamhet och i personuppgiftslagen. Dessutom kan Institutet för hälsa och välfärd bevilja tillstånd att få uppgifter i enskilda fall, när det för vetenskaplig forskning behövs uppgifter ur klienthandlingar som finns hos flera än en kommun eller samkommun som tillhandahåller socialvårdstjänster eller hos en serviceproducent som privat ordnar socialvård. Tillstånd kan beviljas om det är uppenbart att de intressen som sekretessen är avsedd att skydda inte kränks om uppgifter lämnas ut. Prövningen av om tillstånd ska beviljas eller inte ska utgå från att den vetenskapliga forskningens frihet tryggas. Ett tillstånd kan beviljas för viss tid, och det ska förenas med sådana bestämmelser som behövs för att skydda enskilda intressen. Ett tillstånd kan återkallas, om det anses att det finns skäl för återkallandet. 
Receptcentret och receptarkivet för Folkpensionsanstaltens elektroniska recept 
Enligt 15 § 4 mom. i lagen om elektroniska recept får Folkpensionsanstalten lämna ut uppgifter från receptcentret och receptarkivet för vetenskaplig forskning i enlighet med 28 § i offentlighetslagen. Utlämnandet kräver dock alltid tillstånd av Institutet för hälsa och välfärd. Behörigheten som tillståndsmyndighet övergick till Institutet för hälsa och välfärd den 1 april 2014. Före det var social- och hälsovårdsministeriet tillståndsmyndighet med stöd av bestämmelsen. Institutet för hälsa och välfärd har kommit överens om tillståndsförfarandet med den enhet vid FPA som svarar för Kanta-tjänsterna. 
Statistik över användningstillstånd för forskningsändamål 
Institutet för hälsa och välfärds funktioner för användningstillstånd, datasäkerhet och integritetsskydd koncentrerades i början av 2015 till institutets nya enhet för informationsresurser. Enheten svarar för beviljande av användningstillstånd inom social- och hälsovården och upprättande av databokslut över beviljade tillstånd. Utlämnandet av uppgifter sker i regel centraliserat av Institutet för hälsa och välfärds enhet för informationssystem. 
År 2015 beviljades användningstillstånd för forskningsändamål för sammanlagt 900 nya databehandlare (antalet nya sekretessförbindelser). Totalt behandlades 207 förvaltningsärenden som gällde sekretessbelagda register och handlingar. Av dessa var 200 tillståndsbeslut, 6 ansökningar förföll och en ansökan överfördes till en myndighet som ansågs behörig. Av de 200 besluten var 137 nya beslut och 63 beslut om fortsättning och komplettering. I fråga om externa användningstillstånd meddelades det 107 nya tillståndsbeslut och 35 beslut om fortsättning och komplettering. I fråga om interna tillstånd meddelades det 30 nya beslut och 28 beslut om fortsättning och komplettering.  
2.1.17
2.1.17 Riksomfattande personregister för hälsovården som förvaltas av Fimea
I lagen om riksomfattande personregister för hälsovården och den förordning som utfärdats med stöd av lagen föreskrivs det att Säkerhets- och utvecklingscentret för läkemedelsområdet ska föra ett narkotikatillsynsregister och register över läkemedelsbiverkningar. I läkemedelslagen (395/1987), narkotikalagen (373/2008) och lagen om elektroniska recept (61/2007, e-receptlagen) finns det bestämmelser om dessa register. 
Bestämmelser om de uppgifter som ska samlas i registret över läkemedelsbiverkningar finns i både förordningen om riksomfattande personregister för hälsovården och 30 e § i läkemedelslagen. Enligt 30 e § i läkemedelslagen ska innehavaren av försäljningstillstånd för läkemedelspreparat, av försäljningstillstånd för läkemedelspreparat i parallellimport eller av registrering av ett traditionellt växtbaserat preparat för att säkerställa läkemedels- och patientsäkerheten föra register över biverkningar. Registret ska innehålla alla de uppgifter som behövs för att säkerställa läkemedels- och patientsäkerheten och som den registeransvarige har om konstaterade och misstänkta biverkningar hos ett läkemedelspreparat, patientens sjukdomar eller benägenhet för sjukdomar, all medicinering som patienten har, indikationer för medicineringen och uppgifter om biverkningar hos läkemedel samt de uppgifter som behövs för identifiering av patienten, såsom patientens namn och personbeteckning. Dessa uppgifter ska lämnas till Fimea, som registrerar dem i det riksomfattande registret över biverkningar. Bestämmelsen i läkemedelslagen överlappar i praktiken bestämmelserna om riksomfattande personregister för hälsovården.  
När det gäller narkotikatillsynsregistret anges det i lagen om riksomfattande personregister för hälsovården endast att läkemedelsverket (nuvarande Fimea) kan ha ett sådant register för övervakning av narkotika. Uppgifterna i registret har samlats in av Fimea med stöd av 32 § 2 mom. i narkotikalagen. Enligt bestämmelsen ska apoteken kontrollera och föra bok över expedieringen av vissa narkotiska ämnen och preparat från apoteken samt månatligen lämna Fimea uppgifter om övervakning av läkemedel som betraktas som narkotika. I praktiken har dessa uppgifter varit narkotikarecept, som apoteken sänder till Fimea för inspektionsverksamheten.  
Från och med 2007 har Folkpensionsanstalten i enlighet med 15 § i e-receptlagen sänt Fimea sådana uppgifter från receptcentret och receptarkivet som gällt recept och expediering av dem och som behövs för bl.a. övervakning enligt läkemedelslagen och narkotikalagen. Enligt 38 § i narkotikalagen har Fimea också rätt att oberoende av sekretessbestämmelserna och utan kostnad få för utförandet av tillstånds- och kontrolluppgifter enligt narkotikalagen nödvändig information av näringsidkare och andra aktörer som avses i den lagen och i läkemedelslagen samt av statliga och kommunala myndigheter. Fimea är i enlighet med dataskyddsförordningen registeransvarig för de personuppgifter som myndigheten fått med stöd av dessa lagar.  
2.2
Den internationella utvecklingen samt lagstiftningen i utlandet och i EU
2.2.1
2.2.1 Inledning
Digitaliseringen har i betydande mån förändrat metoderna för behandling av uppgifter om hälsa och välfärd och skapat nya möjligheter att dra nytta av dem. Fenomenet har såväl i Finland som internationellt lett till ett behov av att utveckla bestämmelser, tillvägagångssätt och en organisation för informationshanteringen som motsvarar dagens situation. Som ett uttryck för detta kan man se EU:s allmänna dataskyddsförordning som trädde i kraft 2016 och som ska tillämpas i hela EU från och med den 25 maj 2018, även om det i förordningen lämnats utrymme för nationell reglering. 
Av de nordiska länderna har särskilt Danmark och Norge genomfört eller har för avsikt att genomföra betydande ändringar i lagstiftningen om framför allt registren för hälso- och sjukvården och hanteringen av dem. Men det finns ännu ingen klar bild av utformningen av bestämmelserna. 
2.2.2
2.2.2 System för social- och hälsovårdstjänster samt insamling av social- och hälsovårdsuppgifter
Norden 
Norge 
Den norska regeringen har huvudansvaret för de hälsotjänster som erbjuds invånarna. De 428 kommunerna i Norge svarar regionalt för basservicen inom social- och hälsovården. Det norska hälsovårdsministeriet spelar en direkt roll inom den specialiserade sjukvården. Det äger och finansierar de sjukhus där tjänsterna tillhandahålls. Sammantaget finansieras hälso- och sjukvårdstjänsterna via stats- och kommunalbeskattningen. Avsikten är att tjänsterna generellt ska erbjudas alla medborgare i Norge och EU oberoende av individens socioekonomiska status, etniska bakgrund eller bostadsort. 
Det finns ingen privat akut sjukhusvård. Icke vinstdrivande försäkringsbolag erbjuder privata hälsoförsäkringar, vilket garanterar individen snabbare tillgång till undersökningar och sjukhusvård. Den kommunala basvården överensstämmer med lagstiftningen, regeringens föreskrifter samt kvalitetskraven. De regionala statsägda bolagen erbjuder specialiserad sjukvård, såsom somatisk och psykiatrisk vård. Uppgifter om basvården och den specialiserade sjukvården samlas dock inte in på ett enhetligt sätt. Därför är det i det närmaste omöjligt att använda dessa uppgifter vid kvalitetskontroller på det lokala eller det rikstäckande planet. 
Socialtjänsterna grundar sig på lagen om socialtjänster inom arbets- och välfärdsförvaltningen (lov om sociale tjenester i arbeids- og velferdsförvaltningen 2015:106). Enligt lagen ska kommunerna svara för produktionen av socialtjänster, om inte något annat bestäms i lag. Det åligger också kommunerna att svara för den interna tillsynen av tjänster. 
Fylkesmannen utövar tillsyn över att kommunerna uppfyller sina åtaganden enligt lagen om socialtjänster. Statens uppgift inom socialvården är att säkerställa att kommunerna följer lagar och bestämmelser som gäller socialtjänster. Staten leder också kommunerna att uppnå de mål som ställts för socialvården. 
Sverige 
I Sverige ingår bestämmelser om hälso- och sjukvårdstjänster i hälso- och sjukvårdslagen (1982:763). För tjänsterna svarar den svenska regeringen, 20 regionala landsting och 290 kommuner. Regeringen fastställer principerna och riktlinjerna för hälso- och sjukvården och beslutar genom lagar, föreskrifter och avtal om det politiska programmet för hälso- och läkartjänster i hela landet. Landstingen och i viss mån kommunerna svarar för ordnande av hälsotjänster. Principen är att varje invånare ska ha möjlighet till hälso- och läkartjänster av hög kvalitet. Landstingen inriktar sig på hälso- och sjukvård och svarar för folkhälsoarbetet. 
Merparten av hälsouppgifterna registreras i databaser när patienten anlitar hälsotjänster som i de flesta fall erbjuds av regionala och lokala offentliga aktörer. Antalet privata tjänsteproducenter håller dock på att öka, eftersom allt fler kommuner köper hälsotjänster av privata aktörer vars patienter omfattas av samma normer och avgifter som de offentliga tjänsteproducenternas patienter. Samarbetet mellan aktörerna stöds av en nationell it-strategi för hälsotjänster som infördes 2005. Den har senare kompletterats med bland annat projektet Nationell eHälsa och en nationell patientjournal, Nationell patientöversikt – NPÖ. 
I Sverige svarar kommunerna för socialtjänsterna. Tjänsterna regleras i socialtjänstlagen (2001:453) och i kommunallagen (1991:900). När en person söker sig till en kommunal socialtjänst eller landstingets hälsotjänster, upprättas för personen en individuell plan mellan kommunen och landstinget. 
För att producera socialtjänster kan kommunerna ingå samarbetsavtal med landstingen, pensionskassan och arbetsförmedlingen. Socialnämnden i kommunen meddelar beslut som gäller socialtjänster till länsstyrelsen, kommunens revisor och kommunfullmäktige. På behandlingen av personuppgifter inom socialväsendet tillämpas lagen om behandling av personuppgifter inom socialtjänsten (2001:454), offentlighets- och sekretesslagen (2009:400), personuppgiftslagen (1998:204), socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade (1993:387). Inom de gränser som lagarna tillåter kan kommunens socialnämnd lämna ut uppgifter som den samlat in till Socialstyrelsen för statistikändamål och till myndigheterna för forskningsändamål, förutsatt att det inte orsakar olägenheter för individen. 
Danmark 
Alla invånare i Danmark har samma rätt till social trygghet och offentlig hälso- och sjukvård, som i de flesta fall är avgiftsfri. Danmark har ett omfattande och allmänt hälso- och sjukvårdssystem som finansieras med skattemedel. Utbudet av tjänster stöds också genom statsunderstöd. 
Hälso- och sjukvård tillhandahålls på statlig, regional och kommunal nivå. Staten svarar för lagstiftning och tillsyn, och det högsta organet är Danmarks hälsovårdsministerium som bereder lagstiftningen för regionala och kommunala uppgifter och andra uppgifter som utförs av aktörer inom hälso- och sjukvården och den geriatriska vården. Danmarks fem regioner ansvarar i första hand för sjukhus, allmänläkares tjänster och psykiatrisk vård och behandling. De regionala hälso- och sjukvårdstjänsterna utgår från invånarnas behov och de utformas i enlighet med nationell lagstiftning och finansiering. 
Danmarks 98 kommuner ansvarar för primärvården och den geriatriska vården. Tjänsterna inom primärvården tillhandahålls av allmänläkare och andra privata yrkesutbildade inom hälso- och sjukvården, såsom tandläkare, fysioterapeuter och psykologer. För individen är dessa tjänster en port till specialiserad sjukvård. 
Invånarna i Danmark har rätt till specialiserad sjukvård vid vilket offentligt sjukhus som helst och vid några privata sjukhus. Valfriheten gäller såväl fysiska som psykiska sjukdomar. Efter att patienten har sökt vård ska vården inledas inom 30 dagar. Regionerna kan också skicka patienter utomlands för vård som godkänts av den danska hälsostyrelsen (Sundhedsstyrelsen). 
I Danmark svarar kommunerna för socialvården. Enligt socialtjänstlagen (serviceloven nr 988) beslutar kommunstyrelsen om vilka socialtjänster som ska erbjudas. Kommunerna kan ingå avtal om tillhandahållandet av tjänster med privata och offentliga tjänsteleverantörer. För detta har Danmark en centraliserad anbudsportal (Tilbudsportalen) till vilka tjänsteleverantörerna kan lämna sina anbud. Detta gör det möjligt för invånarna att söka vård och behandling hos godkända tjänsteleverantörer. 
För tillsynen över socialtjänsterna svarar fem tillsynsområden. Dessutom har varje kommun en enhet för tillsynen över socialtjänsterna (Socialtilsyn) som svarar för kvalitet och genomförande. Regionstyrelsen (Ankestyrelsen) ger kommunerna handledning och råd i fråga om tillsynen över tjänsterna. Lagstiftningsgrunden för behandlingen av socialtjänster och socialtjänstdata utgörs av rättsskyddslagen (retssikkerhedsloven nr 1052), socialtjänstlagen (serviceloven nr 988), lagen om social tillsyn och handledning (socialtilsynsloven nr 70), offentlighetslagen (offentlighedsloven nr 606) och personuppgiftslagen (persondataloven nr 429). 
Vissa andra stater 
Nederländerna 
Regeringen i Nederländerna svarar för ordnandet av hälso- och sjukvård, för lagstiftningen och tillgången till hälso- och sjukvård samt för tillsynen över vårdkvalitet och avgifter. Sedan 2006 grundar sig hälso- och sjukvården på en obligatorisk sjukförsäkring. Enligt sjukförsäkringslagen (Zorgverzekeringswet) ska privata försäkringsbolag betala och tillhandahålla offentlig lagstadgad hälso- och sjukvård. Försäkringstagarna konkurrensutsätter de privata försäkringsbolagen. 
Hälso- och sjukvården är indelad i förebyggande vård, primär vård, sekundär vård och långtidsvård. För de olika vårdformerna svarar den kommunala hälso- och sjukvården som täcker alla nederländska kommuner. 
Socialvården finansieras delvis av regeringen via den allmänna beskattningen. Regeringen utarbetar också ett grundpaket för den sociala sjukförsäkringen och ett obligatoriskt system för social hälso- och sjukvård inom långtidsvården. Förebyggande vård och socialt stöd omfattas inte av den sociala sjukförsäkringen. Dessa finansieras via den allmänna beskattningen. 
Australien 
Hälso- och sjukvården i Australien tillhandahålls av offentliga och privata tjänsteleverantörer och andra aktörer, och omfattas av ramar och stödmekanismer på området. År 2012 genomfördes en stor organisatorisk och finansiell reform av landets hälso- och sjukvård. Statens centralregering och alla regionala regeringar ska implementera det nya nationella hälso- och sjukvårdsavtalet (National Healthcare Agreement 2012). Regeringarna i samväldet finansierar solidariskt verksamheten vid de offentliga sjukhusen. Ett stort antal tjänster erbjuds inom den offentliga primärvården, akutvården, sjukhusvården och rehabiliteringen. 
Försäkringssystemet Medicare, som omfattar hela landet, bildar en grund för hela Australiens hälso- och sjukvårdssystem. Det inbegriper alla medborgare, fast bosatta och personer som beviljats tillfälligt visum för vistelse i landet och vars hemland har kommit överens om inbördes arrangemang med Australien. Systemet Medicare kan också kopplas till en privat sjukförsäkring som ger personen möjlighet att söka vård vid privata sjukhus, i privata lokaler vid offentliga sjukhus, hos tandläkare och ögonläkare samt tillgång till ytterligare vård och behandling. Medicare erbjuder avgiftsfri vård, förmåner och rabatter på angivna tjänster som tillhandahålls av yrkesutbildade inom hälso- och sjukvården samt betalar en del av kostnaderna för många receptbelagda läkemedel. 
Medicare använder hälso- och sjukvårdens provider för autentiseringsuppgifter som fungerar så att alla som får hälso- och sjukvård i Australien får en individuell identifikator. Lagen ( Healthcare Indentifiers Act 2010 No. 72, 2010) och bestämmelserna (Healthcare Indentifiers Regulations 2010 No. 190, 2010) om identifikatoruppgifter inom hälso- och sjukvården reglerar användningen av tjänsten. Tjänstens huvudsakliga syfte är att möjliggöra utbyte och hantering av hälsovårdsuppgifter mellan tillhandahållare av hälso- och sjukvård. Andra begränsade syften som tjänsten är avsedd för är administration och utvärdering av hälso- och sjukvården samt användning av uppgifterna i godkända undersökningar. 
Den första kontakten med hälso- och sjukvården i Australien sker ofta i samband med ett besök på en primärvårdsmottagning, såsom hos allmänläkare eller tandläkare, sjukskötare, ursprungsbefolkningens hälso- och sjukvårdare, farmaceuter eller andra yrkespersoner inom hälso- och sjukvården. Ett besök hos en allmänläkare är ofta porten till ett mer omfattande hälso- och sjukvårdssystem. 
I Australien finns ingen offentlig brett organiserad socialvård. Däremot inriktas statsbidrag på låginkomsttagare. Socialvården erbjuder mångsidiga tjänster som tillhandahålls såväl på riksnivå som lokalt. Tjänsterna finansieras huvudsakligen med skatteinkomster och serviceavgifter. Socialtjänster erbjuds av kommersiella, icke vinstdrivande och statliga organisationer. 
Israel 
I Israel regleras social- och hälsovården i huvudsak genom en socialvårdslag (1958) och en nationell sjukförsäkringslag. I socialvårdslagen föreskrivs om ett brett utbud av nationella och samhälleliga tjänster. Enligt lagen ska kommunerna och de lokala myndigheterna ha en avdelning som ansvarar för socialtjänster. 
Genom den nationella sjukförsäkringslagen regleras hälso- och sjukvården och medicinska behandlingar i Israel. Lagen tillförsäkrar hälso- och sjukvård till alla som är fast bosatta i Israel. Regeringen finansierar de offentliga hälso- och sjukvårdstjänsterna och svarar för att alla har tillgång till tjänsterna utan diskriminering. Alla invånare ska ha en giltig sjukförsäkring för att få utnyttja hälso- och sjukvårdstjänsterna. Sjukförsäkringen finansieras huvudsakligen via progressiva inkomstkällor, såsom inkomstskatten. 
Hälsovårdsministeriet ansvarar för medborgarnas hälsa och för verksamheten inom hälso- och sjukvården. Det fastställer de tillvägagångssätt som gäller för hälso- och sjukvårdstjänster och svarar för planering, övervakning, licensiering och samordning av tjänsterna. 
I Israel tillämpas ett system med hälsoplaner (Health Plans) enligt vilket invånarna erbjuds hälso- och sjukvårdstjänster. Alla fast bosatta får fritt välja mellan fyra konkurrerande, icke vinstdrivande tillhandahållare av hälso- och sjukvårdstjänster (Clalit, Maccabi, Meuchedet och Leumit). Dessa ger invånarna tillgång till servicepaket enligt sjukförsäkringslagen och till ett omfattande nätverk av lättanvända, samhälleliga kliniktjänster, medräknat mentalvårdstjänster. 
Dessutom erbjuder staten förebyggande vård, rehabilitering och hjälpmedel som främjar rörligheten samt geriatrisk vård. Primärvården och merparten av den specialiserade sjukvården genomförs med stöd av hälsoplanerna. Datasystemen inom hälso- och sjukvården utgör en länk mellan tillhandahållare av primärvård och specialiserad sjukvård. Ett nytt nationellt system för informationsutbyte sammanför hälsoplanerna och sjukhusen genom att erbjuda dem åtkomsträttigheten till det elektroniska hälso- och sjukvårdsregistret vid vårdenheterna. 
Kanada 
Federationen Kanada består av 13 regioner: 10 provinser och 3 territorier. Provinserna har en relativt omfattande självbestämmanderätt, i territorierna är den mindre.Regionerna svarar för merparten av samhällsfunktionerna – såsom hälso- och sjukvård och välfärd, och de har en egen regional lagstiftning. Kanadas hälso- och sjukvårdssystem definieras i hög grad av den kanadensiska grundlagen. 
Hälso- och sjukvården i Kanada grundar sig inte på ett hälso- och sjukvårdssystem som är enhetligt för hela landet, utan varje provins och territorium har egna sjukförsäkringssystem som är regionalt heltäckande och har gemensamma principer. Federationen utarbetar principerna för hälso- och sjukvården i enlighet med Kanadas hälsovårdslag (the Canada Health Act). Den kanadensiska federationens regering svarar också för vissa hälsovårdstjänster och en viktig uppgift är att främja folkhälsan och hälsoforskningen samt samla in hälsovårdsuppgifter. Den offentligt finansierade hälso- och sjukvården bygger på federationens och regionernas skatteinkomster. 
I Kanadas hälsovårdslag ingår bestämmelser om ett sjukförsäkringsprogram vars syfte är att säkerställa skälig tillgång till medicinskt nödvändiga sjukhus- och läkartjänster för alla kanadensiska invånare på lika villkor. Programmet är baserat på förskottsavgifter. Regionernas regeringar svarar för ordnande av hälso- och sjukvård och socialtjänster. Tjänsterna finansieras med federationens medel och skatteöverföringar. Regionerna fastställer själva sina system för hälso- och sjukvård och socialtjänster enligt federationens gemensamma principer. Enligt principerna ska försäkringsplanen för hälso- och sjukvården administreras offentligt, vara heltäckande och avgiftsfri och tillgången till hälso- och sjukvård garanteras mellan de olika regionerna. 
Socialvårdslagen utfärdades 2015 på initiativ av Kanadas socialarbetarorganisation (CASW). Enligt den ordnas socialvård med stöd av Kanadas sociala trygghetsnät (Canadian Social Transfer, CST) som upprätthålls av regionerna. Federationen finansierar i första hand regionala sociala program. CST omfattar utbildning efter mellanstadiet, socialvårdstjänster och socialtjänster, förskolepedagogik och stöd för vård av barn. 
Nya Zeeland 
Nya Zeeland erbjuder offentligt finansierad hälso- och sjukvård som tillhandahålls såväl som privata som offentliga tjänster. Lagen om folkhälsa och funktionsnedsättning från 2000 (New Zealand Public Health and Disability Act 2000 No. 91) tillförde folkhälsotjänsterna och tjänsterna för personer med funktionsnedsättning en ny struktur och finansieringsmodell. Enligt lagen ska hälsovårdsministeriet svara för politisk rådgivning, finansiering samt hälso- och sjukvård och tjänster för personer med funktionsnedsättning. 
Nya Zeeland har 53 distrikt och 20 regionala direktioner som distriktsvis svarar för att erbjuda, producera och finansiera hälso- och sjukvårdstjänster. Distrikten fullgör sitt ansvar genom avtal med organisationer som producerar hälso- och sjukvårdstjänster. För att bevara effekterna av hälso- och sjukvården, dess kvalitet och kostnadseffektivitet samarbetar hälsovårdsministeriet med varje regional direktion. 
Ambitionen är att hälso-och sjukvården ska ordnas mer enhetligt. En teknik- och digitaltjänstgrupp (T & DS) arbetar med att förenhetliga uppgifterna i olika datalager med hjälp av gemensamma informations- och teknikstandarder. Nu är uppgifterna spridda på olika informationssystem och arkiv, men de kan vid behov sammanställas med hjälp av gemensamma identifikatorer. För sammanställning av uppgifterna har hälsovårdsministeriet skapat en server för hälsouppföljning (Health Tracker) som gör det möjligt att samköra uppgifter från dödsorsaksregistret, cancerregistret och sjukhusens patientregister. Det är också möjligt att samköra den prehospitala akutsjukvårdens, laboratoriernas och apotekens uppgifter och uppgifter från organisationer som erbjuder mentalvårdstjänster och tjänster för personer med funktionsnedsättning samt första hjälpen. Samkörningen av uppgifter möjliggörs av enhetliga identifikatorer (National Health Index, NHI) vilka är nyckeln till stordata. 
Man har också börjat samköra kliniska uppgifter med de datalager som nämns ovan. Målet är att utveckla ett virtuellt elektroniskt patientregister (Electronic Health Record), vilket är möjligt tack vare uppföljningsservern. För närvarande undersöker hälsovårdsministeriet förutsättningarna för ett elektroniskt patientregister på Nya Zeeland. Registret ska vara en digital lösning som kan användas för att producera hälsouppgifter för enskilda, yrkesutbildade inom hälso- och sjukvården, beslutsfattare och planerare. 
2.2.3
2.2.3 Individens samtycke
Norden 
Norge 
I Norge får personuppgifter i princip användas bara med patientens samtycke. Undantag från principen kan göras med stöd av loven om behandling av personupplysninger (LOV-2000-04-14-31, Del 8), som motsvarar Finlands personuppgiftslag. Undantag är tillåtna om uppgifterna är nödvändiga för att uppfylla ett avtal, tillgodose ett lagligt krav eller skydda en persons angelägna intressen, för det allmänna bästa, inom myndighetsutövning eller för att skydda legitima intressen. 
Om användningen av patientuppgifter inte grundar sig på samtycke av individen, ska tillstånd till behandling av uppgifterna fås från dataskyddsmyndigheten (Datatilsynet). Om man vill använda hälsovårdsuppgifter i forskningsprojekt, ska tillstånd fås också från den regionala forskningsetiska kommittén för läkemedels- och hälsovårdsuppgifter. För användningen av mänskliga prover utan identifikatorer och avidentifierade uppgifter vid undersökningar krävs inte individens samtycke, men om prover eller uppgifter samlas in för avidentifiering, ska individen ge sitt samtycke till det. 
I lagen om hälsoregister och behandling av hälsouppgifter, (lov om helseregistre og behandling av helseopplysninger LOV-2014-06-20-43), finns närmare bestämmelser om pseudonymiserade och avidentifierade uppgifter. Enligt huvudregeln kräver användningen av hälsouppgifter som innehåller direkta identifikatorer alltid individens samtycke. Det är särskilt viktigt att iaktta god praxis när man använder hälsouppgifter som ingår i centraliserade register, vilket förutsätter en intresseavvägning mellan behoven av information och skyddet för patientens privatliv. 
De patienter vars uppgifter används ska ha rätt att förbli oidentifierade. Av den anledningen ska hälsouppgifter och anknytande identifikatorer förvaras åtskilt. Vid insamling av känsliga uppgifter ska man alltid inhämta individens samtycke och individen ska ges möjlighet att förbjuda registreringen av känsliga uppgifter som rör honom eller henne. 
Sverige 
Individens samtycke är som regel ett villkor för tillhandahållande av hälso- och sjukvårdstjänster och för användning av de uppgifter som samlats in i samband med tjänsterna för statistik- och forskningsändamål. Lagen medger dock undantag. De forskningsetiska kommittéerna i Sverige kan ge tillstånd till behandling av hälsouppgifter också utan individens samtycke. För utlämningen av uppgifter krävs det dessutom användningstillstånd av den registeransvarige. 
Lagen gör det också möjligt för myndigheterna att behandla hälsouppgifter vid statistikföring utan individens samtycke. Till exempel Socialstyrelsen har behörighet att skapa nya register eller databaser som innehåller hälsouppgifter. 
Trots att frågan om omfattande samtycke har övervägts, är det i Sverige för närvarande inte möjligt för enskilda att med stöd av lag lämna ett omfattande samtycke till användning av sina uppgifter i forskningssyfte. Ett uttryckligt samtycke är en förutsättning för att hälsouppgifter ska få användas i forskningssyfte, och individen kan inte lämna sitt samtycke till användningen av sina hälsouppgifter varken för ett eventuellt framtida forskningsändamål eller för forskning som inte är noggrant definierad på förhand. Bestämmelserna i förordningen om ändring i luftfartsförordningen (2003:793) gör det dock möjligt att använda vissa registeruppgifter för forskning som bidrar till att klarlägga genetikens och miljöns inverkan på människors hälsa. 
Patientdatalagen (2008:355) kräver dock patientens uttryckliga samtycke för insamling av hälsouppgifter för kvalitetsregister. Ur dessa register är det möjligt att få pseudonymiserade och avidentifierade uppgifter och uppgifter från vilka de direkta identifikatorerna har avlägsnats. Enskilda har rätt att senare få sina uppgifter utplånade ur kvalitetsregistren. 
I juni 2014 inledde kommittén beredningen av ny lagstiftning som gör det möjligt att också använda forskningsdatabaser utan individens uttryckliga samtycke. Till den nya kommitténs uppgifter 2017 hör det att utveckla lagstiftningen om individens samtycke samt bereda en långsiktig och hållbar reglering av forskningsdatabaser. 
Danmark 
Lagen om behandling av personuppgifter (Lov nr 429/2009 om behandling af personoplysninger) definierar hälsouppgifter som känsliga personuppgifter. Dessa får lämnas ut ur nationella register och myndighetsregister för forsknings- och statistikändamål utan samtycke av individen. Det förutsätter att forskningen är av samhällelig betydelse och behandlingen ur forskningssynvinkel är nödvändig. Ytterligare behandling av uppgifterna är möjlig bara för statistik- och forskningsändamål. 
I hälsolagen (sundhedsloven nr. 1202/2014) regleras utlämningen av hälsouppgifter. Enligt den kan hälsouppgifter som registrerats i en patientdatabas lämnas ut för forsknings- och statistikändamål utan patientens samtycke. Den forskningsetiska kommittén eller patientsäkerhetsnämnden (Styrelsen for Patientsikkerhed) ska dock godkänna forskningsprojektet. 
I fråga om vävnadsprover förutsätter lagen när det gäller forskningsprojekt som rör hälsouppgifter som regel att individen ger sitt samtycke. Samkörning av uppgifter som rör människor med andra registeruppgifter och användning av uppgifterna i forskningsprojekt förutsätter utöver individens samtycke en prövning av den forskningsetiska kommittén. Om det är fråga om forskning som grundar sig på biobanksuppgifter kan den forskningsetiska kommittén frångå kravet på individens samtycke, om det inte medför betydande risker för forskningsobjektet och om det är omöjligt att inhämta samtycke eller innebär en avsevärd börda för forskaren eller för själva projektet (LOV nr 593 af 14/06/2011 om videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter, § 10). När mänskliga prover lagras i biobanker har individen möjlighet att förbjuda sekundär användning av dem (opt-out). En arbetsgrupp bedömer för närvarande framför allt rättsliga och etiska frågor om användningen av mänskligt material. 
Vissa andra stater 
Nederländerna 
Enligt lagen om skydd av personuppgifter (Wet bescherming persoongegevens, Wbp) är medicinska data så kallade särskilda personuppgifter. Organisationer kan använda uppgifterna bara om föreskrivna villkor uppfylls: antingen grundar sig användningen på en bestämmelse i lag eller har patienten gett sitt samtycke. De särskilda personuppgifterna är inte begränsade bara till läkarnas anteckningar i patientjournaler utan till dem hör också uppgifter om patienternas fysiska och psykiska egenskaper. Den 25 maj 2018 kommer EU:s dataskyddsförordning att tränga undan lagen om skydd av personuppgifter.  
I Nederländerna står patienternas rättigheter högt på den politiska agendan. Lagen om läkarintyg ålägger yrkesutbildade inom hälso- och sjukvården att föra journaler elektroniskt eller i pappersform utan patientens samtycke. Däremot måste en utomstående som inte deltar i vården av patienten få patientens samtycke för att få åtkomst till uppgifterna. 
De medicinska uppförandekoderna möjliggör åtkomst till patientjournaler för utomstående utan individens samtycke, om åtkomsträttigheten är nödvändig. Det är bland annat fråga om situationer om vilka stadgas i lag, såsom insamling av uppgifter om dödsorsak och rapportering om vissa smittsamma sjukdomar, statistikföring och vetenskaplig forskning samt överhängande fara eller risk för allvarlig skada. 
Från juli 2017 är alla leverantörer av hälso- och sjukvårdstjänster skyldiga att informera sina kunder om elektronisk utlämning av uppgifter. Individens samtycke ska inhämtas för att möjliggöra åtkomst till uppgifterna via det elektroniska informationssystemet. Lagen om kundernas rättigheter vid elektronisk behandling av uppgifter innehåller noggranna bestämmelser om elektroniskt utbyte av personuppgifter som rör hälsouppgifter via ett elektroniskt informationssystem. I lagen ingår kriterier för hur patientuppgifter kan förmedlas säkert och elektroniskt och hur åtkomsträttigheter kan tilldelas andra tillhandahållare av hälso- och sjukvårdstjänster. 
Uppförandekoderna för elektroniskt utbyte av information inom hälso- och sjukvården (Gedragscode Elektronische Gegevensuitwisseling in de Zorg, EGiZ) är ett viktigt avtal som ingås mellan yrkesutbildade inom hälso- och sjukvården och som tryggar individens rättigheter. Uppförandekoderna styr leverantörerna av hälso- och sjukvård att tillgodose kundernas rättigheter vid elektronisk behandling av uppgifter och fördelar ansvaret mellan de yrkesutbildade inom hälso- och sjukvården. Enligt detta krävs det för begäran om åtkomst till hälsouppgifter ett informerat samtycke av individen samt tillstånd av hälso- och sjukvårdsleverantörerna och patienterna. Enligt bestämmelserna ska också dataskydds- och inloggningsbestämmelserna följas, patienterna informeras och deras samtycke inhämtas.  
På statistikföring och vetenskapliga undersökningar tillämpas anvisningarna om hälsoforskning som utarbetats av stiftelsesammanslutningen för de medicinska disciplinerna i Nederländerna (Federa). Anvisningarna skapar en rättslig grund för den sekundära användningen av patientuppgifter för forskningsändamål. Av anvisningarna framgår hur uppgifterna ska behandlas, när individens samtycke inte behövs för sekundär användning av uppgifterna och när en etisk utvärdering av de medicinsk-etiska kommittéerna (medisch-ethische toetsingscommissies) rekommenderas. 
I samråd med flera aktörer på hälsoområdet klarlägger ministeriet möjligheten att införa ett så kallat specificerat tillstånd. Med specificerat tillstånd avses att individen har lämnat ett uttryckligt och informerat samtycke som noggrant anger vilka uppgifter som får lämnas ut och vilka yrkesgrupper inom hälso- och sjukvården som får ta del av uppgifterna. Avsikten är att bestämmelserna om specificerat tillstånd ska träda i kraft 2020 samtidigt som lagen om klienternas rättigheter vid elektronisk behandling av uppgifter, som är under beredning.  
Australien 
Enligt den princip som råder i Australien förutsätter utlämningen av uppgifter som innehåller identifikatorer eller pseudonymiserade uppgifter individens informerade samtycke för att uppgifterna ska få användas eller återanvändas. Begreppet informerat omfattar såväl en etisk och rättslig som en praktisk aspekt. Etiskt ska individen garanteras en moralisk rätt att bestämma över sin kropp (principle of free agency). Rättsligt innebär informerat samtycke att individen uttryckligen ska godkänna eller förbjuda vård eller behandling genom avtal med tillhandahållaren av hälso- och sjukvårdstjänster. Den praktiska aspekten förutsätter att tillhandahållaren av tjänsterna ska informera individen om vård- och behandlingsalternativen och om den nytta och de risker som dessa medför samt stödja individen i beslut som gäller hans eller hennes hälsa (Victorian Charter of Human Rights and Responsibilities Act 2006). Enligt lagen är det möjligt att lämna ut patientuppgifter också utan individens samtycke. 
I Australien kan individen lämna flera olika typer av samtycken. Ett samtycke kan vara: 
uttryckligt, och är då begränsat till ett särskilt syfte med behandlingen. 
omfattande, och ger då rätt att använda uppgifter eller vävnader i kommande forskningsprojekt som är en utvidgning av det ursprungliga projektet eller en del av det, eller som gäller samma allmänna forskningsområde, och 
ospecificerat, och då samtycker individen till att uppgifter eller vävnader används i framtida forskning. 
Vid omfattande eller ospecificerat samtycke måste tillstånd ges för lagring av ursprungliga uppgifter eller vävnader i en databank. Om det är fråga om ospecificerat samtycke ska individen ingående informeras om villkoren för det och vilka vittgående följder det kan ha. Den som beslutar att inte delta i ett forskningsprojekt behöver inte motivera sitt beslut. Individen har också rätt att när som helst dra sig ur ett projekt och ska informeras om eventuella följder av detta innan hen ger sitt samtycke. 
Socialministeriet (Department of Social Services) får använda och lämna ut personuppgifter som innehåller identifikatorer eller pseudonymiserade personuppgifter för att tillgodose allmänna intressen inom de ramar som sekretessen och den så kallade portföljlagstiftningen tillåter. Det innebär att ministeriet för att tillgodose ett allmänt intresse kan bevilja intyg (Public Interest Certificates) för användningen av uppgifter för vissa syften med iakttagande av nationella direktiv och speciallagstiftningen på området. 
Ur datalager som innehåller pseudonymiserade uppgifter får uppgifter lämnas ut, förutsatt att det säkerställs att en enskild person inte utan vidare kan identifieras och att inte individens identitet rimligen kan bestyrkas (Privacy Act 1988 No. 119, 1988). 
Israel 
I Israel är patientens uttryckliga samtycke en förutsättning för hälso- och sjukvårdsåtgärder. I lagen om patientens rättigheter (Patient’s Rights Act, 1996) regleras förutom tillgången till hälso- och sjukvård också patientens rätt att kontrollera och överföra sina uppgifter till ett patientregister och uttrycka sitt informerade samtycke till vård och behandling. I patientlagen regleras också sekretessplikten samt utlämningen av uppgifter till patienten och andra. Läkare får överföra patientuppgifter till tredje part bara om patienten har lämnat sitt samtycke till det eller om uppgifterna enligt lag ska lämnas ut utan patientens uttryckliga samtycke. Om uppgifter lämnas ut för forskningsändamål ska alla patientens uppgifter som innehåller identifikatorer avlägsnas. 
Hälsouppgifter som innehåller identifikatorer behandlas i lagen som känsliga uppgifter som inte kan lämnas ut till tredje part utan patientens samtycke eller lagstadgad utlämningsgrund. Sjukhusen samlar in hälsouppgifter, eftersom den israeliska lagen ålägger dem att rapportera uppgifter till staten i såväl identifierbar som icke-identifierbar form. Kravet på samtycke gäller också avlidna för vilka samtycke kan lämnas av en familjemedlem. Israels lag-, informations- och teknikmyndighet (Israeli Law, Information and Technology Authority, ILITA) utövar tillsyn över skyddet av personuppgifter samt tryggar sekretessen och övervakar brott som anknyter till informationsteknik. 
Kanada 
Användningen av hälsouppgifter grundar sig på federationens lag om integritetsskydd (the Privacy Act 1983) och enligt etikpolicyn på individens uttryckliga samtycke. Lagen om integritetsskydd preciserar de syften för vilka federationens myndigheter kan lämna ut personuppgifter som ingår i datalager utan individens samtycke. Lagen innehåller villkor enligt vilka uppgifter får lämnas ut för forsknings- eller statistikändamål till enskilda personer eller andra aktörer. Lagen gäller bara federationsregeringens offentliga organisationer och den omfattar alla personuppgifter som federationens regering samlat in, använt och lämnat ut. 
Av federationens tretton autonoma områden (tio provinser och tre territorier) har elva områden också sin egen lagstiftning som gäller insamling och användning av personuppgifter som administreras av den offentliga sektorn samt utlämning baserad på individens samtycke. Lagen reglerar även utlämningen av uppgifter för sekundära syften, medräknat planeringen av hälso- och sjukvård och forskningen på området. Individen har rätt att begränsa användning och utlämning av sina personliga hälsouppgifter för syften som anges i lagen. 
Individens rättigheter och administrationen av tillståndsförfarandet inom den privata sektorn regleras genom lagar som utfärdades 2015, dvs. lagen om dataskydd och elektroniska dokument (PIPEDA) och lagen om skydd av digital integritet (DPA). I dem fastslås de kommersiella aktörernas viktigaste skyldigheter när det gäller behandlingen av personuppgifter. Lagarna tillämpas också på tillhandahållare av privat hälso- och sjukvård. Dataombudsmannens byrå (Office of the Privacy Commissioner of Canada, OPC) övervakar att PIPEDA och DPA följs. I DPA, som kompletterar PIPEDA, definieras samtycke enligt lagen. Enligt den är individens samtycke giltigt bara om personen inser karaktären av, syftet med och följderna av insamling, användning och utlämnande av sina uppgifter. PIPEDA begränsar användning och utlämning av uppgifter utan individens samtycke. 
För att utveckla hanteringen av samtycken har Canadian Health Infoway föreslagit ett system för administration av samtycken (Consent Management Solution, CMS). Systemet gör det möjligt att lagra individens samtycken centralt och tillämpa dem såsom individen förväntar sig. 
Nya Zeeland 
Lagen om rättigheter för användare av hälsovårdstjänster och tjänster för personer med funktionsnedsättning (The HDC Code of Health and Disability Services Consumer’s Rights Regulation 1996) anger tio rättigheter som ska tillämpas på personer som deltar i forskningsprojekt. Individen har bland annat rätt till respektfullt bemötande och rätt att få tillräcklig information för att kunna ge ett informerat samtycke. 
I lagen om skydd av hälsouppgifter (Health Information Privacy Code 1994, HIPC) ingår också noggranna bestämmelser för aktörer på hälsoområdet. Lagen inbegriper insamling, användning, lagring och utlämning av hälsouppgifter och innehåller principerna för dataskydd på området. HIPC sätter gränser för sekundär användning av uppgifter som innehåller identifikatorer. Enligt huvudregeln krävs det samtycke av individen för sekundär användning av uppgifter med identifikatorer. Samtycke kan ges också av en företrädare för personen, om den registrerade är avliden eller annars oförmögen att lämna samtycke. Dataskyddslagen tillåter användning av uppgifter utan samtycke för forskningsändamål (som en etisk kommitté vid behov har godkänt), om uppgifterna inte publiceras i sådan form att det rimligen går att identifiera personen. 
De etiska kommittéerna övervakar att bestämmelserna om dataskydd iakttas i samband med forskning som gäller hälsouppgifter. Därför ska de flesta forskningsprojekt godkännas av en officiell etisk kommitté innan de inleds. Ett godkännande av en etisk kommitté har stor betydelse, eftersom identifierbara hälsouppgifter då kan användas i forskningen utan samtycke. Utlämning av uppgifter utan patientens samtycke är tillåtet bara om det av praktiska skäl inte är möjligt eller önskvärt att få samtycke. Kraven i fråga ingår i lagen om skydd av hälsouppgifter och de etiska aspekterna framgår av anvisningar för observationsforskning som meddelats av den nationella etiska rådgivande kommittén. 
2.2.4
2.2.4 Register inom social- och hälsovården samt den rättsliga grunden för sekundär användning och samkörning av registeruppgifter
Norden 
Norge 
I Norge finns ett stort antal nationella register som innehåller hälsouppgifter. Syftet med registeruppgifterna bestämmer indelningen av hälsouppgifterna i olika register, vilket bör beaktas när lagarna tillämpas. Det är i vissa fall möjligt att sammanföra uppgifter från olika register. Principerna för samkörningen av uppgifter och om utlämningen av dem för sekundär användning föreskrivs i lag (Forskrift om pasientjournal FOR-2000-12-21-1385). Enligt lagen får patientuppgifter inte användas utan individens samtycke eller annan lagstadgad grund för andra syften än för dem som angavs i första hand. 
Enligt principen om konfidentialitet kan det för sekundär användning av uppgifter krävas tillstånd eller dispens från myndigheterna. Exempelvis uppgifterna i ett patientregister kan samköras med uppgifterna i följande register: cancerregistret, medicinska födelseregistret, dödsorsaksregistret, vaccinkontrollregistret, tuberkulosregistret, registret över smittsamma sjukdomar, det centraliserade nationella hälsoregistret, statistikmyndighetens socioekonomiska register och receptregistret. Samkörningen måste då vara noggrant avgränsad, av betydelse och nödvändig, och syftet och målet med samkörningen noggrant definierade. 
Patientuppgifter som yrkespersonal och verksamhetsenheter inom hälso- och sjukvården producerar samlas in av folkhälsoinstitutet (Folkhelseinstituttet, FHI), sydöstra Norges regionala hälsomyndighet (Helse Sør-Øst), hälsostyrelsen (Helsedirektoratet), försvarsministeriet, Oslo universitetssjukhus och kulturarvsstyrelsen (Riksantikvaren). Arbets- och välfärdsförvaltningen (Arbeids- og velferdsetaten) samlar in uppgifter från socialvården. 
I Norge samlas det också in uppgifter för vårdsektorns datasystem. Detta system innehåller patientuppgifter samt andra hälso- och sjukvårdsuppgifter. Alla lagrade uppgifter är i pseudonymiserad form, och individen har inte rätt att förbjuda lagringen av sina uppgifter. Registeransvarig är Helsedirektoratet. Uppgifterna får användas för statistik- och forskningsändamål. Användningen av uppgifterna för sekundära syften kräver den registrerades samtycke. 
Hälso- och sjukvårdsregistren regleras i huvudsak av fyra lagar. Personuppgiftslagen (Lov om behandling av personopplysninger LOV-2000-04-14-31) är en allmän lag som gäller all behandling av personuppgifter samt åtkomsträtten till personuppgifter. Alla har rätt att på begäran få information av den registeransvarige om i vilket syfte och hur deras personuppgifter behandlas. Denna rätt att få information gäller inte behandlingen av personuppgifter för historiska, statistiska eller vetenskapliga ändamål, om det inte har direkta följder för den registrerade. 
Personuppgiftslagen innehåller rättsnormer som gäller grunderna för hur känsliga personuppgifter ska behandlas. Normerna överensstämmer i stor utsträckning med EU:s personuppgiftsdirektiv. Känsliga hälsouppgifter får behandlas om  
den registrerade har gett sitt samtycke, 
en myndighet ska behandla dem för berättigade syften, 
behandling är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade, 
uppgifterna har offentliggjorts frivilligt och uttryckligt, 
behandling är nödvändig för att försvara ett rättsligt anspråk, 
arbetsrätten kräver behandling och behandlingen uppfyller de krav som ställs på den registeransvarige, 
behandling är nödvändig med tanke på tillhandahållandet av förebyggande hälso- och sjukvård eller hälsovårdstjänster eller i hälso- och sjukvårdsarbetet och inom förvaltningen av hälso- och sjukvården, eller 
behandling är nödvändig för historiska, statistiska eller vetenskapliga ändamål. 
Icke vinstdrivande organisationer kan med samtycke av den registrerade få tillstånd att behandla känsliga personuppgifter, även om de inte uppfyller kraven i lagen. 
Klientuppgifter inom social- och hälsovården får användas i myndigheternas lagstadgade uppgifter (till exempel Helsetilsynet och Datatilsynet). Generellt kräver utlämningen av uppgifter ur klientregister tillstånd av Datatilsynet.  
Lagen om hälsoregister (Lov om helseregistre og behandling av helseopplysninger LOV-2014-06-20-43) reglerar insamling och behandling av personuppgifter och innehåller bestämmelser om sekundär användning av personuppgifter. I lagen om patientuppgifter (Lov om behandling av helseopplysninger ved ytelse av helsehjälp LOV-2014-06-20-42) regleras användningen av hälsouppgifter inom vård, förvaltning och övervakning av vårdkvaliteten. Dessutom handlar lagen om medicinsk och hälsovetenskaplig forskning (Lov om medisinsk och helsefaglig forskning LOV-2008-06-20-44) om sekundär användning av hälsouppgifter. Prövningen av forskningsetiken regleras också separat (Lov om organisering av forskningsetisk arbeid LOV-2017-04-28-23). Utöver de lagar som nämns ovan har Norge många registerspecifika författningar. 
Alla nationella register i Norge regleras genom lagen om hälsoregister (Lov om helseregistre og behandling av helseopplysninger § 11). I de nationella registren samlar man in uppgifter med hjälp av enhetliga identifikatorer, vilket gör att de också kan samköras. 
Sverige 
De register som innehåller uppgifter som samlats in från social- och hälsovården är i Sverige indelade i tre olika huvudgrupper. Den första består av nationella register för vilka Socialstyrelsen är registeransvarig. Den andra gruppen av nationella register regleras genom Patientdatalagen (2008:255). Den tredje gruppen utgörs av kvalitetsregister i vilka uppgifter om primärvårdspatienter samlats in, om inte patienten uttryckligen förbjudit det. 
De instanser som svarar för hälsovårdstjänsterna är registeransvariga för de patientuppgifter som registrerats i samband med tjänsterna och är således ansvariga för behandlingen av hälsouppgifterna i registren. Alla registeruppgifter omfattas av sekretessplikt. Enligt offentlighets- och sekretesslagen (2009:400) får den registeransvarige dock vid behov lämna ut registeruppgifter för forskningsändamål. Lagen i fråga gäller begäranden om uppgifter från Statistiska centralbyrån, Socialstyrelsen och Inspektionen för socialförsäkringen (ISF). Alternativt kan uppgifter lämnas ut efter att de avidentifierats och aggregerats. 
I Sverige regleras integritetsskyddet av i huvudsak två lagar: offentlighets- och sekretesslagen och personuppgiftslagen (1998:204). Personuppgiftslagen tillämpas på alla som behandlar personuppgifter. Den skyddar enskilda mot kränkning av deras personliga integritet och tryggar rätten till skydd för privatlivet. När myndigheterna, till exempel Socialstyrelsen, fattar beslut om forskningstillstånd som innebär behandling av personuppgifter, är det viktigt att de beaktar villkoren i lagarna i fråga. 
Andra viktiga lagar som gäller behandlingen av personuppgifter är: lagen om stöd och service till vissa funktionshindrade (1993:387), patientdatalagen, lagen om receptregister (1996:1156), lagen om behandling av personuppgifter inom socialtjänsten (2001:454), socialförsäkringsbalken (2010:110), lagen om etikprövning av forskning som avser människor (2003:460) och lagen om biobanker i hälso- och sjukvården m.m. (2002:297). 
Pseudonymiserade uppgifter får lämnas ut för sekundära syften som anges i lagen. Innan åtkomst till datalager beviljas ska riskfaktorerna bedömas och eventuella risker som användningen av enskildas hälsouppgifter kan medföra minimeras. Detta föregripande sätt förutsätter till exempel en utredning som klarlägger att mottagaren av uppgifterna omfattas av samma bestämmelser om skyddet för privatlivet som den registeransvarige. 
I Sverige kan forskningstillstånd och åtkomsträtt till uppgifter beviljas kommersiella aktörer som samarbetar med en forskare vid ett universitet. I sådana fall kan forskaren vid universitetet beviljas åtkomst till identifierbara uppgifter, och forskaren lämnar ut forskningsresultaten till den kommersiella aktören enligt avtal, men alltid i pseudonymiserad form. 
Hälsouppgifter i kvalitetsregistren får behandlas bara för på förhand fastställda ändamål, såsom tillsyns- och utvecklingsåtgärder inom hälso- och sjukvården, statistikföring, undersökningar inom hälsovårdssektorn och andra uppdrag som kompletterar den statistiska verksamheten. Behandling är tillåten bara om uppgiften är pseudonymiserad eller avidentifierad eller om de direkta identifikatorerna har avlägsnats. 
Enligt personuppgiftlagen är behandlingen av känsliga hälsouppgifter tillåten bara för följande ändamål: förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling och administration av hälso- och sjukvård. Inom hälsosektorn får personuppgifter i enlighet med personuppgiftslagen behandlas i förvaltningsuppdrag, vid skapandet av lagstadgade dokument, vid statistikföring och i innovationsverksamhet. Det är dock inte tillåtet att ur offentliga register lämna ut känsliga personuppgifter för innovationsverksamhet som inte uppfyller kraven på vetenskaplig forskning. 
Bestämmelser om yttrandefrihet finns i tryckfrihetsförordningen (1949:105) och i offentlighets- och sekretesslagen (2009:400). I dessa anges de villkor enligt vilka känsliga personuppgifter får lämnas ut ur myndigheternas register. Uppgifterna ska avidentifieras så att individen inte kan identifieras utifrån dem. Också en forskningsetisk kommitté ska bedöma och godkänna användningen av känsliga uppgifter för forskningsprojekt. 
För den sekundära användningen av hälsouppgifter gäller principen om ändamålsbegränsning, av vilket följer att syftet med den ursprungliga insamlingen av uppgifter i stor utsträckning avgör om uppgifter senare får användas för andra ändamål. Sekundär användning av uppgifter är möjlig om den är förenlig med de ursprungliga ändamålen. I fråga om exempelvis datalagret för e-hälsa får individen inte förbjuda användningen av sina uppgifter för sekundära syften, om dessa syften är en del av individens hälso- och sjukvård. Däremot ska enskilda erbjudas möjlighet att förbjuda användningen av sina uppgifter för forskningsändamål. 
I Sverige finns flera datalager som gäller klienter inom social- och hälsovården. För dessa används enhetliga identifikatorer för varje enskilt datalager. Uppgifter på befolkningsnivå finns förutom vid den svenska statistikmyndigheten centraliserat vid Socialstyrelsen, som upprätthåller bland annat följande nationella hälso- och sjukvårdsregister: dödsorsaksregistret, cancerregistret, läkemedelsregistret, det medicinska födelseregistret, patientregistret, tandhälsoregistret, insatser i kommunal hälso- och sjukvård och kvalitetsregister för hälso- och sjukvård. Socialtjänstregistren byggs upp av ekonomiskt bistånd, tvångsvård av vuxna missbrukare, socialtjänstinsatser till äldre och personer med funktionsnedsättning samt insatser för barn och unga. 
I Sverige finns inget centraliserat elektroniskt register för patientuppgifter inom social- och hälsovården, utan varje tillhandahållare av social- och hälsovårdstjänster upprätthåller olika datalager. Ambitionen är att utveckla ett centraliserat elektroniskt register i vilket patientuppgifter samt uppgifter om socialvårdens klienter kan registreras och då använda rikstäckande termer, klassificering och andra enhetliga koder (SOSFS 2008:14, kap. 3, del 2). 
Danmark 
De register som innehåller hälsouppgifter indelas i medicinska register, kliniska register, regionala och nationella register samt kvalitetsregister, forskningsregister och register som innehåller uppgifter om tidigare och pågående undersökningar. Utöver dessa register finns det i Danmark ett flertal biobanker, såsom nationella biobanken och Danmarks regionala bio- och genombanker. 
Merparten av de nationella registren och de elektroniska datasystemlösningarna administreras av den danska hälsodatastyrelsen (Sundhedsdatastyrelsen). Andra viktiga myndigheter som samlar in hälsouppgifter är den nationella biobanken, Statens Serum Institut, som är ett av Danmarks största forskningsinstitut inom hälsosektorn, samt regionala infrastrukturer som upprätthåller kvalitetsregister och biobanker. Uppgifter samlas in för administrativa och statistiska ändamål och för att stödja tillhandahållare av hälsovårdstjänster. Största delen av uppgifterna i systemen får användas också för forskningsändamål. 
På register och databaser tillämpas i första hand lagen om behandling av personuppgifter (429:2000). Till följd av EU:s dataskyddsförordning kan man förvänta ändringar också i Danmarks personuppgiftslag. Hälsovårdslagen och lagen om etisk bedömning av hälsovetenskapliga forskningsprojekt (lov om videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter nr. 593) tillämpas också på behandlingen av personuppgifter. På register som innehåller socialvårdsuppgifter tillämpas lagen om centrala personregister (lov om de centrale personregister nr. 1134) och lagen om social tillsyn (socialtillsynsloven nr. 608). 
I Danmark sker en kontinuerlig utveckling av användningen av de nationella registren och deras täckning. Tack vare att datasystem är integrerade i hälso- och sjukvårdsverksamheten kan en stor del av patientuppgifterna användas sekundärt. De allmänna sjukhusen och allmänläkarna samlar systematiskt in uppgifter för datasystemen, vilket möjliggör en omfattande uppföljning och analys. Gemensamma it-standarder underlättar den elektroniska kommunikationen mellan hälso- och sjukvårdsleverantörer. Alla allmänläkare har ett elektroniskt hälsodataregister samt tar på elektronisk väg emot resultaten av laboratorieprover. I det närmaste alla läkemedelsordinationer och remisser till sjukhusvård är elektroniska. Alla remisser till medicinska experter och psykologer är elektroniska. Infrastrukturen gör det möjligt att samköra uppgifterna i dessa register med uppgifter i andra databaser. 
Uppgifterna om tidigare och pågående undersökningar inom hälsosektorn betraktas i Danmark som sekundära hälsouppgifter. Det kan vara fråga om exempelvis uppgifter om människor och enkätsvar. Myndigheterna kan bevilja tillstånd att använda sekundära hälsouppgifter, om forskningsprojektet i sig kan godkännas och forskaren har tillstånd att behandla uppgifter som innehåller identifikatorer. Andra omständigheter som ska beaktas när användningstillstånd övervägs är huruvida forskningsprojektets mål och syfte är förenligt med det ursprungliga projektet samt om det är möjligt att göra nya hälsovetenskapliga fynd.Huvudregeln för utlämning av sekundära hälsouppgifter är att uppgifterna kan användas bara för forsknings- och statistikändamål. Det ska inte vara möjligt att identifiera individen utifrån forskningsresultaten. 
Vissa andra stater 
Nederländerna 
Nederländerna har många register som innehåller hälsouppgifter. De viktigaste bestämmelserna om behandlingen av dessa är sjukförsäkringslagen (Wet op de Zorgtoeslag), hälsoförsäkringslagen (Zorgverzekeringswet), lagstiftningen om marknadsföringen av hälso- och sjukvård (et marktordening gezondheidszorg), socialskyddslagen (Wet maatschapelijke ondersteuning, 2015), ungdomslagen (Jeugdwet), personuppgiftslagen (Wet Bescherming Persoonsgegevens), polislagen (Wet politiegegevens), registerlagen (Wet basisregistratie personen), lagen om allmän förvaltning (Algemene wet bestuursrech) och lagen om avtal om medicinsk vård och behandling (Wet op de geneeskundige behandelingsovereenkomst). 
Social- och hälsovårdsinstitutioner är hälso-, välfärds- och idrottsministeriet (Ministerie van Volksgezondheid, Welzijn en Sport), social- och arbetsministeriet (Ministerie van Sociale Zaken en Werkgelegenheid), hälsorådet (De Gezondheidsraad), Folkhälsoinstitutet (Zorginstituut Nederland), nämnden för utvärdering av läkemedel (College ter Beoordeling van Geneesmiddelen), hälso- och sjukvårdens inspektionsverk (Inspectie voor de Gezondheidszorg) samt konsumentskyddsverket (Autoriteit Consument & Markt). Till övriga aktörer hör nationella hälso- och sjukvårdsmyndigheter och dataskyddsmyndigheten. 
Enligt den nederländska lagstiftningen är det förbjudet att lämna ut personuppgifter som innehåller identifikatorer för forsknings- och statistikändamål, vilket ändå inte förhindrar samkörning av uppgifter i samband med godkända forskningsprojekt (Wet op de geneeskundige behandelingsovereenskomst). Enligt statistiklagen får statistikmyndigheten i Nederländerna inte till tredje part lämna ut uppgifter på enhetsnivå som innehåller identifikatorer. Inte heller leverantörer av hälsovårdstjänster får lämna ut identifierbara hälsouppgifter som de har tillgång till för forskningsprojekt. Däremot får en tillförlitlig tredje part (ZorgTTP) göra samkörningar. Om det till exempel i ett projekt som genomförs av statistikmyndigheten är nödvändigt att samköra statistikuppgifter med hälso- och sjukvårdsleverantörers patientuppgifter, ska ZorgTTP samköra uppgifterna och sedan överlåta åtkomsträtten till de samkörda uppgifterna till statistikmyndigheten i pseudonymiserad form. 
Pseudonymiserade uppgifter på enhetsnivå får inte vidareöverlåtas, men nya tillståndshavare som behöver uppgifterna kan beviljas en särskild åtkomsträtt via ett säkert elektroniskt fjärråtkomstsystem. Myndigheter kan beviljas fortlöpande åtkomsträtt, och behöver således inte begära rätten specifikt för varje projekt – i motsats till akademiska forskare och icke vinstdrivande och kommersiella användare av uppgifterna. 
I princip kan var och en som är registeransvarig för hälsouppgifter ge åtkomsträtt bara till de patientuppgifter på personnivå som de har tillgång till. I Nederländerna finns en webbplats som erbjuder metadata för allt datamaterial som innehåller hälsouppgifter som handhas av olika registeransvariga. Webbplatsen administreras av ett nationellt institut för folkhälsa och miljö (Rijksinstituut voor Volksgezondheid en Milieu). 
I Nederländerna hade man för avsikt att skapa ett centraliserat datasystem för patientuppgifter för att kunna dela uppgifterna med tillhandahållare av hälsotjänster. Målet var att bygga upp ett fungerande elektroniskt patientregister i Nederländerna, en nationell elektronisk patientdatabas, EDP, som skulle ge varje medborgare ett eget, unikt identifikationsnummer (Burger service nummer). Detta hade gett allmänläkarna möjlighet att använda sjukhusens elektroniska patientregister. Men nu är de elektroniska patientregistren inte nationellt standardiserade och därför inte kompatibla med registren i olika sjukvårdsområden. 
År 2001 grundande organisationer som var företrädare för allmänläkare ett förbund för tillhandahållare av kommunikationstjänster inom hälso- och sjukvården, vars uppgift var att svara för samanvändning av patientuppgifter via en elektronisk server (AORTA). För samanvändningen krävdes det patienternas samtycke, som senare kunde återtas. Syftet med servern var att lagra allmänna uppgifter om patientens vårdbesök och läkemedelsbehandling. Parlamentet förkastade dock förslaget om en nationell elektronisk patientdatabas med åberopande av integritetsskyddet. Problemet var risken för att de individuella patientuppgifterna kunde hamna hos aktörer till vilka det inte var tillåtet att överlåta dem, och därför avslogs förslaget att inrätta databasen. 
Några nya planer på ett nationellt elektroniskt patientregister finns inte, eftersom Nederländerna inte har vare sig någon centraliserad databas för patientuppgifter eller lagstiftning om hur datainnehåll ska lagras på ett enhetligt sätt. Däremot regleras elektronisk behandling av uppgifter av lagen om avtal om medicinsk vård och behandling (Wet op de geneeskundige behandelingsovereenkomst), personuppgiftslagen och lagen om patientens rättigheter vid elektronisk behandling av uppgifter (Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg). Den sistnämnda trädde i kraft den 1 juli 2017. Lagarna anger de villkor som gäller när olika organisationer inom hälso- och sjukvården utvecklar system som tillåter tjänsteproducenterna att byta patientuppgifter med varandra utan att registrera uppgifterna i en rikstäckande centraliserad databas. 
För allmänläkarna i Nederländerna har ett informationsnätverk (LINH) inrättats i syfte att producera högklassiga datalager med uppgifter om sjukfrekvens och den vård och behandling som allmänläkarna erbjuder. I LINH ingår långtidsuppgifter om incidens och remisser för upp till 350 000 individer. Uppgifterna har samlats in från 150 allmänläkare som registrerar alla uppgifter om vårdavtal, åtgärder och diagnoser för alla sina patienter. LINH får användas för forskningsändamål. 
Nederländerna deltar också i ett europeiskt forskningsinfrastrukturprojekt för biobanker vars syfte är att effektivisera tillgången till och samanvändningen av biologiska prover och tillhörande uppgifter. Nederländernas BBMRI-NL har aktivt främjat samarbetet och standardiseringen mellan landets biobanker. Det företräder landets biobanker och till det hör patologisamlingarna PALGA samt samlingar av stora befolkningskohorter och kliniska prover. Det primära målet är att samordna alla viktiga biomedicinska forskningsinfrastrukturer till en enhetlig forskningsinfrastruktur. Också de akademiska medicinska centrumen har samma mål. De eftersträvar en centraliserad åtkomsträtt till de lokala biobankerna via den så kallade Parelsnoer- databasen. Ett laginitiativ har väckts med förslag till bestämmelser om åtkomsträtten. 
Forskningsinstitutet för hälso- och sjukvård (NIVEL) är det främsta nederländska forsknings- och datainstitutet som bedriver forskning kring nationell och internationell hälso- och sjukvård. I NIVEL:s verksamhet framhålls vikten av bestämmelserna i personuppgiftslagen vid behandlingen av uppgifter. Forskningsinstitutet har en egen databas med uppgifter om primärvårdens patienter. Till databasen samlar man regelbundet in uppgifter från de elektroniska databaser som upprätthålls av producenter av hälso- och sjukvårdstjänster. Målet är att följa upp hälsovårdstjänsterna och bedöma hur befolkningen använder dem. Bara yrkesutbildade inom hälso- och sjukvården, såsom allmänläkare, har åtkomsträtt till forskningsinstitutets patientdatabaser med identifierbara patientuppgifter. Forskningsinstitutet kompletterar patientuppgifterna genom att samköra dem med uppgifter om läkemedelsbehandling och uppgifter om specialiserad sjukvård som samlats in av andra organisationer. En patient kan inte identifieras utifrån de samkörda uppgifterna. 
Statistikmyndigheten svarar för insamling och behandling av uppgifter på riksnivå. Den har som mål att publicera statistik som kan användas av politiska beslutsfattare och inom vetenskaplig forskning. En central uppgift är också att ta fram statistik som omfattar hela Europa. Statistiklagen från 2003 (Wet op het Centraal bureau voor de statistiek) bildar den rättsliga grunden för statistikmyndighetens verksamhet. Under statistikmyndigheten lyder centret för politisk statistik, som möjliggör användning av statistikmyndighetens uppgifter inom forskningen. För användningen av de uppgifter på enhetsnivå som samlats in av statistikmyndigheten krävs det tillstånd av generaldirektören för myndigheten. Med stöd av tillståndet får centret för politisk statistik lämna ut uppgifter också till aktörer utanför statistikmyndigheten via ett informationssäkert användargränssnitt för behandling i statistikmyndighetens informationssäkra driftmiljö. Behandlingen utanför statistikmyndigheten förutsätter dessutom godtagbara och säkra förhållanden som erbjuds av bland annat de nationella forskningsinstituten och vissa universitet samt statistikmyndighetens egna säkra lokaler. Nivån på statistikmyndighetens datasäkerhet är mycket hög – myndigheten kan bevilja åtkomsträtt också till känsliga uppgifter (bland annat skatte-, socialskydds- och hälsouppgifter). 
Forskningsinfrastrukturen inom hälsosektorn (Health-RI) är ett projekt under utveckling och oberoende av regeringen. Projektet möjliggör samkörning av olika datalager. I projektet deltar biobanker, aktörer inom informationsteknik och ett stort antal registeransvariga för olika datalager. Eftersom saken inte går framåt på nationell nivå, har aktörerna inom hälsobranschen aktiverat sig och sinsemellan utvecklat en ny infrastruktur för att hälsouppgifter ska kunna användas på ett säkert sätt vid främjande av hälsa. Syftet med infrastrukturen är att man i hela landet ska kunna överföra uppgifter och biomaterial mellan befolkning, forskare och yrkesutbildade inom hälso- och sjukvård på alla nivåer. Infrastrukturen ska bilda ett kunskapsunderlag för forskning och utvinning av data. Projektet har som mål att förbättra hälso- och sjukvården och utveckla innovationer som anknyter till vården av patienter. Avsaknaden av en rikstäckande elektroniska patientdatabas gör det dock svårare att bygga upp en forskningsinfrastruktur enligt personuppgiftslagen. 
Australien 
Australien har ett stort antal register som innehåller hälsouppgifter. Australiens nationella statistiksystem erbjuder allmän information om invånarnas hälsa och hälsovårdstjänster samt om de institutioner som producerar tjänsterna. Det australiensiska institutet för hälsa och välfärd (AIHW) administrerar ett statistiksystem. Det bygger på samordning enligt ett nationellt avtal om hälsodata. Avsikten med avtalet är att samla och registrera hälsouppgifter på ett enhetligt och högklassigt sätt med iakttagande av gemensamt överenskomna standarder. 
Australiens nationella metadataregister för hälso- och sjukvård och välfärd (METeOR) är ett datalager som följer de standarder som anges i avtalet om hälsodata. Statistik som följer standarderna förs av Australiens statistikmyndighet (ABS). Statistikmyndigheten är den största instansen som erbjuder hälsouppgifter och som för officiell statistik över ekonomiska, sociala och befolknings- och miljörelaterade frågor. Statistikmyndighetens uppgifter och ansvar regleras i lagen om statistikmyndigheten (Australian Bureau of Statistics Act 1975 No. 60, 1975) och i lagen om folkräkning och statistikföring (Census and Statistics Act 1905 No. 15, 1905). 
Förutom ett metadataregister och statistikmyndighetens register har Australien också ett särskilt system med kliniska register. I de kliniska registren ingår patientuppgifter registrerade enligt nationell standard. Registren används för modellering av information, METeOR:s metadatabeskrivningar, analys av biostatistik och uppgifter, hantering av och information om kliniska kvalitetsregister, övervakning av kapaciteten inom hälso- och sjukvården, uppföljning av resultaten på patient- och befolkningsnivå, planering av lokala hälsovårdstjänster samt produktion av medicinsk statistik. 
De kliniska registren är indelade i tre grupper enligt vilken typ av uppgifter de innehåller. Med hjälp av kvalitetsregistren övervakas resultaten av hälso- och sjukvården och redogörs för kvaliteten på vården. Registren över sjukdomar betecknas som kliniska register när man i dem samlar in information om vårdresultat och ger leverantörerna av hälsovårdstjänster feedback om kvaliteten på vården. I registren samlar man också in uppgifter om patienternas diagnoser, och med hjälp av uppgifterna kan man följa upp bland annat prevalensen av cancer. Läkemedels-, instrument- och produktregistren bildar en tredje grupp av kliniska register. Syftet med dessa register är att övervaka produktsäkerheten på lång sikt för instrument, läkemedel och andra produkter inom hälso- och sjukvården. I registren samlar man in uppgifter av producenterna av hälso- och sjukvårdstjänster och ger dem feedback när det gäller kvaliteten. 
I Australien tillämpas ett My Health Record System, som upprätthålls av den australiensiska dataombudsmannens byrå (the Office of the Australian Information Commissioner). I systemet ingår ett elektroniskt sammandrag av patienternas hälsouppgifter. I systemet kan förutom hälsouppgifter också registreras uppgifter från individens patientjournal samt uppgifter om vård och behandlingar, diagnoser, läkemedelsbehandling och allergier. Var och en har möjlighet att kontrollera sina uppgifter i systemet. Lagen (My Health Record Act 2012) bildar den rättsliga grunden för systemet och innehåller bestämmelser om hur och när uppgifterna i systemet får samlas in, användas och lämnas ut. 
I Australien finns inte tillgång till identifikatorer som är gemensamma för hela samväldet och enligt vilka uppgifter kan samköras. Däremot regleras identifikatorerna enligt ämbetsverk genom lag, och de ämbetsverk som samlar in hälsouppgifter använder inte enhetliga identifikatorer. De statistiska sambanden mellan olika slag av datamängder på samväldsnivå regleras med hjälp av det förfarande för sammanföring av uppgifter som tillämpas i samväldet (The Commonwealth Arrangement for Data Integration). 
I Australien klassificeras hälsouppgifter som känsliga personuppgifter. Behandlingen av personuppgifter regleras i huvudsak genom lagen om integritetsskydd (Privacy Act 1988 No. 119,1988) som innehåller 13 olika principer för integritetsskydd. I lagen ingår också närmare bestämmelser om integritetsskydd inom systemet för konsumentkreditinformation, om skatteuppgifter samt om hälsovetenskaplig och medicinsk forskning. Lagen gäller även alla hälsovårdsproducenter som har hand om patientuppgifter. Integriteten skyddas också av en del andra bestämmelser. 
Samväldets lag om integritetsskydd och delstaternas lagstiftning bildar den rättsliga grunden för sekundär användning av hälsouppgifter. Den sekundära användningen, såsom för forskningsändamål, måste också ligga i linje med lagen om elektroniska patientjournaler med individuell övervakning (Personally Controlled Electronic Health Records Act 2012, PCEHR). Det finns inte någon särskild lagstiftning om sekundär användning av de patientuppgifter som registrerats i dem, exempelvis för forskningsändamål. Däremot gäller ett nationellt uttalande om det etiska förfarandet vid människoforskning även dessa. Också lagen om mänskliga rättigheter och lagen om informationsfrihet (Freedom of Information Act 1982 No. 3 of 1982) kan i vissa fall påverka den sekundära användningen av känsliga uppgifter. 
Inom den australiensiska hälso- och sjukvården övervägas den inbördes balansen mellan å ena sidan skyddet av sekretessbelagda och känsliga uppgifter, å andra sidan forskningsbehoven. Bestämmelserna om uppgiftsskydd kan begränsa åtkomsträtten till patientuppgifter. Beträffande uppgifterna är skyddet för berättigade förväntningar och hanteringen av åtkomst viktiga faktorer. De personuppgifter som lagras i datacentralerna och arkiven i Australien är därför vanligen inte avsedda att användas offentligt, utan det ursprungliga syftet med användningen begränsar senare behandling. Datacentralerna kan också ställa ytterligare villkor när det gäller tillstånden att använda känsliga uppgifter. Till villkoren hör bland annat individens samtycke, förbud mot vidareutlämning av sekretessbelagda uppgifter, beviljande av användningstillstånd bara för dem som deltar i godkända forskningsprojekt samt användningstillstånd via ett informationssäkert fjärråtkomstsystem. Villkoren för tillstånd ska dock stå i rätt proportion till arten av uppgifter och deras känslighet, eftersom stränga tillståndsvillkor kan fördröja beviljandet av tillstånden. 
Israel 
I Israel finns många hälso- och sjukvårdsregister med uppgifter om hälsa, sjukdomar och socialtjänster. Vissa registeruppgifter innehåller identifikatorer, en del är pseudonymiserade medan andra är i aggregerad form. De viktigaste hälso- och sjukvårdsregistren gäller cancersjukdomar, smittsamma sjukdomar, olycksfall, kroniska sjukdomar, behandlingsmetoder, sjukhusvård, genscreening av nyfödda och medfödda utvecklingsstörningar. 
I huvudsak två lagar reglerar de israeliska hälso- och sjukvårdsregistren, dvs. lagen om integritetsskydd (1981) och lagen om patientens rättigheter (1996). Israel har också lagar enligt vilka vissa hälso- och patientuppgifter ses som mera känsliga än andra patientuppgifter. Sådana lagar är till exempel lagen om genetiska uppgifter samt speciallagar och förordningar som gäller cancerdiagnoser, allmänna och psykiatriska sjukhusbehandlingar, fertilitetsbehandlingar och medfödda utvecklingsstörningar. Lagen om integritetsskydd är Israels viktigaste lag om insamling och användning av personuppgifter. 
I samband med kvalitetsuppföljningen av hälso- och sjukvården i Israel är analysen av patientuppgifter på individnivå begränsad. Trots att Israel har ett personnummersystem som används inom hela hälso- och sjukvårdssystemet i, tillämpar olika registeransvariga inte alltid gemensamma krypteringsmetoder. Därför är det inte möjligt att samköra databaser för statistik- eller forskningsändamål. Forskare utanför statsförvaltningen har också problem med att få uppgifter som innehåller identifikatorer, eftersom sådana inte utan rättslig grund lämnas ut till aktörer utanför statens organisationer. De statliga organisationernas dataanalytiker kan efter ansökan få åtkomsträtt till flera av de viktigaste nationella datalagren, som innehåller identifierbara uppgifter om individer och patienter. Nationella registeransvariga ser dock till att hälsouppgifter som innehåller identifikatorer lämnas ut bara med samtycke av patienten eller med stöd av någon annan rättslig grund. 
Om lagen tillåter det kan myndigheterna lämna ut uppgifter till varandra för samkörning. I Israel får bara ministeret samköra uppgifter. De uppgifter som ministeriet har samkört kan lämnas ut till myndigheterna i pseudonymiserad form för analys. I undantagsfall får uppgifter som innehåller identifikatorer överföras mellan olika ministerier och till forskare vid universitetssjukhus. Övriga forskare kan inte beviljas tillstånd att använda uppgifter med identifikatorer för annat än för uppgifter som gäller födslar eller dödsfall. Ett ytterligare villkor för samkörning är att ligger i ministeriets intresse, eftersom åtgärden belastar statens resurser. 
Israel har ett gemensamt system för utbyte av hälso- och sjukvårdsinformation. Systemet är en patientdatabas som innehåller patientuppgifter från olika leverantörer av hälsovårdstjänster, såsom kliniker och sjukhus. Uppgifterna lagras inte centralt, utan alla uppgifter kvarstår i sin ursprungliga form hos de registeransvariga. Alla dokument i systemet utgörs bara av filer som kan läsas. Systemet utvecklades 2014 då hälsoministeriet inledde ett projekt för utbyte av nationella hälso- och sjukvårdsuppgifter och kliniska patientuppgifter mellan alla Israels allmänna sjukhus, Health Plan och övriga tjänsteproducenter. Patienterna har rätt att förbjuda att deras uppgifter registreras i systemet. 
Kanada 
Kanada har inte några enhetliga patientidentifikatorer på federationsnivå, utan identifikatorerna betraktas som regional behörighet. Således kan hälsouppgifter i olika register samköras bara regionalt. 
Som regel registreras social- och hälsovårdsuppgifter på regional nivå av hälsomyndigheter, sjukhus, andra organisationer som producerar hälso- och sjukvård samt yrkesläroanstalter, såsom universitet. I regionerna är hälsovårdsministeriet huvudsaklig registeransvarig för patientuppgifter samt läkarremisser och läkemedelsordinationer. Dessutom är statistikmyndigheten (StatCan) i federationen Kanada registeransvarig för arkiv som innehåller patientuppgifter som gäller social- och hälsovård. StatCan samlar in och lagrar uppgifter i enlighet med federationens statistiklag. 
Samkörningen av uppgifter regleras i såväl federationens som regionernas lagstiftning. Villkoren för samkörning av uppgifter ingår i lagen om integritetsskydd eller i de dataskyddsbestämmelser som specifikt gäller hälsouppgifter. Samkörning kan också grunda sig på förfarandereglerna i en viss organisation, såsom Canadian Institute of Health:s (CIHI) regler (Privat Policy 2010). Enligt dem är det tillåtet att samköra uppgifter från enskilda datalager för CIHI:s eget behov. Samkörning av uppgifter mellan olika datalager kräver godkännande av CIHI:s interna kommitté. Kommittén ska också godkänna begäranden om samkörning från tredje part. Som regel kräver samkörning av uppgifter individens samtycke. CIHI:s hälsouppgifter får lämnas ut utan samtycke av individen bara under förutsättning att CIHI ger sin fullmakt och: 
den allmänna nyttan av samkörningen avsevärt överstiger de risker som personernas integritet utsätts för, 
resultaten av samkörningen inte används för syften som kan skada den person som uppgifterna gäller, 
samkörningen begränsas tidsmässigt och av forskningsprojektet i fråga, och 
de samkörda uppgifterna förstörs efter användning. 
Vid samkörningen av uppgifter används enhetligt krypterade hälsovårdsbeteckningar (HCN). De samkörda uppgifterna får, om de innehåller identifikatorer, lämnas ut till tredje part bara om den som begär uppgiften har lagstadgad rätt till den. 
De regionala regeringarna har nyligen investerat i infrastrukturer för hälso- och sjukvården. Syftet är att skapa ett elektroniskt hälsoregister för dem som är bosatta i Kanada. Tanken är att de administrativa uppgifterna om tillämpningen av allmänna sjukhus- och sjukförsäkringsplaner som de regionala regeringarna samlat in samt de hälsouppgifter som samlats i av statistikmyndigheten ska kunna användas för att med hälsovårdsministeriets stöd utveckla regionvisa elektroniska informationssystem. År 2017 har federationen ingen strategi för att införa elektroniska informationssystem. 
Nya Zeeland 
Under hälsovårdsministeriet på Nya Zeeland finns 15 olika nationella datalager som innehåller hälsouppgifter och som står till forskarnas förfogande. Merparten av uppgifterna i dem har samlats in via etablerade administrativa system, såsom i samband med sjukhusbesök eller läkemedelsordinationer. Till de nationella datalagren samlar man in uppgifter från befolkningsbaserade sjukhusundersökningar och andra undersökningar av patienter inom hälso- och sjukvården. 
Med hjälp av nationella enhetliga indikatornummer (NHI) kan datalager som innehåller hälsouppgifter samköras. Alla som anlitar hälsovårdstjänster på Nya Zeeland får ett NHI-nummer. Då NHI-numren är avidentifierade kan dessa icke identifierbara uppgifter lämnas ut för forskningsändamål utan etiskt godkännande. Genom att göra uppgifterna tillgänglig försöker man stödja självstyrelsen, den kliniska verksamheten och förvaltningen samt förvaltningen på alla delområden inom hälsovården, främja strategin och den politiska utvecklingen samt gynna forskningen. De uppgifter som är tillgängliga i de nationella samlingarna är av typen administrativa, demografiska, geografiska, kliniska och ekonomiska. Hälsouppgifter produceras på tre olika nivåer: på lokal, regional och nationell nivå. Hälsoministeriet samlar in hälsouppgifterna i ett nationellt datalager för hälsouppgifter enligt ovan. 
Dataskyddslagen för hälsosektorn tillåter sekundär användning av uppgifter för statistik- eller forskningsändamål utan samtycke eller tillstånd från den registrerade eller dennes företrädare. Individens samtycke behövs inte heller om uppgifterna är avidentifierade och det inte rimligtvis kan antas att personen är möjlig att identifiera utifrån uppgifterna. Närmare bestämmelser om sekundär behandling av uppgifter utan samtycke av individen finns under punkt 10 (1) i dataskyddslagen för hälsosektorn. Som regel är användningen av hälsouppgifter för forskningsändamål utan individens samtycke beroende av två villkor: den etiska kommittén ska ha fått en motiverad förklaring till varför man inte har begärt samtycke av individen och de förväntade fördelarna av forskningen ska stå i rätt proportion till de nackdelar som förlusten av integritetsskyddet medför. 
2.2.5
2.2.5 Beviljande av åtkomsträttigheter samt etisk prövning
Norden 
Norge 
Dataombudsmannen (Datatilsynet) och de regionala medicinska och hälsovetenskapliga forskningsetiska kommittéerna spelar en viktig roll vid beviljandet av åtkomsträttigheter. Dataombudsmannen kan bevilja tillstånd för behandling av känsliga personuppgifter. Om individen frivilligt har samtyckt till behandlingen av sina uppgifter, behövs inte dataombudsmannens tillstånd. För behandlingen av andra personuppgifter än sådana som betraktas som känsliga behövs tillstånd av dataombudsmannen bara om behandlingen tydligt och klart strider mot integritetsskyddet. 
För forskningsprojekt som behandlar uppgifter på enhetsnivå krävs det alltid användningstillstånd. För undersökningar som behandlar hälsouppgifter beviljas tillstånd av regionala medicinska och hälsovetenskapliga forskningsetiska kommittéer. Alla andra undersökningar ska godkännas av dataombudsmannen. Övriga instanser som vanligen deltar i tillståndsprocessen är det norska centret för forskningsdata (Norsk senter for forskningsdata) och Norges statistikmyndighet (Statistisk Sentralbyrå) som båda också är registeransvariga. Statistikmyndigheten använder centret för forskningsdata som sin informationskanal. Centret samarbetar med dataombudsmannen så att integritetsskyddet kan tillgodoses enligt lag. 
Centret för forskningsdata erbjuder uppgifter men utan att försvaga integritetsskyddet. Centrets datalager kan användas, analyseras och visualiseras via centrets programsystem (Nesstar). Uppgifter kan också laddas ner från systemet. I sina datasystem skiljer centret avidentifierade uppgifter från dem som innehåller identifikatorer. Varje forskningsprojekt som använder centrets uppgifter ges ett fyrsiffrigt identifikatornummer som fungerar som identifikator i alla centrets system. De peudonymiserade uppgifterna, identifikatorerna och kodnyckeln förvaras skilt från varandra. 
Forskningsprojektets metadata dokumenteras för att underlätta återanvändningen av material. Centret har som mål att kunna erbjuda så mycket färdig forskningsinformation som möjligt också för framtida forskningsprojekt. Därför, även om forskaren själv beslutar hur resultaten eller uppgifterna kan återanvändas, är tillgången fri till resultaten av alla offentligt finansierade forskningsprojekt. Centret för forskningsdata är ett aktiebolag som ägs av det norska utbildnings- och forskningsministeriet. 
I lagen om forskningsetik och medicinsk forskning (Lov om medisinsk och helsefaglig forskning 44/2008) ingår bestämmelser om verksamheten vid sju hälsovetenskapliga och medicinska forskningsetiska kommittéer. Etisk prövning är nödvändig vid alla hälsovetenskapliga och medicinska undersökningar som handskas med hälsouppgifter på personnivå. Den viktigaste grunden för beviljande av forskningstillstånd är individens samtycke. Om grunden för behandling ändras och ändringen förefaller ha följder för individen själv eller för hans eller hennes samtycke, kan ett nytt samtycke krävas av individen. En forskningsetisk kommitté kan bevilja användningstillstånd för ett nytt eller ett ändrat forskningsprojekt utan individens samtycke, om projektet tillgodoser ett betydande samhällsintresse och individernas välmående och okränkbarhet har tryggats. Användningstillstånd som beviljats av en forskningsetisk kommitté krävs bara för medicinska och hälsovetenskapliga undersökningar. Vid andra typer av undersökningar beviljas tillstånd för användning av personuppgifter av dataombudsmannen, om den registrerade inte har gett sitt samtycke till att uppgifterna används. 
Sverige 
Sverige har ingen centraliserad tillståndsmyndighet som beviljar tillstånd för användning av känsliga uppgifter inom social- och hälsovården. För varje forskningsprojekt som inbegriper användning av personuppgifter som innehåller identifikatorer, såsom klientuppgifter inom social- och hälsovården, krävs det en etisk prövning av en forskningsetisk kommitté. Också dataskyddsmyndigheten ska informeras om projektet. Det slutliga beslutet om användningstillstånd fattas av den registeransvarige. 
I Sverige ordnas den etiska prövningen regionalt. Hälso- och sjukvården är geografiskt indelad i regioner, och i varje region finns en särskild forskningsetisk kommitté. Kommittéerna är inte nödvändigtvis knutna till sjukhuset i regionen. Forskningsprojekten etikprövas av kommittéerna. 
Sverige har förutom regionala kommittéer också en centraliserad etisk kommitté som som andra instans behandlar överklaganden av de regionala kommittéernas negativa bedömningar. Den centraliserade kommittén övervakar dessutom att viktiga lagar och bestämmelser iakttas. Om det framkommer att man i ett forskningsprojekt bryter mot dessa, är det den centraliserade kommittén som undersöker förseelsen. 
En etisk prövning är obligatorisk vid alla undersökningar som inbegriper användningen av känsliga hälsouppgifter och andra personuppgifter. En etisk prövning räcker inte i sig till för att garantera att forskningsprojektet genomförs. Dessutom krävs det ett särskilt tillstånd av den registeransvarige för användningen av alla uppgifter som behövs i projektet. Ibland skiljer sig dessa aktörers bedömningar och beslut om utlämningen av uppgifter för ett forskningsprojekt från varandra. 
Danmark 
Danmark har ingen centraliserad tillståndsmyndighet som behandlar ansökningar om tillstånd för forskningsprojekt eller beslutar om tillstånd att använda hälsouppgifter. Generellt krävs det ett godkännande av dataombudsmannen (Datatilsynet) för utlämningen av social- och hälsovårdsuppgifter för statistik- och forskningsändamål och för inrättande av nya personregister. Myndighetens beslut om tillstånd för användning av uppgifter är beroende av vilken typ av uppgifter som används inom forskningsprojektet och uppgiftskällan. För utlämning av uppgifter ur patientdatabaser för forskningsändamål krävs det godkännande av patientsäkerhetsstyrelsen (Patientsikkerhedsstyrelsen). 
Det forskningsetiska rådet i Danmark svarar för det forskningsetiska kommittésystemet. De fem kommittéer som ingår i systemet verkar regionalt, och deras uppdrag är att etikpröva forskningsprojekt. Rådet har befogenhet att besluta om enhetliga tillstånd för alla vetenskapliga och kommersiella registerundersökningar. Det godkänner också undersökningar som använder mänskliga prover eller biologiskt material. Rådet ska övervaka att forskningsprojekten genomförs ansvarsfullt och ur en forskningsetisk aspekt. 
Vissa andra stater 
Nederländerna 
Nederländerna har ingen centraliserad tillståndsmyndighet, utan utlämningen av uppgifter prövas av många olika myndigheter. Dataombudsmannen övervakar behandlingen av personuppgifter och kontrollerar att lagen om skydd av personuppgifter iakttas. Dataombudsmannen ger också anvisningar när nya bestämmelser utarbetas. Det nationella it-institutet för hälsouppgifter (NICTIZ) är sakkunnig vid standardisering och användningen av e-Health i Nederländerna. NICTIZ har dock en splittrad informationsarkitektur. 
Ett stort antal organisationer av olika slag deltar i den etiska prövningen – eller främjar åtminstone ett ansvarsfullt och etiskt forsknings- och innovationsarbete. Systemet med medicinska forskningsetiska kommittéer (METC) består av 23 kommittéer som prövar såväl medicinska som andra vetenskapliga forskningsprojekt. Största delen av dessa kommittéer finns vid något forskningsinstitut, såsom vid ett sjukhus eller ett medicinskt centrum vid ett universitet. I samband med vissa undersökningar som hänför sig till människor fungerar en gemensam kommitté (CCMO) som forskningsetisk kommitté och har då också juridisk behörighet att pröva och godkänna forskningsprojekt. 
METC och CCMO är oberoende regeringsorgan som kan meddela rättsligt bindande beslut. CCMO utser alla forskningsetiska kommittéer som bildar METH. Bara METH och CCMO har rätt att genomföra etiska prövningar som rör människoforskning. Även om forskningen gäller uppgifter vid mer än ett medicinskt centrum, behövs det bara ett beslut för varje forskningsprojekt. 
Australien 
Australien har nyligen gått in för att ta i användning en enhetlig tillståndsprocess för organisationer som vill behandla hälsouppgifter. Ambitionen har varit att bland annat utforma kriterier som kan tillämpas när organisationer beviljas åtkomsträttigheter. Det finns också planer på en kontinuerlig övervakning efter att rättigheterna har beviljats. En rikstäckande, godkänd samordnande myndighet säkerställer att god förvaltningssed iakttas när uppgifter samkörs och utlämnas. Den samordnande myndigheten svarar också för fortlöpande hantering av de samkörda uppgifterna, och den ska övervaka att utlämnade uppgifter behandlas säkert, konfidentiellt och bara för de syften som användningstillståndet beviljats för. 
År 2012 utsågs Australiens institut för hälsa och välfärd (AIHW) till en godkänd samordnande myndighet. Institutet har en nyckelställning i samkörningsprocessen, trots att det är en av flera godkända samordnande myndigheter i samväldet. AIHW är en av de största informationsförmedlarna i Australien. Bestämmelser om institutet finns i lagen om Australiens institut för hälsa och välfärd (Australian Institute of Health and Welfare Act 1987 No. 41, 1987). Dess primära uppdrag är att samla in, analysera och rapportera uppgifter om hälso- och sjukvård, sociala tjänster och bostadsbidragstjänster. En av institutets centrala uppdrag är också att utveckla och driva krav på metadata på riksnivå samt tillgång till hälso- och sjukvårdsuppgifter. Under institutet lyder en etisk kommitté som har behörighet att pröva den etiska godtagbarheten när det gäller intern forskningsverksamhet samt verksamheten vid AIHW:s samarbetsorgan. Tillsammans med Australiens statistikmyndighet (Australian Bureau of Statistics, ABS) är AIHW följaktligen är en viktig rikstäckande statistikmyndighet som ansvarar för insamling av uppgifter på nationell nivå. 
De etiska kommittéerna för människoforskning (Human Research Ethical Committee, HREC) kontrollerar att forskningsprojekten i Australien följer landets lagstiftning vid användningen av uppgifter. I Australien finns över 200 etiska kommittéer i anslutning till olika institut och organisationer som bedriver forskning. En etisk kommitté ska pröva och godkänna alla forskningsprojekt som hänför sig till människor innan projektet inleds. Prövningen regleras av ett nationellt uttalande om det etiska förfarandet vid människoforskning (The National Statement on Ethical Conduct in Human Research, 2007) som lagts fram av den australiensiska etiska kommittén för hälso- och sjukvård (Australian Health Ethics Committee, AHEC) med stöd av lagen om det hälsovetenskapliga och medicinska forskningsrådet (The National Health and Medical Research Council Act 1992). Uttalandet uppdateras regelbundet, senast 2015. 
Israel 
Uppgifter skyddas genom lagstiftningen om integritetsskydd som innehåller rättsnormer om bland annat tillstånd att använda personuppgifter och utlämning av uppgifter. Behandlingen av personuppgifter begränsas av patienternas rätt till en förtrolig patient-läkarrelation. I 8 kap. i patientlagen föreskrivs om användningstillstånd för särskilda patientuppgifter. Bestämmelserna om integritetsskydd gäller patientuppgifter används vid forskning utan patientens samtycke. I bestämmelserna ingår rättsnormer om utlämning av uppgifter mellan offentliga organisationer. Undersökningar som genomförs utan samtycke ska prövas också enligt föreskrift 15/06 utfärdats av generaldirektören vid hälsovårdsministeriet. Föreskriften handlar om de etiska kommittéernas verksamhetsprinciper. Undersökningarna ska också ligga i linje med de uppdaterade bestämmelserna om medicinska undersökningar. 
Allmänt taget är säkra forskningsdatacentraler och säkra fjärråtkomstsystem användbara alternativ när det gäller registeransvarigas utlämning av identifierbara och pseudonymiserade hälsouppgifter för sekundär användning. Åtkomsträttigheter begärs bland annat av ministerier, universitetsforskare och icke vinstdrivande forskare samt kommersiella och utländska forskare. Israel har ingen gemensam tillståndsmyndighet som beviljar användningstillstånd för att man ska kunna få hälsouppgifter från olika register. Tillståndsprocessen involverar däremot många aktörer beroende på varifrån och för vilka uppgifter användningstillståndet begärs. 
Israels nationella utvecklingsplaner inbegriper inte användningen av elektroniska patientuppgifter för sekundära syften. Sjukhus och andra organisationer som hanterar elektroniska patientuppgifter behandlar dock uppgifterna för sekundära syften när de analyserar dem. Hälsovårdsministeriet driver också projektet NAMER, som är ett datasystemprojekt för informationsutbytet mellan statsägda sjukhus. Projektet samlar in uppgifter om bland annat sjukhusbesök, patientförflyttningar, vård på avdelning, utskrivningar, fakturering och patientsamtycke. Med hjälp av detta integrerade system styrs vårdprocessen och informationsutbytet från början till slut. 
I Israel har den etiska prövningen ordnats så att varje sjukhus har en egen intern forskningsetisk kommitté. Israel har också en forskningsetisk kommitté på nationell nivå. Den behandlar alla ansökningar om användningstillstånd som gäller genetiska uppgifter, undersökningar som gäller assisterad fertilitetsteknik, alla undersökningar som utförs av hälsovårdsministeriet samt alla projekt som har vittgående konsekvenser och gäller nya forskningsområden. Innan en forskningsetisk kommitté behandlar en ansökan ska den interna etiska kommittén vid sjukhuset i fråga lämna en positiv förhandsbedömning av projektet. 
Kanada 
Generellt sett regleras utlämningen av hälsouppgifter för sekundär användning av lagstiftningen om myndigheter som samlar in uppgifter. I Kanada finns ingen centraliserad aktör som får bevilja användningstillstånd för sekundär användning av uppgifter. Förutom Canadian Institut of Health (CIHI) på federationsnivå finns det på regional nivå också många olika säkra forskningsdatacentraler (t.ex. Manitoba Centre for Health Policy, Population Data BC, Institute for Clinical Evaluative Services Data Repository). Datacentralerna är fungerande alternativ till utlämningen av identifierbara personuppgifter mellan registeransvariga och tredje parter, såsom ministerier, universitet och icke vinstdrivande forskare samt kommersiella eller utländska forskare. 
Kanadas forskningsetiska kommittéer avgör huruvida individen har lämnat sitt samtycke till forskningen i fråga på ett godtagbart sätt. De etiska kommittéernas behörigheter bestäms med stöd av såväl lagstiftningen om patientuppgifter som gällande forskningsetiska principer. Kommittéernas behörighet och ansvarsområden är dock inte alltid noggrant avgränsade. Om det är fråga om ett omfattande projekt med enheter på flera olika självstyrda områden kan prövningen involvera ett stort antal olika kommittéer. De regionala kommittéernas angreppssätt kan skilja sig från varandra, vilket då riskerar enhetligheten i kommittéernas beslut. 
Nya Zeeland 
Nya Zeeland saknar enskilda tillståndsmyndigheter som kan bevilja forskningsprojekt tillstånd att använda hälsouppgifter. Alla hälsovårdsmyndigheter ska följa lagen om dataskydd för hälsoinformation (1994). Om uppgifter lämnas ut utan individens samtycke, med identifikatorer eller i samkörningssyfte, med stöd av dataskyddslagen och anvisningarna om standardförfarande (The Standard Operating Procedures), ska forskningsprojektet ha godkänts av en etisk kommitté. Även om en etisk kommitté har godkänt forskningsprojektet så att uppgifter som innehåller identifikatorer får användas utan samtycke av individen, ansvarar den hälsovårdsmyndighet som har hand om hälsouppgifterna för utlämningen av uppgifterna och kan vägra lämna ut dem. 
Etisk förhandsprövning kan genomföras av godkända etiska kommittéer av två olika slag, kommittéerna för etik inom områdena hälsovård och funktionsnedsättning (HDEC) och institutionernas egna etiska kommittéer (IEC). Hälsorådet (Health Research Council, HRC) ska godkänna kommittéerna. HDEC utgörs av etiska kommittéer som granskar sekundär användning av hälsouppgifter utan individens samtycke. HDEC består i sin helhet av fyra regionala kommittéer. På Nya Zeeland omfattar lagstiftningen och den forskningsetiska prövningen av utlämningen av uppgifter med identifikatorer hela landet. HDEC:s prövning är rikstäckande och gäller på alla orter som deltar i forskning på Nya Zeeland. Därför behövs det bara en etisk prövning av respektive forskning. Det är nödvändigt att de etiska prövningarna är enhetliga för att myndigheterna ska kunna behandla hälsouppgifter på ett samstämmigt sätt. 
2.2.6
2.2.6 Europeiska unionen
Reglering av behandlingen av personuppgifter i Europeiska unionen 
Enligt artikel 16.1 i fördraget om Europeiska unionens funktionssätt (nedan EUF-fördraget) har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Enligt artikel 16.2 ska Europaparlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt bestämmelser om den fria rörligheten för sådana uppgifter. 
Europaparlamentet och rådet har med stöd av artikel 16 i EUF-fördraget utfärdat Europaparlamentets och rådet förordning om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (EU 2016/679, dataskyddsförordningen). Dataskyddsförordningen trädde i kraft den 24 maj 2016. Den börjar tillämpas nationellt den 25 maj 2018. Förordningen har allmän giltighet och är till alla delar bindande och direkt tillämplig i alla medlemsstater. Genom förordningen uppdateras och moderniseras principerna i Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (95/46/EG, personuppgiftsdirektivet). Förordningen ersätter direktivet. I Finland har personuppgiftsdirektivet satts i kraft genom personuppgiftslagen. 
Den allmänna dataskyddsförordningen har som mål att förenhetliga medlemsstaternas olika praxis för dataskydd och stärka de registrerades självbestämmanderätt. På samma sätt som direktivet lämnar förordningen dock handlingsutrymme för lagstiftaren. Medlemsstaterna kan utfärda lagstiftning som preciserar förordningen inom den offentliga sektorn, exempelvis enligt vilka kriterier behandlingen av personuppgifter ska vara laglig. En nationell allmän lag som kompletterar förordningen bereds för närvarande vid justitieministeriet. 
Den allmänna dataskyddsförordningen ska enligt artikel 2 tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Med personuppgifter avses enligt artikel 4 i förordningen varje upplysning som avser en identifierad eller identifierbar fysisk person, dvs. registrerad. Identifierare kan vara exempelvis namn, identifikationsnummer eller lokaliseringsuppgift. Enligt skäl 158 i ingressen tillämpas förordningen dock inte på avlidna personer. 
I artikel 4 i förordningen definieras också personuppgiftsansvarig och personuppgiftsbiträde. Med personuppgiftsansvarig avses en instans som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Ett personuppgiftsbiträde åter är en instans som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsansvariges och personuppgiftsbiträdens skyldigheter regleras bland annat i kapitel IV i dataskyddsförordningen. I kapitlet föreskrivs också bland annat om gemensamt personuppgiftsansvariga. Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska genom ett inbördes arrangemang fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning. 
I artikel 25 i förordningen behandlas inbyggt dataskydd och dataskydd som standard. Enligt artikeln ska dataskyddet beaktas redan på planeringsstadiet och de tekniska och organisatoriska åtgärder som anknyter till behandlingen av personuppgifter ska genomföras så att de registrerades rättigheter tillgodoses och förordningen iakttas. Behandlingen av personuppgifter ska planeras med tanke på riskerna, dvs. beakta bland annat de risker som behandlingen medför för den registrerades rättigheter och friheter. Utgångspunkten är att bara uppgifter som är nödvändiga för syftet i fråga ska få behandlas. 
Vidare ska den personuppgiftsansvarige bygga upp en informationssäker och skyddad tjänst enligt bland annat artikel 32 och upprätta ett register över behandlingen enligt artikel 30. Om behandlingen sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige enligt artikel 35 utföra en bedömning av konsekvenserna för skyddet av personuppgifter. I fall som avses i artikel 37 ska den personuppgiftsansvarige dessutom utnämna ett dataskyddsombud. 
Registrerades rättigheter regleras i artikel 12—22. Registrerade har rätt att ta del av uppgifter som samlats in om dem. De har rätt att kräva att felaktiga uppgifter som rör dem rättas och rätt att medverka till att deras uppgifter raderas ur registret. De har rätt att på vissa villkor överföra uppgifter från en personuppgiftsansvarig till en annan och rätt att motsätta sig användningen av sina uppgifter till exempel för profilering. De registrerades rättigheter är inte absoluta, utan förordningen tillåter begränsning av rättigheterna i vissa situationer och på vissa villkor. Om uppgifterna behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det till exempel enligt artikel 89 föreskrivas undantag från de registrerades rättigheter. Av förordningen följer dessutom direkt vissa begränsningar i rättigheterna. 
Enligt förordningen krävs det en grund för behandlingen av personuppgifter. Behandlingen är berättigad bara om den uppfyller något av kriterierna i artikel 6. Enligt artikeln kan behandlingen grunda sig på bland annat att personen i fråga lämnat sitt samtycke eller att den är nödvändig för att skydda intressen som är av grundläggande betydelse för en fysisk person, för att fullgöra ett rättsligt åtagande som åligger den personuppgiftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. 
Enligt artikel 9 i förordningen hör bland annat genetiska och biometriska uppgifter som entydigt identifierar en person samt uppgifter om hälsa till särskilda kategorier av personuppgifter. I förordningen har dessa uppgifter ett särskilt skydd och behandlingen av dem är mer begränsad än behandlingen av andra personuppgifter. Enligt förordningen krävs en särskild grund för behandlingen av dem. I vissa fall kan behandling föreskrivas också i nationell lag. Då krävs vanligen också s.k. skyddsåtgärder eller särskilda åtgärder som säkerställer den registrerades grundläggande rättigheter och friheter. 
Enligt artikel 5 ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. När personuppgifter behandlas är huvudregeln att en uppgift får användas bara för det ändamål för vilket den ursprungligen samlades in (principen om ändamålsbegränsning). Uppgifterna får användas för andra ändamål bara om det nya ändamålet är förenligt med det ursprungliga. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska inte anses vara oförenligt med de ursprungliga ändamålen. Vidare kan användningen av uppgifter för andra ändamål än de ursprungliga enligt artikel 6.4 grunda sig på den registrerades samtycke eller lagstiftning. Lagstiftningsåtgärden ska vara en nödvändig och proportionell åtgärd i syfte att säkerställa att de mål, såsom folkhälsa eller social trygghet, som anges i artikel 23 uppnås. 
I många fall ställer förordningen som villkor för behandlingen av personuppgifter att den registrerades rättigheter skyddas med lämpliga skyddsåtgärder. I förordningen finns några exempel på skyddsåtgärder men ingen uttömmande förteckning. Till exempel i artikel 89 föreskrivs om skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Enligt bestämmelsen ska skyddsåtgärderna säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Enligt artikel 5 avses med uppgiftsminimering att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Enligt artikel 6.4 e i förordningen kan skyddsåtgärder inbegripa kryptering eller pseudonymisering. 
Med statistiska ändamål avses enligt skäl 162 i ingressen till förordningen varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Ett statistiskt ändamål innebär att resultatet av behandlingen för statistiska ändamål inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte får användas till stöd för åtgärder eller beslut som avser en särskild fysisk person. 
Vetenskaplig forskning åter ska enligt skäl 159 i ingressen ges en vid tolkning i förordningen och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning samt studier som utförs av ett allmänt intresse inom folkhälsoområdet. 
I skäl 157 fastställs nyttan med register. På grund av att registren ofta bygger på en större befolkningsgrupp är samplingen bättre och forskningsresultatet lättare att fastställa. Genom att samla in information från flera register kan forskarna förbättra forskningsresultaten. Resultaten av registerforskning kan exempelvis ligga till grund för utformningen och genomförandet av kunskapsbaserad politik, förbättra livskvaliteten hos många människor och öka de sociala tjänsternas genomslagskraft. 
Den allmänna dataskyddsförordningen stärker tillsynsmyndigheternas roll. Varje medlemsstat ska enligt artikel 51 ha en eller flera nationella oberoende myndigheter som ansvarar för att övervaka tillämpningen av denna förordning. En av de nationella tillsynsmyndigheterna ska företräda medlemsstaten i Europeiska dataskyddsstyrelsen som övervakar tillämpningen av förordningen på EU-nivå. För överträdelse av förordningen kan medlemsstaten enligt artikel 83 påföras administrativa sanktionsavgifter som fastställs av tillsynsmyndigheten. I kapitel V finns dessutom bestämmelser om överföring av personuppgifter till tredjeländer och internationella organisationer. 
Europeiska unionens statistikförordning 
Den finländska statistikmyndighetens verksamhet regleras i sin tur av Europaparlamentets och rådets förordning (EG) nr 223/2009 om europeisk statistik och om upphävande av förordning (EG, Euratom) nr 1101/2008 om utlämnande av insynsskyddade statistiska uppgifter till Europeiska gemenskapernas statistikkontor, rådets förordning (EG) nr 322/97 om gemenskapsstatistik och rådets beslut 89/382/EEG, Euratom om inrättande av en kommitté för Europeiska gemenskapernas statistiska program (EU:s statistikförordning). 
I artikel 1 i EU:s statistikförordning definieras förordningens syfte och tillämpningsområde. Enligt artikeln innehåller förordningen bestämmelser om utveckling, framställning och spridning av europeisk statistik. Europeisk statistik är relevant statistik som behövs för gemenskapens verksamhet och som följer subsidiaritetsprincipen och bestämmelserna om medlemsstaternas och gemenskapens myndigheters oberoende, integritet och ansvar. Den europeiska statistiken definieras i programmet för europeisk statistik. Enligt artikeln ska den europeiska statistiken utvecklas, framställas och spridas i enlighet med de statistiska principerna i artikel 285.2 i grundfördraget, och ytterligare utvecklas i uppförandekoden avseende europisk statistik, enligt vad som sägs i artikel 11. I statistikförordningen ingår bland annat definitioner av statistikföring (artikel 3), statistiska principer (artikel 2), normer för statistikens kvalitet (artikel 12) och uppförandekoder (artikel 11). Dessa uppdateras vid behov. 
I artikel 4 i statistikförordningen föreskrivs om det europeiska statistiksystemet (ESS) som utgörs av ett partnerskap. I det ingår kommissionen (Eurostat) som gemenskapens statistikmyndighet samt nationella statistikbyråer och andra nationella statistikmyndigheter som i medlemsstaterna ansvarar för att utveckla, framställa och sprida europeisk statistik. I förordningen finns också bestämmelser om kommittén för det europeiska statistiksystemet. Kommittén ska bestå av företrädare för medlemsstaterna, samarbete på statistikområdet och nätverk för samarbete, programmet för europeisk statistik och dess genomförande, modellen för europeisk statistik och spridningen av europeisk statistik. 
Med tanke på den föreslagna lagen introducerar statistikförordningen två centrala principer. Å ena sidan är syftet med förordningen att skydda förtroendet för de statistiska objekten. Förtroendet skyddas av principen om statistisk konfidentialitet som definieras i artikel 2.1på följande sätt: Med statistisk konfidentialitet avses att sådana konfidentiella uppgifter om enskilda statistiska objekt som erhålls direkt för statistiska ändamål eller indirekt från administrativa eller andra källor ska skyddas samt ett förbud mot att använda uppgifterna för andra ändamål än statistiska och att olagligen röja dem. Också skäl 27 i ingressen gäller statistisk konfidentialitet. Enligt det bör det vara strängt förbjudet att använda konfidentiella uppgifter för ändamål som inte är uteslutande statistiska, såsom administrativa eller rättsliga ändamål, för skatteändamål eller för kontroll gentemot statistiska uppgifter. 
I förordningen erkänns å andra sidan betydelsen av de uppgifter som samlats in för statistiska ändamål för vetenskaplig forskning och de fördelar för samhället som detta fört med sig. I skäl 26 i ingressen uttrycks dessa mål på följande sätt: ”Forskarvärlden bör få bättre möjligheter att ta del av konfidentiella uppgifter som används för utveckling, framställning och spridning av europeisk statistik, för analys av intresse för den vetenskapliga utvecklingen i Europa. Forskarnas tillgång till konfidentiella uppgifter i vetenskapligt syfte bör därför förbättras utan att man äventyrar den höga skyddsnivå som krävs för konfidentiella statistiska uppgifter.” 
Artikel 23 i statistikförordningen gäller möjligheten att ge tillgång till konfidentiella statistikuppgifter i vetenskapligt syfte. Enligt artikeln får kommissionen (Eurostat) eller nationella statistikbyråer eller andra nationella myndigheter, inom ramen för sina respektive behörighetsområden, ge forskare som gör statistiska analyser i vetenskapligt syfte tillgång till konfidentiella uppgifter som endast indirekt kan identifiera de statistiska objekten. 
Således får åtkomsträtt till statistiska uppgifter på enhetsnivå med tillstånd av den statistikmyndighet som samlat in uppgifterna ges till forskare för vetenskaplig forskning, men bara så att de statiska objekten inte direkt kan identifieras, dvs. i pseudonymiserad form. I förordningen finns det inte några bestämmelser om hur åtkomsträtten ska fullgöras på det konkreta planet. Om det statistiska objektet är en fysisk person eller det finns andra faktorer som indirekt avslöjar personen, innebär åtkomsträtten ur dataskyddsförordningens synvinkel till sin rättsliga karaktär utlämning av sekretessbelagda personuppgifter. 
Enligt skäl 163 i ingressen till dataskyddsförordningen bör de konfidentiella uppgifter som unionens myndigheter och nationella statistikansvariga myndigheter samlar in för att framställa officiell europeisk och officiell nationell statistik skyddas. Europeisk statistik bör utvecklas, framställas och spridas i enlighet med de statistiska principerna i artikel 338.2 i EUF-fördraget, medan hanteringen av nationell statistik även bör överensstämma med medlemsstaternas nationella rätt. 
I artikel 20 i statistikförordningen ingår detaljerade bestämmelser om skyddet av den statistiska konfidentialiteten. Enligt punkt 2 i artikeln ska konfidentiella uppgifter som erhållits uteslutande för framställning av europeisk statistik användas av nationella statistikbyråer eller andra nationella myndigheter och kommissionen (Eurostat) uteslutande för statistiska ändamål såvida inte det statistiska objektet otvetydigt har gett sitt medgivande till att de används för andra ändamål.  
Artikel 20 i förordningen förutsätter också att nationella statistikbyråer och andra nationella myndigheter och kommissionen (Eurostat) inom ramen för sina respektive behörighetsområden ska vidta alla nödvändiga rättsliga, administrativa, tekniska och organisatoriska åtgärder för att se till att det fysiska och logiska skyddet av konfidentiella uppgifter (statistisk röjandekontroll) säkerställs samt se till att principer och riktlinjer i fråga om fysiskt och logiskt skydd av konfidentiella uppgifter harmoniseras. Enligt punkt 5 i artikeln ska dessutom nationella statistikbyråers och andra nationella myndigheters tjänstemän och övriga anställda som har tillgång till konfidentiella uppgifter iaktta den statistiska konfidentialiteten även efter att deras tjänstgöring har upphört. 
2.2.7
2.2.7 Internationella förbindelser som rör mänskliga rättigheter
De internationella människorättskonventionerna som Finland förbundit sig att följa har i avgörande grad fastlagt innehållet i bestämmelserna om grundläggande fri- och rättigheter i grundlagen. De har också haft ett betydande inflytande på lagstiftningen såväl i Finland som bland annat i Europeiska unionen. 
Centrala med tanke på behandlingen av välfärds- och hälsouppgifter är följande människorättskonventioner som ingåtts inom FN och Europarådet (ER): 
FN:s konvention om medborgerliga och politiska rättigheter i vilken det centrala med tanke på de föreslagna lagarna är skyddet för privatlivet (artikel 17), 
FN:s konvention om ekonomiska, sociala och kulturella rättigheter i vilken det centrala med tanke på propositionen är rätten till ett människovärdigt liv och inom ramen för det rätten till sociala tjänster och hälso- och sjukvård (artikel 12), 
FN:s konvention om barnets rättigheter som bland annat handlar om minderårigas rätt till sociala tjänster och hälso- och sjukvård, skyddet för privatlivet samt en med tilltagande ålder ökad själv- och medbestämmanderätt, 
Europeiska konventionen om skydd för de mänskliga rättigheterna och grundläggande friheterna (Europeiska människorättskonventionen) i vilken det centrala med tanke på de föreslagna lagarna är artikel 8 som handlar om rätten till skydd för privat- och familjeliv, 
Europeiska sociala stadgan som gäller bland annat tillgången till sociala tjänster och hälso- och sjukvård samt rätten till social trygghet, 
Europarådets konvention om mänskliga rättigheter och biomedicin (Biomedicinkonventionen, ETS nr 164) som gäller skyddet för människans värde och integritet med avseende på tillämpningen av biologi och medicin, 
Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (Europarådets dataskyddskonvention, ETS 108) och dess tilläggsprotokoll beträffande tillsynsmyndigheter och internationella flöden av uppgifter (ETS 181) vilka gäller automatisk behandling av personregister och personuppgifter inom offentlig och privat sektor och vilka ligger till grund för dataskyddsdirektivet. 
Bland annat Europeiska människorättsdomstolens (EMD) följande mål gäller behandlingen av hälsouppgifter som betraktas som känsliga samt skyddet av uppgifter: 
I sitt avgörande I. vs. Finland (17.7.2008) ansåg EMD att skyddet för en patients privatliv hade kränkts när sjukhuset inte hade ordnat tillräckligt med garantier för att säkerställa att bara den personal som tog hand om patienten hade tillgång till uppgifterna i patientregistret. Sjukhuspersonalen hade fri tillgång till uppgifter om diagnoser och behandlande läkare. EMD ansåg att den nationella lagen bör erbjuda tillräckliga och adekvata garantier för att förhindra åtkomsten till uppgifter om patienten och att dessa inte röjs i strid med artikel 8 i människorättskonventionen. 
Dessutom blev Europeiska unionens stadga om de grundläggande rättigheterna från 2000 genom Lissabonfördraget 2009 ett rättsligt bindande dokument för unionen och medlemsländerna. Stadgan innehåller en heltäckande dokumentation av de internationella mänskliga rättigheterna. Bestämmelserna i stadgan beaktas på fördragens tillämpningsområde, och de påverkar innehållet i Europeiska unionsrätten i form av principer som styr och avgränsar unionens verksamhet. 
Enligt artikel 7 i stadgan om de grundläggande rättigheterna, som handlar om respekt för privatlivet och familjelivet, har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Enligt artikel 8 har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. 
Nivån på skyddet för de rättigheter som anges i Europeiska unionens stadga om de grundläggande rättigheterna får aldrig vara lägre än motsvarande nivå på skyddet för de rättigheter som garanteras i Europeiska människorättskonventionen. I stadgan är skyddet däremot i viss mån mer omfattande än i människorättskonventionen. Vid beredningen av EU:s dataskyddsförordning har det vanligen varit nödvändigt att beakta människorättskonventionerna, eftersom medlemsstaterna i EU är parter i konventionerna, även om bara en del av medlemsstaterna är parter i vissa konventioner. Det kan således antas att förordningen överensstämmer med konventionen. 
2.3
Bedömning av nuläget
2.3.1
2.3.1 Nödvändiga registeruppgifter i olika registeransvarigas datasystem
Patientuppgifterna inom social- och hälsovården har redan länge funnits i elektronisk form i respektive tjänsteleverantörs datasystem, och det har varit besvärligt att dra nytta av uppgifterna för de syften som anges i propositionen. Också för de enskilda tjänsteanordnare som använder köpta tjänster har det varit besvärligt att samla i patientuppgifter om alla producerade tjänster och åtgärder som de ansvarar för och bekostar. 
De viktigaste patientuppgifterna inom de hälsovårdstjänster som produceras av kommuner och samkommuner har allt sedan 2015 i stor utsträckning lagrats i det nationella patientdataarkivet (Kanta) som upprätthålls av FPA, och alla de största verksamhetsenheter inom den privata hälso- och sjukvården ska ha anslutit sig till patientdataarkivet. Avsikten är att kunduppgifterna inom socialvården stegvis ska lagras i ett rikstäckande kunddataarkiv så att alla tjänsteproducenter ska ha anslutit sig till det vid utgången av 2020. 
I takt med att patientuppgifterna strukturerat dokumenteras i det rikstäckande patientdataarkiv som upprätthålls av FPA och senare i klientdataarkivet för socialvården blir det enklare att dra nytta av uppgifterna såväl inom vården av kunder och för skötseln av kundernas angelägenheter som för de syften som anges i den föreslagna lagen. Trots det kommer man även i fortsättningen att i viss mån behöva få registeruppgifter också från tjänsteleverantörernas egna eller från regionala kunddatasystem och ofta då från flera tjänsteleverantörers register. 
På hälso- och välfärdsområdet behövs det för de ändamål som anges i den föreslagna lagen utöver de patientuppgifter som lagras inom social- och hälsovården och andra registeruppgifter som tillhandahålls av tjänsteleverantörerna också uppgifter på befolkningsnivå från bland annat FPA:s, Statistikcentralens, Befolkningsregistercentralens och Pensionsskyddscentralens register. Möjligheten att samköra uppgifter från olika register skapar avsevärda förutsättningar för innovativ hälso- och välfärdsforskning. Redan nu är det mycket vanligt att man inom finländsk registerforskning på hälsoområdet kombinerar Befolkningsregistercentralens befolkningsuppgifter, Institutet för hälsa och välfärds uppgifter om sjukdomar och åtgärder, Folkpensionsanstaltens uppgifter om förmåner och ersättningar samt Statistikcentralens uppgifter om dödsorsak och socioekonomiska uppgifter.Ofta kombineras också uppgifter i journalhandlingar från flera verksamhetsenheter inom hälso- och sjukvården. 
På organisationernas webbsidor, till exempel i de lagstadgade registerbeskrivningarna, kan man få tillgång till beskrivande uppgifter om befintliga register och databaser. När det gäller många av sjukhusens kundregister och innehållet i registren går det ändå inte att få några officiella data överhuvudtaget. Sjukvårdsdistrikten har utvecklat sjukdoms- och åtgärdsspecifika kvalitetsregister, som skulle kunna vara värdefulla potentiella forskningsdatabaser.För närvarande går det inte att få några officiella metadata från dessa databaser. 
2.3.2
2.3.2 Flera parallella tillståndsprocesser för att få tillstånd att använda uppgifter för ett projekt
Relevant information med tanke på registerforskning som inriktar sig på hälsa och välfärd finns spridd i olika datasystem och hos olika myndigheter. Rättigheterna till sekretessbelagda uppgifter för ett enda forskningsprojekt måste ofta sökas hos alla de myndigheter vilkas uppgifter kommer att användas. Ett undantag är Institutet för hälsa och välfärds utvidgade tillståndsbehörighet som omfattar kommunala och privata verksamhetsenheters journalhandlingar, socialvårdens handlingar och Folkpensionsanstaltens receptcentrum för elektroniska recept. 
Tillståndsmyndigheternas blanketter, anvisningar och praxis skiljer sig i någon mån från varandra. Myndigheterna har inte tillgång till ett elektroniskt tillståndssystem för att skicka och behandla ansökningar om tillstånd, utan ansökningarna och sekretessförbindelserna skickas på pappersblanketter till alla tillståndsmyndigheter. Som helhet sett har myndigheterna inte utvecklat sina inbördes processer så att de som ansöker om tillstånd skulle kunna garanteras en tidsplan för behandlingen av tillstånd och utlämningen av uppgifter. Generellt sett går det långsammare att få uppgifter för forskning i Finland än i de övriga nordiska länderna. 
2.3.3
2.3.3 Tillståndsprocessen liksom utplockningen av uppgifter tar tid och är oförutsägbar
Hösten 2015 begärde en arbetsgrupp företrädare för olika vetenskapsgrenar och företag att besvara en expertenkät som gällde nuläge och utvecklingsbehov beträffande tillstånd och utlämningspraxis för register- och dokumentuppgifter inom social- och hälsovården. Enkäten var särskilt avsedd för personer och organisationer som utnyttjade register och dokument. Enkäten besvarades av 30 personer och organisationer. 
Enligt enkäten är i nuläget de största problemen när det gäller utnyttjandet av uppgifter inom social- och hälsovården att få tillstånd att använda sekretessbelagda uppgifter, den tid det tar att samköra och plocka ut uppgifter och tidsplanens oförutsägbarhet. Tidsplanerna för hanteringen av tillstånd och utplockning av uppgifter varierar vid olika tillståndsmyndigheter och som helhet tar processen lång tid. 
Det tar lång tid att få register- och dokumentuppgifter för forskningsändamål, särskilt när det är fråga om sådan forskning som förutsätter samkörning av uppgifter från flera olika myndigheters register, eftersom det i sådana fall kan ta allt från några månader till flera år att ansöka om tillstånd och få tillgång till uppgifterna. Var tredje organisation som besvarade arbetsgruppens enkät nämnde att i synnerhet Folkpensionsanstalten har haft problem med leveranstiderna när det gäller utlämning av uppgifter för forskning. 
Innan ett beslut om tillstånd för de riksomfattande personregistren inom hälso- och sjukvården kan meddelas ska Institutet för hälsa och välfärd ge dataombudsmannen tillfälle att bli hörd på det sätt som anges i 4 § 1 mom. i lagen om riksomfattande personregister inom hälsovården. Dataombudsmannens remissbehandling kan ta flera månader i anspråk för handläggningen av tillståndet. Dataombudsmannen kan dock alternativt följa upp utlämningen av uppgifter på basis av tillstånd på ett enklare sätt utifrån årliga databokslutsuppgifter. Även om man inte med stöd av lag begär utlåtande av dataombudsmannen om alla tillståndsansökningar, kvarstår dock fortfarande möjligheten att begära riktade utlåtanden om de mest krävande tillståndsansökningarna som förutsätter riktlinjer. 
Praxis har visat att olika registeransvarigas specifika tillståndsprocesser som gäller samma plan för användning av uppgifter ofta tar oskäligt mycket tid av den som ansöker om tillstånd – ibland upp till flera år – och kräver besök hos flera olika tillståndsmyndigheter. I värsta fall kan tillståndsmyndigheternas avgöranden efter väntetiden vara motsatta – en del beviljar tillstånd medan andra avslår ansökan. 
För att det ska vara möjligt att genomföra utplockningen ur olika register digitalt, är man tvungen att lagra registeruppgifterna strukturellt och, med beaktande av de syften för vilka de vanligen används, också för andra ändamål än de primära ändamålen. Detta krav kan inte Kanta-tjänsterna än så länge uppfylla, trots att Institutet för hälsa och välfärd redan 2007 när klientuppgifterslagen stiftades undantagsvis gavs rätt att få patientuppgifter via en elektronisk förbindelse från det rikstäckande patientdataarkivet för sina lagstadgade uppgifter. Struktureringen av de patientuppgifter som ska lagras har dock målmedvetet fortsatt och lagen om klienthandlingar inom socialvården är från början så utformad att uppgifterna i den redan initialt lagras enhetligt i fråga om informationsstruktur och informationsinnehåll. 
Enligt patient- och klientlagen har Institutet för hälsa och välfärd rätt att besluta om tillstånd att använda journalhandlingar för vetenskaplig forskning, om tillståndet söks för uppgifter från fler än en registeransvarigs kundregister inom social- och hälsovården. Varken institutet eller någon annan instans har fått rätt att på basis av beviljade tillstånd från Kanta-tjänsterna plocka ut registeruppgifter som finns samlade där. Av försiktighetsskäl är detta lagstiftarens uttryckliga vilja. 
Med tanke på digitalisering, informationssäkra förbindelser och Institutet för hälsa och välfärds användning av elektroniska hanteringsrättigheter för andra syften kan man dock utgå från att institutet har alla förutsättningar att göra sådana utplockningar utan att kränka skyddet för privatlivet och dataskyddet av registeruppgifter. När Kanta-tjänsterna vidareutvecklas är en sådan centraliserad utplockningsrätt motiverad. 
Med stöd av gällande lagstiftning är det inte möjligt att smidigt utnyttja ens uppgifterna i aktörens egna register inom ledningen av verksamhetsenheterna. För myndigheternas styrning, tillsyn och utredningsuppgifter krävs det tillstånd för varje enskilt fall, och det går inte att övervaka tillsynsobjektens verksamhet utifrån de uppgifter som ständigt flyter in, vilket skulle möjliggöra ett snabbt ingripande i missförhållanden. 
I Finland har man på social- och hälsovårdsområdet av försiktighetsskäl gett begreppet vetenskaplig forskning en snäv tolkning. Detta har medfört att uppgifter inte har lämnats ut till tillämpad eller kommersiell forskning eller utvecklings- och innovationsverksamhet, vilket i sin tur har lett till att datalagren inte utnyttjats i någon större utsträckning. Med stöd av EU:s allmänna dataskyddsförordning kommer förordningens tolkning utvidgas. 
3
Målsättning och de viktigaste förslagen
3.1
Målsättning
När det gäller behandlingen av uppgifter inom social- och hälsovården pågår stora förändringar i omvärlden och behoven av information ökar snabbt. Den nationella strategin har som mål att förflytta tyngdpunkten för utvecklingsarbetet mot utnyttjande av information inom personlig välfärd och privatliv, patient- och klientarbete, ledning och övervakning av social- och hälsovården samt inom forskning. Målet är att med de föreslagna lagarna skapa förutsättningar för att genomföra den nationella strategin ”Tieto hyvinvoinnin ja uudistuvien palvelujen tukena – Sote –tieto hyötykäyttöön 2020 (Utnyttja informationen om social- och hälsovården som stöd för välfärden och de förnyade tjänsterna). 
I programmet för statsminister Juha Sipiläs regering anges som mål för regeringsperioden digitalisering, försöksverksamhet och avveckling av normer. Enligt programmet är målet att utveckla användarorienterade, produktivitetshöjande och resultatgivande digitala offentliga tjänster som fås från ett och samma ställe. Författningarna görs smidigare och målet är bland annat att regleringen och den administrativa bördan ska bli lättare och onödig reglering avvecklas. Vid genomförandet av EU-författningar avhåller man sig från att skapa ytterligare nationell reglering. Målen för de lagar som föreslås i propositionen överensstämmer med målen för programmet för Sipiläs regering när det gäller smidigare författningar, avveckling av normer och lättare administrativ börda. 
Också i arbets- och näringsministeriets, social- och hälsovårdsministeriets och undervisnings- och kulturministeriets tillväxtstrategi för forskning och innovation inom hälsobranschen (2014) och Vägkarta för tillväxtstrategin för forskning och innovation inom hälsobranschen 2016–2018 (2016) anges som mål att utarbeta ett förslag i syfte att göra den sekundära användningen av hälso- och sjukvårdsuppgifter smidigare så att uppgifterna i större utsträckning kan användas på bästa sätt inom forskning och utvecklings- och innovationsverksamhet samtidigt som enskildas rätt till skydd av personuppgifter tryggas. Inom ramen för den utredning om författningsmiljön (lagstiftning, anvisningar om den och tillämpningspraxis) kring hälsobranschens forsknings- och innovationsverksamhet som genomfördes i samband med att tillväxtstrategin omsattes i praktiken, kartlades 2015 företagens samt forsknings- och innovationsaktörernas synpunkter på de författningar eller författningarnas tillämpningspraxis som utan grund bromsar upp eller försvårar forsknings- och innovationsverksamheten inom hälsobranschen. 
I synnerhet inom hälsobranschen kommer en stor del av regleringen av utvecklings- och forskningsverksamheten från Europeiska unionen. EU:s förordningar och direktiv påverkar utvecklingen och införandet av innovationer på områdena läkemedel och hälsoteknik antingen direkt (EU-förordning) eller via nationell reglering (direktiv). Tillstånd för nya innovativa läkemedel söks vanligen centralt för hela EU. EU:s förordning om kliniska läkemedelsprövningar förväntas träda i kraft 2018. Tanken är att det tillståndsförfarande som förutsätts i förordningen i den mån det är möjligt ska samordnas med de bestämmelser som föreslås i propositionen. 
Avsikten är att man genom lagreformen ska genomföra också de delar av EU:s allmänna dataskyddsförordning som hör till området och beakta även annan EU-reglering på området. Den tolkning av vetenskaplig forskning som antagits i förordningen och som utöver akademisk och teoretisk forskning uttryckligen inbegriper också teknisk utveckling och demonstration, tillämpad forskning och privatfinansierad forskning, skapar förutsättningar för såväl utveckling av förvaltning och offentliga tjänster som användning av datalager för kommersiella ändamål.  
Propositionen har som mål att främja innovations- och utvecklingsverksamhet och skapa förutsättningar för tillväxt i Finland. Genom lagstiftningen skapas förutsättningar för verksamhet på en kundorienterad marknad. När tillgången till social- och hälsovårdsuppgifter för forskning, utveckling och innovativ verksamhet blir smidigare och snabbare är avsikten att bygga nya nätverk mellan offentliga aktörer och företag i Finland. För att målet ska nås krävs det bland annat att Finland erbjuder effektivare marknadsföring och demonstrationer som ett attraktivare investeringsobjekt. VTV:s revisionsberättelse 3/2017 Yritysten investointien edistäminen – Kokonaisarviointi (Främjande av företagsinvesteringar – Helhetsbedömning). 
Genom propositionen stöder man också reformen av servicestrukturen inom social- och hälsovården som är under beredning. Propositionen möjliggör en mer omfattande användning av social- och hälsovårdsuppgifter än vad nuvarande lagstiftning tillåter för intern utveckling, styrning och annan kunskapsledning av verksamhetsenheterna. 
3.2
Alternativ och utvärdering av alternativen
Modell 1: Centraliserad tjänst för sekundär användning av social- och hälsovårdsuppgifter 
Kunder som behöver tillstånd för användning av fler än en registeransvarigs social- och hälsovårdsuppgifter eller uppgifter med nära anknytning till dessa för ett visst ändamål som anges i lagen, såsom forskning, ska enligt modell 1 alltid vända sig till en centraliserad tillståndsmyndighet. Tillståndsmyndigheten ska centralt pröva om kundens syfte med de uppgifter som framgår av planen för användning av uppgifter är lagenligt och om tillstånd kan beviljas för användning av uppgifterna i olika registeransvarigas material. 
Om tillståndsmyndigheten beviljar tillstånd för användning av materialet, ska den sammanställa och samköra de uppgifter som finns lagrade i olika registeransvarigas register och lämna ut uppgifterna till kunden. För anonyma uppgifter behövs inte ett särskilt användningstillstånd, om tillståndet begärs för syften som anges i lag. 
Den uttalade styrkan hos modell 1 är att den kan påskynda och förenhetliga behandlingen av tillstånd. Det föreslås att det för prövningen av tillstånd anges tidsfrister inom vilka den centraliserade tillståndsmyndigheten ska meddela beslutet om tillstånd.Om tillståndsprövningen koncentreras till en enda myndighet, kan olika sökande beviljas tillstånd på enhetliga grunder. Detta ökar de sökandes rättssäkerhet och förbättrar förutsägbarheten. För anonymiserade uppgifter behövs inget särskilt användningstillstånd, om det begärs för syften som anges i lag. Detta underlättar i väsentlig mån den administrativa börda som begäranden om tillstånd medför och förkortar märkbart den tid inom vilken uppgifterna kan lämnas till den som begärt dem. Också risken för kränkning av skyddet för privatlivet minskar, eftersom det på basis av uppgifterna inte kommer att vara möjligt att identifiera enskilda registrerade. För beviljandet av anonymiserade uppgifter krävs det ett starkt kunnande på området. 
Också med tanke på kunden är modell 1 en tydlig modell, eftersom det alltid är samma myndighet som kontaktas med begäranden om uppgifter när kunden behöver social- och hälsovårdsuppgifter eller vissa relaterade uppgifter. I några gränsfall kan anknytningen till ett visst förvaltningsområde ge upphov till oklarheter när det gäller av vilken myndighet kunden ska begära uppgifter. Modellen är dock betydligt klarare jämfört med nuvarande praxis, när kunden är tvungen att vända sig till flera olika registeransvariga för att kunna föra fram sina begäranden om uppgifter. 
Modell 1 innebär att registeransvarigas prövningsrätt minskar när det gäller användningen av materialet i deras register. Modellen förutsätter en tydlig ansvarsfördelning mellan tillståndsmyndigheten och registeransvariga. Om ansvarsfördelningen inte är tillräckligt tydlig finns det risk för att det uppstår brister i integritets- och dataskyddet. För att ansvarsfördelningen ska bli tydligare bör tillståndsmyndigheten vara registeransvarig för det material som den administrerar. Ansvarfördelningen mellan tillståndsmyndigheten och olika registeransvariga bör också i praktiken vara tydlig. 
Modell 2: Partiellt centraliserad tjänst 
Det första alternativet till att hela tillståndsprocessen kring social- och hälsovårdsuppgifterna koncentreras till en enda tillståndsmyndighet är att varje registeransvarig också i fortsättningen själv beviljar tillstånd för användning av uppgifterna. Kunderna ska dock erbjudas service via ett enda serviceställe. I modell 2 vänder sig kunden alltid till en centraliserad myndighet. Kunden begär av myndigheten det material som behövs för ett i lag angett syfte. 
Myndigheten i fråga kommer sedan att vända sig till alla de organisationer som är registeransvariga och vars uppgifter kunden behöver. På samma sätt som nu ska varje registeransvarig själv pröva om det för det begärda materialet kan beviljas tillstånd för det aktuella syftet. 
Om alla registeransvariga beviljar tillstånd för användning av det material som efterfrågas, får kunden ges tillgång till materialet. Den myndighet som sköter kundens serviceställe ska sedan centralt sammanställa uppgifterna från de olika myndigheterna och tekniskt samköra dem som registerförare för de registeransvarigas räkning. 
Styrkan hos modell 2 är att de registeransvariga behåller sin självständighet. Såsom i modell 1 blir det också med denna modell tydligare vilken myndighet som ska kontaktas när kunden behöver social- och hälsovårdsuppgifter och relaterade uppgifter. Hela processen blir tydligare om en enda myndighet har hand om den och svarar för helheten. För beviljandet av tillstånd kan man sätta tidsfrister som de registeransvariga ska iaktta. Det föreslås att tillståndsprövningen inleds och avslutas vid alla myndigheter ungefär vid samma tidpunkt. Också denna modell gör att tillståndsprocessen sannolikt blir snabbare än vad nu är fallet. 
Ett av problemen med modell 2 har att göra med utlämningen av anonymiserade uppgifter. Om tillståndsprocessen tillämpas på anonymiserade uppgifter, går det inte snabbare att få uppgifterna. Detta kan medföra betydande dröjsmål innan den som begärt uppgifterna får dem. Om däremot anonymiserade uppgifter lämnas ut utan prövning, innebär det att de registeransvarigas självständighet i förhållande till uppgifterna i vart fall minskar. Dessutom behöver man avgöra om anonymiseringen ska utföras av den registeransvariga själv eller av tillståndsmyndigheten när den har fått uppgifterna av de olika registeransvariga. Inte heller i modell 2 kan således de registeransvariga ha absolut självständighet om man vill att tillgången till uppgifter ska påskyndas lika mycket som i modell 1. 
Risken med modell 2 är att de registeransvariga fortfarande kan bevilja tillstånd på olika grunder. Detta är också en av svagheterna i gällande lagstiftning: med stöd av samma lagstiftning kommer olika myndigheter fram till olika, i viss mån motstridiga lösningar. I det avseendet kommer modellen således inte att förenhetliga tillståndsprocessen och ur kunden synvinkel kan den verka godtycklig. Ett negativt beslut från en enda registeransvarig kan i praktiken oftast stoppa hela användningen av uppgifterna i fråga, eftersom kunderna vanligen behöver få tillgång till uppgifter av alla de registeransvariga som avses i ansökan om tillstånd för att de ska kunna fullfölja avsett syfte. 
Modell 2 lämpar sig inte heller för alla registeransvarigas uppgifter. Privata registeransvariga får inte ur grundlagens synvinkel utöva den offentliga makt som är förknippad med tillståndsprövning. Också i denna modell blir man således tvungen att koncentrera tillståndsprövningen för dessa uppgifters del till någon myndighet. Det gäller då att avgöra om den samordnande myndigheten ändå kommer att bevilja tillstånd för uppgifterna eller om också denna tillståndsprövning är decentraliserad till andra myndigheter. Dessutom behöver det avgöras hur man ska gå tillväga med dem som är registeransvariga för social- och hälsovårdsuppgifter för vilka Institutet för hälsa och välfärd redan nu beviljar användningstillstånd. 
Modell 3: Modell för ramtillstånd 
Modellen för ramtillstånd fungerar i övrigt på samma sätt som modell 2, men den registeransvarige beviljar inte enskilda användningstillstånd, utan ett s.k. ramtillstånd för användning av uppgifterna. Den registeransvarige ska på förhand i samråd med tillståndsmyndigheten fastställa kundernas behov. För dessa behov skräddarsys ett ramtillstånd, och med stöd av det får tillståndsmyndigheten lämna ut uppgifter till kunderna. I tillståndet förbinder sig den registeransvarige på förhand att lämna ut uppgifter i sådana situationer som omfattas av det avtalade ramtillståndet, och behöver inte behandla olika ansökningar. Också anonymiserade uppgifter får enligt modellen lämnas ut utan den registeransvariges tillstånd om de omfattas av ramtillståndet. 
Modellens styrka är att den erbjuder ett smidigare förfarande än det som tillämpas nu. I modellen har den registeransvarige kvar sin självständighet, som dock inte är lika stark som i nuläget. Utlämningen av de uppgifter som omfattas av ramtillståndet blir snabbare. Beträffande anonymiserade uppgifter är problemen inte desamma som i modell 2. 
Problemet med modellen är att det kommer att krävas två olika tillstånd för att få tillgång till uppgifter: först ska varje registeransvarig ge ett ramtillstånd till en centraliserad myndighet. Efter det ska tillståndsmyndigheten på basis av ansökan om användningstillstånd ytterligare bevilja ett mer detaljerat tillstånd för det enskilda syftet. I ramtillståndet kan de registeransvariga till exempel förbjuda användningen av uppgifter för ett specifikt ändamål. Också i denna modell kan de komma fram till i vissa avseenden olika slutresultat. Dessutom kommer de inte nödvändigtvis att bevilja ramtillstånd för alla de uppgifter som kunderna behöver. För dessa uppgifter blir kunderna då tvungna att ytterligare söka särskilt tillstånd av alla registeransvariga. 
Liksom modell 2 lämpar sig inte heller modell 3 för alla registeransvarigas uppgifter. I sådana fall måste olika registeransvarigas uppgifter behandlas via olika modeller. 
Modell 4: Fullständigt centraliserad nationell tjänst 
Genom modell 4 vill man skapa en nationell centraliserad tjänst för alla tillståndsansökningar som gäller personuppgifterna vid myndigheter på olika förvaltningsområden. Kunden ska alltid vända sig till en enda centraliserad myndighet, och via den sköts sedan begäran om uppgifter. Modell 4 kan genomföras antingen enligt modell 1 så att en centraliserad myndighet själv beviljar tillstånden eller enligt modell 2 eller 3 så att varje enskild registeransvarig själv utför tillståndsprövningen, men kunden har kontakt med den centraliserade myndigheten. 
Att bygga upp modell 4 kräver betydande samordning och samarbete mellan olika ministerier. Det kräver enhetligare spelregler för olika ministeriers behandling av uppgifter. Beredning av modellen kräver en avsevärd arbetsinsats. Kulturen i organisationer av olika slag och koncepten för informationshanteringen i praktiken måste i så fall förenhetligas och det behövs kompromisser för de olika informationshanteringskoncepten. För beredningen av en sådan lagstiftning krävs det sannolikt flera år, eller rentav årtionden av arbete. 
I modellen är det viktigt att beakta att inte alla personuppgifter som registrerats inom den offentliga sektorn är likadana, utan en del av uppgifterna är som regel mycket öppna till sin karaktär, medan till exempel hälsouppgifter, som enligt dataskyddsförordningen hör till särskilda kategorier av personuppgifter, kräver särskilt skydd. Olika personuppgifter är förknippat med en hel del branschspecifikt kunnande, och det är inte nödvändigtvis enkelt att centralisera denna kunskap. Om syftet är att utlämningen av uppgifter ska tillgodose kundens behov så bra som möjligt, kan en centraliserad myndighet inte vara den som bara formellt lämnar ut uppgifter, utan den behöver också förstå kundens behov. Tillförlitligheten när det gäller processen för beviljande av tillstånd och utlämningen av uppgifter förutsätter likaså att myndigheten förstår sig på innehållet i de uppgifter som samkörs. 
På social- och hälsovårdsministeriets förvaltningsområde ökar kunskapsintensiviteten hela tiden. Till exempel mängden hälsodata förutspås öka från 500 exabyte En exabyte är 1018 byte. 2016 till 2 300 exabyte 2020 Sitra, Terveysalan analytiikkamarkkinoiden kartoituksen loppuraportti 2.6.2016.. På förvaltningsområdet har behandlingen av uppgifter ett tudelat syfte: uppgifter kan å ena sidan användas för sitt primära syfte, såsom för beslut inom socialvården eller inom vården av patienten. Å andra sidan kan samma uppgifter också användas för forskning. Systemen för hälsorelaterad uppgiftsbehandling intar därför en ledande roll i utvecklingen jämfört med de institutionaliserade systemen. En förnuftig lösning skulle vara att använda uppgifterna med stöd av samma system för bägge syften. 
I Finland håller registren med social- och hälsovårdsuppgifter hög standard. I registren har det samlats heltäckande uppgifter om vår befolkning över en lång tid. Många andra länder i Europa håller dock på att utveckla egna register och system, och Finlands försprång kommer inte att bli långvarigt. Enligt uppskattningar har Finland ett försprång på minst två år och högst tio år jämfört med andra länder när det gäller att möjliggöra användning av uppgifter. 
Det finns i sig inga hinder för ett centraliserat nationellt system för handläggning av uppgiftsbegäranden. Innan man i Finland lyckas lösa detta, kommer vårt lands försprång när det gäller sekundär behandling av hälsouppgifter dock redan att ha försvunnit. 
3.3
De viktigaste förslagen
3.3.1
3.3.1 Lagen om sekundär användning av personuppgifter inom social- och hälsovården
Enligt förslaget ska det i lagen om sekundär användning av personuppgifter inom social- och hälsovården samlas bestämmelser från olika lagar om hur man på hälso- och välfärdsområdet kan utnyttja social- och hälsovårdens kunduppgifter samt andra personuppgifter som finns lagrade i de rikstäckande personregistren för statistikföring, forskning, innovations- och utvecklingsverksamhet, undervisning, informationsledning, myndigheternas styr- och tillsynsuppgifter samt för planering och utredningar. 
I lagen ska föreskrivas om de registeransvarigas tjänster som behövs för användningen av registeruppgifter. Dessa är: 
1) beskrivningar av informationsmaterialet, 
2) rådgivning, 
3) tjänst för insamling, samkörning och bearbetning av uppgifter, 
4) tjänst för administrering av identifierare, 
5) system för administration av uppgiftsbegäranden, 
6) informationssäker användartjänst, och 
7) informationssäker driftmiljö 
För de tjänster som behövs för de syften som anges i lagen om sekundär användning av personuppgifter inom social- och hälsovården ansvarar följande organisationer: 
Social- och hälsovårdsministeriet, 
Institutet för hälsa och välfärd, 
Valvira, 
Regionförvaltningsverken, 
Arbetshälsoinstitutet, 
Fimea, och 
offentliga tillhandahållare av social- och hälsovård. 
För tjänsterna svarar dessutom i begränsad utsträckning: 
Folkpensionsanstalten, 
Statistikcentralen, 
Befolkningsregistercentralen, och 
Pensionsskyddscentralen. 
Nödvändiga tillstånd att använda registeruppgifter ska beviljas centralt av en tillståndsmyndighet, om tillstånd behövs av flera registeransvariga för ändamål som grundar sig på samma plan för användning av uppgifter. Om det kan garanteras att den centraliserade myndighet som beviljar användningstillstånd är oberoende och opartisk, förslås det i propositionen att det i anslutning till Institutet för hälsa och välfärd inrättas en tillståndsmyndighet, Tillståndsmyndigheten för social- och hälsovårdsuppgifter, som dock är avskild från institutets substantiella verksamhet. För utvecklingen och styrningen av dess verksamhet svarar en styrgrupp som består av företrädare för olika ovan angivna registeransvariga och som utnämns av social- och hälsovårdsministeriet. 
Tillståndsmyndigheten ska också ges rätt att få tillträde till och samköra uppgifter från olika personregister och lämna ut uppgifterna till den som begär dem utan tillståndsförfarande, om uppgifterna som begärs och lämnas ut är anonymiserade. Förslaget kommer i väsentlig mån att lätta på den administrativa börda som den typen av begäranden av uppgifter medför och avsevärt förkorta den tid inom vilken uppgiftena kan lämnas till den som begärt dem. 
Tillståndsmyndigheten ska upprätthålla ett ärendehanteringssystem för begäranden om uppgifter, och via det skickas tillståndsansökningar och anknytande utredningar till tillståndsmyndigheten. Systemet fungerar som en kanal för kommunikation mellan tillståndsmyndigheten och sökanden. Besluten delges via systemet. Om lagen föreskriver att det för användningstillståndet krävs en etisk förhandprövning av planen för användningen av uppgifter, ska också den etiska prövningen göras anhängig via systemet. 
Tillståndsmyndigheten ska samla in de uppgifter som avses i det beviljade tillståndet och som lagrats i olika register, samköra dem och lämna ut dem till den som beviljats tillstånd för behandling i myndighetens informationssäkra driftmiljö. Likaså ska myndigheten sammanställa uppgifterna på basis av begäran om uppgifter för användning av sökanden, anonymisera dem och sedan lämna ut dem till sökanden. 
Social- och hälsovårdsministeriet har rätt att ensamt eller tillsammans med en eller flera registeransvariga, undervisnings- och kulturministeriet, arbets- och näringsministeriet eller finansministeriet grunda ett aktiebolag som lyder under tillståndsmyndigheten. Bolaget kan ges tekniska uppdrag med anknytning till de lagstadgade tjänsterna. 
Registeransvariga som avses i lagen ska ha skyldighet att erbjuda information om innehållet i sina register och om de praktiska begränsningar som gäller den sekundära användningen av registren. Informationen behövs när man upprättar ansökningar om användningstillstånd och planer för användningen av uppgifter. 
Tillhandahållare av social- och hälsovård ska få rätt att använda och samköra uppgifter i sina olika register för behoven inom informationsledningen. I lagen ska det också föreskrivas om rätten att använda kunduppgifter inom social- och hälsovården för undervisning och produktion av läromedel. Det har inte tidigare funnits några bestämmelser om detta. 
Genom lagen kan 13 § 5 mom. i patientlagen samt 18 § 5 mom. i klientlagen upphävas som onödiga. Efter att lagen har trätt i kraft kommer 28 § i offentlighetslagen inte längre att tillämpas på de syften som i den föreslagna lagen anges för utlämningen av uppgifter inom social- och hälsovården eller uppgifter som finns registrerade i Institutet för hälsa och välfärds datalager eller i Kanta-tjänsterna. 
3.3.2
3.3.2 Lagen om ändring av lagen om Institutet för hälsa och välfärd
Lagen om Institutet för hälsa och välfärd ska ändras så att man i den inför närmare bestämmelser än tidigare om institutets uppgifter och tydligare särskiljer dessa från institutets uppgift som statistikmyndighet på social- och hälsovårdsområdet. I lagen ska det också föreskrivas om institutets rätt att behandla personuppgifter och rätten att, trots sekretessbestämmelserna, samla in nödvändiga uppgifter för att kunna utföra lagstadgade åtaganden. I lagen föreskrivs inte om de uppgifter som samlas in på variabelnivå utan bestämmelserna utgår från typen av uppgift, så att institutet med beaktande av förändringarna i omvärlden och den varierande inriktningen av sina uppgifter i varje enskilt fall ska kunna besluta om vilka uppgifter som behöver samlas in för att det ska kunna fullgöra sina åtaganden. 
Den föreslagna lagen gör det möjligt att samla in personuppgifter från social- och hälsovården i hela landet på enhetliga grunder, vilket är nödvändigt för att man ska kunna bedöma hur servicekedjorna inom social- och hälsovården fungerar och vilken effekt tjänsterna har. Med stöd av gällande bestämmelser har det inte varit möjligt, med undantag för inom hemtjänsten, att samla in uppgifter på personnivå om öppna sociala insatser, medan insamlingen av personuppgifter inom hälsovården har varit mycket noggrann. Den föreslagna ändringen är nödvändig för att det ska vara möjligt att utifrån evidensbaserad kunskap på ett ändamålsenligt sätt bedöma och styra samverkan mellan social- och hälsovårdstjänsterna samt effekten av servicekedjorna och servicesystemen. 
Till följd av de föreslagna lagändringarna kan lagen om statistikväsendet vid Forsknings- och utvecklingscentralen för social- och hälsovården samt lagen om riksomfattande personregister inom hälsovården upphävas som onödiga. Om rättsgrunden upphävs leder det i det senare fallet till att också förordningen om riksomfattande personregister upphör att gälla. 
4
Propositionens konsekvenser
4.1
Ekonomiska konsekvenser
Propositionen har ekonomiska konsekvenser för verksamheten vid myndigheter som beviljar användningstillstånd och för register samt för verksamheten vid universitet, forskningsinstitut, verksamhetsenheter för social- och hälsovården och företag som är kunder hos den föreslagna Tillsynsmyndigheten. En centraliserad tillståndsbehandling och en anknytande process för utlämnande av uppgifter skulle både med tanke på informationsanvändarna och myndighetsbehandlingen vara kostnadseffektivare, eftersom en elektronisk och centraliserad behandling av tillståndsansökningar undanröjer överlappande arbete i olika myndigheter och gör processen klarare. 
Reformen väntas ha betydande konsekvenser för samhällsekonomin. Propositionen möjliggör en mera omfattande användning av personuppgifter inom social- och hälsovården vid utvecklingen och ledningen av servicesystemet inom social- och hälsovården. De mest betydande konsekvenserna bedöms vara att möjligheterna till både forskning, produktutveckling och innovationer blir bättre. Personuppgifterna inom social- och hälsovården och användningen av dem ger upphov till ny affärsverksamhet, produkter och tjänster. Olika aktörer skapar, tillhandahåller och förvaltar sinsemellan kompletterande produkter och tjänster, eftersom de anser att ömsesidiga nätverk ger ekonomiska fördelar. Företagens investeringar möjliggör att nya företag utvecklas och affärsverksamheten breddas både i Finland och internationellt. Med hjälp av datalager uppkommer bättre och verkningsfullare produkter och tjänster såväl för social- och hälsovården som för medborgarna. 
Sitra har inlett en projekthelhet för service som tillhandahålls av Tillståndsmyndigheten för social- och hälsovårdsuppgifter och för utvecklandet av den (Isaacus-projektet). I Isaacus-projektet har uppskattats att volymen på den anknytande affärsverksamheten inom forskning, utveckling och innovationer i den offentliga och privata sektorn för närvarande är cirka 500 miljoner euro per år. Sitra har dessutom analyserat tillståndsmyndighetens marknadspotential. Enligt analysen skulle tillståndsmyndighetens potential på den riktade marknaden enligt en försiktig uppskattning uppgå till cirka 60 miljoner euro. 
Arbetsgruppen bad hösten 2015 representanter och företag inom olika vetenskapsgrenar att besvara en expertenkät som gällde nuläget och utvecklingsbehov i fråga om användningstillstånd för uppgifter i register och handlingar inom social- och hälsovården och i fråga om förfarandena för utlämnande av uppgifter. Enkäten var särskilt riktad till personer och organisationer som använder register och handlingar. Det kom in 30 svar. Flera av de organisationer som besvarat enkäten bedömde att de skulle investera mera i registerundersökningar, om det skulle gå snabbare att få tillstånd och plocka ut information och om leveranssäkerheten och kvaliteten skulle bli bättre. Samma bedömning kom från företag, organisationer och forskare som använder register i sin verksamhet. 
Utifrån den omfattande remissbehandlingen kan man göra bedömningen att förutsägbarhet och snabbhet i tillståndsprocessen och tillgången på tillståndsbaserade uppgifter är centrala förutsättningar för om de i ett internationellt perspektiv omfattande finska datalagren med personuppgifter inom social- och hälsovården är attraktiva ur användarsynvinkel. Den centraliserade Tillståndsmyndighet för social- och hälsovårdsuppgifter som föreslås i propositionen och ska inrättas i anslutning till Institutet för hälsa och välfärd, den informationssäkra infrastruktur för tillstånds- och informationsbehandling som den ska förvalta och de tidsfrister som föreslås för tillståndsbehandling och utlämnande av tillståndsenliga uppgifter skulle avsevärt öka uppgifternas användningsmöjligheter.  
Den rätt att samköra och producera anonyma uppgifter för kunderna utan en tung tillståndsprocess som i propositionen föreslås för tillståndsmyndigheten skulle i hög grad förenkla t.ex. forskningen om läkemedelsverkningar och bland annat öka privata investeringar från konsultföretag, IT-företag och läkemedelsföretag i Finland. Det ovan anförda kan i betydande grad antas öka registerundersökningar inom social- och hälsovårdsområdet. 
Den största ekonomiska betydelsen av tillståndsmyndigheten och dess service finns i de fördelar som den alstrar å ena sidan för forskning, utveckling och innovationsverksamhet och därigenom för företagsverksamhetens utveckling. Å andra sidan är den centrala nyttan för social- och hälsovårdsverksamheten att servicen möjliggör styrning och ledning av en flexibel, snabb och mer uppdaterad informationsproduktion för informationsbehov på olika nivåer.  
4.2
Konsekvenser för myndigheterna
Propositionen skulle ha konsekvenser för de nuvarande användningstillståndsmyndigheternas verksamhet och den föreslagna nya Tillståndsmyndighetens verksamhet. För närvarande beviljas användningstillstånd av ett flertal myndigheter, varje myndighet för sina egna uppgifter. Vid social- och hälsovårdsministeriet, Institutet för hälsa och välfärd, Statistikcentralen, Folkpensionsanstalten, Pensionsskyddscentralen, Befolkningsregistercentralen, Arbetshälsoinstitutet, Tillstånds- och tillsynsverket för social- och hälsovården, regionförvaltningsverken, Säkerhets- och utvecklingscentret för läkemedelsområdet samt verksamhetsenheter för den offentliga social- och hälsovården arbetar en hel del tjänstemän, tjänsteinnehavare och arbetstagare med användningstillstånd och utlämnande av uppgifter för forskning.  
Eftersom behandlingsmängderna i många enskilda organisationer inte är särskilt stora, har de inte haft någon centraliserad forskarservicefunktion. Mest centraliserat organiserade har behandlingen av användningstillstånd och dataurvalen varit vid Institutet för hälsa och välfärd och Statistikcentralen. 
Vid många av de nuvarande myndigheterna skulle mängden utspritt arbete för behandling av användningstillstånd och dataurval minska. Om det sköttes centralt skulle det arbete som går åt till användningstillstånd och utlämnande också bli effektivare och snabbare. De resurser som registeransvariga för närvarande använder till behandling av användningstillstånd skulle i fortsättningen kunna riktas till registeransvariga för förverkligande av de tjänster som föreslås i lagen. Registeransvariga ska till exempel beskriva de material som det beviljas användningstillstånd för. Således skulle konsekvenserna för andra myndigheter än den centraliserade tillståndsmyndigheten hanteras så att de resurser som sparas in i behandlingen av användningstillstånd skulle kunna inriktas på de övriga tjänster som föreslås i propositionen och de registeransvariga skulle inte orsakas extra kostnader för dem. 
Kostnaderna för att lösgöra material ur de registeransvarigas system för den centraliserade tillståndsmyndighetens bruk uppgår för Folkpensionsanstaltens, Statistikcentralens och Befolkningsregistercentralens del till uppskattningsvis sammanlagt 50 000—75 000 euro per år. Registeransvariga ska enligt lagförslaget som gäller sekundär användning av personuppgifter inom social- och hälsovården ha rätt till ersättning för urval och leverans av uppgifter som gäller dem. Ersättningarna bestäms i enlighet med de gällande bestämmelserna om varje registeransvarig. Tillståndshavare och de som tar emot uppgifterna betalar en avgift för användningstillstånden och för kostnaderna för de tjänster de behöver, t.ex. för insamling, samkörning, bearbetning och utlämnande av uppgifter, med stöd av lagen om grunderna för avgifter till staten (150/1992) enligt de grunder som social- och hälsovårdsministeriet har fastställt. Tillståndsmyndigheten ersätter de registeransvariga för deras andel av de avgifter som tagits ut. På så vis skulle den föreslagna modellen vara kostnadsneutral för de registeransvariga. 
Däremot förutsätter inrättandet av en sådan centraliserad användningstillståndstjänst som anges i propositionen satsningar på den ekonomiska infrastrukturen. I propositionen föreslås att det inrättas ett särskilt budgetmoment för Tillståndsmyndigheten. Social- och hälsovårdsministeriet har lagt fram ett förslag om saken i budgeten för 2018 och i planen för de offentliga finanserna för åren 2019—2021. 2018 års budgetförslag har godkänts vid regeringens budgetförhandlingar och där föreslås att det inrättas ett nytt moment 33.02.08, under vilket det föreslås 1,8 miljoner euro för 2018. Avsikten är att 0,8 miljoner av anslaget ska användas till inrättandet av Tillståndsmyndigheten för social- och hälsovårdsuppgifter och en miljon euro till investeringar i driftsäkra informationsmiljöer. Anslaget får förutom för utvecklande av tillståndsmyndighetens tjänster och system användas bland annat för utvecklande av samarbetet mellan tillståndsmyndigheten och de registeransvariga samt för kostnader som Institutet för hälsa och välfärd orsakas av den allmänna förvaltningen av tillståndsmyndigheten.  
Kostnader orsakas även andra registeransvariga på grund av att informationssystemen och programmen förnyas för att dataurval ska kunna utföras inom de föreslagna tidsfristerna. Därför utfärdas bestämmelser om övergångsperioder för Folkpensionsanstalten och serviceanordnare inom socialvården inom vilka de ska hinna vidta förberedelser för att förnya informationssystemen. 
För tillståndsmyndigheten föreslås bli inrättad en styrgrupp, som ska bestå av företrädare för de registeransvariga vars uppgifter tillståndsmyndigheten med stöd av propositionen får lämna ut. Genom styrgruppen kan myndigheterna bland annat inverka på hur inbördes resurser ska riktas till utvecklandet av informationssystemen samt på vilka avgifter som ska tas ut för tillståndsmyndighetens tjänster. Social- och hälsovårdsministeriet ställer upp resultatmål för tillståndsmyndigheten och dess verksamhet utifrån de förslag som tillståndsmyndighetens styrgrupp utarbetat. 
Sitra har i Isaacus-projektet berett utvecklandet av den framtida verksamheten och servicen genom att investera cirka 7 miljoner euro i förberedelser under åren 2016—2017. År 2018 har Sitra förbundit sig att finansiera överföringen och ibruktagandet av resultaten och tjänsterna i Isaacus-utvecklingsprojekt i tillståndsmyndighetens tjänster samt att stödja inledandet av servicen.  
Social- och hälsovårdsministeriet har uppskattat resursbehovet under åren 2018—2012 för tillståndsmyndighetens fortlöpande verksamhet till 4,8 miljoner euro och för investeringar av engångsnatur till 6,3 miljoner euro för utveckling av informationssäkra driftmiljöer och elektroniska tjänster.  
Utvidgningen av serviceverksamheten sker kostnadsneutralt så att den ökande efterfrågan motsvarar beloppet av de resurser som behövs i form av avgiftsbelagd service. Utvidgningen av den avgiftsbelagde servicen kommer enligt uppskattning att fördubblas före 2021 och i kundavgifter skulle då inflyta 350 000—700 000 euro per år. 
Institutet för hälsa och välfärd riktar under ramperioden 9,5 årsverken per år av sina befintliga resurser till tillståndsmyndighetens verksamhet. Sammanlagt uppgår de riktade resurserna till 38 årsverken under åren 2018—2021. Med budgetanslaget finansieras totalt 11 årsverken. 
Dessutom orsakas Tillstånds- och tillsynsverket för social- och hälsovården (Valvira) kostnader, eftersom verket ska övervaka att kraven på informationssäkra driftsmiljöer iakttas. Motsvarande uppgifter i anknytning till övervakningen av informationssystem sköts för tillfället med stöd av klientuppgiftslagen vid Valvira. Enligt uppskattning kommer endast några nya informationssäkra driftmiljöer att uppstå, och därför kan övervakningen av dem skötas med befintliga resurser. Dessutom ska Valvira inrätta ett offentligt register över godkända driftmiljöer. Inrättandet av ett offentligt register orsakar cirka 20 000 euro i anläggningskostnader och 2 000 euro per år i underhållskostnader. Kostnaderna för underhållet av registret finansieras med avgifter som tas ut hos leverantörer av driftmiljötjänster. Uppgifterna inleds efter övergångsperioden 2020. 
Lagförslaget gör det också möjligt för myndigheter som svarar för social- och hälsovårdstjänster att utvärdera och utveckla sin egen serviceverksamhets resultat, verkningsfullhet och kostnadseffektivitet. Det skapar även förutsättningar för att utvärdera och utveckla hur servicekedjorna inom social- och hälsovården fungerar. 
4.3
Konsekvenser för välfärd och hälsa
Propositionen bedöms öka användningen av forskningsdata och tillhandahållandet av uppgifter för ett ännu bredare forskarsamfund. I och med propositionen kan även uppgifter i befolkningsundersökningar och uppgifter om individens välfärd och hälsa bättre än tidigare fogas till exempel till datamaterial som beskriver social- och hälsovårdstjänster. Propositionen möjliggör också att uppgifter kan användas individuellt och effektiva behandlingar och nya läkemedel således tas i bruk i vissa riskgrupper. Propositionen skapar en ännu bättre grund även för prediktiv analys, dvs. prognoser baserade på matematiska modeller, och för användningen av applikationer för artificiell intelligens. Prediktiv analys och applikationer för artificiell intelligens utvecklas kraftigt vid behandlingen av stora datamaterial. Med hjälp av dem kan datamassor bättre än tidigare utnyttjas till exempel i det professionella vårdarbetet och beslutsfattandet. 
När forskningen ökar, ökar den indirekt även människors välfärd och hälsa. Samtidigt utvecklas sådana verktyg som används för att försöka påverka människors välfärd och hälsa. När datamängden ökar och informationen blir lättare att använda kommer sannolikt även den privata sektorns och bland annat läkemedelsindustrins intresse för uppgifterna att öka. Detta har kommit fram bland annat i Isaacus-projektet som finansieras av Sitra. I projektet har olika intressentgrupper tillfrågats vilken effekt en bättre användning av informationen skulle ha för deras verksamhet. I Finland finns en stark uppstartsföretagsverksamhet inom området för välfärd och hälsa och för den öppnar de föreslagna möjligheterna att använda uppgifter nya utsikter för affärsverksamhet såväl i Finland som internationellt. Detta möjliggör för sin del att nya produkter utvecklas inom området för välfärd och hälsa. Den växande kunskapsbasen och de personliga applikationer som drar nytta av den gör det möjligt att upprätthålla och utveckla individernas välfärd och hälsa och funktionsförmåga. 
I social- och hälsovårdsreformen föreslås att ansvar för att ordna tjänster överförs på landskapen. Det innebär att landskapen ska producera uppgifter om välfärd och hälsa och kommunerna sköta arbetet för att främja välfärd och hälsa. Detta innebär ett nytt slags informationsutbyte och samarbete ur landskapens och kommunernas synvinkel och det behövs samarbete i fråga om användningen av uppgifterna. Uppgifterna om välfärd och hälsa hänför sig också till andra sektorers verksamhet i kommunerna (bl.a. boende, undervisning, idrottsväsendet, ungdoms- och miljöverksamheten). Detta förutsätter nya slags strukturer för att få uppgifter om utvecklingen av kommuninvånarnas välfärd och hälsotillstånd. I förslaget föreskrivs dock inte särskilt om rätten till information mellan kommunerna och landskapen, eftersom saken är beroende av social- och hälsovårdsreformen. 
Den senaste tidens epidemier och smittsamma sjukdomar har också aktualiserat behovet av samlade myndighetsuppgifter. Med tanke på befolkningens välfärd och hälsa är det viktigt att få uppgifter t.ex. om vissa vaccineringars regionala täckning för att myndigheterna ska kunna planera eventuella riskkartläggningar och vaccineringskampanjer för befolkningen. 
Genom lagförslaget skapas förutsättningar för användningen av kunskapsunderlaget vid de kompetenscentrum (genomcentrum, cancercentrum och neurocentrum) som ingår i tillväxtstrategin för hälsobranschen och anknyter till individualiserad medicin. Förslaget möjliggör tillsammans med uppgifterna, genom uppgifterna och registeruppgifterna i biobanker flera forsknings- och utvecklingsinvesteringar, vilket i sin tur skapar en grund för att befolkningens välfärd och hälsa ska utvecklas i en gynnsam riktning. Förutsättningen för detta är ett ännu intensivare samarbete mellan forskningsinstitut, universitet, teknologiföretag och läkemedelsindustrin. 
Enligt både Institutet för hälsa och välfärds och Sitras utredningar litar befolkningen på myndigheterna och på att uppgifterna om hälsa, välfärd och användning av tjänster är väl skyddade och förfarandena för utlämnande av uppgifter lagenliga och informationssäkra. Den lagstiftning som nu föreslås främjar utvecklingen av informationssäkra driftmiljöer och förfaranden och skapar således en grund för att befolkningens förtroende för myndigheterna samt forskning och statistik hålls på en hög nivå också i framtiden.  
4.4
Konsekvenser för social- och hälsovårdssystemet
Servicesystemet inom social- och hälsovården står inför stora förändringar när social- och hälsovårdsreformen träder i kraft i början av 2020. Med tanke på planeringen och uppföljningen av förändringarna i servicesystemet är det viktigt att processerna för användningen av uppgifter ändras i enlighet med lagförslaget. I början av lagberedningen konstaterades att användningen av uppgifter för forskning förhindras av en oklar och långsam tillståndsprocess, en komplicerad lagstiftning, svårigheten att koppla samman den insamlade informationen med verksamheten i praktiken samt de splittrade datamaterialen och ofullständiga uppgifterna. Dessa problem beskriver väl också annan sekundär användning av uppgifter än forskningsanvändning, eftersom alla de ovan nämnda utmaningarna finns t.ex. inom informationsledning. Propositionen kommer därför sannolikt att bli en av de viktigaste lagändringarna i förhållande till informationsledning och uppbyggandet av servicesystemet i det framtida social- och hälsovårdssystemet.  
Den föreslagna lagstiftningen möjliggör en utveckling av kunskapsunderlaget såväl nationellt, i landskapen och för tjänsteproducenter som även för professionella behov och behoven inom beslutsfattande och ledning. Lagförslaget som gäller en sekundär användning av personuppgifter inom social- och hälsovården gör det möjligt att använda tjänsteproducenternas uppgifter i realtid inom informationsledning. Tjänstetillhandahållarnas möjlighet att använda sina datalager vid informationsledning stöder också en regional användning av information vid uppföljningen, utvecklingen och jämförelsen av tjänsternas funktion och effektivitet. Lagstiftningen skapar förutsättningar även för utvecklingsverksamhet och företagens produktutveckling. Lagstiftningen möjliggör ökade forskningsförutsättningar och skapar således en grund för högklassiga vetenskapliga forskningsmiljöer och nya innovationer som uppstår ur dem. Nya serviceinnovationer skapar förutsättningar för en utveckling av servicesystemet i en mer kundorienterad riktning och skapar en grund för uppkomsten av en mera individuell vård- och servicekultur.  
Med tanke på servicestrukturens utveckling är det viktigt att få forskningsdata om verkningsfulla tekniker i anslutning till välfärd och hälsa som kan ersätta t.ex. institutionsvård och således förskjuta tyngdpunkten i servicestrukturen från institutioner till människors hem. Denna förskjutning av tyngdpunkten har stor betydelse för hur den framtida servicestrukturen kommer att se ut och hur den borde byggas upp. Lagförslaget möjliggör också uppkomsten av ett ekosystem som byggs upp kring forskning och produktutveckling och kan gynna privata och offentliga aktörer av olika storlek. Förutsättningen för att ett ekosystem ska kunna uppkomma är att våra högklassiga registermaterial kan användas snabbt och så att kostnaderna för ibruktagandet av uppgifterna är skäliga. 
Med tanke på planeringen och uppföljningen av samt forskningen kring social- och hälsovårdssystemet som helhet är det problematiskt att heltäckande uppgifter i dagens läge produceras endast om specialiserad sjukvård. Informationsproduktionen i anslutning till primärvård har kunnat ökas under de senaste åren, men när det gäller öppenvårdstjänster inom socialvården har läget redan länge varit ohållbart. Information om öppenvårdstjänsterna inom socialvården samlas inte in i någon större utsträckning. Det har försvårat utvecklingen av tjänsterna och lett till otaliga separata insamlingar av information. Den planerade ändringen av lagen om Institutet för hälsa och välfärd skulle föra med sig en stor förbättring på den här punkten och förenhetliga den kunskapsbas som samlas in om social- och hälsovårdstjänster. Den skulle dessutom möjliggöra en bättre kvalitet på forskningen om socialvård, eftersom det för första gången skulle vara möjligt att få enhetlig information även om öppenvårdstjänsterna inom socialvården. 
I och med ändringen av lagen om Institutet för hälsa och välfärd blir datainnehållet mångsidigare och insamlingen av uppgifter vettigare, eftersom det skulle ske en övergång från variabelbaserad reglering till reglering enligt datatyp. Detta innebär att man vid Institutet för hälsa och välfärd betydligt bättre skulle kunna bemöta förändringar i omgivningen, t.ex. bygga upp och förverkliga det kunskapsunderlag och de utvärderingsfunktioner inom social- och hälsovården som anvisats Institutet för hälsa och välfärd. För närvarande kräver en förändring alltid en lagändring. Detta har under årens lopp lett till att uppgifter samlas in även om en del av uppgifterna kanske inte kommer att behövas. Å andra sidan har man inte kunnat samla in nödvändiga nya uppgifter. Ett aktuellt datainnehåll har betydelse för hur väl högklassig information fås från producenterna i servicesystemet och hur väl uppgifterna beskriver strukturen och verksamheten i det befintliga servicesystemet.Om alla upplever att de har nytta av uppgifterna sörjer man även för kvaliteten på de levererade uppgifterna. 
Social- och hälsovårdsreformen betonar integration inom social- och hälsovården. Sett utifrån servicesystemet gynnar den alla kunder som använder fler än en tjänst. Allra mest hjälper den sådana kunder och patienter som använder många tjänster. Även om förslaget till lag om ordnande av social- och hälsovården underlättar uppföljningen av tjänster som tillhandahålls dessa kund- och patientgrupper och även uppföljningen av servicekedjorna löser det inte i sig alla problem i anslutning till informationsinsamling, utan behöver basera sig på en lagstiftningsreform av den typ som föreslås.  
4.5
Konsekvenser för företag
Propositionen har konsekvenser för företag som är kunder hos Tillståndsmyndigheten för social- och hälsovårds uppgifter. Konsekvenserna i anslutning till utvecklandet av näringsverksamhet bedömdes i en gemensam utredning av social- och hälsovårdsministeriet, arbets- och näringsministeriet, Innovationsfinansieringsverket Tekes, Sitra, Näringslivets forskningsinstitut och Institutet för hälsa och välfärd våren 2017. I arbetet identifierades centrala verksamhetsområden som skulle vara potentiella kunder hos tillståndmyndigheten. Dessa skulle åtminstone vara företag som producerar mervärdestjänster, såsom företag som bedriver eller stöder dataanalys och informationsledning samt företag som producerar information för personalen. Både de stora aktörerna och uppstartsföretagen inom läkemedelsindustrin och hälsoindustrin kan ha nytta av registeruppgifterna. Även företag inom bioteknik, välbefinnande samt diagnostik och analys är potentiella kunder. När utredningsarbetet framskred visade det sig dock omöjligt att göra en kvantitativ bedömning av investeringspotentialen inom alla de olika verksamhetsområdena. 
I synnerhet inom läkemedelsindustrin och industrin för medicinsk utrustning finns det behov av att utnyttja register i undersökningar av effekten av medicinska produkter och anordningar, deras säkerhet och effektivitet. Enligt en konjunkturöversikt som föreningen Lääketeollisuus ry publicerade i april 2016 ämnar över hälften av de läkemedelsföretag som besvarade föreningens enkät under de närmaste åren öka registerforskningen speciellt i Finland. Forskningsinvesteringarna inom läkemedelsindustrin uppgår till ca 200 miljoner euro i Finland, varav ca 2 miljoner euro inriktas på erhållande av registeruppgifter.  
Exportstatistiken över hälsoteknik 2016 berättar att det är en av de snabbast växande exportbranscherna för högteknologi i Finland. Exporten av hälsoteknikprodukter ökade jämfört med året innan 9,7 % till sammanlagt 2,11 miljarder euro. Överskottet i handelsbalansen för verksamhetsområdet överskred för första gången milstolpen en miljard euro. År 2016 berodde ökningen i huvudsak på exporten av hälso- och sjukvårdsutrustning, som ökade med 12 % till sammanlagt 1,35 miljarder euro. Detta är 71 % av den totala exporten av hälsoteknik. Av överskottet utgjorde andelen hälso- och sjukvårdsutrustning 90 %. Det näststörsta delområdet var in vitro-diagnostik, som inbegrep både reagenser och utrustning. I synnerhet när det gäller det verksamhetsområdet är det viktigt att uppgifter förutom för vetenskaplig forskning även kan användas mera allmänt för utvecklings- och innovationsverksamhet. 
Möjligheterna inom IKT-industrin att utveckla innovativa produkter, programvara och tjänster skulle förbättras. Det skulle också finnas potential för både inhemska företags export till internationella marknader och påskyndandet av internationella investeringar i Finland. Användningen av registeruppgifter möjliggör en snabbare utveckling av plattformsekonomi och ekosystem.  
I en enkät till intressentgrupperna som arbetsgruppen gjorde hösten 2015 i det utkast till regeringsproposition för denna lag som varit på remiss bedömde en del av de svarande att det för närvarande finns undersökningar som inte förverkligas, eftersom tillgången till uppgifter inte är tillräckligt förutsägbar och uppgifterna inte fås tillräckligt snabbt eller kostnadseffektivt. Den allmänna åsikten var att om användningstillstånd för forskning, samkörning av uppgifter och uppgifter kunde fås snabbare och säkrare än nu, skulle forskningsverksamheten och investeringar i forskning i Finland öka. Flexiblare och snabbare tillstånds- och utlämnandeprocesser skulle också frigöra företagens satsningar på den egentliga forsknings- och utvecklingsverksamheten. Dessutom konstaterade flera av de företag som lämnat utlåtande om utkastet till regeringsproposition att de skulle vara redo att betydligt utöka sin verksamhet i Finland om det föreslagna centraliserade förfarandet för tillstånd och utlämnande av uppgifter förverkligas.  
Företagen föreslog också i Statens revisionsverks effektivitetsrevisionsberättelse Effektivitetsrevisionsberättelse: Främjande av företagsinvesteringar. Perspektiv från fyra affärsbranscher. Statens revisionsverks granskningsberättelser 4/2017 att tillståndsförfarandena ska förenklas och reduceras och genomföras enligt principen om alla ärenden över en disk för att investeringarna ska öka. Förutsägbarhet ansågs också viktig. Enligt företagen inom läkemedelsindustrin måste de fortfarande alltför ofta reda hur olika myndigheter inom statsförvaltningen kan fås att samarbeta. Det skulle vara ytterst lockande att i anonymiserad form öppna patientdatabaserna för affärsverksamhet, om det var möjligt. Finland ter sig lockande för företag på grund av sin forskningsrelaterade potential, inte så mycket med tanke på kostnads- eller prisnivån eller en ökad försäljning. Registerbaserad läkemedelsforskning (s.k. real world-forskning) blir allt viktigare, eftersom den är förmånlig och man med dess hjälp kan påvisa verkningar av läkemedel och behandlingar. Enligt företagen får registren inte i tillräcklig omfattning användas vid läkemedelsforskning. I synnerhet Folkpensionsanstaltens register borde kunna användas bättre. Företagen får mervärde i synnerhet av att vård- och serviceuppgifter samkörs med medicineringsuppgifter.  
Syftet med propositionen är inte att öka företagens administrativa börda, utan tvärtom att minska den. Tjänsteleverantörer för informationssäkra driftmiljöer orsakas dock kostnader för revisioner av informationssäkra driftmiljöer. Kostnaderna uppgår enligt uppskattning till några tusentals euro för varje driftmiljö. I praktiken torde dessa merkostnader överföras på de avgifter som tas ut hos användarna. Dessutom orsakas tjänsteleverantörerna kostnader för de avgifter som ska tas ut för anmälningar till Valvira, med stöd av vilka uppgifter om driftmiljöer registreras i Valviras offentliga register. Avgifterna rör sig om några tiotals euro per år. 
Processen för beviljande av användningstillstånd snedvrider inte heller konkurrensen, eftersom tillstånd för företag likaså beviljas enligt de lagstadgade förutsättningarna. Det aktiebolag som eventuellt bildas skulle inte konkurrera med verksamheten på marknaden. Eftersom det skulle behandla känsliga personuppgifter är det ur grundlagsperspektiv motiverat att bolaget bildas så att det agerar för en myndighets räkning.  
I förproduktionsprojekt till Sitras Isaacus-projekt har utvecklats en elektronisk tjänst för ärenden över en disk, beskrivningar av datainnehåll i register och utretts de centrala intressentgruppernas behov och förväntningar på tillståndsmyndighetens tjänster. I Sitras Isaacus-projekt har dessutom i synnerhet utvärderats efterfrågan på tillståndsmyndighetens tjänster inom läkemedelsindustrin och informationsledning. Utredningen bekräftade i synnerhet fördelarna för grundforskning och undersökningar av läkemedelsverkningar, men stora fördelar fås i olika skeden av processen för läkemedelsforskningen. Isaacus-projektet har som mål att påskynda inledandet av tillståndsmyndighetens verksamhet och en högklassig service för att Finlands försprång när det gäller att använda datalager hålls jämfört med andra länder.  
4.6
Konsekvenser för medborgarnas ställning
Propositionen har konsekvenser för medborgarnas ställning främst när det gäller skyddet för deras personuppgifter. För forsknings- och statistikföringsändamål samt myndighetens planerings- och utredningsuppgifter kan personuppgifter användas med stöd av redan gällande lagstiftning. I synnerhet för dessa ändamål skulle ställningen för registrerade personer förbättras genom de informationssäkerhetsåtgärder som avses i detta lagförslag och som är utgångspunkten i all behandling av personuppgifter enligt denna lag.  
För närvarande samlas uppgifter som behövs för en och samma forskningsplan in särskilt från olika myndigheter som levererar dem till tillståndshavaren bl.a. på CD-skivor och minnespinnar. Den utgångspunkt för behandlingen av uppgifter som föreslås i propositionen är att uppgifter ska behandlas i en informationssäker driftmiljö, vilket innebär att behandlingen av uppgifter förverkligas i en teknisk och fysisk miljö där informationssäkerheten har säkerställts genom ändamålsenliga administrativa och tekniska åtgärder och med ändamålsenliga standarder för informationssystemen. Detta innebär att uppgifter behandlas i en informationssäker miljö som användarna ges åtkomsträttigheter till.  
En centraliserad administrering och behandling av ansökningar om användningstillstånd och uppgifter som lämnas ut med stöd av dem via informationssäkra anslutningar minskar väsentligt riskerna i anslutning till behandlingen av uppgifter med avseende på de registrerade. Dessutom har noggrannare bestämmelser utfärdats om övervakningen av behandlingen av uppgifter. Noggrannare bestämmelser möjliggör ett bättre rättsskydd för de registrerade än tidigare. Registeransvariga förpliktas i förslaget att beskriva sitt datamaterial. När datamaterialen beskrivs bättre än för närvarande, kan även registrens allmänna datainnehåll mera öppet undersökas av alla. 
Användningsändamålen för känsliga och sekretessbelagda personuppgifter skulle dock tack vare propositionen breddas jämfört med nuläget. Delvis nya bland de användningsändamål som föreskrivs i lagen är utvecklings- och innovationsverksamhet, undervisning, informationsledning samt myndighetsstyrning och myndighetstillsyn. Uppgifter får inte för något användningsändamål användas till beslutsfattande som gäller individen, och därför är konsekvenserna för medborgarna i regel indirekta. På så vis äventyras inte medborgarens rättsliga ställning. 
I utvecklings- och innovationsverksamhet skyddas den registrerades ställning av att personuppgifter kan lämnas ut endast med hans eller hennes samtycke. En medborgare kommer då själv åt att påverka om hans eller hennes uppgifter ska användas för en sådan verksamhet eller inte.  
Vid framställning av undervisningsmaterial har behandlingen av personuppgifter för närvarande saknat lagstiftningsgrund. Genom förslaget tryggas den registrerades ställning genom bestämmelser om under vilka förutsättningar personuppgifter får behandlas vid framställningen av undervisningsmaterial och i undervisningssituationer. Samtidigt tryggas medborgarnas möjligheter att få god vård och tjänster, när personalen får sådan utbildning de behöver i sitt arbete.  
Inom informationsledning får behandlas uppgifter som uppkommit i verksamhet som bedrivs av en tillhandahållare av social- och hälsovårdstjänster eller uppgifter som tjänstetillhandahållaren registrerat i sina egna register. Informationsanvändningen skulle inte äventyra medborgarens rättsskydd, eftersom informationen inte får användas i beslutsfattande som gäller individen. Målet är däremot att effektivisera tjänstetillhandahållarens processer och t.ex. möjliggöra uppföljning av tjänsternas kvalitet, vilket skulle göra det möjligt att observera eventuella brister redan i ett tidigare skede och förbättra servicen för medborgarna samt spara offentliga medel. 
I myndighetsstyrning och myndighetstillsyn följer rätten att få upplysningar om personuppgifter av annan lagstiftning. Således skulle den föreslagna bestämmelsen om myndighetsstyrning och myndighetstillsyn inte försämra medborgarnas rättsliga ställning, eftersom rätten till information redan finns som sådan. Däremot skulle den kunna förbättra den. Syftet med bestämmelsen är nämligen att underlätta tillsynen, vilket skulle göra det lättare att observera om objektet för tillsynen inte agerar i enlighet med de skyldigheter som ställts för det. Då skulle medborgarens möjligheter att få ändamålsenliga social- och hälsovårdstjänster förbättras. 
Uppgifter kan enligt förslaget även lämnas ut i anonym form. Detta äventyrar inte den registrerades eller medborgarens ställning, eftersom individen inte längre kan identifieras i uppgifterna. Vid anonymisering måste man se till att rätt teknik används för att slutresultatet verkligen ska vara anonymt och individens rättsliga ställning inte heller i praktiken äventyras. 
Propositionen bedöms utöka forskning och innovationer kring medborgarnas hälsa och välfärd, förebyggande av sjukdomar och utvecklandet av nya behandlingsmetoder. Den förbättrar på lång sikt social- och hälsovårdstjänsterna och vården för medborgarna. Propositionen bedöms dessutom bidra till att man i framtiden kan snabbare och i ett tidigt skede bemöta servicebehov med tjänster som har låg tröskel. 
I takt med att elektroniska tjänster utvecklas, får kunder och patienter större kontroll över uppgifter som gäller dem själva. Redan nu administrerar en stor del av befolkningen uppgifter om sig själva via tjänsten Mina Kanta -sidor. Tjänster som gäller kundernas egna uppgifter kommer ytterligare att utvidgas i fortsättningen. De nya elektroniska verktygen är planerade så att kunderna och patienterna självständigt kan sköta sina egna ärenden. I fortsättningen sköter kunderna största delen av sitt servicebehov via elektroniska verktyg. Målet är samtidigt att minska trycket på servicesystemet. När användningen av elektroniska informationssystem och informationsplattformar ökar, samlas även alltmer uppgifter som gäller befolkningens välfärd och hälsa i dem. På så sätt kan den information som samlas även utnyttjas inom de gränser som lagstiftningen medger.  
5
Beredningen av ärendet
5.1
Beredningsskeden och beredningsmaterial
Statsrådets biträdande justitiekansler konstaterade i sitt beslut den 10 februari 2014, Dnr OKV 628/1/2912 att en sådan situation där Institutet för hälsa och välfärd samlar in känslig information tillsammans med personbeteckningar till vårdanmälningsregistret står i strid mot grundlagen. I beslutet gavs ministeriet en anmärkning och ett föreläggande att vidta korrigerande åtgärder. I början av våren 2015 ordnade social- och hälsovårdsministeriet dessutom ett seminarium för att utreda vilka lagstiftningsändringar som behövs för sekundär användning av personuppgifter inom social- och hälsovården. Vid seminariet presenterades ett stort antal ändringsbehov. 
För beredningen av de lagstiftningsändringar som behövs och andra fortsatta åtgärder tillsatte social- och hälsovårdsministeriet den 1 april 2015 en arbetsgrupp för revideringen av lagstiftning om sekundär användning av kund- och patientuppgifter inom social- och hälsovården för mandatperioden 1.4.2015—31.5.2016. Mandatperioden förlängdes senare till utgången av 2016. Arbetsgruppen ordnade sex verkstäder där intressentgrupperna hördes. Verkstäderna berörde bland annat användningstillstånd och förfaranden för utlämnande av uppgifter, innovations- och affärsverksamhet, sekundär användning av uppgifterna i det nationella hälsoarkivet, informationsledning och en centraliserad tillståndstjänst. Utkastet till regeringsproposition var på remiss i augusti–september 2016. 
Som ett resultat av arbetsgruppens arbete utarbetades ett utkast till regeringens proposition om en informationssäker användning av social- och hälsovårdsuppgifter. Arbetsgruppen gjorde under sitt arbete upp en beskrivning av den övergripande arkitekturen för en sekundär användning av social- och hälsovårdsuppgifter. Arbetsgruppen föreslog som fortsatt åtgärd att arkitekturarbetet skulle fortsättas. Arbetsgruppen föreslog också att bestämmelser om de etiska kommissionernas ställning inte tas in i den föreslagna regeringspropositionen, utan att det först görs en mera omfattande utredning om deras ställning.  
Likaså ansåg arbetsgruppen att man i det fortsatta arbetet bör bedöma vilka de giltiga värderingskriterierna är för arkivering av forskningsmaterial inom social- och hälsovården, vems uppgift värderingen skulle vara och hur värderingen skulle göras i praktiken. Dessutom anser arbetsgruppen att förutsägbara kriterier bör ställas för utvärderingen och uppföljningen av hur tillståndsvillkoren iakttas. Material från arbetsgruppens arbete finns i tjänsten Innobyn under namnet ”SOTE-asiakas- ja potilastiedon toissijaisen käytön lainsäädäntötyörymä”. 
När arbetsgruppens arbete hade avslutats fortsatte det vid tjänstemannaberedning och politisk beredning. Social- och hälsovårdsministeriet har i den fortsatta beredningen tagit hänsyn till responsen från remissbehandlingen och hört registeransvariga, ministeriet och andra aktörer som berörs av propositionen. Tillsammans med företrädare för dataombudsmannens byrå har man särskilt bearbetat de punkter som gäller behandlingen av personuppgifter.  
5.2
Remissyttranden och hur de har beaktats
Utkastet till regeringsproposition var på remiss i augusti–september 2016. Sammanlagt 93 utlåtanden om propositionen lämnades in. Av dem lämnades 58 till ministeriets registratorskontor och 35 elektroniskt via en Webropool-enkät. Vissa remissinstanser svarade både på Webropool-enkäten och lämnade ett separat utlåtande till registratorskontoret.Utlåtanden lämnades av totalt 82 olika aktörer. Remissinstanserna var bl.a. de registeransvariga som nämns i propositionen, ministerier, forskningsinstitut, städer och kommuner, tjänstetillhandahållare inom social- och hälsovården, tillsynsmyndigheter, IKT-företag och företag som är specialiserade på social- och hälsovård, fackorganisationer inom social- och hälsovård samt biobanker.  
I utlåtandena ansågs undantagslöst att målet i propositionsutkastet att göra behandlingen av användningstillstånd flexiblare och underlätta den anknytande administrativa bördan behövs. Likaså ansågs ett hanteringssystem för begäranden om information, en informationssäker drifttjänst och driftmiljö vara värda att understöda. I utlåtandena framhölls att en tillräcklig nivå på informationssäkerheten måste garanteras redan på lagnivå.  
I utlåtandena påtalades flaskhalsarna i det nuvarande systemet, såsom att det är en komplicerad och långsam process att få information från enskilda registeransvariga på grund av förfarandet för användningstillstånd. Remissinstanserna ansåg att det utan tillräckliga resurser kan uppstå flaskhalsar även i det nya systemet. För att förhindra dem föreslogs t.ex. bestämmelser om tidsfrister. Tidsfrister har tagits in i propositionen.  
Negativa ställningstaganden till de metoder för att uppnå målen som ingår i propositionsutkastet kom också i synnerhet från de registeransvariga. Folkpensionsanstalten och Befolkningsregistercentralen betonade i egenskap av centrala registeransvariga den registeransvarigas rätt och skyldighet att själv besluta om utlämnande av sina registeruppgifter. Likaså Statistikcentralen, som enligt den gällande statistiklagen själv beslutar om utlämnande av uppgifter.  
Finansministeriets utlåtande var kritiskt delvis av samma orsaker som Statistikcentralens och Befolkningsregistercentralens utlåtanden. Kommunikationsministeriet, arbets- och näringsministeriet och undervisnings- och kulturministeriet ansåg att den föreslagna verksamhetsmodellen och bestämmelserna i princip är lyckade, även om de föreslog preciseringar i den fortsatta beredningen av propositionen. Justitieministeriet ansåg att förslaget i sig är värt att understöda, men framhöll att det måste vidareutvecklas i många avseenden i synnerhet utifrån dataskyddsförordningen. 
Däremot ansåg speciellt de som använder information att den föreslagna organiserings- och regleringsmodellen i princip är lyckad. Vissa remissinstanser föreslog att även användningstillstånd för en enskild registeransvarigs uppgifter ska sökas via ett centraliserat förfarande. Remissinstanserna hade dock inte en samsyn på detta utan vissa understödde den modell som föreslogs under remissbehandlingen enligt vilken en registeransvarigs uppgifter i princip lämnas ut av den registeransvarige själv. Därför har den ursprungligen föreslagna modellen hållits kvar i förslaget. 
Institutet för hälsa och välfärd ansågs allmänt vara sakkunnigt att sköta uppgiften som en centraliserad tillståndsmyndighet och det föreslogs att institutet också anförtros uppgifter i samband med övervakning av tillståndsvillkor och förvaring av forskningsmaterial. I några utlåtanden uttrycktes dock oro över hur Institutet för hälsa och välfärd i egenskap av tillståndsmyndighet opartiskt skulle kunna bevilja sig själv tillstånd. 
Centraliseringen av etisk granskning till ett bedömningsorgan fick ett ganska stort understöd, även om det i vissa utlåtanden föreslogs att den decentraliserade modellen fortsätter. Vidare betonades i vissa utlåtanden att det måste fås en stor expertreserv från olika specialområden för uppgiften. Inte i ett enda utlåtande föreslogs att den etiska granskning utvidgas till alla undersökningar som använder personregister, men i vissa utlåtanden föreslogs att det eventuella användningsområdet för dem breddas.  
Den bristfälliga konsekvensbedömningen väckte allmän kritik. Detta var å andra sidan också tanken, eftersom remissinstanserna även ombads ge bedömningar av vilka olika konsekvenser den föreslagna lagstiftningen skulle ha. Kritik riktades också allmänt mot att de föreslagna bestämmelserna inte har utvärderats i förhållande till EU:s dataskyddsförordning. Bristen berodde till stora delar på att den arbetsgrupp vid justitieministeriet som lade upp riktlinjer för verkställigheten av förordningen bara börjat sitt arbete när propositionsutkastet sändes på remiss.  
I propositionsutkastet efterlystes bedömning av dess relation till biobankernas och det kommande genomcentrets verksamhet. Eftersom avsikten är att lagen om sekundär användning av personuppgifter inom social- och hälsovården ska vara en allmän lag för verksamhetsområdet, är det motiverat att just lagen om sekundär användning behandlas först i riksdagen. Lagstiftningen om genomcentret och biobanker skulle inom sina egna områden komplettera den helhet som gäller sekundär användning.  
Kritik framfördes mot att social- och hälsovårdsreformen inte beaktats bättre i propositionsutkastet och att det är kommunerna som ska främja hälsa och välfärd. Strävan har varit att utarbeta förslaget till proposition så allmängiltigt att behoven av ledning, utveckling och styrning inom social- och hälsovården oberoende av administrativa lösningar kan bemötas med dess hjälp. Det har ansetts motiverat att bereda preciseringar som gäller kommunerna särskilt senare, när beredningen av social- och hälsovårdsreformen har kommit längre. 
I vissa utlåtanden efterlystes att konsekvenserna av förslaget till proposition skulle utsträckas till privat ordnad social- och hälsovård. Å andra sidan ansåg privata aktörer som lämnat utlåtande att propositionen också möjliggör deras verksamhet. I flera utlåtanden bedömdes att förslaget om det genomförs kommer att betydligt utöka verksamheten i fråga om forskning, utveckling och utvärdering samt systemutveckling inom social- och hälsovården i Finland.  
Endast några remissinstanser tog ställning till förslaget till ändring av lagen om Institutet för hälsa och välfärd. Av dem ansåg Institutet för hälsa och välfärd att den föreslagna bestämmelsen är bra och ändamålsenlig. Statistikcentralen uttryckte sin oro över att sekretessbelagda uppgifter som samlas in för statistiska ändamål också kan användas för institutets andra lagstadgade uppgifter. Bland annat Befolkningsregistercentralen och finansministeriet uttryckte oro över att användningen av Institutet för hälsa och välfärds uppgifter inte är tillräckligt exakt reglerad. Terveyspalvelualan Liitto, Terveystalo Oy och Läkarföretagen rd anmärkte att frågor som omfattas av företagshemlighet borde uteslutas från rätten för Institutet för hälsa och välfärd att få information. Riksdagens justitieombudsman föreslog att Dataombudsmannen ska ges besvärsrätt i den paragraf som gäller utvidgandet av rätten att få information.  
Speciellt lagförslaget som gäller sekundär användning av personuppgifter inom social- och hälsovården har preciserats betydligt efter remissbehandlingen, men propositionens centrala innehåll har bibehållits. Även lagförslaget om Institutet för hälsa och välfärd har preciserats. Nästan alla ändringar har gjorts utifrån remissinstansernas förslag. Lagens uppbyggnad har ändrats så att den är lättare att läsa och det är lättare att förstå helheten. 
Det lagnamn som föreslogs under remissbehandlingen ”lagen om informationssäker användning av social- och hälsovårdsuppgifter” har gjorts mera beskrivande. Sekundär användning av social- och hälsovårdsuppgifter motsvarar den engelska termen ”secondary use”, som är i allmänt bruk internationellt. ”Sekundär användning” beskriver bättre propositionens syfte, eftersom det handlar om att personuppgifter används för något annat ändamål än för det som de ursprungligen registrerades för.  
Efter remissbehandlingen har förts många förhandlingar med de registeransvariga och andra parter. Målet har varit att hitta en lösning som tillfredsställer alla parter. Bestämmelserna som gäller myndigheternas behörighet har preciserats med stöd av utlåtandena och förhandlingarna. Tillståndsmyndighetens verksamhet har avskilts från substansverksamheten vid Institutet för hälsa och välfärd. Statistikcentralen och Institutet för hälsa och välfärd beslutar i egenskap av statistikmyndigheter nu enligt förslaget själva om användningstillstånd.  
Kraven för en informationssäker driftmiljö och informationssäkerhet har ändrats med stöd av utlåtandena. Kraven för informationssäkra driftmiljöer är betydligt mera detaljerade i lagförslaget än i det förslag som varit på remiss. Bedömningsorganet för informationssäkerhet ska granska informationssäkra driftmiljöer. 
Dessutom har de paragrafer i lagförslaget som gäller behandlingen av personuppgifter bearbetats i synnerhet i slutskedet av beredningen, eftersom de nationella riktlinjerna i anknytning till dataskyddsförordningen och beredningen av en allmän lag vid justitieministeriet har framskridit. Bestämmelserna som gäller behandlingen av personuppgifter har utarbetats i enlighet med dataskyddsförordningen. 
6
Samband med andra propositioner
Propositionen har samband med följande regeringspropositioner: 
Ändringar i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007) 
Regeringens proposition till riksdagen med förslag till lagstiftning om inrättande av landskap och om en reform av ordnandet av social- och hälsovården (RP 15/2017 rd) behandlas för närvarande i riksdagen.  
Ändringar i biobankslagen 
Den lagstiftning om ett genomcenter och ett nationellt cancercentrum som är på gång  
En ny dataskyddslag som bereds vid justitieministeriet och i enlighet med den en bedömning av användningen av det nationella handlingsutrymmet i EU:s allmänna dataskyddsförordning. 
En proposition om Statens tillstånds- och tillsynsmyndighet. 
DETALJMOTIVERING
1
Lagförslag
1.1
Lag om sekundär användning av personuppgifter inom social- och hälsovården
1 kap. Allmänna bestämmelser
I detta lagförslag är bestämmelserna indelade i sex kapitel, varav det första gäller lagens syfte, tillämpningsområde och definitioner. I det andra kapitlet finns bestämmelser om myndigheter och organisationer som berörs av förslaget. I det tredje kapitlet föreskrivs skyldigheter för dessa myndigheter att producera tjänster med vars hjälp kunduppgifter och andra personuppgifter som ska samköras med dem kan behandlas smidigt och informationssäkert för användningsändamål enligt lag.  
Bestämmelser om grunder och förutsättningar för att personuppgifter ska kunna behandlas för sekundära ändamål enligt denna lag, dvs. för andra ändamål än de ändamål för vilka personuppgifterna ursprungligen registrerades, finns i kapitel fyra. Det femte kapitlet innehåller procedurbestämmelser om behandlingen av ansökan om användningstillstånd och om allmänna förutsättningar för beviljande av tillstånd samt om förfarandet för utlämnande av uppgifter till tillståndshavaren. Särskilda förutsättningar för tillstånd för olika typer av användningsändamål finns i kapitel fyra. Kapitel sex innehåller olika andra bestämmelser, t.ex. bestämmelser om skyldigheter på basis av olika kliniska fynd, överklagande och övergångsperioder. 
1 §. Lagens syfte. I 1 § föreskrivs det om lagens syften. Enligt 1 mom. i den föreslagna paragrafen är lagens syfte att möjliggöra en effektiv och informationssäker behandling av personuppgifter som har registrerats i social- och hälsovårdsverksamhet och för styrnings-, tillsyns-, forsknings- och statistikändamål inom social- och hälsovården samt en samkörning med Folkpensionsanstaltens, Befolkningsregistercentralens, Statistikcentralens och Pensionsskyddscentralens personuppgifter.  
Närmare bestämmelser om Folkpensionsanstaltens, Befolkningsregistercentralens, Statistikcentralens och Pensionsskyddscentralens personuppgifter finns i 6 §. Dessa personuppgifter är 
kunduppgifter som Folkpensionsanstalten registrerat i samband med förmånshandläggning, 
grundläggande personuppgifter som förts in i Befolkningsregistercentralens befolkningsdatasystem, uppgifter om familjeförhållanden och bostadsort samt byggnadsuppgifter, 
Statistikcentralens uppgifter som avses i lagen om utredande av dödsorsak (459/1973), och 
nödvändiga personuppgifter som i samband med verkställighet av arbetspensionsskydd förts in i Pensionsskyddscentralens register om de försäkrades arbets- och förvärvsuppgifter och beviljade förmåner samt om grunderna för dem inklusive diagnoser för invalidpensioner och sjukpensioner, 
Bestämmelser om tillåtna användningsändamål för uppgifterna föreslås i 2 §. Dessa är statistikföring, vetenskaplig forskning, utvecklings- och innovationsverksamhet, undervisning, informationsledning, myndighetsstyrning och myndighetstillsyn inom social- och hälsovården samt myndigheternas planerings- och utredningsuppgifter. Bestämmelser om särskilda grunder för utlämnande av uppgifter för varje enskilt ändamål föreskrivs i de föreslagna 37—42 § och bestämmelser om allmänna grunder för utlämnande av uppgifter i kap. 4 och 5.  
Inom området för välfärd och hälso- och sjukvård behövs det för ovan beskrivna ändamål ofta förutom känsliga kunduppgifter på personnivå inom social- och hälsovården också andra – ofta sekretessbelagda – personuppgifter som avses i 6 § från Folkpensionsanstalten, Befolkningsregistercentralen, Pensionsskyddscentralen och Statistikcentralen.  
Liksom det konstateras ovan uppstår en mängd problem och en betydande administrativ börda av alla de ansökningar om användningstillstånd till olika registeransvariga och den separata behandling av dem som behövs för genomförandet av en och samma plan för användning av uppgifter. I offentlighetslagen har målet varit att bemöta denna typ av problem så att det inom varje förvaltningsområde är ministeriet som enligt 28 § på den registeransvarigas vägnar centraliserat svarar för beviljande av användningstillstånd, om uppgifter behövs från flera registeransvariga inom samma ministeriums förvaltningsområde. Det har blivit ett problem att det inom området för välfärd och hälsa behövs personuppgifter från flera olika ministeriers förvaltningsområde och från Folkpensionsanstalten, och bestämmelsen i 28 § i offentlighetslagen om samordnad tillståndsbehandling täcker inte sådana situationer.  
En smidig och snabb process för tillståndsbehandling och utlämnande av uppgifter för behandling av personuppgifter från olika registeransvariga för något annat än det ursprungliga användningsändamålet förverkligas i praktiken genom att  
nedmontera parallella byråkratiska tillståndsförfaranden i anslutning till en och samma plan för användning av uppgifter och centralisera beviljandet av användningstillstånd till en enda myndighet, 
förverkliga en tjänst för insamling, samkörning och förbehandling av uppgifter enligt 14 §, ett hanteringssystem för begäranden av information enligt 16 §, en informationssäker driftmiljö enligt 20 § för behandling av utlämnande uppgifter samt en anknytande informationssäker drifttjänst enligt 17 §, samt  
göra det elektroniska utlämnandet av uppgifter mellan myndigheter smidigare vid behandling av tillstånd och utlämnande av uppgifter. 
Redan i gällande lagstiftning är tillståndsbehörigheten centraliserad i vissa situationer. Enligt 24 § 25 punkten i offentlighetslagen är uppgifter om en klient hos socialvården samt de förmåner eller stödåtgärder eller den socialvårdsservice som denne har erhållit samt uppgifter om en persons hälsotillstånd eller handikapp, den hälsovård eller rehabilitering som denne har erhållit sekretessbelagda oberoende av i vilken myndighets handlingar de är införda. Enligt 24 § 16 punkten i offentlighetslagen är även handlingar som överlämnats till statistikmyndigheter för statistikframställning liksom handlingar som frivilligt överlämnats till en myndighet för forskning eller statistikföring sekretessbelagda. 
Enligt bestämmelsen kan en myndighet enligt 28 § i offentlighetslagen i enskilda fall dock bevilja tillstånd att ta del av en sekretessbelagd handling för vetenskaplig forskning eller statistikföring eller för ett sådant planerings- eller utredningsarbete som en myndighet utför, om det är uppenbart att de intressen som sekretessplikten är avsedd att skydda inte kränks om uppgifter lämnas ut. Prövningen av om tillstånd ska beviljas eller inte ska utgå från att den vetenskapliga forskningens frihet tryggas. Om de uppgifter som ingår i en handling har lämnats ut till en myndighet med samtycke av den vars intressen sekretessplikten är avsedd att skydda, får tillstånd inte beviljas i strid med de villkor för användning och utlämnande som uppställts i samtycket. Om tillstånd behövs för handlingar som finns hos flera myndigheter som är underställda samma ministerium, fattar ministeriet beslut om beviljande av tillstånd efter att vid behov ha hört myndigheterna. Ett tillstånd kan beviljas för viss tid, och till det ska fogas bestämmelser som behövs för att skydda enskilda intressen. Ett tillstånd kan återkallas, om det anses att det finns skäl för återkallandet. 
Behandling av kunduppgifter inom social- och hälsovården berörs i första hand av klientlagen och patientlagen som speciallagar. Enligt 14 § i klientlagen ska socialvårdshandlingar som innehåller uppgifter om socialvårdsklienter eller andra enskilda hållas hemliga. I fråga om utlämnande av uppgifter för vetenskaplig forskning gäller enligt 18 § 5 mom. vad som bestäms i lagen om offentlighet i myndigheternas verksamhet och i personuppgiftslagen. Dessutom kan Institutet för hälsa och välfärd under de förutsättningar som anges närmare i lag bevilja tillstånd för utlämnande av uppgifter i enskilda fall, när det för vetenskaplig forskning behövs uppgifter ur handlingar om en klient som finns hos en privat socialvårdsproducent eller hos fler än en kommun eller samkommun som producerar socialvårdstjänster.  
På motsvarande sätt är uppgifterna i journalhandlingar sekretessbelagda enligt 13 § 1 mom. i patientlagen och i 2 mom. i samma paragraf föreskrivs om tystnadsplikt för personer som deltar i vården av patienten. Enligt 13 § 5 mom. gäller i fråga om utlämnande av uppgifter som ingår i journalhandlingar för vetenskaplig forskning och statistikföring vad som bestäms om det i lagen om offentlighet i myndigheternas verksamhet, lagen om riksomfattande personregister för hälsovården och personuppgiftslagen. Dessutom kan Institutet för hälsa och välfärd bevilja tillstånd att under förutsättningar som anges närmare i lag få uppgifter i enskilda fall, när det för vetenskaplig forskning behövs uppgifter ur journalhandlingar som finns hos en i lagen om privat hälso- och sjukvård avsedd enhet som tillhandahåller hälso- och sjukvårdstjänster, hos en yrkesutbildad person inom hälso- och sjukvården som utövar sitt yrke självständigt eller hos flera än en kommun eller samkommun som tillhandahåller hälso- och sjukvårdstjänster. 
Bestämmelserna i patient- och klientlagen skiljer sig i någon mån från varandra. Det har gjorts olika tolkningar av om användningstillstånd för kunduppgifter inom social- och hälsovården med stöd av 28 § i offentlighetslagen fortfarande kan ges för en myndighets planerings- och utredningsuppgift, när det i speciallagar som i patientlagen hänvisas endast till vetenskaplig forskning och statistikföring och i klientlagen endast till vetenskaplig forskning. Dessutom är Institutet för hälsa och välfärds rätt att besluta om utlämnande av uppgifter hos offentliga registeransvariga för patient- och klientregister begränsad till kunduppgifter i en kommun eller samkommun. Även i vissa statliga myndigheters verksamhet samlas kunduppgifter inom social- och hälsovården samt uppgifter med en nära anknytning till med dem som behöver behandlas för sådana ändamål som avses i 28 § i offentlighetslagen. Det är oändamålsenligt att tillstånd för flera olika registeransvarigas patient- och klientuppgifter enligt gällande lagstiftning i en del fall beviljas av social- och hälsovårdsministeriet, i en del av Institutet för hälsa och välfärd. 
Bestämmelser om ett särskilt tillståndsförfarande finns dessutom i lagen om medicinsk forskning (488/1999) samt i Europaparlamentets och rådets förordning (EU) nr 536/2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG (förordningen om kliniska prövningar av humanläkemedel), som sannolikt träder i kraft 2018. För verkställigheten av förordningen bereds som bäst en nationell lagstiftning som i den mån det är möjligt ska vara förenlig med de processer för användningstillstånd och utlämnande av uppgifter som införs i denna lag. Även i medicinsk forskning och i klinisk läkemedelsforskning behövs ofta andra personuppgifter än de som samlas in och uppstår i själva forskningsprocessen. I både medicinsk och klinisk forskning som berör människan förutsätts dessutom att etiska kommittén gör en positiv förhandsgranskning som också inleds via det hanteringssystem för begäranden av information som avses i den föreslagna 16 §.  
Enligt det föreslagna 2 mom. är lagens syfte, utöver vad som föreskrivs i 1 mom., att trygga individens rättigheter och friheter när personuppgifter behandlas för ändamål enligt den aktuella lagen. Grundlagens 10 § tryggar skyddet för personuppgifter som en del av skyddet för privatlivet. Enligt den utfärdas bestämmelser om behandling av personuppgifter genom lag. Kravet på bestämmelser genom lag uppfylls för närvarande genom personuppgiftslagen, offentlighetslagen och specialbestämmelser om social- och hälsovård. Bestämmelserna i personuppgiftslagen är fram till den 24 maj 2018 förenliga med EU:s gällande uppgiftsskyddsdirektiv.  
EU:s allmänna dataskyddsförordning ersätter uppgiftsskyddsdirektivet och är som sådan tillämplig lagstiftning i medlemsstaterna från den 25 maj 2018. Förordningens bestämmelser ska beaktas när denna lag stiftas och är primära i förhållande till nationell lag. Genom lagen preciseras och kompletteras dataskyddsförordningen till de delar det har lämnats nationellt spelrum i den. Som nationella allmänna lagar tillämpas dessutom en ny allmän lag och offentlighetslag som ska ersätta personuppgiftslagen. Ändringar i lagarna på grund följer av verkställigheten av dataskyddsförordningen är som bäst under beredning.  
Enligt artikel 5 i dataskyddsförordningen får personuppgifter inte användas eller behandlas på ett sätt som är oförenligt med det ursprungliga användningsändamålet för personuppgifterna. Senare behandling av personuppgifter för historiska, statistiska eller vetenskapliga forskningsändamål ska inte anses oförenlig med de ursprungliga ändamålen för behandlingen. Om behandlingen enligt skäl 50 är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den registeransvariga har fått i uppgift att utföra, kan medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Även i medlemsstatens lagstiftning kan finnas en rättslig grund för ytterligare behandling, om syftet med behandlingen är förenligt med det ursprungliga användningsändamålet. Lagstiftningens tillåtlighet ska dessutom avgöras genom begränsningsförfarandet enligt artikel 23 i förordningen.  
Enligt artikel 9 i dataskyddsförordningen hör uppgifter om en persons hälsa och genetiska uppgifter till s.k. särskilda kategorier av personuppgifter. I skäl 10 i ingressen till förordningen kallas de också känsliga uppgifter, vilket är ett begrepp som används även i uppgiftsskyddsdirektivet och i personuppgiftslagen och som för tydlighetens skull används i denna lag. Liksom nu är fallet i personuppgiftslagen kommer känsliga uppgifter även i fortsättningen att vara belagda med behandlingsförbud, från vilket det genom nationell lagstiftning kan göras avvikelser i synnerhet på de grunder som anges i artiklarna 6 och 9 i förordningen.  
Den registrerades rättigheter och friheter tryggas i lagförslaget bland annat så att uppgifter endast i anonymiserad form får lämnas ut utan tillståndsförfarande. Om uppgifter lämnas ut på annat sätt än i anonymiserad form, krävs användningstillstånd och iakttagande av tillståndsvillkor. Endast sådana uppgifter som är nödvändiga med avseende på den plan för användning av uppgifter som utgör grunden för ansökan om tillstånd får lämnas ut. Om uppgifter lämnas ut i på annat sätt än anonymiserade, lämnas de i regel ut i pseudonymiserad form och för behandling i en verifierat informationssäker driftmiljö där användningen av dem kan kontrolleras. I vissa situationer får uppgifter dessutom för informationsledning samt myndighetsstyrning och myndighetstillsyn behandlas utan användningstillstånd under de förutsättningar som föreskrivs i lag.  
För registeransvariga i fråga om vilka behandling av personuppgifter i deras verksamhet sannolikt skulle leda till en hög risk för fysiska personers rättigheter och friheter följer direkt av artikel 35 i dataskyddsförordningen en föregripande skyldighet att göra en konsekvensbedömning avseende dataskydd för registeransvariga, vars behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Denna skyldighet finns redan innan uppgifter behandlas. När det bedöms om en konsekvensbedömning ska göras ska behandlingens art, omfattning, sammanhang och ändamål beaktas.  
Den registrerade skulle i princip i alla de användningsändamål som föreslås i lagförslaget ha sådana rättigheter enligt dataskyddsförordningen som är direkt tillämpliga med stöd av dataskyddsförordningen. Med stöd av förordningen får dock under vissa villkor göras undantag från den registrerades rättigheter i lagstiftningen. Närmare bestämmelser om behövliga undantag utfärdas särskilt för varje användningsändamål i lagens 4 kap. Vissa undantag i dataskyddsförordning blir åter direkt tillämpliga när villkoren i förordningen uppfylls. 
Ett centralt mål i den föreslagna lagen är att skapa sådana processer för användningstillstånd för personuppgifter och för behandlingen av uppgifter som lämnas ut som lämpar sig för social- och hälsovårdsområdet och som garanterar en smidig, snabb och enhetlig tillståndsbehandling. Samtidigt strävar man efter att trygga skyddet för sådana personers personuppgifter och berättigade förväntningar vars personuppgifter användningstillståndet gäller samt deras självbestämmanderätt i fråga om uppgifterna i den mån det är möjligt med hänsyn till bland annat arten och omfattningen av de uppgifter som används.  
2 §. Tillämpningsområde. Enligt 1 mom. utfärdas bestämmelser som kompletterar EU:s allmänna dataskyddsförordning genom den föreslagna lagen, när de personuppgifter som avses i 1 § används för statistikföring, vetenskaplig forskning, utvecklings- och innovationsverksamhet, undervisning, informationsledning, myndighetsstyrning och myndighetstillstånd inom social- och hälsovården eller myndigheternas planerings- och utredningsuppgifter. Lagen ska också tillämpas på behandlingen av uppgifter om avlidna, trots att dataskyddsförordningen inte tillämpas på den. Dessutom tillämpas personuppgiftslagen om inte något annat föreskrivs i propositionen. På motsvarande sätt som personuppgiftslagen tillämpas den allmänna lag som bereds vid justitieministeriet vars syfte är att genomföra dataskyddsförordningen nationellt. Den ersätter personuppgiftslagen sedan den trätt i kraft. 
I paragrafens 2 mom. finns en hänvisning till 6 och 7 § i lagen. I 6 § avgränsas den datamängd som kan behandlas för de användningsändamål som räknas upp i 1 mom. till denna paragraf. Enligt den föreslagna 1 § är lagens primära syfte att möjliggöra en smidig och informationssäker behandling av uppgifter som har registrerats i social- och hälsovårdsverksamhet och för styrnings-, tillsyns-, forsknings- och statistikändamål inom social- och hälsovården även för andra ändamål än det ändamål för vilket de ursprungligen samlades in. Lagen ska dock även tillämpas när det för ändamål enligt 2 § behövs sådana personuppgifter som avses i 6 § från Folkpensionsanstalten, Befolkningsregistercentralen, Statistikcentralen, Institutet för hälsa och välfärd samt Pensionsskyddscentralen. Bestämmelser om begränsningar som gäller behandlingen av uppgifter som Statistikcentralen och Institutet för hälsa och välfärd i egenskap av statistikmyndighet samlat in för statistiska ändamål tas in i 7 §. 
Sådana uppgifter behövs vanligen när det bedöms hur servicesystemet inom social- och hälsovården fungerar och t.ex. effekterna av de producerade tjänsterna och de verksamhetsmodeller, vårdmetoder samt läkemedel som använts i dem. För dessa ändamål finns det vanligen ett behov av att behandla förutom de personuppgifter som registerförts i samband med social- och hälsovårdstjänsterna och förmånerna samt om kunderna och personalen även behandla uppgifter på befolkningsnivå från Befolkningsregistercentralen, Statistikcentralen och Pensionsskyddscentralen. 
Behandlingen av uppgifter för de användningsändamål som anges i lag begränsas på två sätt i paragrafen. På det sätt som beskrivs ovan begränsas i 2 mom. uppgifter som kan behandlas för de användningsändamål som anges i 1 mom. För det andra innehåller 3 mom. en hänvisningsbestämmelse till kap. 4 och 5, som för varje enskilt användningsändamål och användningstillstånd innehåller bestämmelser om begränsningar för användningen av uppgifter. 
3 §. Definitioner. I paragrafen ingår definitioner på begrepp som är centrala för tillämpningen av lagen.  
Enligt 1 punkten avses med kunduppgifter personuppgifter enligt artikel 4.1 i dataskyddsförordningen som enligt lag är sekretessbelagda och som har registrerats i ett kundregister i en kundrelation inom social- och hälsovården eller vid förmånshandläggning eller i ett administrativt register i anknytning till en kundrelation. Begreppet omfattar inom social- och hälsovården förutom kunduppgifterna i de egentliga journalhandlingarna även sådana specificerande uppgifter i en kundrelation som finns t.ex. i fakturor eller i administrativa handlingar som gäller anmärkningar och klagomål.  
Enligt 24 § 25 punkten i offentlighetslagen är handlingar som innehåller uppgifter om en klient hos socialvården eller en enskild kund hos arbetsförvaltningen samt de förmåner eller stödåtgärder eller den socialvårdsservice eller den service för arbetsförvaltningens enskilda kunder denne erhållit eller uppgifter om en persons hälsotillstånd eller handikapp, den hälsovård eller rehabilitering som denne har erhållit eller uppgifter om någons sexuella beteende eller inriktning sekretessbelagda. I 13 § i patientlagen och i 3 kap. och i 27 och 28 § i klientlagen finns dessutom separata bestämmelser om att patient- och klienthandlingar i sin helhet är sekretessbelagda samt om de särskilda grunder för när undantag kan göras från tystnadsplikten. Redan informationen om att en person är patient eller kund inom socialvården är sekretessbelagd.  
Det primära användningsändamålet för personuppgifter innebär enligt 2 punkten det användningsändamål för vilket personuppgifterna ursprungligen registrerades. Till exempel inom social- och hälsovården registreras kunduppgifter ursprungligen i samband med vård, omsorg och andra tjänster för kunderna. Personuppgifter registreras ursprungligen även t.ex. inom Institutet för hälsa och välfärds forskning och statistikföring t.ex. när uppgifter samlas in direkt från de registrerade eller andra informationskällor. Behandlingen av kunduppgifter regleras av bland annat speciallagar som klientlagen, lagen om klienthandlingar inom socialvården, patientlagen och förordningen om journalhandlingar som utfärdats med stöd av den samt klientuppgiftslagen. 
Med sekundärt användningsändamål för personuppgifter avses åter enligt 3 punkten behandlingen av personuppgifter för något annat användningsändamål än det primära användningsändamål som avses i 2 punkten. Användningsändamålen enligt denna lag räknas upp i 2 §. Även sådana uppgifter som ursprungligen registrerats för ett användningsändamål enligt 2 §, såsom forskning eller statistikföring, får behandlas för sekundära ändamål. Således får personuppgifter och forskningsmaterial som registrerats t.ex. i Institutet för hälsa och välfärds register behandlas för användningsändamål enligt lagförslaget (s.k. sekundär sekundär användning).  
Sekundär användning av uppgifter ska uppfylla villkoren i dataskyddsförordningen. När uppgifter behandlas för ett annat användningsändamål än det primära användningsändamålet ska behandlingen av uppgifterna i enlighet med artikel 5 vara förenlig med det ursprungliga ändamålet. Ytterligare behandling av uppgifter ska enligt artikel 6.4 i dataskyddsförordningen grunda sig på medlemsstaternas lagstiftning som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23 i förordningen. De mål som föreskrivs i artikel 23 är bland annat viktiga mål i anslutning till det allmänna intresset, såsom folkhälsa och social trygghet samt skydd av den registrerade eller andras rättigheter och friheter. Vidare ska det för behandlingen finnas en grund enligt artikel 6.1 och en grund enligt artikel 9.2 för behandlingen av känsliga uppgifter, såsom hälsouppgifter. Som förenligt ändamål anses i förordningen bland annat vetenskaplig forskning och statistikföring. 
Utvecklings- och innovationsverksamhet är enligt 4 punkten tillämpning och användning av tekniska uppgifter och affärsinformation och annan befintlig kunskap tillsammans med personuppgifter som avses i den föreslagna lagen i syfte att utveckla nya eller avsevärt förbättrade produkter, processer eller tjänster. Enligt definitionen förutsätter användningen av personuppgifter för utvecklings- och innovationsverksamhet enligt 4 punkten inte att verksamheten bedrivs med hjälp av vetenskapliga forskningsmetoder, eftersom bestämmelser om vetenskaplig forskning enligt dataskyddsförordningen ska tillämpas på sådan utvecklings- och innovationsverksamhet. Förutsättningen enligt 38 § är däremot den registrerades samtycke eller att personuppgifterna anonymiseras innan de lämnas ut. Den utvecklings- och innovationsverksamhet som avses i punkt 4 täcker inte ändringar som på yrkande av myndigheter rutinmässigt eller regelbundet görs i befintliga produkter, tjänster eller annan pågående verksamhet, även om ändringarna skulle innebära förbättringar.  
Med informationsledning avses enligt 5 punkten behandling av information till stöd för tjänstetillhandahållare vid styrning, ledning och beslutsfattande i fråga om verksamhet, produktion och ekonomi i kund-, service- och produktionsprocesser. I denna lag används begreppet för att beskriva i synnerhet intern ledning, styrning och övervakning hos en viss organisation eller tjänstetillhandahållare utifrån uppgifter som samlats i dess egen verksamhet.  
Om endast sådana personuppgifter i tjänstetillhandahållarens egna kundregister som den själv är registeransvarig för används för informationsledning, är det med stöd av dataskyddsförordningen tillåtet att behandla dem för informationsledningsändamål, om det föreskrivs nationellt om det. En stor del av tjänstetillhandahållarna inom social- och hälsovården är dock även tjänsteproducenter på uppdrag eller annars för en annan tjänstetillhandahållares räkning, vilket innebär att tjänsteproducenten inte är registeransvarig för de kunduppgifter som erhållits i verksamheten utan registerförare för dem. Vid beredningen av lagen har det också framgått att det skulle vara viktigt för tjänstetillhandahållare inom social- och hälsovården att få jämförande uppgifter om verksamhet som bedrivs av tjänstetillhandahållare som producerar och ordnar motsvarande tjänster. I den föreslagna 41 § föreskrivs om tjänstetillhandahållares möjlighet att använda andra registeransvarigas uppgifter för informationsledningsändamål.  
Myndighetsstyrning inom social- och hälsovården avser enligt 6 punkten de nationella social- och hälsovårdsmyndigheternas lagstadgade externa styrning av aktörer inom branschen baserad på person- och statistikuppgifter som samlats in för ändamålet eller på uppgifter som i ett enskilt fall har erhållits för styrnings- eller tillsynsuppgiften. Sådana uppgifter har på riksnivå bland annat ålagts Valvira och regionförvaltningsverken i flera lagar som gäller social- och hälsovårdstjänster, samt Fimea. 
Med myndighetstillsyn inom social- och hälsovården avses enligt 7 punkten sådan lagstadgad tillsyn över yrkesutbildade personer och verksamhetsenheter inom social- och hälsovården som utövas av de nationella social- och hälsovårdsmyndigheterna. För sådana tillsynsuppgifter svarar bland annat Valvira och regionförvaltningsverken samt Fimea. 
Med användningstillstånd avses enligt 8 punkten tillstånd enligt lagen att behandla de sekretessbelagda personuppgifter som anges i tillståndet. Enligt gällande lagstiftning kan ett sådant tillstånd beviljas för vetenskaplig forskning, statistikföring eller planerings- eller utredningsarbete som myndigheten utfört bland annat med stöd av 28 § i offentlighetslagen, 13 § 5 mom. i patientlagen och 18 § 5 mom. i klientlagen. I enlighet med det som föreslås i propositionen beviljas användningstillstånd för ändamål enligt denna lag av Tillståndsmyndigheten för social- och hälsovårdsuppgifter som finns i anslutning till Institutet för hälsa och välfärd, om tillståndet gäller uppgifter från flera av de registeransvariga som avses i 6 §. Om åter en begäran om information gäller personuppgifter från endast en myndighet, beviljas tillståndet av den registeransvariga, som för närvarande. En privat tjänstetillhandahållare kan enligt propositionen aldrig bevilja tillstånd för sina egna registeruppgifter, utan tillstånd till dem beviljas alltid av Tillståndsmyndigheten för social- och hälsovårdsuppgifter. Den myndighet som beviljat tillståndet anger i tillståndet den datamängd, som kan lämnas ut till tillståndshavaren. 
Enligt punkt 9 avses med begäran om information en begäran att få personuppgifter i anonymiserad form för ett användningsändamål enligt denna lag. När informationen har anonymiserats är den inte längre en personuppgift, eftersom den anonymiserats på ett sådant sätt att den registrerade inte längre är identifierbar. Sådan information berörs inte längre av normerna för behandlingen av personuppgifter. Därför krävs inte en process för användningstillstånd enligt denna lag för utlämnande av information, utan informationen kan genom ett förenklat förfarande lämnas ut för användningsändamål enligt lagen. Det är därför inte fråga om en ansökan om användningstillstånd utan om en begäran om information.  
Enligt punkt 10 avses med informationssäker drifttjänst en informationssäker lösning med hjälp av vilken parterna kan lämna ut uppgifter som omfattas av en användningsbegränsning. Med parter hänvisas till Tillståndsmyndigheten för social- och hälsovårdsuppgifter och instanser som kommunicerar med den. Med hjälp av en informationssäker drifttjänst kan den som begär uppgifter för ändamål enligt denna lag och en myndighet på ett informationssäkert sätt lämna ut uppgifter sinsemellan och informationen skulle gå både från den myndighet som framställt begäran och till den som begärt information från myndigheten. Likaså kan myndigheter sinsemellan lämna ut uppgifter med hjälp av en informationssäker drifttjänst. På så vis kan till exempel en tillståndssökande via tjänsten för användningstillstånd ansöka om användningstillstånd hos en myndighet och myndigheten kan via samma drifttjänst delge sökanden beslutet och lämna ut materialet. Tjänsten kan ha flera olika funktioner, t.ex. ifyllandet av blanketter eller utlämnande av åtkomsträttigheten till uppgifter. En informationssäker drifttjänst fungerar som en sådan teknisk anslutning som avses i 29 § 3 mom. i offentlighetslagen, via vilken myndigheterna kan lämna ut sekretessbelagda uppgifter till varandra. Enligt 29 § 3 mom. i offentlighetslagen får uppgifter sökas med hjälp av en teknisk anslutning endast i fråga om sådana personer som har samtyckt till detta, om inte något annat uttryckligen föreskrivs särskilt om utlämnande av en sekretessbelagd uppgift. 
Den informationssäkra driftmiljö som avses i 11 punkten är en sådan teknisk, organisatorisk och fysisk helhet för behandling av uppgifter där informationssäkerheten har säkerställts genom lämpliga administrativa och tekniska åtgärder. Med informationssäker driftmiljö hänvisas till en miljö där personuppgifter som lämnats ut av en myndighet får behandlas under de förutsättningar som anges i denna lag.  
Med informationssäker driftmiljö hänvisas i denna lag däremot inte till den miljö som Tillståndsmyndigheten för social- och hälsovårdsuppgifter använder för att samla in, samköra och lämna ut uppgifter. Ansvar som gäller tillståndsmyndigheten följer i regel direkt av annan lagstiftning och de uppgifter som ålagts till den i denna lag. I gällande lagstiftning åläggs myndigheterna skyldigheter i fråga om informationssäkerhetsåtgärder bland annat i 36 § i offentlighetslagen och i statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010), som utfärdats med stöd av lagen. 
En informationssäker driftmiljö inbegriper bland annat terminalutrustning, servrar, arbetsstationer, operativsystem och systemprogramvara samt lednings- och informationssäkerhetspraxis, som inte är en del av informationssystemet eller informationssystemtjänsten. I en informationssäker driftmiljö ingår också administreringen av informationssäkerhetsprocesserna och ledningssystem inklusive säkerhet för personal, utrustning, telekommunikation, drift och programvara samt fysisk säkerhet. 
Skyddsåtgärder i informationssäkra driftmiljöer är till exempel – men inte uttömmande – behörighetskontroll för utrustning och system och lokaler, förhindrande av obehörig användning av lokaler, uppgifter och system, registrering av uppgiftsbehandling, kontroll av telekommunikations ursprung och routing, definition av åtkomsträttigheter till systemen, ändamålsenliga arrangemang för underhåll och skydd av uppgifter och system för gärningar eller händelser som äventyrar informationssäkerheten, såsom virus och andra sabotageprogram. Informationssäkerhetsåtgärder är dessutom kontroll och förhindrande av störningar av telekommunikationen. Den som tar emot uppgifter ska genom sina utredningar visa att mottagarens driftmiljöer är informationssäkra. 
Med hanteringssystem för begäranden om information avses enligt 12 punkten ett system via vilket den som ansöker om användningstillstånd eller framställer en begäran om information lämnar in en ansökan om användningstillstånd eller en begäran om information med bilagor till myndigheten och i vilket ett beslut om användningstillstånd eller begäran om information delges den sökande. Beredningen av tillståndsbeslutet kan också göras med hjälp av systemet.  
Enligt 13 punkten används begreppet tjänstetillhandahållare som övergripande begrepp för alla som ordnar, producerar eller tillhandahåller social- och hälsovård eller social- och hälsovårdstjänster oberoende av deras roll och uppgifter eller om de verkar som myndighet eller som sådan producent av privat socialservice som avses i lagen om privat socialservice (922/2011) eller lagen om privat hälso- och sjukvård (152/1990). Tjänstetillhandahållare kan delas in i serviceanordnare och tjänsteproducenter beroende på i vilken av rollerna de sköter uppgifter.  
När det gäller behandlingen av kunduppgifter är tjänstetillhandahållarens roll av central betydelse, eftersom serviceanordnaren är registeransvarig för de kunduppgifter som erhålls i samband med en kundrelation. Däremot är den som på uppdrag eller annars producerar tjänster åt en annan registerförare enligt dataskyddsförordningen för personuppgifter som registrerats i samband med en kundrelation. 
Med serviceanordnare avses i enlighet med 14 punkten en sådan tjänstetillhandahållare inom social- och hälsovården som 
i egenskap av myndighet är skyldig att se till att kunden får sådana tjänster eller förmåner som han eller hon har rätt till enligt lag eller ett myndighetsbeslut, eller  
i egenskap av privat tjänstetillhandahållare ska svara för att en kund som köper en social- och hälsovårdstjänst privat får service enligt ett sådant avtal som avses i 6 § i klientlagen eller att en patient som betalar för privat service får lämplig undersökning, vård eller rehabilitering.  
Bestämmelser om myndigheternas skyldighet att ordna social- och hälsovårdstjänster för personer som är bosatta inom dess verksamhetsområde föreskrivs i socialvårdslagen och hälso- och sjukvårdslagen samt speciallagstiftning inom området.  
Tjänster och åtgärder inom socialvården ska enligt 6 § i klientlagen alltid basera sig på antingen ett myndighetsbeslut eller, när kunden själv med egna medel köper socialservice direkt från en privat tjänsteproducent, ett skriftligt avtal. Ställningen som serviceanordnare innehas då enligt lagen av den socialvårdsmyndighet som svarar för servicen och anknytande beslut eller av den privata tjänstetillhandahållare som ingått avtal med kunden.  
I social- och hälsovårdslagstiftningen förutsätts inte motsvarande myndighetsbeslut eller uttryckliga avtal om tjänster för en patient som köper hälsovårdstjänster privat, utan patientens kundrelation till en yrkesutbildad person eller verksamhetsenhet inom hälso- och sjukvården uppstår både inom offentlig och privat hälso- och sjukvård oftast i praktiken genom en tidsbokning eller en remiss eller genom att patienten helt enkelt uppsöker jouren vid en självständig yrkesutövares mottagning inom hälso- och sjukvården eller registrerar sig som patient vid en viss verksamhetsenhet. Ställningen som serviceanordnare innehas då av den självständiga yrkesutövare eller verksamhetsenhet inom hälso- och sjukvården som får ansvaret för att patienten får adekvat undersökning, vård eller rehabilitering. 
Enligt kommunallagen (410/2015) kan kommunen antingen själv producera de tjänster som omfattas av dess organiseringsansvar eller tillsammans med andra kommuner eller genom att köpa tjänster från en offentlig eller privat tjänsteproducent. Även tjänstetillhandahållare som privat ordnar social- och hälsovårdstjänster för kunderna köper ofta en del av de tjänster som omfattas av organiseringsansvaret från andra tjänstetillhandahållare, som då är tjänsteproducenter med avseende på behandlingen av kunduppgifterna. Ofta slår producenter av köpta tjänster ihop en del avtalsbaserade tjänster som underleverans till andra tjänstetillhandahållare. Registeransvarig för kunduppgifter i sådana underleveranssituationer är alltid serviceanordnaren, och även vid kombinerad upphandling är alla de tjänsteproducenter som deltar i en sådan sådana handläggare av kunduppgifter som avses i dataskyddsförordningen. 
Tjänsteproducenten är enligt 15 punkten en sådan tjänstetillhandahållare som producerar social- eller hälsovårdstjänster med stöd av ett avtal med serviceanordnaren eller åt den som annars har organiseringsansvar för tjänsten eller med stöd av en servicesedel som finansieras av serviceanordnaren. I lagen om servicesedlar inom social- och hälsovården (569/2009) föreskrivs att kommunen i egenskap av serviceanordnare är registeransvarig även i samband med tjänster som finansieras med en servicesedel och som kunden i huvudsak finansierar själv. I alla dessa situationer är tjänsteproducenten registerförare för de kunduppgifter som den registrerat där. 
Tjänsteleverantör är enligt 16 punkten en aktör som producerar tjänster i anslutning till en informationssäker driftmiljö. Tjänsterna kan består av informationstekniska komponenter och installering, underhåll ochutveckling av dem eller annan verksamhet för kundens räkning. Informationstekniska komponenter kan vara applikationer, driftmiljöer, servrar, maskinhallar, dataförbindelser eller andra delar som ingår i den informationstekniska helheten. Informationssäkerheten för informationstekniska tjänster är en central egenskap vid behandlingen av de uppgifter som är föremål för denna lag, och därför ska tjänsterna uppfylla informationssäkerhet som kan verifieras av tredje part och vars nivå regleras i lag. I denna lag kan en tjänsteleverantör producera en informationssäker driftmiljö eller anknytande informationstekniska tjänster som tillsammans utgör en behövlig helhet. En eller flera tjänsteleverantörer kan delta i produktionen av en behövlig helhet. 
Enligt 17 punkten är planen för användning av uppgifter en forskningsplan, en projektplan eller motsvarande plan av vilken framgår användningsändamålet för de uppgifter som avses i tillståndsansökan, registerförare, den rättsliga grunden för behandlingen samt väsentliga omständigheter som gäller dataskydd och informationssäkerhet vid behandlingen av uppgifterna. Omständigheterna i anslutning till informationssäkerhet ska omfatta uppgifternas hela livscykel. I definitionen nämns att bland annat bevaring och förstöring eller arkivering av uppgifterna ska beaktas i livscykeltänkandet. Enligt den förslagna 46 § ska det till ansökan om användningstillstånd fogas en plan för användning av uppgifter och den Tillståndsmyndighet för social- och hälsovårdsuppgifter som avses i 4 § utfärdar föreskrifter om planens datainnehåll och datastrukturer. Redan i planen för användning av uppgifter ska uppgiftsanvändningens hela livscykel planeras ända från det att uppgifterna fås från tillståndsmyndigheten fram till dess att uppgifterna förstörs eller arkiveras.  
Även om användningstillstånd söks för befintliga registeruppgifter kan det hända att den som ansöker om tillstånd även samlar in ny information i anknytning till dem eller fogar annan information som den själv samlat in till dem. Även dessa uppgifter ska tas in i planen för användning av uppgifter. Planen ska vara en så heltäckande beskrivning som möjligt av all den information som ska behandlas i projektet under hela dess livscykel. Den sökande bör ha en förståelse för hur olika uppgifter hanteras som en helhet. Förteckningen i definitionen är således inte uttömmande, utan även andra omständigheter bör beaktas i olika projekt. Dessa skulle till exempel vara hantering av samtycke och uppkomsten av uppgifter. 
Det färdiga datamaterial som avses i 18 punkten ska vara en materialhelhet som bildas och förvaras av Tillståndsmyndigheten för social- och hälsovårdsuppgifter och som sammanställs av uppgifter från en eller flera av de myndigheter eller organisationer som avses i denna lag. I det färdiga datamaterialet har uppgifter från olika organisationer färdigt samkörts till ett enda material eller identifikationsuppgifterna för materialen har getts en enhetlig kod så att den centraliserade tillståndsmyndigheten snabbt, informationssäkert och kostnadseffektivt kan samköra material som den innehar för en enskild undersökning som avses i ett beviljat användningstillstånd eller för någon annan behandlingsgrund.  
Bestämmelser om rätten för Tillståndsmyndigheten för social- och hälsovårdsuppgifter att sammanställa och behandla färdigt datamaterial i sina lagstadgade uppgifter finns i 15 § 2 mom. I enlighet med det är färdigt datamaterial avsett för tillståndsmyndighetens eget bruk och lämnas inte som sådant ut till tillståndshavaren.  
Enligt 19 punkten avses med bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar och myndigheter som avses i lagen om bedömningsorgan för informationssäkerhet (1405/2011) och som Kommunikationsverket har utsett att bedöma om ett informationssystem uppfyller kraven på informationssäkerhet. De allmänna förutsättningarna för att ett bedömningsorgan för informationssäkerhet ska godkännas konstateras i 5 § i den lagen. Vidare ska bedömningsorganet ha god sakkunskap om förutsättningar enligt denna lag för informationssäkra driftmiljöer, om vilka föreskrivs i 3 kap. Bedömningsorganet för informationssäkerhet ska granska om kraven på informationssäkerhet och dataskydd uppfylls i driftmiljöer enligt 20 § i denna lag. 
Bedömningsorganet för informationssäkerhet kan vara ett privat företag eller en myndighet. Ansökan om att bli ett bedömningsorgan för informationssäkerhet lämnas separat. Organet ska uppfylla kraven i lagen om bedömningsorgan för informationssäkerhet. Detta konstateras i ett förfarande enligt 5 § i lagen om bedömningsorgan för informationssäkerhet. I praktiken innebär detta att det nationella ackrediteringsorganet FINAS som verkar i anslutning till Mätteknikcentralen har konstaterat bedömningsorganets kompetens enligt vad som föreskrivs i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005). Därefter kan Kommunikationsverket utse bedömningsorganet till uppgiften i enlighet med lagen om bedömningsorganet för informationssäkerhet. 
2 kap. Myndigheter och organisationer
I kapitel två finns bestämmelser om myndigheter och organisationer som svarar för de tjänster som föreskrivs i 3 kap. Centralmyndigheten är en ny Tillståndsmyndighet för social- och hälsovårdsuppgifter som ska inrättas i anslutning till Institutet för hälsa och välfärd och centraliserat svara för flera tjänster för andra myndigheters och organisationers räkning. Den ska också ha tillsynsuppgifter och en egen styrstruktur. I kapitlet föreskrivs dessutom om andra registeransvariga och om datamaterial vars sekundära användning denna lag gäller, samt om samarbete mellan organisationerna. Ett ömsesidigt samarbete mellan organisationer är nödvändigt för att en smidig process ska kunna garanteras. 
4 §. Tillståndsmyndigheten för social- och hälsovårdsuppgifter. Enligt 1 mom. är en enhet vid Institutet för hälsa och välfärd som har avskilts från sådan behandling av personuppgifter vid Institutet för hälsa och välfärd som institutet utför för användningsändamål enligt 2 § i denna lag en sådan riksomfattande tillståndsmyndighet som avses i 4 § (Tillståndsmyndigheten för social- och hälsovårdsuppgifter).  
Enligt 2 mom. verkar tillståndsmyndigheten under social- och hälsovårdsministeriets resultatstyrning och har en separat styrgrupp och ett separat budgetmoment. Tillståndsmyndighetens separata styrgrupp och placeringen av den vid en enhet som är fristående från Institutet för hälsa och välfärd tryggar för sin del att tillståndsmyndigheten agerar objektivt, opartiskt och oberoende även när den behandlar och utvärderar Institutet för hälsa och välfärds egna tillståndsansökningar. 
Företrädda i styrgruppen är de centrala registeransvariga vars uppgifter berörs av det centraliserade riksomfattande tillståndsförfarandet. Detta garanterar för sin del att särskilda förutsättningar och aspekter i samband med behandlingen av olika registeransvarigas registeruppgifter blir beaktade vid skötseln av tillståndsmyndighetens uppdrag. Å andra sidan skulle det vara möjligt att med det centraliserade tillståndsförfarandet förenhetliga olika tillståndsförfaranden hos olika registeransvariga och olika bedömningsgrunder för en tillståndsansökan som baserar sig på en och samma plan för användning av uppgifter. Samtidigt garanteras att sådana planer för användning av uppgifter som gäller social- och hälsovård bedöms av den instans som har de bästa kunskapsmässiga och yrkesmässiga förutsättningarna för det.  
5 §. Uppgifter för Tillståndsmyndigheten för social- och hälsovårdsuppgifter. Tillståndsmyndigheten för social- och hälsovårdsuppgifter fattar enligt 1 mom. beslut om användningstillstånd som gäller utlämnande av uppgifter ur andra registeransvarigas material. Den centraliserade tillståndsmyndigheten fattar beslut om användningstillstånd enligt 44 § 1 mom., om tillstånd för användningsändamål enligt 2 § söks för sådana personuppgifter som avses i 6 § hos fler än en av de registeransvariga som nämns i den paragrafen. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter svarar dessutom alltid för beslut om användningstillstånd som gäller personuppgifter hos en eller flera registeransvariga som ordnar social- och hälsovårdstjänster privat. Tillståndsmyndigheten ska också enligt 45 § ha rätt att sammanställa, samköra och lämna ut uppgifter för användningsändamål enligt 2 §. Tillståndsmyndigheten ska för skötseln av sina uppgifter enligt den föreslagna bestämmelsen ha rätt att trots sekretessplikten och andra begränsningar i användningen av information sammanställa och samköra andra registeransvarigas uppgifter i enlighet med 36 §. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter har enligt 2 mom. vissa tjänster som den sköter centraliserat. Närmare bestämmelser om dessa tjänster utfärdas i 10 § 3—9 punkten och 3 kap. Tjänsterna är ett hanteringssystem för begäranden om information, en tjänst för användningstillstånd, en tjänst för insamling, samkörning och förbehandling av registeruppgifter, en administreringstjänst för identifierare för pseudonymiserade uppgifter, en informationssäker drifttjänst för utlämnande av uppgifter elektroniskt samt en informationssäker driftmiljö för behandling av uppgifter som lämnats ut till den sökande.  
Tillståndsmyndigheten för social- och hälsovårdsuppgifter är registeransvarig för sådana uppgifter som den själv får för skötseln av sin lagstadgade uppgift i användningstillståndsprocessen och som registreras i det hanteringssystem för begäranden om information som avses i 14 §. Den ska vara registeransvarig också för uppgifter som den med stöd av ett användningstillstånd samlar in från olika register och samkör. Den beslutar självständigt om utlämnande av dessa uppgifter och svarar för att behandlingen av dem är lagenlig. När uppgifterna har lämnats ut till tillståndshavaren, svarar tillståndshavaren för behandlingen av uppgifterna i sin egen verksamhet och är således registeransvarig för dessa uppgifter. Den centraliserade tillståndsmyndigheten är dessutom registeransvarig även för sådana identifierare som den registrerar och förvarar för uppgifter som den samlar in, samkör och pseudonymiserar. Om personuppgifter med stöd av ett användningstillstånd lämnas ut till tillståndshavaren, svarar tillståndshavaren för sin del för behandlingen av de uppgifter denna fått med stöd av tillståndet i sin egen verksamhet och är således registeransvarig för uppgifterna. 
Tillståndsmyndigheten är i enlighet med 3 mom. skyldigatt övervaka att villkoren för tillstånd som den beviljar iakttas. Den får återkalla ett användningstillstånd, om tillståndshavaren inte agerar i enlighet med lag eller bryter mot tillståndsvillkoren i beslutet om användningstillstånd. Tillståndsmyndigheten kan i praktiken utföra sin övervakningsuppgift bland annat genom loggövervakning samt genom att utvärdera de rapporter som tillståndshavaren ska lämna till den. Bestämmelser om tillståndsmyndighetens rätt att få uppgifter för övervakning från en annan driftmiljö än sin egen samt om fördelningen av övervakningsansvaret mellan olika aktörer finns i 55 §.  
6 §. Myndigheter och organisationer som svarar för tjänster samt begränsningar i fråga om datamaterial. I paragrafen föreskrivs om myndigheter och organisationer vars registeruppgifter och serviceuppgifter bestämmelserna i den föreslagna lagen ska gälla förutom Tillståndsmyndigheten för social- och hälsovårdsuppgifte som avses i 4 §. Bestämmelser om sådana tjänster som behövs för att kunduppgifter inom social- och hälsovården och personuppgifter ur andra registeruppgifter som gäller välfärd och hälsa ska kunna användas för användningsändamål enligt 2 § tas in i det föreslagna 3 kap. Institutet för hälsa och välfärd, Folkpensionsanstalten, regionförvaltningsverken, Pensionsskyddscentralen, Befolkningsregistercentralen och Statistikcentralen berörs endast i begränsad utsträckning av serviceskyldigheterna när det gäller uppgifterna i paragrafen. Pensionsskyddscentralens, Befolkningsregistercentralens och Statistikcentralens uppgifter kan enligt 35 § behandlas med stöd av denna lag endast om de samkörs med övriga uppgifter som avses i 6 §.  
Enligt den föreslagna 1 punkten gäller de serviceuppgifter som avses i denna paragraf social- och hälsovårdsministeriet till de delar ministeriet är den registeransvariga för register som gäller social- och hälsovårdstjänster. Dessutom ska social- och hälsovårdsministeriet enligt 8 § vara högsta myndighet som styr och övervakar verksamheten vid den tillståndsmyndighet som föreslås i propositionen. Ministeriet ska bland annat utse en styrgrupp för tillståndsmyndigheten. 
Institutet för hälsa och välfärd är enligt punkt 2 en betydande aktör som omfattas av serviceskyldigheterna enligt denna lag. Det är enligt lag en central registeransvarig för datalager som samlats in från social- och hälsovårdsområdet samt en nationell statistikmyndighet inom social- och hälsovårdsområdet. När det gäller uppgifter som den samlar in för statistik beviljar den dock tillstånd och lämnar ut uppgifter i enlighet med statistiklagen enligt vad som föreskrivs i den föreslagna 7 §. För användningstillstånd och för samkörning och pseudonymisering av dem svarar enligt statistiklagen alltid en statistikmyndighet.  
Enligt 4 § placeras Tillståndsmyndigheten för social- och hälsovårdsuppgifter som en separat enhet i anslutning till Institutet för hälsa och välfärd för att synergifördelar ska uppnås. Institutet verkar med stöd av flera olika gällande lagar som tillståndsmyndighet inom området även när det gäller andra registeransvarigas uppgifter. Tillståndsbehörigheten gäller bland annat i enlighet med 13 § 5 mom. i patientlagen patientuppgifter och 18 § 5 mom. i klientlagen kunduppgifter inom socialvården samt Receptcentrets uppgifter, som hör till Kanta-tjänsterna. Uppgifterna överförs genom de föreslagna lagarna till den centraliserade tillståndsmyndigheten. 
Med stöd av 3 punkten har Folkpensionsanstalten en stor mängd sådana personuppgifter som omfattas av bestämmelserna i denna lag. FPA är registeransvarig för sina egna kundregister i samban med förmånsbehandling samt för elektroniska recept som lagrats i Receptcentret som hör till Kanta-tjänsterna och för Receptarkivet. Användningstillstånd för Receptcentrets och Receptarkivets uppgifter beviljas av Institutet för hälsa och välfärd i enlighet med 15 § 3 mom. i gällande lag om elektroniska recept (61/2007). Bestämmelsen upphävs och då motsvarar tillståndsbehörigheten behörigheten enligt denna lag. 
Folkpensionsanstalten verkar dessutom med stöd av 16 § 2 och 4 mom. i klientuppgiftslagen som sådan registerförare som avses i den allmänna dataskyddsförordningen för patientuppgifter inom hälso- och sjukvården som registrerats i Kanta-tjänsterna samt enligt den reviderade klientuppgiftslag som är under beredning i framtiden även för kunduppgifter inom socialvården. Med stöd av den föreslagna lagen ska Folkpensionsanstalten till den centraliserade tillståndsmyndigheten lämna ut uppgifter som lagrats i Kanta-tjänsterna även när Folkpensionsanstalten inte är registeransvarig utan registerförare för dem enligt dataskyddsförordningen. 
I samband med reformen av klientuppgiftslagen som är under beredning föreskrivs om datalagret för kundernas egna uppgifter som ska slås ihop med Kanta-tjänsterna. Kunden kan föra in sina egna uppgifter om hälsa och välbefinnande i datalagret för egna uppgifter och själv besluta om de kan utnyttjas och i vilken mån de kan utnyttjas på det sätt som avses i denna lag. FPA ska enligt den lagreform som beretts vara registeransvarig för datalagret för egna uppgifter. Tillståndsmyndigheten för social- och hälsovårdsuppgifter kan endast med kundens samtycke bevilja tillstånd för användningen av dem samt samla in och samköra dem med andra uppgifter på det sätt som avses i denna lag. Om kunden senare återtar sitt samtycke gäller tillståndet endast uppgifter som har lämnats ut till tillståndshavaren innan denna återtog sitt samtycke.  
Punkt 4 gäller Tillstånds- och tillsynsverket för social- och hälsovården (Valvira), vars uppgift enligt gällande lagstiftning är att vara högsta övervakande myndighet för social- och hälsovårdstjänster samt föra vissa riksomfattande register, bland annat 
centralregistret över yrkesutbildade personer inom hälso- och sjukvården (Terhikki), om vilket föreskrivs i lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994, 24 §), 
centralregistret över yrkesutbildade personer inom socialvården (Suosikki), om vilket föreskrivs i lagen om yrkesutbildade personer inom socialvården (817/2015, 16 §), samt 
registren över tillhandahållare av privat service och självständiga yrkesutövare, om vilka föreskrivs i lagen om privat socialservice (922/2011, 25 §) och lagen om privat hälso- och sjukvård (152/1990, 14 a §). Dessa lagar ska ersättas med en ny lag i samband med lagstiftningsarbetet för ordnande av social- och hälsovården som behandlas i riksdagen. Regeringens proposition till riksdagen med förslag till lag om produktion av social- och hälsotjänster (RP 52/2017) behandlas i riksdagen i anknytning till detta. 
När Valvira för sin del styr och övervakar den verksamhet som bedrivs av yrkesutbildade personer och vid verksamhetsenheter inom social- och hälsovården bildas även i dessa uppgifter personregister som denna lag ska tillämpas på. 
Regionförvaltningsverken svarar enligt 5 punkten för de tjänster som avses i den lag som föreslås i propositionen till de delar deras personregister innehåller uppgifter inom det egna området om 
verksamhetstillstånd och anmälningar i fråga om verksamhetsenheter som producerar social- och hälsovårdstjänster privat, 
styr- och tillsynsuppgifter som gäller den verksamhet som bedrivs av enskilda verksamhetsenheter och yrkesutbildade personer inom social- och hälsovården. 
Enligt 6 punkten svarar även Arbetshälsoinstitutet för tjänster till de delar det är registeransvarig för patientuppgifter som uppkommer i den egna serviceverksamheten samt registerförare enligt den allmänna dataskyddsförordningen för registret över yrkessjukdomar. Arbetshälsoinstitutet för registret över yrkessjukdomar på uppdrag av social- och hälsovårdsministeriet. 
Punkt 7 gäller Säkerhets- och utvecklingscentret för läkemedelsområdet (Fimea) som bland annat för narkotikatillsynsregistret och registret över läkemedelsbiverkningar. Fimea kan enligt gällande lagstiftning bevilja tillstånd till utlämnande av personuppgifter för hälso- och sjukvårdsverksamhet, förebyggande av sjukdomar eller vård eller annan bestämd vetenskaplig forskning i samband därmed, om dataombudsmannen före det har getts tillfälle att bli hörd. Tillståndsbehörigheten överförs till den centraliserade tillståndsmyndigheten i situationer där dessa uppgifter från Fimea i enlighet med en och samma plan för användning av uppgifter samkörs med andra uppgifter som avses i denna lag. Den föreslagna bestämmelsen ska inte gälla den tillståndsbehörighet som avses i EU:s förordning om kliniska läkemedelsprövningar och som Fimea fortsättningsvis ska ha. 
I 1 mom. 8 punkten föreskrivs dessutom om serviceskyldigheter för offentliga serviceanordnare inom social- och hälsovården, vilka enligt den gällande lagstiftningen är bland annat kommuner och samkommuner. De svarar enligt hälso- och sjukvårdslagen och socialvårdslagen samt lagen om specialiserad sjukvård för den lagstadgade servicen för invånarna inom sitt område. I och med den totalreform angående ordnande av social- och hälsovården som behandlas i riksdagen kommer denna skyldighet att ordna tjänster att överföras från kommunerna och samkommunerna till landskapen, och även de bestämmelser som gäller detta lagrum kommer efter reformen att gälla landskapen.  
Kommunerna är enligt gällande lagstiftning skyldiga att även ordna företagshälsovård i enlighet lagen om företagshälsovård (1383/2001) för de anställda hos arbetsgivare inom sitt område. Institutet för hälsa och välfärd ska dessutom enligt lag på riksnivå ordna social- och hälsovårdstjänster som kräver särskilt kunnande, såsom rättspsykiatriska utlåtanden och rättsmedicinska undersökningar samt skolhems- och skyddshemsverksamhet. 
Enligt 9 punkten ska serviceskyldigheten också gälla Statistikcentralens uppgifter till de delar det för ändamål enligt denna lag behövs sådana uppgifter som avses i lagen om utredande av dödsorsak (459/1973). Statistikcentralen är med stöd av den lagen registeransvarig för dessa uppgifter, men får i praktiken uppgifterna från Institutet för hälsa och välfärd. En revidering av lagen om utredande av dödsorsak pågår. I det sammanhanget är det motiverat att bedöma om Institutet för hälsa och välfärd ska föreskrivas vara registeransvarig för uppgifter som samlats in med stöd av den, eftersom de ursprungligen registrerats i institutets verksamhet.  
Det föreslås att för de uppgifter enligt 19 § i statistiklagen som beskriver socioekonomisk ställning samlas in från andra än Statistikcentralens register för sådana ändamål som anges i den föreslagna lagen. En del av de uppgifter som avses i 19 § kan också fås från andra ställen, men det är svårare, och en del kan inte fås alls. Exempelvis uppgifter om en persons yrke ska begäras från det inkomstregister som planeras inom skatteförvaltningen. De kommer dock inte heller i framtiden att på ett heltäckande sätt fås från registret, eftersom utlämnande av information om en anställds yrke baserar sig på att arbetsgivaren frivilligt gör det. Information om yrke är betydande såväl i samhällspolitisk forskning inom social- och hälsovården som i medicinsk forskning i anknytning till yrkessjukdomar. Det har också föreslagits att uppgifter om utbildning samlas in ur den centraliserade integrationstjänst för nationella studierättigheter och studieprestationer som bereds vid undervisnings- och kulturministeriet (Koski), men inte heller den är ännu tillgänglig. Det ska dessutom beaktas att i ändamål enligt denna lag behövs förutom nya uppgifter även sådana tidsserier från tidigare som inte heller i framtiden sannolikt kommer att kunna fås ur uppgifterna i de nya register som är under planering. 
Pensionsskyddscentralen svarar enligt 10 punkten i användningsändamål enligt denna lag för tjänster när sådana uppgifter i centralens register som gäller personuppgifter som vid verkställigheten av arbetspensionsskyddet registerats om de försäkrades anställningsförhållanden samt betalda förmåner och grunderna för dem. I grunderna ingår också diagnoser för invalidpensioner och sjukpensioner, som är sådana hälsouppgifter som avses i artikel 9.1 i dataskyddsförordningen.  
Enligt 11 punkten ska Befolkningsregistercentralen svara för tjänsterna till de delar det för ändamål enligt den föreslagna lagen behövs grundläggande personuppgifter, uppgifter om personers familjeförhållanden och bostadsort samt byggnadsuppgifter ur Befolkningsdatasystemet.  
7 §. Undantag som gäller behandling av statistikmyndigheters uppgifter. I paragrafen föreskrivs om tillståndsbehandling och samkörning av uppgifter samt om pseudonymisering eller anonymisering och utlämnande av uppgifterna i situationer där en ansökan om användningstillstånd eller en begäran om information till vissa delar gäller uppgifter som statistikmyndigheterna samlat in för statistiska ändamål och delvis andra uppgifter som avses i den lag som föreslås i propositionen. Enligt 1 mom. ska Tillståndsmyndigheten för social- och hälsovårdsuppgifter då behandla ärendet i fråga om andra uppgifter, men via det hanteringssystem för begäranden om information som avses i 14 § förmedla tillståndsansökan eller begäran om information för behandling vid behörig statistikmyndighet i enlighet med statistiklagen. Även statistikmyndighetens kontakter med den tillståndssökande vid behandlingen av tillståndsansökan och delgivningen av beslutet sker via hanteringsystemet. 
De statistikmyndigheter som avses i den föreslagna bestämmelsen är Statistikcentralen och Institutet för hälsa och välfärd (statistikmyndigheter). Ansökningar om användningstillstånd och begäranden om information som gäller andra uppgifter än sådana som dessa myndigheter samlat in i egenskap av statistikmyndighet ska enligt 6 § 2 och 9 punkten behandlas av den centraliserade tillståndsmyndigheten i enlighet med denna lag. 
Undantaget som gäller statistikmyndigheter baserar sig på att uppgifter som statistikmyndigheter samlar in för statistiska ändamål enligt statistiklagen omfattas av statistiksekretess. Sådana uppgifter kan enligt statistiklagen lämnas ut endast för vetenskaplig forskning och endast så att de statistiska objekten endast indirekt kan identifieras med stöd av dem. Statistiklagen förutsätter också att tillståndsbeslut som gäller uppgifter som samlats in för statistiska ändamål fattas av behörig statistikmyndighet och att statistikmyndigheten samkör, pseudonymiserar eller anonymiserar och lämnar ut dessa uppgifter för behandling. Statistikmyndigheterna kan i sistnämnda syfte även lämna ut identifierbara uppgifter till varandra. 
Enligt 2 mom. förverkligas åtkomsträttighet till uppgifter enligt den föreslagna lagen som sammanslagits i enlighet med statistiklagen så som föreskrivs i 51 § 2 mom. Därmed avgör ändamålsenligheten i vilken driftmiljö som uppfyller kraven på informationssäkerhet tillståndshavaren ska behandla de uppgifter som lämnas ut.  
När statistiklagen ändrades med stöd av en regeringsproposition som lämnades 2012 (RP 154/2012 rd), motiverades 13 § 3 mom. som följer: ”I 3 mom. preciseras och avgränsas den behörighet att lämna ut uppgifter som avses i 2 mom. på det sätt som anges i de artiklar i EU:s statistikförordning som nämns ovan (artikel 21 och 23). I bestämmelsen tas det inte ställning till det tekniska sättet för utlämnande eller tillgång, utan till denna del ska 13 b § iakttas.” Bestämmelsen lyder som följer: ’Sätt och metoder för att lämna ut uppgifter. Uppgifter som samlats in för statistiska ändamål får lämnas ut med hjälp av en teknisk anslutning, i något annat format som kan behandlas tekniskt eller elektroniskt, i skriftlig form eller på något annat för ändamålet lämpligt, tryggt och tillförlitligt sätt. 
Till dessa delar kan statistikmyndigheterna och tillståndsmyndigheten samarbeta och lämna ut uppgifter samt ordna en sådan fjärranslutning som eventuellt behövs vid behandlingen av uppgifterna i den för behandlingen mest ändamålsenliga fjärråtkomstmiljö som uppfyller informationssäkerhetskraven och har den informationsbehandlingskapacitet som behövs. Det skulle vara ändamålsenligt att uppgifterna även i samhällspolitisk forskning inom social- och hälsovården behandlas i Statistikcentralens fjärråtkomstmiljö. Å andra sidan skulle det vara motiverat att stora medicinska forskningsmaterial som innehåller stora mängder med känsliga hälsouppgifter behandlas i tillståndsmyndighetens fjärråtkomstmiljö där de tekniska kraven på behandlingskapaciteten för uppgifter och informationssäkerhetskraven ställs i enlighet med detta användningsändamål. Fjärråtkomstmiljöer är då inte varandras konkurrenter utan kompletterar varandra som nätverk. Till exempel vid störningar kan de i tillämpliga delar användas som helt utbytbara. Särskilt goda möjligheter till ett sådant smidigt samarbete uppstår om fjärråtkomstmiljöerna har en gemensam teknisk aktör. 
Genomuppgifter är ännu betydligt känsligare än vanliga hälsouppgifter om enskilda personer, eftersom man med stöd av dem med viss sannolikhet kan dra slutsatser även om nära släktingars mycket bestående och ärftliga genetiska egenskaper. Genomforskningen väntas bli ett särskilt betydande utvecklings- och innovationsområde som använder metoder inom medicinsk och vetenskaplig forskning. Behandlingen av genomuppgifter förutsätter att informationssystemen har en mycket stor behandlingskapacitet och högsta möjliga informationssäkerhetsnivå. Samma krav gäller behandlingen av genomuppgifter för vårdbehov och därför ska ovan föreslagna krav i varje fall genomföras i Genomcentrets informationsbehandlingsmiljö. Inom en snar framtid när ett nationellt Genomcenter inrättas i enlighet med regeringens beslut, måste en samkörning av dessa genomuppgifter med andra uppgifter göras i det blivande Genomcentrets driftmiljö och kan i praktiken inte lämnas ut för samkörning och pseudonymisering i Statistikcentralens, Institutet för hälsa och välfärds eller Tillståndsmyndigheten för social- och hälsovårdsuppgifters informationsbehandlingsmiljö, eller för annan behandling vid dem. Lagstiftning om Genomcentret är under beredning vid social- och hälsovårdsministeriet, och denna fråga ska lösas i samband med den. 
8 §. Styrning av verksamheten vid Tillståndsmyndigheten för social- och hälsovårdsuppgifter och utvecklande av samarbete mellan registeransvariga. Enligt 1 mom. ska social- och hälsovårdsministeriet utse en styrgrupp för styrning och utvecklande av den centraliserade tillståndsmyndighetens verksamhet, och en ordförande för den. Styrgruppens mandatperiod är tre år. 
Social- och hälsovårdsministeriet utser ledamöter i styrgruppen som enligt den föreslagna bestämmelsen företräder olika instanser som följer: 
Sex ledamöter utses enligt förslag från de organisationer och myndigheter som anges i 6 §. I bestämmelsen anges följande organisationer: social- och hälsovårdsministeriet, Institutet för hälsa och välfärd, Folkpensionsanstalten, Tillstånds- och tillsynsverket för social- och hälsovården, Regionförvaltningsverken, Arbetshälsoinstitutet, Säkerhets- och utvecklingscentret för läkemedelsområdet (Fimea) och offentliga serviceanordnare inom social- och hälsovården, Statistikcentralen, Pensionsskyddscentralen och Befolkningsregistercentralen.  
En ledamot företräder kommunerna som anordnare av social- och hälsovårdstjänster. När organiseringsansvaret efter den strukturreform inom social- och hälsovården som är under behandling i riksdagen överförs på landskapen, ska de på motsvarande sätt företrädas av en ledamot.  
Efter servicestrukturreformen inom social- och hälsovården som är under behandling i riksdagen kommer kommunerna fortfarande att ha ansvaret för den förebyggande social- och hälsovården. Som företrädare för kommunerna i denna egenskap utses en ledamot enligt förslag från Kommunförbundet.  
Dessutom utser ministeriet en ledamot som företrädare för privata anordnare av social- och hälsovårdstjänster.  
I paragrafens 2 mom. föreslås bestämmelser om styrgruppens uppgifter. Enligt bestämmelsen ska styrgruppen behandla centrala handlingar som styr och beskriver tillståndsmyndighetens verksamhet och utifrån dem göra upp en egen framställning om saken till Institutet för hälsa och välfärd och social- och hälsovårdsministeriet. Handlingar som ska behandlas på det här sättet är 
tillståndsmyndighetens årliga verksamhetsplan och anknytande budget,  
Institutet för hälsa och välfärds verksamhetsberättelse och bokslut till de delar de gäller tillståndsmyndigheten, 
det gemensamma utvecklandet av Tillståndsmyndighetens och de i 6 § avsedda registeransvarigas verksamhet samt de resurser som ska inriktas på utvecklande, och 
resurser som ska riktas till varje aktör för utvecklande av interoperativa informationssystem och samarbete. 
Styrgruppen ska enligt 3 mom. dessutom ge akt på hur tillståndsmyndighetens verksamhet och tjänster fungerar, såsom om tidsfristerna för tillståndsbehandling enligt 47 § och tidsfristerna för utlämnande av uppgifter enligt 48 § uppnås. Styrgruppen kan ställa målmätare för tillståndsmyndighetens verksamhetsprocesser och inleda externa revisioner av tillståndsmyndighetens verksamhet. Styrgruppen kan vid behov även lägga fram förslag till utvecklande av tillståndsmyndighetens verksamhet för Institutet för hälsa och välfärd och social- och hälsovårdsministeriet samt tillsätta expertgrupper som stöder tillståndsmyndighetens verksamhet. Med hjälp av expertgrupper kan man sätta sig in i olika enskilda frågor som gäller tillståndsmyndighetens verksamhet genom en mångsidigare och närmare avgränsad expertgrupp. 
9 §. Möjlighet att bilda aktiebolag. Social- och hälsovårdsministeriet kan enligt 1 mom. antingen ensamt eller tillsammans med flera av de organisationer som anges i 6 §, undervisnings- och kulturministeriet, arbets- och näringsministeriet eller finansministeriet bilda ett aktiebolag som lyder under Tillståndsmyndigheten för social- och hälsovårdsuppgifter. Bestämmelsen är inte förpliktande utan möjliggörande. På aktiebolagets verksamhet tillämpas aktiebolagslagen.  
Bildandet av en juridisk person hänför sig åter till serviceavgifterna i 50 § och möjligheten att med hjälp av intäkterna av servicen smidigt bemöta servicevolymens väntade ökning. Om servicen sköts som ren myndighetsverksamhet, ska tillståndsmyndighetens avgifter bygga på lagen om grunderna för avgifter till staten. Om en del av verksamheten däremot ska skötas i ett bolag, kan intäktslogiken vara en annan och finansieringsmöjligheterna flexiblare. Då kan man i större utsträckning uppmärksammafästa även aktörernas olika servicebehov samt en rättvis fördelning av kostnaderna.  
Det väsentliga är att alla de som behöver information får de uppgifter de behöver inom tidsfristerna enligt 47 och 48 §, om de lagstadgade villkoren uppfylls. En prissättning som beaktar olika intressentgruppers behov är i viss mån möjlig redan med stöd av lagen om grunderna för avgifter till staten. En prissättning som beaktar olika tjänster och prestationer är i viss mån möjlig redan med stöd av lagen om grunderna för avgifter till staten. Ett aktiebolag skulle bättre kunna beakta de varierande servicebehoven även i sin prissättning. Prissättningen måste dock bygga på jämlika och samhälleligt rättvisa grunder och stå i proportion till kostnaderna för verksamheten. Vid prissättningen av aktiebolagets tjänster måste givetvis tas hänsyn till bland annat Europaparlamentets och rådets direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn, i den mån det är tillämpligt på aktiebolagets tjänster. 
Till skillnad från tillståndsmyndigheten, skulle ett aktiebolags serviceverksamhet inte vara beroende av statsbudgeten, och därför skulle finansieringen av tjänster vara långsiktigare och mer kostnadsneutral, och utvecklandet av den skulle inte belasta statsfinanserna med undantag för investeringarna och verksamheten i det inledande skedet. Ett aktiebolag kan reagera flexiblare på behoven av mer personal samt utvecklandet av effektivare informationssystem och verksamhet. Det kan också göra investeringar med lånefinansiering. För en progressiv och ökande verksamhet är det mycket centralt att uppgifterna kan fås snabbt och förutsägbart. Samtidigt är det med tanke på privatlivet och skyddet för personuppgifter när det gäller patienter och kunder inom socialvården samt dem som använder informationen väsentligt att man i en snabbt växande verksamhet kan tillhandahålla absolut säkra informationssystem och förfaranden för behandlingen av känsliga personuppgifter. Ett mycket stort behov av tilläggskapacitet är snart att vänta, då de datalager för centraliserad biobanksverksamhet, cancerforskningscentret och genomcentret som är under beredning tas med.  
En juridisk person ska enligt paragrafen bildas som statligt bolag, och då ska regleringen om statliga bolag beaktas. Enligt 92 § i grundlagen utfärdas bestämmelser om behörigheten och förfarandet när statens delägarrätt utövas i bolag där staten har bestämmande inflytande genom lag. Kravet på bestämmelser i lag har delvis uppfyllts genom lagen om statens bolagsinnehav och ägarstyrning (1368/2007). Den kompletteras av statsrådets principbeslut om statens ägarpolitik (3.11.2011).  
Ministeriet svarar i enlighet med 5 § i lagen om statens bolagsinnehav och ägarstyrning enligt huvudregeln för bolagets ägarstyrning. Administreringen av aktier kan dock enligt 6 § genom ett beslut av riksdagen eller statsrådet anförtros ett visst ämbetsverk eller en viss inrättning eller ett visst statligt ämbetsverk. Bland annat ekonomiutskottet har i sitt betänkande (EkUB 9/2015 rd) ansett att aktieägande och aktieförvaltning inte kan delas. Aktieförvaltning och ägarstyrning borde skötas av samma myndighet, dvs. antingen av ministeriet eller ett visst ämbetsverk, en viss inrättning eller ett visst affärsverk. Om en myndighet svarar för ägarstyrning och aktieförvaltning ska den dessutom säkerställa att den i praktiken är oberoende och opartisk samt ordna dess verksamhet så att den framstår som rättvis, oberoende och opartisk även för utomstående.  
Med stöd av det ovanstående föreslås i propositionen att social- och hälsovårdsministeriet får inrätta ett aktiebolag som lyder under tillståndsmyndigeten och sköter sådan service som verksamheten förutsätter till den del den inte inbegriper betydande utövning av offentlig makt. Ministeriet svarar för ägandet och administreringen av bolagets aktier. Statsinnehav är motiverat även ur den synvinkeln att bolagets verksamhet till stor del skulle omfatta behandling av känsliga personuppgifter med stöd av lag. 
Även om bolaget kan sköta företagsekonomisk verksamhet är avsikten inte att det ska ge vinst. Intäkter som bolaget får för de tjänster som det tillhandahåller ska styras till produktionen av tjänsterna. Bolagets vinst ska alltså i sin helhet användas så att bolagets egen verksamhet och egna tjänster enligt bolagets uppgifter kan produceras och utvecklas med hjälp av den.  
Bestämmelser om ett aktiebolags uppgifter finns i 2 mom. Bolaget kan ges uppgifter i anslutning till de tjänster som avses i 10 § 3—7 punkten, dvs. ett hanteringssystem för begäranden om information, en tjänst för insamling, samkörning och förbehandling av uppgifter, en tjänst för administrering av identifierare, en informationssäker drifttjänst och utvecklande och drift av tillståndsmyndighetens informationssäkra driftmiljö.  
I de uppgifter som kan överföras till bolaget är det till stor del fråga om uppgifter av teknisk karaktär som kan stödja myndigheternas verksamhet. Aktiebolaget kan för tillståndsmyndighetens räkning sköta tjänsten för insamling, samkörning och förbehandling av personuppgifter så att den med stöd av ett beslut från tillståndsmyndigheten tekniskt samlar in, samkör och lämnar ut material från olika registeransvariga, samkör och förbehandlar dem samt i enlighet med beslutet lämnar ut materialen till tillståndshavaren eller den som begärt uppgifter. Aktiebolaget kan för tillståndsmyndighetens räkning även förvalta och utveckla informationssystem där den bevarar pseudonymiserade material. På motsvarande sätt kan den svara för den tekniska driften och det tekniska utvecklandet av ett hanteringssystem för begäranden om information, en informationssäker drifttjänst och tillståndsmyndighetens informationssäkra driftmiljö.  
Närmare bestämmelser om bolagets uppgifter får enligt förslaget vid behov utfärdas genom förordning av statsrådet. Med stöd av bemyndigandet att utfärda förordning kan bolagets uppgifter preciseras.  
I 3 mom. föreskrivs om Institutet för hälsa och välfärds och tillståndsmyndighetens rätt att producera administrativa tjänster och andra stödtjänster för aktiebolaget mot ersättning till marknadspris. 
Enligt 4 mom. ska bolaget på begäran lämna social- och hälsovårdsministeriet de uppgifter som behövs för att bolaget ska kunna styras och övervakas. Ministeriets ägarstyrning förutsätter uppgifter i synnerhet om bolagets ekonomiska situation, förvaltning och risker som ministeriet ger akt på. På aktiebolagets handlingar tillämpas bestämmelserna om myndighetshandlingar i offentlighetslagen. Syftet med bestämmelsen är att öka öppenheten och insynen i bolagets verksamhet och möjligheterna att få information om bolagets verksamhet. 
I 5 mom. föreskrivs om statsunderstöd som kan beviljas för ett aktiebolags verksamhet inom ramen för de anslag som tas in i statsbudgeten. Bestämmelser om understödet finns i statsunderstödslagen (688/2001). Syftet med bolaget är inte att konkurrera med andra aktörer, utan att det som ett stöd för tillståndsmyndigheten ska ge olika aktörer möjligheten att använda de datamaterial som avses i den föreslagna lagen i enlighet med lagen och tillståndsmyndighetens beslut. Detta betonas också av att avsikten inte är att bolaget ska ge vinst, utan täcka sina egna kostnader. Bolaget kan alltså inte verka på en s.k. konkurrensutsatt marknad och kan därför inte heller orsaka marknadsstörningar för enskilda aktörer. 
I 6 mom. föreskrivs om tjänsteansvar för den som är anställd hos bolaget och för ledamöter i bolagets styrelse. Med tjänsteansvar avses strafflagens (39/1889) bestämmelser om tjänsteansvar för tjänstemän. På straffrättsligt tjänsteansvar tillämpas 40 kap. i strafflagen. Grundlagsutskottet har förutsatt att straffrättsligt ansvar åläggs även en privaträttslig aktör bland annat i ett utlåtande som gällde överföring av myndigheternas säkerhetsnätsverksamhet till ett statsägt bolag (GrUU 8/2014 rd). Genom bestämmelsen förverkligas grundlagsutskottets förutsättning. 
3 kap. Tjänster som möjliggör sekundär användning
I kap. 3 föreskrivs om tjänster som krävs för sekundär användning. Målen för den förslagna lagen kan uppnås endast om behandlingen av användningstillstånd för personuppgifter och urvalet, samkörningen och utlämnandet av uppgifter ur olika register till den som behöver dem kan fås betydligt smidigare och snabbare än nu. Det föreslås att dessa uppgifter centraliseras till Tillståndsmyndigheten för social- och hälsovårdsuppgifter i situationer där uppgifter behövs ur personregister hos flera registeransvariga som avses i den föreslagna lagen.  
Snabbheten förutsätter i praktiken att tillståndsbehandling samt samkörning och utlämnande av uppgifter som nu sker vid olika myndigheter centraliseras och administreras så effektivt som möjligt. Förutsättningen för en snabb behandling är också att ansökan om användningstillstånd och planen för användning av uppgifter som ansluter sig till ansökan skapar verkliga förutsättningar för att bedöma om grunderna för beviljande av tillstånd och, om lagen så kräver, kraven på ett etiskt forskningsprojekt uppfylls. I propositionen föreslås att tillståndsansökningar och begäranden om information sänds via hanteringssystemet för begäranden om information som drivs av tillståndsmyndigheten. I praktiken förutsätter det att tillståndsmyndigheten gör upp en formbunden blankett för ansökan om användningstillstånd och begäran om information samt planen för användning av uppgifter. Formbundna blanketter styr den som behöver information att lämna nödvändiga och tillräckliga uppgifter och motiveringar för att ärendet ska kunna avgöras samt tillståndsmyndigheten att genast notera eventuella bristfälliga uppgifter och lägga fram en begäran om komplettering eller begäran om utredning. 
I den föreslagna lagen föreskrivs också om sådana myndighetstjänster med vars hjälp den som behöver uppgifter i fråga om välfärd och hälsa kan bedöma vilka ändamålsenliga datamaterial som finns tillgängliga och hur de kan behandlas vid sekundär användning. Dessutom föreskrivs om tjänster med vars hjälp man kan säkerställa att även känsliga personuppgifter i alla skeden – också sedan de lämnats ut – behandlas på det sätt som förutsätts i de lagstadgade kraven på dataskydd och informationssäkerhet. Bestämmelser om informationssystemtjänster och säkerställande av deras säkerhet tas in i 16—34 §. 
Genom krav på informationssäkerheten ställs ytterligare villkor i enlighet med artikel 9.4 i dataskyddsförordningen för behandlingen av uppgifter om hälsa. Dessa ytterligare villkor får enligt förordningen ställas för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. De kompletterar informationssäkerhetskraven i förordningen, men varken åsidosätter eller undanröjer skyldigheterna i förordningen. Informationssäkerhetskraven skyddar samtidigt den registrerade. De är således sådana skyddsåtgärder enligt dataskyddsförordningen genom vilka den registrerades grundläggande rättigheter och friheter samt intressen skyddas.  
Informationstjänster 
10 §. Tjänster som organisationer producerar för sekundär användning. I paragrafen föreskrivs om tjänster som de myndigheter och organisationer som avses i 6 § ska ordna effektivare, snabbare och informationssäkrare för att förbättra den sekundära användningen av sådana personuppgifter som avses i denna lag. Enligt 1 mom. är dessa tjänster följande: 
Beskrivningar av datamaterial, med stöd av vilka den som behöver uppgifter får en uppfattning om vilka datamaterial som finns tillgängliga hos den registeransvariga och om deras datainnehåll. Varje registeransvarig är skyldig att göra upp beskrivningar av sådana datamaterial som bestämmelserna i den föreslagna lagen ska tillämpas på med stöd av lagen.  
Rådgivningstjänst som den registeransvariga ordnar för dem som planerar en sekundär användning av den registeransvarigas uppgifter enligt 1 punkten. Avsikten är att rådgivningstjänsten ska komplettera den uppfattning man utifrån datamaterialbeskrivningarna får om huruvida den registeransvarigas material lämpar sig för det ändamål som den som begär information behöver dem till för att ansökningar om användningstillstånd eller begäranden om information och anknytande planer för användning av information ska bygga på datamaterial som är realistiska och i praktiken användbara med avseende på ändamålet. Dessutom ska Tillståndsmyndigheten för social- och hälsovårdsuppgifter ordna en rådgivningstjänst för sina egna färdiga datamaterial.  
Hanteringssystem för begäranden om information som Tillståndsmyndigheten för social- och hälsovårdsuppgifter ska förverkliga för mottagning och behandling av ansökningar om användningstillstånd och begäranden om information. 
Tjänst för insamling, samkörning och förbehandling av uppgifter som Tillståndsmyndigheten för social- och hälsovårdsuppgifter förverkligar utifrån användningstillstånd eller en begäran om information om den godkänt. 
Tjänst för administrering av identifierare som den myndighet som beviljat användningstillstånd driver över identifierare för pseudonymiserade uppgifter.  
Informationssäker drifttjänst som Tillståndsmyndigheten för social- och hälsovårdsuppgifter förverkligar och driver för att ta emot och lämna ut känsliga uppgifter på elektronisk väg. 
Informationssäker driftmiljö för behandling av personuppgifter som lämnats ut till den sökande. 
Närmare bestämmelser om innehållet i de tjänster som avses i 1—7 punkten utfärdas i 12—20 § i den föreslagna lagen. 
11 §.Organisationernas ansvar för tjänsterna. I enlighet med 1 mom. ska Tillståndsmyndigheten för social- och hälsovårdsuppgifter svara för de tjänster som avses i 10 § 3—7 punkten alltid om en ansökan om användningstillstånd gäller uppgifter enligt nämnda paragraf från flera av de myndigheter eller organisationer som avses i 6 § eller uppgifter som avses i klientuppgiftslagen och har registrerats i Kanta-tjänsterna, eller om uppgifter enligt 38 § lämnas ut för utvecklings- och innovationsverksamhet.  
Det är motiverat att centralisera behandlingen av begäranden om information samt tjänsten för insamling, samkörning och förbehandling av uppgifter i utvecklings- och innovationsverksamhetssyfte till Tillståndsmyndigheten för social- och hälsovårdsuppgifter, eftersom det är fråga om ett nytt användningsändamål som känsliga personuppgifter inte tidigare har lämnats ut för. För ändamål inom utvecklings- och innovationsverksamhet ska personuppgifter lämnas ut i mycket begränsad utsträckning, endast med den registrerades samtycke eller i anonymiserad form. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter svarar dock för tjänster som gäller uppgifter hos Pensionsskyddscentralen, Befolkningsregistercentralen och Statistikcentralen endast när uppgifterna samkörs med uppgifter som innehas av de organisationer som avses i 6 § 1—8 punkten. I 1—8 punkten i den aktuella paragrafen förskrivs om personuppgifter i organisationer med anknytning till social- och hälsovårdstjänster samt social trygghet. Således ska Pensionsskyddscentralen, Befolkningsregistercentralen och Statistikcentralen fortfarande ha behörighet för sådana material som avses i 6 § när det begärs uppgifter från endast en organisation eller deras material i samkörd form. Om t.ex. Statistikcentralens och Befolkningsregistercentralens material samkörs, svarar inte den centraliserade tillståndsmyndigheten för tjänsterna. Tillståndsmyndigheten tillhandahåller inte i dessa situationer heller tjänster i anslutning till utveckling och innovationsverksamhet. 
När det är fråga om en offentlig registeransvarigs egna sekretessbelagda uppgifter, kan den registeransvariga i enlighet med 28 § i offentlighetslagen besluta om att de ska lämnas ut för vetenskaplig eller historisk forskning eller för en myndighets utredningsuppgift. I 2 mom. i den föreslagna paragrafen föreskrivs om en motsvarande situation som i 28 § i offentlighetslagen där en begäran om information eller ansökan om användningstillstånd gäller uppgifter som finns endast i personregister hos en av de organisationer som avses i 6 §. Enligt förslaget ska den offentliga registeransvariga då själv svara för alla de tjänster som avses i 10 §. Behörigheten och skyldigheterna bygger dock i fortsättningen på den lag som föreslås i propositionen och 28 § i offentlighetslagen lämpar sig inte längre för behandlingen av personuppgifter som gäller tjänster och förmåner inom social- och hälsovården. Om den registeransvariga vid behandlingen av ett ärende noterar att en tillståndsansökan gäller uppgifter från flera registeransvariga, ska denna i enlighet med 21 § i förvaltningslagen överföra ärendet till Tillståndsmyndigheten för social- och hälsovårdsuppgifter. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter kan dock avtala med de övriga myndigheter och organisationer som avses i 6 § att den sköter alla eller en del av de föreskrivna uppgifterna för en avtalsslutande myndighets räkning.  
Enligt 3 mom. svarar Tillståndsmyndigheten för social- och hälsovårdsuppgifter alltid för en privat tjänsteproducents räkning för de tjänster som avses i 10 § 3—7 punkten. Ansvaret beror inte på om begäran om information gäller uppgifter hos en eller flera privata serviceanordnare inom social- och hälsovården. En centralisering av tjänsterna är motiverad av den anledningen att tillståndsmyndigheten i enlighet med 44 § svarar för prövningen av användningstillstånd för en privat serviceanordnares räkning och att tjänsterna har en nära anknytning till processen för användningstillstånd. Bestämmelsen baserar sig även på 124 § i grundlagen, enligt vilken offentliga förvaltningsuppgifter kan anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Rätt att lämna ut känsliga och sekretessbelagda personuppgifter för något annat än deras primära användningsändamål gäller dessutom rätten till skydd för privatlivet enligt 10 § 1 mom. i grundlagen. På grund av skyddet för personuppgifter och skyddet för kundens berättigade förväntningar som är centralt med avseende på social- och vårdsverksamhet är det motiverat att ansvaret i dessa situationer anförtros en myndighet.Momentet hindrar dock inte en privat tjänsteproducent att behandla uppgifter i en annan driftmiljö än Tillståndsmyndigheten för social- och hälsovårdsuppgifters informationssäkra driftmiljö om denna uppfyller kriterierna i denna lag. 
12 §. Beskrivningar av datamaterial. Enligt 1 mom. åläggs de myndigheter och andra organisationer som avses i 6 § att göra upp materialbeskrivningar över datainnehållet i sina register. Tillståndsmyndigheten för social- och hälsovårdsuppgifter ska dessutom göra upp materialbeskrivningar över sina färdiga datamaterial som avses i 14 § 3 mom. Materialbeskrivningarna görs upp så att de som behöver registeruppgifter för ändamål enligt 2 § med stöd av dem kan bedöma hur registeruppgifterna lämpar sig för det aktuella användningsändamålet. Beskrivningarna av datamaterialen förverkligar kravet på skydd för den registrerades intressen i artikel 14.5 i dataskyddsförordningen. Om den registeransvariga enligt artikel 14.4 avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den registeransvariga före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information. Undantag från detta kan enligt 5 punkten göras bland annat om tillhandahållandet av sådan information skulle medföra en oproportionell ansträngning, särskilt för behandling för vetenskapliga forskningsändamål eller statistiska ändamål. Den registeransvariga ska i sådana fall vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet göra uppgifterna tillgängliga för allmänheten. Beskrivningarna av datamaterialen är offentligt tillgängliga så att även de registrerade kan bekanta sig med innehållet i materialen. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter ska enligt 2 mom. ge närmare föreskrifter om materialbeskrivningarnas datainnehåll, begrepp och datastrukturer för att de ska vara enhetliga i hela landet. Innan tillståndsmyndigheten utfärdar föreskrifter kan den till exempel fastställa vilka omständigheter som krävs för semantisk interoperabilitet så att olika aktörer förstår datainnehållet så lika som möjligt. Tillståndsmyndigheten ska dock höra de berörda organisationerna. I det Isaacus-projekt som Sitra inledde 2016 har i detta syfte utvecklats materialbeskrivningar i samarbete mellan flera registeransvariga.  
I 3 mom. föreskrivs ett bemyndigande att utfärda förordning om från och med när organisationer ska göra upp sådana materialbeskrivningar som avses i 1 mom. Materialbeskrivningarna ska göras upp i enlighet med tillståndsmyndighetens föreskrifter. Materialbeskrivningarna utvecklas stegvis, med början från de mest använda materialen. 
13 §. Rådgivningstjänster. I 1 mom. föreskrivs om skyldigheten för en registeransvarig som avses i 6 § att ordna en rådgivningstjänst för sina registeruppgifter för sådana som behandlar uppgifterna i användningsändamål enligt 2 §. Enligt bestämmelsen ska tjänsten ordnas så att den som planerar en sekundär användning av registeruppgifter med stöd av den får en tillräcklig uppfattning om datainnehållet i tillgängliga register och hur registeruppgifterna lämpar sig för de egna informationsbehoven. Detta är en förutsättning för en effektivare användning av datalagren än för närvarande och för att ansökningar om användningstillstånd och de anknytande planerna för användning av uppgifter ska ge en klar grund för tillståndsbeslutet och den eventuella anknytande lagstadgade etiska förhandsgranskningen samt för utlämnande och samkörning av uppgifterna i enlighet med användningstillståndet. Rådgivningen kan dock inte ges i ärenden där en registrerads personuppgifter skulle röjas. I samband med rådgivningen får således inte lämnas ut identifierbara uppgifter, utan då ska kunden hänvisas att göra en ansökan om användningstillstånd.  
Tillståndsmyndigheten för social- och hälsovårdsuppgifter ska enligt 2 mom. dessutom organisera en rådgivningstjänst som avser förutsättningarna för beviljande av användningstillstånd samt innehållet i och betydelsen av de tjänster som avses i 10 §. Rådgivning kan i ändamål enligt både 1 och 2 mom. ges allmänt till exempel via en webbplats. Dessutom är det dock nödvändigt att även tillhandahålla personlig rådgivning om hur registeruppgifterna lämpar sig för den aktuella användarens individuella informationsbehov. Tillståndsmyndigheten ska ge motsvarande rådgivning för dem som behöver sådana färdiga datamaterial som avses i 14 § 3 mom. 
14 §. Tjänst för insamling, samkörning och förbehandling av uppgifter. I paragrafen föreskrivs om en tjänst för insamling, samkörning och förbehandling av uppgifter som avses i en begäran om information eller ett beviljat användningstillstånd. Enligt 1 mom. ska Tillståndsmyndigheten för social- och hälsovårdsuppgifter i enlighet med användningstillståndet till den sökande välja ut eller ta emot uppgifter från olika registeransvariga och vid behov samköra dem. 
Tillståndsmyndigheten ska lämna ut samkörda personuppgifter enligt användningstillståndet till tillståndshavaren för behandling i en informationssäker driftmiljö så som föreskrivs i den föreslagna lagen. Detta förutsätter oftast att uppgifterna efter samkörningen pseudonymiseras innan de lämnas ut till tillståndshavaren. I processen bildas individuella identifierare med vars hjälp de registrerade personerna i efterskott kan kopplas ihop med de uppgifter som lämnats ut till tillståndshavaren. Endast i undantagsfall beviljas tillstånd för identifierbara uppgifter, med stöd av vilka tillståndshavaren direkt kan identifiera de registrerade personerna. Detta skulle till exempel vara nödvändigt när uppgifter i elektroniska personregister i en undersökning i enskilda fallmåste samköras särskilt med uppgifter ur gamla journalhandlingar eller klienthandlingar inom socialvården.  
Om uppgifter begärs endast i anonymiserad form för ett användningsändamål enligt 2 §, förutsätter utlämnande enligt 45 § i den föreslagna lagen ingen tillståndsbehandling alls. Tillståndsmyndigheten för social- och hälsovårdsuppgifter har då rätt att med stöd av 36 § få de uppgifter som behövs från de registeransvariga som avses i begäran om information, samköra dem i identifierbar form och under myndighetsansvar göra dem till sådan anonymiserad information som det begärda resultatet förutsätter. Eftersom uppgifterna lämnas ut i en sådan form till den som begärt dem där även möjligheten till indirekt identifiering har uteslutits, kränker utlämnandet inte skyddet för de registrerades personuppgifter.  
I 2 mom. föreskrivs om förfarandet när uppgifter lämnas ut med stöd av en begäran om information. När tillståndsmyndigheten lämnar ut personuppgifter med stöd av en begäran om information, ska den anonymisera det material som ska lämnas ut. Den ska bevara en beskrivning av hur materialet bildats, anonymiseringsmetoderna och slutresultatet för att det vid behov ska gå att t.ex. spåra ett fel i anonymiseringsmetoderna. 
Enligt 3 mom. får Tillståndsmyndigheten för social- och hälsovårdsuppgifter för att göra sin uppgift enligt 1 mom. smidigare utforma färdiga datamaterial av uppgifter som den erhållit från de myndigheter och organisationer som avses i 6 § och som den även annars har rätt att få för sina uppgifter enligt denna lag. Tillståndsmyndigheten kan plocka ut de uppgifter som användningstillståndet förutsätter eller som behövs för produktion av sådan anonymiserad information som avses i 45 § ur de nämnda färdiga datamaterialen. 
Med avseende på effektiviteten och informationssäkerheten i verksamheten vid Tillståndsmyndigheten för social- och hälsovårdsuppgifter skulle det vara ändamålsenligast med en lagstadgad rätt för tillståndsmyndigheten att behandla och samköra färdiga datamaterial av myndigheternas material redan innan det beviljas användningstillstånd. Tillståndsmyndigheten förvaltar ett datalager över de mest använda kombinerade materialen och utformar färdiga datamaterial som enligt erfarenhet gör det betydligt snabbare och lättare att bilda material. Tillståndsmyndighetens rätt att få och behandla uppgifter för färdiga datamaterial ska basera sig på den lag som nu stiftas, inte på separata tillstånd. Det bör förhandlas om sammanställningen av nya färdiga datamaterial med de registeransvariga vars material det färdiga datamaterialet gäller.  
Det tillvägagångssätt som föreslås i bestämmelsen är viktigt för att de uppgifter som avses i lag ska kunna göras smidigare. Annars det centraliserade tillvägagångssätt som avses i lagen höjer inte till alla delar effektiviteten eller informationssäkerheten vid urvalet av material. Utan stora satsningar på infrastrukturen för informationssystem är risken att det enligt den nuvarande modellen uppstår ett nytt verksamhetslager ovanpå de separata urvalen och att behandlingstiderna förlängs. Modellen för separata urval kan inte heller motiveras ur informationssäkerhetssynvinkel, eftersom upprepade urval och utlämnanden av samma uppgifter orsakar behov av extra behandling. 
Samma tillståndshavare kan vid olika tidpunkter begära uppgifter för olika ändamål och projekten kan börja samtidigt eller vid olika tidpunkter. Till exempel en forskare eller en forskningsgrupp kan samtidigt ha flera undersökningar på gång. I det fallet är det fråga om separata forskningsändamål. En tillståndshavare kan också samtidigt bedriva till exempel utvecklings- och innovationsverksamhet och forskning. Det är då fråga om ett separat forskningsändamål samt utvecklings- och innovationsprojekt. Eftersom personuppgifterna i sådana situationer används för olika användningsändamål, får inte de inbördes uppgifterna samköras. Tillståndsmyndigheten ska betona i tillståndsvillkoren att uppgifter som lämnats ut för olika användningsändamål inte får samköras.  
När uppgifter lämnas ut pseudonymiserade med stöd av flera olika planer för användning av uppgifter, ska uppgifterna enligt 4 mom. pseudonymiseras med olika identifierare för varje enskilt utlämnande. Om det är möjligt kan också information som består av olika personer väljas ut eller materialen förenklas på lite olika sätt för utlämnanden för olika användningsändamål. Sättet för pseudonymisering beror dock på ändamålet för utlämnandet och på materialet, eftersom till exempel en förenkling kan försämra möjligheterna att använda informationen. Genom detta strävar man efter att säkerställa att tillståndshavaren inte ska få material som lätt kan samköras om samma registrerade. Byte av identifierare är en av de skyddsåtgärder som i enlighet med dataskyddsförordningen tas in i denna lag för att trygga den registrerades rättigheter och friheter. Andra metoder är till exempel tillståndshavarens sekretessplikt och en avgränsning av behandlingen av uppgifter till informationssäkra driftmiljöer. 
15 §. Tjänst för administrering av identifierare. I det föreslagna 1 mom. föreskrivs en skyldighet för den myndighet som beviljat tillståndet att förvara identifierarna för material som lämnats ut i pseudonymiserad form så att materialet vid behov kan återskapas. Detta är viktigt för att man i efterhand ska kunna bedöma till exempel en undersöknings vetenskapliga giltighet och riktigheten i de erhållna resultaten. Vidare ska man med hjälp av administreringstjänsten för identifierare kunna spåra riktigheten i de material som lämnats ut till den sökande. På så vis kan man utreda eventuella fel som begåtts i produktionen av informationen. 
Syftet med förvaringen av identifierare är också att samma material ska kunna återskapas med hjälp av dem. Detta möjliggör en uppföljningsundersökning och fortsatta undersökningar med hjälp av de uppgifter som tidigare pseudonymiserats utan att själva forskningsmaterialet bevaras och dessutom att undersökningen senare kan upprepas med samma utformning.  
Registeransvarig för identifierare är den myndighet som beviljat användningstillståndet, och den ska svara för att de förvaras och förstörs på ett informationssäkert sätt. Myndigheten ska enligt 2 mom. förvara identifierarna så länge de behövs för forskning och för säkerställande av ändamålsenliga forskningsresultat. 
Informationssystemtjänster som verksamheten förutsätter och garanterande av deras säkerhet 
16 §. Hanteringssystem för begäranden om information. Enligt 1 mom. ska Tillståndsmyndigheten för social- och hälsovårdsuppgifter driva ett hanteringssystem för begäranden om information, via vilket en ansökan om användningstillstånd eller en begäran om information enligt denna lag lämnas till tillståndsmyndigheten. I lagen har det särskilt och under vissa villkor gjorts möjligt att utan tillståndsförfarande lämna ut uppgifter till sökanden i anonymiserad form. Om sökanden begär uppgifter för ett användningsändamål enligt 2 § i anonymiserad form har tillståndsmyndigheten enligt 45 § rätt att trots sekretessplikten utan tillståndsförfarande få och samköra de uppgifter som behövs för att begäran ska kunna tillmötesgås samt lämna ut dem till den som begärt uppgifterna. För informationsledning är det i enlighet med 41 § möjligt att få samkörda uppgifter för utvärdering, planering eller utveckling av serviceverksamhet som tjänstetillhandahållaren ansvarar för eller av servicekedjor. En tillsynsmyndighet inom social- och hälsovården kan, om inte något annat föreskrivs genom lag, enligt 42 § för utförande av en lagstadgad styrnings- och tillsynsuppgift av tillståndsmyndigheten få samkörda uppgifter som baserar sig på kunduppgifter inom social- och hälsovården och vid behov samkörda uppgifter som baserar sig på andra identifierbara registeruppgifter hos de registeransvariga som avses i 6 § i anonymiserad form.  
Tillståndsmyndigheten för social- och hälsovårdsuppgifter kan ensam eller tillsammans med andra myndigheter driva ett hanteringssystem för begäranden om information. Andra myndigheter kan vara de myndigheter som avses i 6 § och som fortfarande ska själva besluta om användningstillstånd när tillståndet endast gäller deras egna registeruppgifter. Andra myndigheter som avses i momentet kan också vara till exempel andra myndigheter som beviljar användningstillstånd.  
Enligt 2 mom. lämnas till sökanden via hanteringssystemet sådana begäranden om utredning och komplettering från tillståndsmyndigheten som krävs för behandlingen av en ansökan om användningstillstånd eller av begäranden om information samt till tillståndsmyndigheten den sökandes utredningar, kompletteringar och ändringar i ansökan. Tillståndsbesluten delges sökanden via systemet. Besluten kan bevaras i hanteringssystemet och kan fungera som ärendehanteringssystem vid behandlingen av användningstillstånd. Ärendehanteringen och bevaringen av tillståndsbeslut kan dock förverkligas även utanför hanteringssystemet. 
Om användningsändamålet enligt lag förutsätter en etisk förhandsgranskning av planen för användning av uppgifterna, inleds den etiska granskningen enligt det föreslagna 3 mom. centraliserat via hanteringssystemet och även den etiska kommitténs utlåtande ges via det.  
17 §. Informationssäker drifttjänst. Med stöd av 1 mom. har den Tillståndsmyndighet för social- och hälsovårdsuppgifter som avses i 4 § skyldighet att driva en informationssäker drifttjänst för utlämnande av uppgifter som behövs vid behandlingen av en tillståndsansökan eller begäranden av information och av uppgifter enligt ett beviljat användningstillstånd. I lagen har särskilt gjorts möjligt att uppgifter i vissa situationer lämnas till den sökande utan tillståndsförfarande. Om sökanden begär uppgifter för ett användningsändamål enligt 2 § i anonymiserad form har tillståndsmyndigheten enligt 45 § rätt att trots sekretessplikten utan tillståndsförfarande få och samköra de uppgifter som behövs för att begäran ska kunna tillmötesgås samt lämna ut dem till den som begärt uppgifterna i anonymiserad form. 
Den informationssäkra drifttjänsten fungerar som gränssnitt och användargränssnitt mellan olika aktörer och möjliggör på så vis en informationssäker informationsöverföring i användningsändamål enligt den föreslagna lagen. Den möjliggör för det första informationsöverföring mellan registeransvariga och tillståndsmyndigheten samt för det andra vidareförmedling av uppgifter till tillståndshavaren. 
Den informationssäkra drifttjänsten är ett tekniskt medel för att trygga skyddet för personuppgifter, när kunduppgifter och andra personuppgifter används på det sätt som avses i den föreslagna lagen. Den fungerar samtidigt som en sådan teknisk anslutning som förutsätts i 29 § 3 mom. i offentlighetslagen, via vilken myndigheterna kan lämna ut sekretessbelagda uppgifter till varandra. 
I 2 mom. föreskrivs att när personuppgifter förmedlas via en informationssäker drifttjänst ska deras integritet och ursprung säkerställas med en elektronisk underskrift. Integritet och ursprung hos uppgifter som sänds av en organisation och informationsteknisk utrustning ska också säkerställas genom användning av teknik med motsvarande tillförlitlighet som vid elektronisk signering som görs av en fysisk person. Till exempel en elektronisk stämpel som används i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (eIDAS-förordningen) kan fungera som en sådan motsvarande teknik. Med elektronisk stämpel avses i förordningen information i elektronisk form som har fogats till eller logiskt anknyter till någon annan information i elektronisk form för att säkerställa ursprunget och integriteten hos den sistnämnda informationen. 
Användare av den informationssäkra drifttjänsten måste dessutom vara starkt identifierade när personuppgifter lämnas ut till dem. När anonymiserade uppgifter lämnas ut är det inte fråga om samma dataskyddsrisk, eftersom den registrerade inte längre kan identifieras i dem. Därför krävs stark identifiering endast när personuppgifter förmedlas.  
Bestämmelser om avancerad elektronisk underskrift finns i eIDAS-förordningen, som nationellt kompletteras av lagen om stark autentisering och elektroniska signaturer (617/2009). Enligt förordningen avses med stark autentisering identifiering av en person, av en juridisk person eller av en fysisk person som företräder en juridisk person och verifiering av identifikatorns autenticitet och riktighet genom tillämpning av en elektronisk metod som motsvarar tillitsnivån väsentlig eller tillitsnivån hög enligt eIDAS-förordningen. Genom förordningen upprättades ett system för interoperabilitet i elektronisk identifiering i syfte att i framtiden göra det möjligt att med elektroniska identifieringsverktyg som beviljats i en medlemsstat identifiera sig i en annan medlemsstat i offentliga eller privata tjänster som kräver elektronisk identifiering.  
Med elektronisk underskrift avses enligt förordningen uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under. En elektronisk underskrift uppstår genom att elektroniska data fogas till varandra på ett sådant sätt att de bildar en unik kombination som gör det möjligt att verifiera undertecknaren. Enkel elektronisk underskrift är ett vitt begrepp. Syftet med enkla elektroniska underskrifter är att identifiera den person som skriver under och att verifiera uppgifter. Det kan röra sig om något så enkelt som att underteckna ett e-postmeddelande med en persons namn, men de egentliga kraven hänför sig till elektroniska underskrifter som görs med godkända anordningar för underskrift baserade på avancerade eller kvalificerade certifikat.  
Med avancerad elektronisk underskrift avses en elektronisk underskrift som uppfyller kraven enligt artikel 26 i eIDAS-förordningen. En elektronisk underskrift ska vara unikt knuten till undertecknaren och undertecknaren ska kunna identifieras genom den. Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll. Den ska dessutom vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter ska enligt 3 mom. skapa de gränssnitt som behövs för drifttjänstens interoperabilitet och sörja för att dataöverföringen kan göras med hjälp av allmänt använda tekniker. Syftet med momentet är att göra det möjligt för aktörer att ansluta till tillståndsmyndighetens drifttjänst och underlätta interoperabiliteten mellan dem.  
18 §.Allmänna informationssäkerhetskrav. Syftet med paragrafen är att säkerställa att personuppgifter skyddas på lämpligt sätt när uppgifter behandlas i enlighet med denna lag och att användningen av uppgifter kan övervakas. Genom paragrafen ställs ytterligare villkor i enlighet med artikel 9.4 i dataskyddsförordningen för behandlingen av uppgifter om hälsa. De fungerar samtidigt som skyddsåtgärder enligt dataskyddsförordningen för den registrerades grundläggande rättigheter och friheter. Paragrafen gäller all behandling av uppgifter som görs med stöd av denna lag. Genom riskhantering bör det redan på förhand gå att kartlägga eventuella risker och hur man ska reagera på dem. Detta kompletterar även det riskbaserade tillvägagångssättet i dataskyddsförordningen. Tillträdet till uppgifterna måste kontrolleras och användningen av uppgifterna övervakas aktivt och inte enbart när myndigheten får kännedom om en anmälan om en förseelse. Särskild uppmärksamhet ska fästas vid att användningsbegränsningar och sekretessplikten iakttas. 
De som med stöd av denna lag behandlar personuppgifter ska iaktta föreskrifter och anvisningar från den myndighet som svarar för förverkligandet och övervakningen av informationssäkerhet och dataskydd. Nationellt har ansvaret för informationssäkerhetsskyldigheterna delats upp mellan olika myndigheter. Utöver vad som föreskrivs i denna lag, Kommunikationsverket är utsedd säkerhetsmyndighet och nationell informationssäkerhetsmyndighet, som svarar för säkerhetsärenden i anslutning till elektronisk informationsöverföring och informationsbehandling av säkerhetsklassificerat material. Helhetsansvaret för de internationella förpliktelserna som gäller informationssäkerhet vilar åter på utrikesministeriet, som är nationell säkerhetsmyndighet. Dataombudsmannen övervakar åter behandlingen av personuppgifter. Dataskyddsförordningen ökar den fullmäktiges befogenheter. Till polisens behörighet hör åter informations- och kommunikationsbrott och brott som hänger samman med missbruk av personuppgifter, såsom sekretessbrott och störande av post- och teletrafik.  
19 §. Logguppgifter. En tillräcklig uppföljning av användningen och utlämnandet av personuppgifter är en central förutsättning för den registrerades integritetsskydd och för att användningen av uppgifter ska kunna övervakas. Med användning av uppgifter avses användning av uppgifter i den registeransvarigas egen verksamhet. Användningen av uppgifter gäller uppgifterna i den registeransvarigas egna register. Med utlämnande av uppgifter avses utlämnande av information till en annan registeransvarig eller någon annan utomstående aktör som har rätt till information. Med utlämnande avses alla former av röjande av information för en utomstående. Även rätten att se på uppgifter är utlämnande av uppgifter.  
I 1 mom. föreskrivs om logguppgifter hos Tillståndsmyndigheten för social- och hälsovårdsuppgifter och de organisationer som avses i 6 § samt privata tillhandahållare av social- och hälsovårdstjänster när de behandlar personuppgifter för tillståndsprövning eller utlämnande av uppgifter. I 1 punkten åläggs tillståndsmyndigheten och de organisationer som avses i 6 § en skyldighet att följa behandlingen av personuppgifter inom sin egen organisation. I användningslogguppgifterna ska registreras uppgifter om den organisation, vars uppgifter används, den som har använt uppgifterna, de uppgifter och uppgiftsgrupper som har behandlats, deras användningsändamål, identifieraren för en ansökan om användningstillstånd eller begäran om information samt användningstidpunkten. I fråga om de uppgifter som använts ska således uppges informationens källa och vilken typ av uppgifter den täcker, vilket kan göra det möjligt att härleda vilka uppgifter som har erhållits. Med identifieraren för en ansökan om användningstillstånd eller begäran om information kan utredas för vilket ändamål uppgifter lämnats ut.  
I 2 punkten föreskrivs åter om sådana uppgifter som tillståndsmyndigheten, privata tillhandahållare av social- och hälsovårdstjänster och en organisation som avses i 6 § ska registrera om utlämnande av personuppgifter. Dessa logguppgifter om utlämnande bildas om den utlämnande organisationen, den som lämnat ut uppgifter, utlämningsändamålet enligt 2 §, identifierare för en ansökan om användningstillstånd eller begäran om information, mottagaren och utlämningstidpunkten. Mottagaren kan i praktiken vara antingen tillståndsmyndigheten eller tillståndshavaren.  
I 2 mom. föreskrivs om vilka uppgifter som den som behandlar personuppgifter med stöd av användningstillstånd ska registrera. Dessa är den registeransvariga som beviljats användningstillstånd, som till exempel kan vara en forskningsgrupp, användningsändamålet enligt 2 §, identifieraren för ett användningstillstånd som ger behandlingsrätt, uppgifter om den som behandlar uppgifter, de uppgifter och uppgiftsgrupper som har behandlats och användningstidpunkten. I praktiken registreras dessa uppgifter automatiskt i den informationssäkra driftsmiljö där uppgifter ska behandlas enligt denna lag. Samma automatiska registrering av uppgifter ska också i fråga om informationsledning gälla användningslogguppgifter om vilka personuppgifter som använts, den som använt uppgifterna, användningsändamålet och användningstidpunkten för uppgifterna. 
Logguppgifter ska enligt 4 mom. förstöras eller arkiveras när de inte längre behövs för tillsynen av om uppgifter används eller utlämnas i enlighet med lag och för bestämmandet av påföljder på grund av eventuella missbruk. Logguppgifter ska givetvis bevaras så länge som användningstillståndet för dem är i kraft. I praktiken ska de dock alltid bevaras längre än så, eftersom bestämmandet av påföljder för missbruk i praktiken är bundet vid preskriptionstiden för eventuell åtalsrätt eller skadeståndsanspråk. Till exempel åtalsrätten för ett sekretessbrott preskriberas om åtal inte har väckts inom fem år. Preskriptionstiden för åtalsrätt räknas enligt 2 § i strafflagen från den dag då brottet begicks eller, om den brottsliga gärningen omfattar upprätthållande av ett lagstridigt tillstånd, börjar preskriptionstiden löpa först från den dag då denna verkan inträdde. I lagen om preskription av skulder (728/2003) föreskrivs om ersättningar. Enligt den är den allmänna preskriptionstiden tre år, men som längst kan preskriptionstiden löpa tio år efter det att den rättsliga grunden uppkommit. Preskriptionstiden fortsätter alltså ofta flera år efter det att användningstillståndet preskriberades. I synnerhet vid utredningar av missbruk kan logguppgifterna ha stor betydelse. Därför är det motiverat att bevara dem för bestämmandet av påföljder för missbruk. 
Tillståndsmyndigheten kan enligt 5 mom. meddela närmare föreskrifter om de uppgifter som ska registreras i loggregistren och om deras datainnehåll. Detta kan vara nödvändigt till exempel för att säkerställa enhetliga logguppgifter.  
20 §. Informationssäker driftmiljö. Paragrafens 1 mom. ålägger den Tillståndsmyndighet för social- och hälsovårdsuppgifter som avses i 4 § att förvalta en informationssäker driftmiljö, där det är möjligt att säkerställa en informationssäker, tillståndsenlig behandling enligt dataskyddsprinciper av uppgifter som lämnats ut med stöd av ett användningstillstånd. Tillståndsmyndigheten kan förvalta driftmiljön ensam eller tillsammans med de övriga myndigheter som avses i 6 § eller andra myndigheter. Tillståndshavaren är registeransvarig för uppgifter den erhållit med stöd av ett användningstillstånd, och tillståndsmyndigheten som förvaltar driftmiljön är registerförare. Driftmiljön ska fungera som en skyddsåtgärd enligt dataskyddsförordningen. De lagstadgade kraven på driftmiljöer ska inte gälla anonyma uppgifter, eftersom anonyma uppgifter inte är personuppgifter och därmed inte behöver särskilt skydd. 
När känsliga personuppgifter samkörs, ökar de uppgifter som beskriver en enskild person. Då växer behovet av att skydda det datamaterial som är slutresultatet av samkörningen. När flera olika myndigheters personuppgifter samkörs med känsliga uppgifter, ökar såväl kraven på en informationssäker driftmiljö som på behandlingen av slutanvändarens uppgifter. Till exempel i England kan forskare granska datamaterial endast i särskilda övervakade lokaler, om personuppgifter som i forskningssyfte erhållits inom hälso- och sjukvården samkörs med personuppgifter som erhållits inom andra förvaltningsområden, såsom i skattemyndigheternas eller polisens verksamhet. Till lokalerna får inte föras och ur lokalerna får inte föras ut datateknisk utrustning eller ens pappersanteckningsmaterial. Till exempel i kliniska undersökningar där ett forskningsregister består av hälsovårdsuppgifter från flera registeransvariga och om olika personer får personuppgifter däremot behandlas antingen i laboratorier avsedda för forskare eller till och med på den egna datorn via en informationssäker fjärranslutning, dock så att datamaterialen inte kan överföras till den egna datorn. 
En informationssäker driftmiljö ska enligt 2 mom. möjliggöra behandling av datamaterial på olika sätt och vara tillgänglig från olika platser. I det inledande skedet ska det åtminstone finnas två sätt: 1) Ett fysiskt rum endast för behandling av utlämnat material där tjänsteleverantörens utrustning och programvara ska användas eller 2) en informationssäker fjärranslutning som används med forskarens egen utrustning. I takt med att datatekniken och de tillhandahållna tjänsterna utvecklas måste tillståndsmyndigheten i framtiden utöver de två ovan nämnda alternativen tillhandahålla flera alternativa fysiska och tekniska sätt att behandla utlämnade material. 
Tillståndsmyndigheten ska vid behandlingen av användningstillståndet enligt principerna för riskhantering bedöma nivån av känslighet för uppgifter som lämnas ut. Tillståndsmyndigheten ska i ett beslut om användningstillstånd från fall till fall bestämma den servicenivå som åtminstone ska krävas av en informationssäker driftmiljö. För att öka öppenheten i verksamheten och säkerställa en jämlik behandling av alla parter ska tillståndsmyndigheten offentliggöra de principer som den iakttar vid bedömningen av nivån av känslighet för uppgifterna. 
Om en ansökan om användningstillstånd innehåller en begäran om att andra än anonymiserade uppgifter ska lämnas ut för behandling i en annan miljö än den som avses i 1 mom., ska den sökande enligt 2 mom. särskilt motivera varför detta är nödvändigt. Den sökande ska då också visa att behandlingen av utlämnade uppgifter uppfyller informationssäkerhetskraven i 21—29 §. Den sökande ska alltid motivera en sådan begäran, om uppgifter inte begärs i anonym form. Sålunda måste även utlämnande av pseudonymiserade uppgifter utanför driftmiljön motiveras. Syftet med momentet är att också göra det möjligt att behandlas uppgifter i en annan än tillståndsmyndighetens driftmiljö, utan att pruta på informationssäkerhetskraven. Tillståndsmyndighetens driftmiljö möter nämligen inte alltid de behov som den som begär uppgifter har när uppgifterna analyseras. En driftmiljö måste ändå alltid uppfylla kraven i 21—29 §. Information om driftmiljöer som uppfyller kraven finns i det offentliga register som Tillstånds- och tillsynsverket för social- och hälsovården för med stöd av 30 § 1 mom. Både tillståndsmyndigheten och sökanden får via registret information om vilka driftmiljöer som uppfyller kraven. Till exempel Statistikcentralens fjärråtkomstmiljö kan vara den informationssäkra driftmiljön till exempel när den sökande så önskar och det är motiverat med tanke på materialen och behandlingen.  
21 §.Identifiering av användare i informationssäkra driftmiljöer. I paragrafen föreskrivs om identifiering av användare i sådana informationssäkra driftmiljöer till vilka det med stöd av denna lag kan lämnas ut personuppgifter. Målet är att försäkra sig om att en driftmiljö bara används av sådana som har rätt till det. I 1 mom. föreskrivs att användarna i en driftmiljö och datateknisk utrustning ska identifieras på ett tillförlitligt sätt. Identifiering kan till exempel ske med personbeteckningen eller med hjälp av namnet i den handling som använts vid verifieringen av identiteten eller någon annan identifieringsuppgift. 
Identifieringen förutsätter dessutom verifiering. Identiteten kan vid behov verifieras genom en handling från en tillförlitlig och oberoende källa. I elektroniska tjänster kan verifieringen ske till exempel med hjälp av elektroniska verktyg för stark autentisering, såsom nätbankkoder eller mobilcertifikat.  
Närmare bestämmelser om de tekniska identifierings- och verifieringsmedlen får enligt 2 mom. utfärdas genom förordning av social- och hälsovårdsministeriet.  
22 §.Åtkomsträttigheter för användare i informationssäkra driftmiljöer. Syftet med paragrafen är att skydda personuppgifter och sekretessbelagda uppgifter mot obehörig behandling och bekräfta den registrerades rättsskydd vid eventuella missbruk. I 1 mom. ställs en skyldighet att definiera åtkomsträttigheter för personer som behandlar personuppgifter i en informationssäker driftmiljö. Med stöd av definitionen av åtkomsträttigheter för tillståndshavare får tillståndshavaren endast tillgång till personuppgifter enligt användningstillståndet i den omfattning som tillståndet förutsätter. Tillståndshavaren har alltså inte tillgång till sådana uppgifter som tillståndshavaren inte behöver för det användningsändamål som uppgifterna har begärts för. När åtkomsträttigheter definieras för en tillståndshavare, ska därmed bland annat beaktas de villkor som ställts på behandlingen av personuppgifter i beslutet om användningstillstånd samt möjliggöras sådan loggövervakning som avses i 19 §.  
För personer som arbetar med hantering av personuppgifter, övervakning av användningen och i uppgifter inom det tekniska underhållet definieras åtkomsträttigheter för personuppgifter i den omfattning som behövs. Åtkomsträttighet får inte möjliggöra tillgång till uppgifter som det inte hör till arbetstagarens uppgifter att förvalta eller övervaka. 
Över användarna i en driftmiljö och deras åtkomsträttigheter ska enligt 2 mom. föras ett register. Detta är en skyldighet för driftmiljöns leverantör. Registret ska täcka både aktuella uppgifter och tidigare användaruppgifter. Av uppgifterna i användarregistret ska framgå vem som har beviljats åtkomsträttigheter, för vilket ändamål och vilka datainnehåll rättigheterna har beviljats, åtkomsträttighetens omfattning (visning, förvaltning) samt tidpunkten för när åtkomsträttigheten börjar och upphör. 
Tillståndsmyndigheten ska med stöd av 3 mom. utfärda föreskrifter om grunderna för fastställandet av åtkomsträttigheter. Genom en föreskrift om grunderna för fastställandet av åtkomsträttigheter skyddas personuppgifter från obehörig och oberättigad användning. 
23 §.Skydd för informationssäkra driftmiljöer. Den informationssäkra driftmiljön ska enligt 1 mom. skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet på det sätt som föreskrivs i 36 § i offentlighetslagen och i statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010). I 36 § i offentlighetslagen föreskrivs om statsrådets bemyndigande att utfärda förordning, som bland annat gäller den säkerhetsklassificering som ska göras i handlingarna. Finansministeriet har utfärdat en anvisning om verkställighet av förordningen om informationssäkerheten inom statsförvaltningen (Ledningsgruppen för datasäkerheten inom statsförvaltningen 2/2010, s.k. VAHTI-anvisning), där det ges riktlinjer för verkställigheten av förordningen. Vid finansministeriet pågår för tillfället ett projekt för utvecklande av lagstiftningen inom den offentliga informationshanteringen. När det är färdigt måste sannolikt kraven även för andra driftmiljöer än Tillståndsmyndigheten för social- och hälsovårdsuppgifters driftmiljö ses över för att de bättre ska motsvara de allmänna kraven på tillståndsmyndighetens driftmiljö. 
Paragrafens 2 mom. förpliktar leverantören av driftmiljön att förverkliga den så att det ska vara möjligt att samla in logguppgifter om användningen av uppgifter som lämnats ut till driftmiljön för uppföljning och övervakning. Bestämmelser om logguppgifter finns i 19 §. Den som behandlar personuppgifter med stöd av ett användningstillstånd ska enligt 2 mom. i användningslogguppgifterna registrera information om den registeransvariga som fått användningstillstånd, användningsändamålet enligt 2 §, användningstillstånd som ger rätt till behandling, användare som är berättigad att behandla uppgifterna enligt användningstillståndet, de uppgifter och uppgiftsgrupper som har behandlats samt användningstidpunkten. I praktiken ska insamlingen av logguppgifter vara automatiserad och därför ska tjänsteleverantören möjliggöra insamling av logguppgifter i sitt system. 
24 §.Minimikrav på informationssäkra driftmiljöer. Om Tillståndsmyndigheten för social- och hälsovårdsuppgifter lämnar ut personuppgifter för användning enligt användningstillståndet ska den säkerställa att mottagaren behandlar uppgifterna på ett informationssäkert sätt. Tillståndsmyndigheten ska också säkerställa att driftmiljön kan ta emot de uppgifter som lämnas ut på ett informationssäkert sätt. I praktiken görs säkerställandet genom att det definieras sådana minimikrav på driftmiljöer som ska uppfyllas av alla tjänsteproducenter som tillhandahåller driftmiljöer. Kraven ska täcka de krav som ställs på driftmiljöns tekniska utförande samt tjänsteleverantörens fysiska lokaler, de administrativa processerna och ledningssystemet.  
Metoderna för att förverkliga informationssäkerhet och interoperabilitet mellan olika tjänster och kraven på dem utvecklas kontinuerligt i takt med teknikens och tjänsternas utveckling. Minimikraven måste kunna ändras och skärpas, om det krävs ändringar i förverkligandet av tjänsterna för att den eftersträvade informationssäkerhetsnivån ska kunna upprätthållas. På så vis säkerställs att informationssäkerheten hålls på den eftersträvade nivån. 
Enligt 1 mom. ska den informationssäkra driftmiljön uppfylla kraven på informationssäkerhet och interoperabel informationsöverföring. Kraven ska bygga på myndigheternas föreskrifter, rekommendationer och lämpliga standarder enligt dessa.  
Tillståndsmyndigheten ska med stöd av normgivningsbemyndigandet i 2 mom. utfärda närmare föreskrifter om de krav som ska ställas på andra tjänsteleverantörers informationssäkra driftmiljöer. Tillståndsmyndighetens föreskrift ska enligt 1 mom. bygga på myndigheternas föreskrifter, rekommendationer och lämpliga standarder för en driftmiljö. Tillståndsmyndigheten är i sak den rätta myndigheten att definiera kraven på driftmiljöer, eftersom den själv under myndighetsansvar förvaltar en egen informationssäker driftmiljö och ska säkerställa informationssäkerhet i sin egen verksamhet. Därför känner den bäst till informationssäkerhetsriskerna och de krav som ställs på informationssäkra driftmiljöer. Den ska således kräva samma nivå på informationssäkerheten och basfunktionerna i andra tjänsteleverantörers driftmiljöer som i sin egen miljö. 
25 §. Påvisande av informationssäkerhet i en informationssäker driftmiljö. Informationssäkerheten i en informationssäker driftmiljö påvisas på det sätt som anges i 1 mom. genom ett intyg från bedömningsorganet för informationssäkerhet enligt 26 §. Bedömning av informationssäkerheten görs i överensstämmelse med lagen om bedömningsorgan för informationssäkerhet och de nya bestämmelser som nu föreslås.  
Enligt 2 mom. får Tillståndsmyndigheten för social- och hälsovårdsuppgifter meddela närmare föreskrifter om de förfaranden som ska iakttas vid påvisande av informationssäkerhet. I det förfarande som ska iakttas ingår exempelvis hur de som använder driftmiljön och myndigheterna ska få tillgång till redogörelsen. 
26 §. Bedömning av informationssäkerhet. Enligt 1 mom. i den föreslagna bestämmelsen bedömer bedömningsorganet för informationssäkerhet om den informationssäkra driftmiljön uppfyller minimikraven på informationssäkerhet. Till bedömningen hör även bedömning av lokaliteternas ändamålsenlighet. Bedömning av driftmiljön görs på ansökan av tjänsteleverantören. 
I paragrafens 2 mom. finns bestämmelser om det intyg som bedömningsorganet ger tjänsteleverantören, om driftmiljön uppfyller informationssäkerhetskraven. Till intyget fogas även en kontrollrapport. Driftmiljön kan bestå av flera olika system och till den kan höra t.ex. analysprogram med hjälp av vilka tillståndshavare kan analysera den information de får. Driftmiljöer måste å andra sidan bedömas på nytt med minst fem års intervall, eftersom ett bedömningsintyg är i kraft högst fem år. I detta fall är det inte alltid nödvändigtvis ändamålsenligt att bedöma hela driftmiljön på nytt, om kraven har ändrats endast till vissa delar. Det kan således vara nödvändigt att analysera endast en del av driftmiljön, och då måste det av bedömningsorganets intyg tydligt framgå vilken del som har bedömts. Alla delar i driftmiljön ska dock alltid uppfylla minimikraven på informationssäkerhet.  
I paragrafens 3 mom. föreskrivs att bedömningsorganets intyg är i kraft högst fem år. Bedömningsorganet kan besluta att intyget är i kraft en kortare tid, om det på basis av en viss utvecklingsfas i driftmiljön eller en sådan ändring av minimikraven som varit känd eller andra motsvarande omständigheter är uppenbart att driftmiljön inte uppfyller minimikraven utan betydande ändringar i fem år. Bedömningsorgan för informationssäkerhet kan förlänga intygets giltighet. Detta kan göras för högst fem år i sänder. När det bedöms huruvida intygets giltighet ska förlängas kan bedömningsorganet för informationssäkerhet av tjänsteleverantören kräva alla de uppgifter som förutsätts för bedömningen för att intyget ska kunna uppgöras och hållas uppdaterat. 
Bedömningsorganet för informationssäkerhet ska vid behov bedöma driftmiljön och den som levererar driftmiljön. Utgångspunkten kan vara att bedömningarna grundar sig på tjänsteleverantörens meddelanden om ändringar som har gjorts i driftmiljön. Dessutom är det nödvändigt att bedöma på vilket sätt ändringar i de bestämmelser, föreskrifter och anvisningar som gäller minimikraven inverkar på driftmiljön. Vid behov kan bedömningsorganet även göra bedömningar av driftmiljön och den som levererar driftmiljön för att säkerställa att tjänsteleverantören i sitt utvecklingsarbete tillämpar sådana förfaranden som garanterar att de minimikrav som gäller informationssäkerheten kontinuerligt uppfylls. På basis av bedömningarna ska en utvärderingsrapport överlämnas till tjänsteleverantören.  
Till övriga delar än de som anges ovan tillämpas på utfärdande av intyg bestämmelserna och förfarandena i 9 § 3 mom. i lagen om bedömningsorgan för informationssäkerhet. 
27 §.Återkallande av bedömningsorganets intyg.I paragrafen föreskrivs om de förutsättningar enligt vilka bedömningsorganet ska återkalla ett intyg som det har beviljat för driftmiljön. Om bedömningsorganet för informationssäkerhet konstaterar att en driftmiljö inte har uppfyllt eller inte längre uppfyller de krav som föreskrivs i denna lag eller att ett intyg av någon annan orsak inte borde ha beviljats, ska organet uppmana tjänsteleverantören att avhjälpa bristerna. En tidsfrist ska ställas för korrigering av bristerna. När tidsfristens längd bestäms ska bedömningsorganet beakta bristens betydelse och omfattning samt den tid som normalt behövs för att avhjälpa sådana brister. Om observerade brister inte avhjälps inom den angivna tidsfristen, ska bedömningsorganet för informationssäkerhet återkalla intyget för viss tid eller helt och hållet eller bevilja intyget med begränsningar. Begränsningen kan gälla t.ex. intygets giltighetstid eller sådan behandling av uppgifterna som medger att driftmiljön används. 
28 §. Anmälningsskyldighet för bedömningsorgan för informationssäkerhet. I paragrafen föreskrivs att bedömningsorganet för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården om alla sådana intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats för viss tid eller helt och hållet eller förvägrats och som gäller driftmiljöns informationssäkerhet. Bedömningsorganet ska dessutom på begäran av Tillstånds- och tillsynsverket för social- och hälsovården lämna verket all ytterligare information som behövs för tillsynen om de driftmiljöer som bedömningsorganet har beviljat intyg för. 
29 §.Uppföljning efter ibruktagande av informationssäker driftmiljö. Det är nödvändigt att även efter det att driftmiljön har tagits i bruk följa upp att dess funktionsduglighet och användbarhet är ändamålsenlig. Bestämmelser om detta finns i det föreslagna 1 mom. Enligt bestämmelsen ska tjänsteleverantören genom ett uppdaterat och systematiskt förfarande aktivt följa upp och utvärdera de erfarenheter som fås av den informationssäkra driftmiljön under den tid den används för produktion. Tjänsteleverantören ska även följa upp eventuella ändringar av de krav som ställs på driftmiljön och vid behov göra de justeringar och korrigeringar i driftmiljön som dessa ändringar kräver. Dessutom krävs det att sådana förändringar som tjänsteleverantören gör i driftmiljön ska anmälas till bedömningsorganet för informationssäkerhet. Utifrån dessa anmälningar kan bedömningsorganet utvärdera och vid behov utreda om de genomförda förändringarna inverkar på informationssäkerheten. I anknytning till detta konstateras det i bestämmelsen även att bedömningsorganets intyg vid behov ska uppdateras, om förändringarna är betydande eller om de minimikrav som gäller informationssäkerheten har förändrats på ett sådant sätt att det förutsätts att intyget godkänns på nytt. Bedömningsorganet för informationssäkerhet ska även följa upp att informationssystemet överensstämmer med kraven. 
På basis av paragrafens 2 mom. ska tjänsteleverantören bevara uppgifter om överensstämmelse med kraven och övriga uppgifter som tillsynen kräver i minst fem år efter det att den informationssäkra driftmiljön inte längre används för produktion. Syftet med bevaringsskyldigheten är att säkerställa att det t.ex. i situationer där dataskyddet eventuellt måste utredas i efterhand finns tillräcklig information om driftmiljöns överensstämmelse med kraven och om de förändringar som gjorts.  
30 §.Övervakning och inspektioner av informationssystem. I paragrafens 1 mom. finns bestämmelser om att Tillstånds- och tillsynsverket för social- och hälsovården ska övervaka och främja att driftmiljöerna uppfyller kraven på dataskydd och informationssäkerhet. I klientuppgiftslagen finns motsvarande övervakningsskyldigheter för Tillstånds- och tillsynsverket för social- och hälsovården. Verket har således erfarenhet av övervakning av informationssystem, och därför lämpar sig uppgiften för verket.  
Tillstånds- och tillsynsverket för social- och hälsovården för dessutom ett offentligt register över driftmiljöer som uppfyller kraven och som anmälts till verket. Registret bildas utifrån bedömningsorganets anmälningar till Tillstånds- och tillsynsverket. I registret kan de som ansöker om tillstånd kontrollera vilka driftmiljöer som har fått ett intyg beviljat av bedömningsorganet för informationssäkerhet. De som ansöker om tillstånd kan använda informationen i registret när de för Tillståndsmyndigheten för social- och hälsovårdsuppgifter motiverar informationssäkerheten hos en informationssäker driftmiljö som någon annan i 20 § 2 mom. avsedd myndighet än tillståndsmyndigheten förvaltar.  
Bestämmelser om de förfaringssätt som behövs vid genomförandet av tillsynen finns i 2 mom. Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner som krävs för tillsynen. För att utföra en inspektion har en inspektör rätt att få tillträde till tjänstetillhandahållarnas alla lokaler där det kan finnas uppgifter som är viktiga för bedömning av driftmiljöns informationssäkerhet. Lokaler av detta slag kan t.ex. vara tjänsteleverantörernas lokaler, arkiv och andra motsvarande utrymmen. Utrymmen som används för permanent boende omfattas dock inte av inspektionsrätten. Vid en inspektion ska dessutom iakttas vad som i förvaltningslagen föreskrivs om förrättande av inspektion. 
I 3 mom. föreskrivs om förrättande av inspektion. För att syftet med en inspektion ska förverkligas kan den i enlighet med de villkor som anges i 39 § i förvaltningslagen förrättas utan förhandsanmälan, om syftet med inspektionen äventyras av en sådan underrättelse. Den som förrättar inspektionen har rätt att få alla handlingar som behövs för inspektionen till påseende. Den som förrättar inspektionen har dessutom rätt att få kopior av de handlingar som han eller hon anser vara nödvändiga. De lokaler som ska inspekteras kan även fotograferas.  
Enligt 39 § i förvaltningslagen ska den som förrättar inspektion utan dröjsmål avfatta en skriftlig inspektionsberättelse över inspektionen. Av inspektionsberättelsen ska inspektionens förlopp och inspektionsförrättarens viktigaste iakttagelser framgå. Utifrån paragrafens 4 mom. ska inspektionsprotokollet bevaras i tio år efter att inspektionen utförts. 
31 §.Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att anlita utomstående experter. Informationssäkra driftmiljöer är förknippade med olika egenskaper. Den övervakande myndigheten kan inte i sin tjänst ha sådana experter som behärskar alla egenskaper hos de olika informationssystemen. Övervakningen förutsätter dock ofta en experts bedömning, och därför föreslås det i paragrafens 1 mom. att Tillstånds- och tillsynsverket för social- och hälsovården från fall till fall ska ha rätt att använda utomstående experter som hjälp när det gäller att bedöma informationssäkra driftmiljöer.  
I paragrafens 2 mom. föreskrivs att det på utomstående experter som utför uppgifter enligt denna lag tillämpas förvaltningslagens bestämmelser om tjänstemannajäv och bestämmelserna om straffrättsligt tjänsteansvar när de utför uppgifter enligt denna lag. Sekretessplikt för utomstående experter följer av 53 §, enligt vilken det på sekretess för uppgifter som erhållits med stöd av denna lag tillämpas vad som föreskrivs i 24 § i offentlighetslagen om sekretessbelagda uppgifter och i 22, 23, 31 och 32 § i offentlighetslagen om handlingssekretess, tystnadsplikt och förbud mot utnyttjande samt upphörande av dem. 
32 §.Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att få information. På basis av bestämmelsen har Tillstånds- och tillsynsverket för social- och hälsovården rätt att för tillsynen över social- och hälsovårdens informationssystem få alla nödvändiga uppgifter av statliga och kommunala myndigheter samt av fysiska och juridiska personer som omfattas av denna lag eller de bestämmelser som utfärdats med stöd av lagen. Uppgifterna ska lämnas till Tillstånds- och tillsynsverket för social- och hälsovården trots sekretessbestämmelserna. 
33 §. Tillstånds- och tillsynsverket för social- och hälsovårdens åläggande att avhjälpa brister samt vite. Om en informationssäker driftmiljö inte uppfyller de krav som ställs på den i denna lag, ska tjänsteleverantören i regel på eget initiativ vidta korrigerande åtgärder. Utöver detta får Tillstånds- och tillsynsverket för social- och hälsovården med stöd av 1 mom. i den bestämmelse som föreslås utifrån en inspektion enligt 30 § ålägga tjänsteleverantören att avhjälpa bristerna, om det finns skäl att misstänka att tjänsteleverantören inte annars vidtar de åtgärder som behövs för att korrigera driftmiljön.  
Utifrån paragrafens 2 mom. får Tillstånds- och tillsynsverket för social- och hälsovården förbjuda användningen av informationssäker driftmiljö, om bristerna i driftmiljön inte har avhjälpts inom den tidsfrist som Tillstånds- och tillsynsverket har satt ut och driftmiljön bristfälligt uppfyller de krav som ställs i lagen. Rätten att förbjuda användningen av informationssäker driftmiljö gäller också sådana situationer där dataskyddet för de registrerade har äventyrats. Förbudet kan vara i kraft tills den egenskap som äventyrar säkerheten eller dataskyddet har korrigerats. Vidare får Tillståndsmyndigheten för social- och hälsovårdsuppgifter eller någon annan myndighet som avses i 6 § stänga av förbindelsen till sina informationssystem, om den som använder dem äventyrar en ändamålsenlig användning av dem. Samma möjlighet att stänga av förbindelsen existerar, om det finns en risk att ett externt system eller dess användarorganisation kan äventyra informationssystemen så att de inte fungerar ändamålsenligt.  
På basis av paragrafens 3 mom. kan Tillstånds- och tillsynsverket för social- och hälsovården ålägga tjänsteleverantören eller en befullmäktigad representant att informera om förbud eller förelägganden som gäller användningen av en informationssäker driftmiljö för produktion. Tillstånds- och tillsynsverket för social- och hälsovården kan även bestämma på vilket sätt och inom vilken tid det ska informeras om saken. Syftet med förpliktelsen är att säkerställa att de som använder en informationssäker driftmiljö är medvetna om bristerna i driftmiljön och begränsningen av användningen. 
Tillstånds- och tillsynsverket för social- och hälsovården kan enligt 4 mom. förena sitt beslut med vite eller med hot om att verksamheten helt eller delvis avbryts. Närmare bestämmelser om vite och hot om tvångsutförande och avbrytande finns i viteslagen (113/1990).  
I momentet förutsätts vidare att Tillstånds- och tillsynsverket underrättar tillståndsmyndigheten om sitt beslut om en informationssäker driftmiljö. När Tillstånds- och tillsynsverket har förbjudit användning av driftmiljön får tillståndsmyndigheten inte lämna ut nya uppgifter i driftmiljön. Därför är det viktigt att tillståndsmyndigheten underrättas om Tillstånds- och tillsynsverkets beslut. 
34 §.Föreläggande att fullgöra skyldigheter. I paragrafen föreslås att Tillstånds- och tillsynsverket för social- och hälsovården ska ha rätt att förelägga en tjänsteleverantör, en myndighet som avses i 6 §, inklusive Tillståndsmyndigheten för social- och hälsovårdsuppgifter eller den som annars behandlar personuppgifter i enlighet med denna lag att uppfylla sin skyldighet, om den har underlåtit att fullgöra sin skyldighet enligt denna lag i anknytning till informationssystem eller deras användning. Bestämmelsen behövs, eftersom tillsynsmyndigheten ska ha tillräckligt effektiva metoder för att kunna försäkra sig om att lagen efterlevs. Till tillsynsmyndighetens grundläggande uppgifter hör att ingripa, om kraven i lagen inte iakttas. Om myndighetens uppmaning dock inte iakttas, får Tillstånds- och tillsynsverket för social- och hälsovården utfärda ett föreläggande om att lagen ska iakttas inom utsatt tid. Bestämmelsen täcker alla förpliktelser som uppställts i lagen för informationssystem eller användningen av dem. 
4 kap. Grunder och förutsättningar för sekundär användning av personuppgifter
Allmänna grunder för sekundär användning 
I 4 kap. föreskrivs om de grunder med stöd av vilka användningstillstånd för kunduppgifter och andra i den föreslagna lagen avsedda registeruppgifter kan ges samt om de särskilda villkor som gäller det. I 35 § föreskrivs om de allmänna grunderna för behandling av personuppgifter, i 36 § föreskrivs om rätten för Tillståndsmyndigheten för social- och hälsovårdsuppgifter att få uppgifter och i 37—42 § finns mera detaljerade bestämmelser än i 2 § om de användningsändamål för vilka användningstillstånd får beviljas och uppgifter lämnas ut samt om de särskilda villkor som gäller dessa och som ska vara uppfyllda för att användningstillstånd ska beviljas. 
35 §.Grunder för behandling av personuppgifter. I paragrafen föreskrivs allmänt om på vilket sätt uppgifter som registrerats i social- och hälsovårdsverksamhet eller för styrnings-, tillsyns-, forsknings- och statistikändamål inom social- och hälsovården kan behandlas samt samköras med de i 6 § avsedda personuppgifterna vid Befolkningsregistercentralen, Statistikcentralen och Pensionsskyddscentralen. Samkörning kan ske även med uppgifterna från en privat serviceanordnare inom social- och hälsovården. Bestämmelser om helt egna förfaranden finns i lagens 7 och 51 § när det gäller behandling och samkörning av uppgifter som Institutet för hälsa och välfärd och Statistikcentralen i egenskap av statistikmyndighet har samlat in för statistiska ändamål. 
Behandling av personuppgifter förutsätter användningstillstånd från Tillståndsmyndigheten för social- och hälsovårdsuppgifter eller den registeransvariga som avses i 6 § eller anonymisering av uppgifterna. Vidare kan personuppgifter på de villkor som föreskrivs i 41—42 § utan användningstillstånd direkt med stöd av lag behandlas i informationsledningssyfte samt i myndighetsstyrning och myndighetstillsyn inom social- och hälsovården. Bestämmelsen innebär i praktiken att användningstillstånd för sekundär användning av patient- och kunduppgifter kan beviljas för flera ändamål än vad som är möjligt enligt gällande lagstiftning. 
Grunden för behandling följer av artikel 6 i dataskyddsförordningen och när det gäller särskilda kategorier av personuppgifter, t.ex. hälsouppgifter och genetiska uppgifter, dessutom av artikel 9. När tillståndsmyndigheten och andra registeransvariga som lämnar ut uppgifter med stöd av denna lag behandlar personuppgifter har de rätt att behandla uppgifterna med stöd av artikel 6 e i dataskyddsförordningen. Enligt den artikeln är behandlingen av personuppgifter lagenlig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den registeransvarigas myndighetsutövning. Av samma artikel följer att den som tar emot uppgifterna har rätt att behandla dem för undervisningsuppgifter enligt 39 §, för myndigheters planerings- och utredningsuppgifter enligt 40 §, för informationsledning enligt 41 § och för myndighetsstyrning och myndighetstillsyn enligt 42 §.  
Det ovan anförda innebär inte att uppgifter inte i dessa syften kan behandlas i vissa situationer även på andra grunder som följer direkt av dataskyddsförordningen. Bland annat sådana privata tillhandahållare av social- och hälsovård som inte är myndigheter kan följaktligen grunda sin rätt att behandla uppgifter t.ex. i informationsledningssyfte på artikel 6.1 f, dvs. på den registeransvarigas berättigade intressen. 
Till den del grunden för behandling av personuppgifter inte följer direkt av artikel 6 i dataskyddsförordningen finns det närmare bestämmelser om de exakta grunderna enligt artikel 6 och 9 för de användningsändamål som anges i lagen för vart och ett användningsändamål i motiveringen till 37—42 §.  
Förutom lagförslaget tillämpas personuppgiftslagen i enlighet med det tillämpningsområde som anges i 2 § i den lagen till den del som man i förslaget inte avviker från bestämmelserna i personuppgiftslagen. Exempelvis rätten att behandla en personbeteckning följer således direkt av 13 § i personuppgiftslagen. Justitieministeriet bereder för närvarande en lag som ska ersätta personuppgiftslagen. När personuppgiftslagen har upphävts ska den nya lagen tillämpas vid sidan av detta förslag på motsvarande sätt som personuppgiftslagen. 
36 §. Rätt för Tillståndsmyndigheten för social- och hälsovårdsuppgifter att få och behandla uppgifter trots sekretessplikten. I paragrafens 1 mom. föreskrivs om tillståndsmyndighetens rätt att trots sekretessplikten få uppgifter av dem som nämns i tillståndsansökan, av de registeransvariga som avses i 6 §, av privata tillhandahållare av social- och hälsovårdstjänster samt av de uppgifter i Kanta-tjänsterna som avses i klientuppgiftslagen. Rätten att få uppgifter gäller sådana uppgifter som tillståndsmyndigheten behöver för att fatta beslut om användningstillstånd. Tillståndsmyndigheten är således registeransvarig för de personuppgifter som myndigheten fått. Tillståndsmyndighetens rätt att få information gäller även sådana uppgifter som avses i ett redan beviljat användningstillstånd och som tillståndsmyndigheten behöver för att samköra och vid behov pseudonymisera i enlighet med tillståndet, samt för att slutligen lämna ut dem till tillståndshavaren för behandling.  
Om uppgifter begärs endast i anonymiserad form för ett användningsändamål enligt 2 §, förutsätter utlämnande enligt 45 § i den föreslagna lagen ingen tillståndsbehandling alls. Tillståndsmyndigheten har då rätt att med stöd av 36 § få de uppgifter som behövs från de registeransvariga som avses i begäran om information, samköra dem i identifierbar form och under myndighetsansvar göra dem till sådant anonymiserat material som det begärda resultatet förutsätter. Tillståndsmyndighetens rätt att behandla personuppgifter i detta syfte följer av artikel 6 och 9 i dataskyddsförordningen samt av artikel 86 på det sätt som föreslås i motiveringen till 45 §. Myndigheternas personuppgifter kan även i detta syfte samköras med de personuppgifter som den part som begärt uppgifter lagligen innehar.  
Eftersom uppgifterna lämnas ut i en sådan form till den som begärt dem där även möjligheten till indirekt identifiering har uteslutits, kränker förfarandet inte skyddet för de registrerades personuppgifter. Vidare ska tillståndsmyndigheten ha motsvarande rätt att få sådana uppgifter som den behöver för att sätta ihop de färdiga datamaterial som avses i 14 § 3 mom. 
Enligt paragrafens 2 mom. kan de uppgifter som avses i användningstillståndet lämnas ut via den informationssäkra drifttjänst som avses i 17 §. Enligt grundlagsutskottets etablerade utlåtandepraxis ska det i lag särskilt föreskrivas om rätten att lämna ut sekretessbelagda uppgifter eller personuppgifter med hjälp av en teknisk anslutning. En informationssäker driftmiljö motsvarar en teknisk anslutning.  
När villkoren i paragrafens 1 och 2 mom. uppfylls kan tillståndsmyndigheten med stöd av paragrafens 3 mom. med den registeransvarigas medgivande oberoende av sekretessplikten via den informationssäkra drifttjänst som avses i 17 § plocka ut uppgifter enligt användningstillståndet ur de myndighets register som avses i 6 §, om det med beaktande av registrens innehåll och tekniska utförande är möjligt och ändamålsenligt. Tillståndsmyndigheten ska dessutom ha rätt att plocka ut de sagda uppgifterna ur Kanta-tjänsterna. Tekniskt sett kan detta genomföras när det gäller t.ex. uppgifterna i befolkningsdatasystemet, medan de uppgifter som finns i Folkpensionsanstaltens förmånsregister på grund av nuvarande informationssystem måste plockas ut ur besluten separat.  
Målet är att det datamaterial som oftast behövs för de ändamål som avses i denna lag med hjälp av utveckling av informationssystemen ska kunna produceras så automatiskt som möjligt, vilket väsentligt förbättrar möjligheterna att använda existerande uppgifter och dataskyddet samt minskar de utgifter som beror på den sekundära användningen av dem. 
Enligt paragrafens 4 mom. är tillståndsmyndigheten registeransvarig för de uppgifter som den har fått på de sätt som avses i paragrafen. Tillståndsmyndigheten svarar således i egenskap av registeransvarig för de uppgifter som myndigheten fått och behandlat för att utföra sina lagstadgade uppgifter från den stunden då den har fått uppgifterna, samt för att förstöra eller bevara och eventuellt arkivera dem efter detta. Tillståndshavaren är för sin del registeransvarig för de uppgifter som tillståndshavaren fått med stöd av tillståndet. 
Uppgifter som lämnas ut med stöd av användningstillstånd 
37 §. Användningstillstånd för vetenskaplig forskning och statistikföring. I paragrafen föreskrivs om rätten att lämna ut sekretessbelagda uppgifter för att användas för vetenskaplig forskning och statistikföring. Enligt skäl 159 i ingressen till den europeiska dataskyddsförordningen bör begreppet vetenskaplig forskning ges en vid tolkning och även omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. I paragrafen ska dessutom beaktas unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Vetenskapliga forskningsändamål bör också omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. För att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål. Om resultatet av vetenskaplig forskning, särskilt för hälso- och sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse, bör de allmänna reglerna i dataskyddsförordningen tillämpas på dessa åtgärder. Även i Finland ska man i fortsättningen iaktta denna ingressen till förordningen när det ska bedömas huruvida forskning uppfyller kriterierna för vetenskaplig forskning.  
I skäl 157 i ingressen till dataskyddsförordningen erkänns betydelsen hos forskningsresultat som erhållits på grundval av register. Enligt förordningen kan forskare genom att koppla samman information från olika register erhålla ny kunskap av stort värde med avseende på medicinska tillstånd som exempelvis hjärt-kärlsjukdomar, cancer och depression. På grundval av registren kan forskningsresultaten förbättras, eftersom de bygger på en större befolkningsgrupp. Forskningsresultat som erhållits på grundval av register utgör en stabil, högkvalitativ kunskap, som kan ligga till grund för utformningen och genomförandet av kunskapsbaserad politik, förbättra livskvaliteten för ett antal personer och förbättra de sociala tjänsternas effektivitet. Som villkor för registerforskning uppställs att lämpliga villkor och skyddsåtgärder i medlemsstaternas nationella rätt iakttas.  
Registerforskning har betydande effekter när det gäller att främja social- och hälsovården, vården, hälsan och välbefinnandet. Registerforskning är ett kostnadseffektivt sätt att producera tillförlitlig information för t.ex. utvärderingen, utvecklingen och planeringen av verksamheten. Vid registerforskning intresserar man sig inte för en enskild människas uppgifter som sådana, utan för den information som kan produceras med hjälp av personuppgifter som gäller en stor grupp människor.  
Med statistiska ändamål avses enligt skäl 162 i ingressen till dataskyddsförordningen varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Dessa statistiska resultat kan vidare användas för olika ändamål, inbegripet vetenskapliga forskningsändamål. Ett statistiskt ändamål innebär att resultatet av behandlingen för statistiska ändamål inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person. 
Enligt artikel 5.1 b i dataskyddsförordningen ska vetenskaplig forskning eller statistiska ändamål inte anses vara oförenlig med de ursprungliga ändamålen. Vetenskaplig forskning eller statistikföring har dock inte nämnts som uttrycklig grund för behandling i artikel 6.1 i dataskyddsförordningen som gäller laglig behandling. Grunden för behandling ska trots detta följa direkt av förordningen och den kan från fall till fall grunda sig på artikel 6.1 led a (samtycke), led c (behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvariga), led e (en uppgift av allmänt intresse) eller led f (berättigade intressen).  
Behandling av sådana uppgifter som hör till särskilda kategorier, dvs. känsliga uppgifter, är i regel förbjuden enligt förordningen. Känsliga uppgifter är uppgifter om bl.a. hälsan. Vad dessa uppgifter beträffar ska det i lagen föreskrivas om en egen grund för behandling för vetenskaplig forskning och statistikföring. I artikel 9.2 j som gäller behandling av känsliga uppgifter bestäms det nämligen uttryckligen att behandlingsförbudet inte tillämpas, om behandlingen är nödvändig för vetenskapliga forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. För känsliga uppgifter gäller dessutom med stöd av artikel 9.4 att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. 
Bestämmelser om behandling som hänför sig till vetenskaplig forskning och statistikföring finns i 14 och 15 § i gällande personuppgiftslag. I bestämmelserna i 27 § i personuppgiftslagen finns likaså ett undantag som gäller den registrerades rätt till insyn. Avsikten är att motsvarande bestämmelser ska tas in även i den allmänna lag som ersätter personuppgiftslagen så att bestämmelserna är förenliga med dataskyddsförordningen. Därför tas motsvarande bestämmelser inte in i denna proposition, utan de följer direkt av personuppgiftslagen så länge den är i kraft och senare av den nya, nationella allmänna lag som ersätter personuppgiftslagen och som är förenlig med dataskyddsförordningen. 
Enligt paragrafens 1 mom. får det för vetenskaplig forskning och statistikföring trots sekretessplikten ges användningstillstånd för kunduppgifter inom social- och hälsovården och för andra personuppgifter som avses i 6 §. Tillståndsmyndigheten för social- och hälsovårdsuppgifter kan i enlighet med 44 § ge ett användningstillstånd för kunduppgifter inom social- och hälsovården samt för andra sådana personuppgifter hos myndigheter och organisationer som avses i 6 § under de begränsningar som anges i den paragrafen efter att från fall till fall ha bedömt förutsättningarna för tillstånd utifrån den plan för användning av uppgifter som fogas till tillståndsansökan. 
Tillstånden beviljas enligt 44 § 2 mom. av den registeransvariga själv, om begäran om information eller ansökan om användningstillstånd gäller uppgifter i personregister hos endast en myndighet som avses i 6 §. Den registeransvariga kan dock med Tillståndsmyndigheten för social- och hälsovårdsuppgifter avtala om att tillståndsmyndigheten sköter uppgiften i dess ställe. Om en ansökan om användningstillstånd däremot gäller kunduppgifter hos en privat serviceanordnare inom social- och hälsovården eller personregister hos flera registeransvariga som avses i 6 § eller uppgifter som registrerats i de Kanta-tjänster som avses i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007, klientuppgiftslagen), svarar tillståndsmyndigheten för tillståndsbeslutet. En privat tjänstetillhandahållare kan således aldrig besluta om användningstillstånd för kunduppgifter ens i de egna registren. 
I 2 mom. åläggs en skyldighet att se till att prövningen av om användningstillstånd ska beviljas eller inte ska utgå från att den vetenskapliga forskningens frihet tryggas. Den vetenskapliga forskningens frihet är en grundläggande fri- och rättighet som avses i 16 § 3 mom. i grundlagen.  
Enligt 3 mom. tillämpas dessutom personuppgiftslagen när uppgifter med stöd av denna lag behandlas för vetenskaplig forskning och statistikföring. I personuppgiftslagen föreskrivs bl.a. om närmare förutsättningar för behandling av uppgifter i forskningssyfte (14 §) och i statistikföring (15 §) samt om inskränkningar i rätten till insyn när uppgifterna behandlas för vetenskaplig forskning eller statistikföring (27 §). När den allmänna lag som ska ersätta personuppgiftslagen blir färdig tillämpas istället för personuppgiftslagen den nya lagen, varav följer bl.a. noggrannare förutsättningar för behandlingen och möjligheter att avvika från registrerades rättigheter som anges i dataskyddsförordningen till den del som de inte följer direkt av själva förordningen. 
38 §. Utvecklings- och innovationsverksamhet. Syftet med paragrafen är att möjliggöra användning av registeruppgifter för utvecklings- och innovationsverksamhet på ett mer omfattande sätt än för vetenskaplig forskning. För sådan användning av uppgifter finns det inte någon direkt grund för behandlingen i dataskyddsförordningen. Behandling enligt paragrafen grundar sig antingen på samtycke enligt artikel 6.1 a och vid behov enligt artikel 9.2 a i dataskyddsförordningen eller på behandling enligt 45 § av anonymiserade uppgifter. I det senare fallet behöver den som tar emot uppgifterna inte någon grund för behandlingen enligt dataskyddsförordningen, eftersom dataskyddsförordningen inte tillämpas på anonyma uppgifter. 
Innovation är en ny produkt, tjänst eller verksamhetsform som genererar ekonomisk eller samhällelig nytta. Innovationsverksamhet är ett mer omfattande begrepp än forsknings- och utvecklingsverksamhet som förutom produkt- och processinnovationer kan innefatta införande av marknadsförings- och organisationsinnovationer i en organisation. Framgångsrika företag förmår producera nya innovativa lösningar och öka sin omsättning med produkter och tjänster med högt mervärde. I Finland har den offentliga sektorn en viktig roll inom sektorer med omfattande samhälleliga externa verkningar, t.ex. i fråga om social- och hälsotjänster samt utnyttjande av digitaliseringen. Särskilt inom dessa sektorer kan den offentliga sektorns åtgärder ha synnerligen betydande effekter på den ekonomiska tillväxten och möjligheterna för att nya investeringar med högt mervärde, såsom forsknings-, utvecklings- och innovationsverksamhet, etableras i Finland.  
Med utvecklingsverksamhet avses experimentell utvecklingsverksamhet som genomförs i forskningsorganisationer, företag och offentliga organisationer med hjälp av olika systematiska metoder. Med experimentell utvecklingsverksamhet avses inhämtande och användning av befintlig vetenskaplig eller teknisk information och färdighet eller information och färdighet som gäller affärsverksamhet och andra frågor i syfte att utarbeta planer eller modeller för nya, ändrade eller förbättrade produkter, processer och tjänster. 
Särskilt i den utvecklingsverksamhet som utförs i företag eller som företag beställt av forskningsorganisationer påverkas möjligheterna att utnyttja resultaten i affärsverksamheten väsentligt av skyddet av resultaten genom industriellt rättsskydd, sekretess eller andra åtgärder. Dessa åtgärder begränsar vanligen möjligheterna att använda den information som uppkommer i andra organisationer och inverkar även på bl.a. i vilket skede man rapporterar om resultaten från forskningen och offentliggör dem på öppna forum. I olika samarbetsstrukturer och projekt där företag, forskningsorganisationer och t.ex. offentliga social- och hälsoserviceorganisationer ingår, ingås genom ett samarbetsavtal en överenskommelse om rättigheter samt om skydds- och publikationspraxis när det gäller resultaten. Om ett projekt får finansiering från offentliga forsknings- och innovationsfinansiärer eller från t.ex. Europeiska unionen, bestämmer finansieringsvillkoren de yttre ramarna för i vilken utsträckning det är möjligt för parterna att avtala om dessa frågor. 
Syftet i 1 mom. är att möjliggöra användningen av samtycke och särskilt dynamiskt samtycke, när registeruppgifterna behandlas för ändamål inom utvecklings- och innovationsverksamhet. Med dynamiskt samtycke avses en digital plattform, där registrerade interaktivt kan delta och påverka sitt eget samtycke och se vad de har gett samtycke till. Registrerade kan även ändra sitt samtycke med hjälp av plattformen. Plattformen kan ha funktioner som registrerade kan ändra enligt sina personliga preferenser. Även de som använder informationen kan via plattformen kontakta registrerade, vilket möjliggör interaktion i båda riktningarna. 
I paragrafen bestäms inte någon noggrannare form för samtycket, eftersom den följer direkt av bestämmelserna i dataskyddsförordningen, särskilt artikel 7. När dataskyddsförordningen medger det kan formen på samtycket variera beroende på vilka uppgifter som i varje enskilt fall används. När det gäller givande av samtycke ska även skäl 33 i ingressen till dataskyddsförordningen beaktas, enligt vilket registrerade bör kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör dock ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.  
När samtycke begärs av en registrerad bör man beakta att samtycket även ska täcka möjligheten att behandla sådana uppgifter om den registrerade som finns i registren. Tillståndsmyndigheten för social- och hälsovårdsuppgifter kan behandla uppgifter endast i enlighet med de villkor som ställs i den registrerades samtycke. Det måste således beaktas att samtycket bör täcka inte bara tillståndshavarens utan även tillståndsmyndighetens rätt att behandla uppgifter. Detta skyddar den registrerades grundläggande fri- och rättigheter och intressen, när uppgifter behandlas för utvecklings- och innovationsverksamhetens ändamål. 
I 2 mom. uppställs fler skyddsåtgärder som syftar till att säkerställa att uppgifter behandlas proportionerligt samt skyddet för personuppgifter. Enligt 1 punkten i momentet ska en utnämnd ansvarig eller grupp svara för verksamheten. I 2 punkten konstateras vidare att uppgifterna får användas endast i enlighet med planen för användning av uppgifter och att tillvägagångssättet är sådant att uppgifter om en viss person inte röjs för utomstående. Kriterier motsvarar dessa förutsättningar som har i personuppgiftslagen och det utkast till allmän lag som bereds vid justitieministeriet och som ska ersätta personuppgiftslagen uppställts som förutsättningar för vetenskaplig forskning. Alla förutsättningar måste uppfyllas för att tillståndsmyndigheten ska kunna ge tillstånd för behandling av uppgifter. 
I 3 mom. finns en preciserande hänvisning till 45 §, där det finns bestämmelser om utlämnande av anonymiserade uppgifter. Enligt den om den sökande begär personuppgifter för ett användningsändamål enligt 2 § endast i anonymiserad form, bedömer Tillståndsmyndigheten för social- och hälsovårdsuppgifter om de begärda uppgifterna kan anonymiseras. Förutom utvecklings- och innovationsverksamhet är tillåtna ändamål statistikföring, vetenskaplig forskning, undervisning, informationsledning, myndighetsstyrning och myndighetstillsyn inom social- och hälsovården samt myndigheternas planerings- och utredningsuppgifter. Eftersom uppgifterna är helt anonyma kräver skyddet av dem inte några särskilda åtgärder, utan de kan överlåtas direkt till den som begär dem. Tillståndsmyndighets rätt att få, samköra och överlåta uppgifter för anonymisering följer av lagens 36 §, där det föreskrivs om tillståndsmyndighetens rätt att få och behandla uppgifter trots sekretessplikten. 
39 §. Undervisning. I paragrafen föreskrivs det om de förutsättningar utifrån vilka personuppgifter kan användas i undervisning och framställning av undervisningsmaterial. När det gäller att lära sig arbetet för kunduppgifter inom socialvården samt för vårdarbete och läkaryrket inom hälso- och sjukvården förutsätts det utöver teoretiska studier även praktik i verkliga situationer. De sekretesskyldigheter som anges i 13 § 2 mom. i patientlagen och i 14 och 15 § i klientlagen gäller dem som under sin praktikperiod i anknytning till studierna får sekretessbelagda uppgifter om de kunder som de vårdar. I 3—3 e § i förordningen om yrkesutbildade personer inom hälso- och sjukvården (564/1994) föreskrivs det om rätten för medicine studerande eller odontologie studerande, personer som studerar till provisor eller farmaceut eller andra studerande att vara verksamma i legitimerade yrkesutbildade personers uppgifter. I 4 § i lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994) föreskrivs om specialistläkar- och specialisttandläkarutbildningen. I 12 § i lagen om yrkesutbildade personer inom socialvården (817/2015) föreskrivs om rätten att tillfälligt vara verksam inom socialvården i en legitimerad yrkesutbildad persons yrke. Däremot finns det inte några bestämmelser om på vilket sätt uppgifter i kundhandlingar får behandlas vid framställandet av undervisningsmaterial och läggas fram i undervisningen.  
I praktiken är t.ex. var och en som bekantar sig med en viss specialitet eller håller på att specialisera sig redan färdig läkare, och för honom eller henne gäller läkares tystnadsplikt. En medicinestuderande får endast ansvara för vården av vissa enskilda undervisningspatienter, och i den uppgiften är han eller hon berättigad att behandla de kunduppgifter som behövs i vården. Utöver detta deltar läkarstudenterna i läkarronder på avdelningarna, och då behandlas även sådana patienters situation som är på andra studerandes vårdansvar, och alla dessa fall analyseras ännu mer detaljerat för flera studerande vid gemensam klinik undervisning av föreläsningstyp.  
Undervisning av detta slag är nödvändig för att studerandena under klinik undervisningen ska hinna få erfarenhet av så många olika aspekter som möjligt som ska beaktas i konkreta forsknings- och vårdsituationer och av de lösningar som är tillgängliga samt av deras funktion och verkliga effekter. I situationer som dessa är det i praktiken nödvändigt att vid klinik undervisningen i undervisningssyfte behandla sådana kunduppgifter för patienter på vårdenheten som har haft betydelse som förhandsuppgifter samt när den valda vårdlinjen och dess effekt utvärderas. Eftersom studerandena under undervisningen har deltagit i vården av patienterna förmår de även identifiera patienterna, och undervisningen kan inte i dessa situationer genomföras på ett sådant sätt att patienterna inte kan identifieras av studerandena. 
Kundernas livssituation är ofta sådan att det finns behov av både social- och hälsovårdstjänster och därför motsvarar de undervisningssituationer som gäller användning av kunduppgifter till innehållet ofta varandra i vårdarbete och socialvård, och det är möjligt att tillämpa överensstämmande bestämmelser på dem. Yrkesutbildade personer inom socialvården möter i sitt arbete ytterst utmanande kundsituationer och utvecklingen av både socialvårdstjänster och de yrkesutbildades kompetens förutsätter allt bättre kunskaper om kundernas situation. Även inom utbildningen i socialvård har klinik undervisningen utvecklats. Redan under klinik undervisningen är det bra att beakta de krav som kommer med integrationen av social- och hälsovårdstjänster och därför är det viktigt att överensstämmande bestämmelser tillämpas i fråga om kunduppgifterna. 
Förutom för klinik undervisning är det viktigt att för undervisning i form av föreläsningar kunna framställa undervisningsmaterial som grundar sig på verkliga kundsituationer och kundhandlingar. Det är möjligt att lära sig att bedöma och göra utlåtanden om t.ex. röntgenbilder endast genom att se ett tillräckligt antal och genom att sätta sig in i tolkningar och utlåtanden som getts om röntgenbilderna. I detta fall har det dock inte någon betydelse om exempelfallen och exempelmaterialet utgörs av vissa autentiska fall, utan det att man med hjälp av dem kan simulera autentiska kundsituationer. För att kunna välja ut undervisningsmaterialet och bedöma patientens vårdkedja är det dock viktigt för den som utarbetar materialet att han eller hon kan gå tillbaka till kundhandlingarna för bekanta patienter och ur handlingarna välja att behandla de kunduppgifter som hänför sig till vårdkedjan och som är väsentliga för undervisningen.  
Undervisning är en i 16 § i grundlagen tryggad grundläggande fri- och rättighet. För att yrkesutbildade personer inom social- och hälsovården ska kunna vårda och hjälpa sina kunder på bästa möjliga sätt, ska de ges undervisning som motsvarar autentiska kundsituationer. Då är det möjligt att garantera dem en högkvalitativ utbildning som motsvarar uppgifterna. Samtidigt tryggas den i 19 § i grundlagen föreskrivna rätten till social trygghet, som yrkesutbildade personer i praktiken tillgodoser i sitt arbete. 
På ovan angivna grunder kan undervisningen anses vara utförande av en uppgift av allmänt intresse. Grunden för behandling för andra än känsliga personuppgifter följer i undervisningssyfte artikel 6.1 e i dataskyddsförordningen, enligt vilken behandlingen av personuppgifter är lagenlig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den registeransvarigas myndighetsutövning. Eftersom uppgifterna i undervisningen behandlas för något annat ändamål än det för vilket de har samlats in, ska lagstiftningen dessutom i ett demokratiskt samhälle utgöra en nödvändig och proportionerlig åtgärd för att trygga de mål som avses i artikel 23.1 i dataskyddsförordningen. Dessa mål är bl.a. den i led e avsedda folkhälsan och sociala tryggheten och det i led i avsedda skyddet av den registrerade eller andras rättigheter och friheter. 
Ett viktigt mål med undervisningen är att trygga en högklassig social- och hälsovård som uppfyller säkerhetsnormerna. En förutsättning för patient- och kundsäkerheten är att de yrkesutbildade personerna kan agera så effektivt som möjligt och på ett högklassigt sätt i olika kundsituationer. Därför måste det gå att använda personuppgifter i undervisningssyfte i enlighet med artikel 23.1 i i dataskyddsförordningen i syfte att trygga rättigheter och friheter som tillkommer andra. De ”andra” som avses i led i är de kunder inom social- och hälsovården som i fortsättningen kommer att vårdas och stödjas av de yrkesutbildade personer som genomgår utbildningen. Om de yrkesutbildade personerna inte får ändamålsenlig utbildning förmår de inte reagera på kundernas behov, och detta kan rentav leda till att kundens liv och hälsa äventyras. 
På grund av branschens karaktär är det i undervisningen för personalen inom social- och hälsovården och studerande ofta nödvändigt att behandla även sådana uppgifter som har klassificerats som känsliga i artikel 9.1 i dataskyddsförordningen. För behandling av dessa uppgifter lämpar sig artikel 9.2 g: ”Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.”  
Bland annat rättigheterna för en registrerad och begränsning av rättigheterna enligt dataskyddsförordningen beror på vilka grunder enligt artikel 6 och 9 som har valts som grund för behandlingen. Exempelvis i artikel 22 avsett automatiserat individuellt beslutsfattande, inbegripet profilering, som gäller känsliga personuppgifter, är möjligt endast utifrån artikel 9.2 g eller 9.2 a, dvs. utifrån ett uttryckligt samtycke. I och med att verksamheten inom hälsovården och därtill hörande lösningar med artificiell intelligens utvecklas, kommer det automatiserade individuella beslutsfattandet sannolikt att framhävas även när undervisningsmaterial framställs. Den i förslaget valda grunden för behandling möjliggör det automatiserade individuella beslutsfattande som gjorts i detta syfte.  
Enligt 1 mom. får kunduppgifter inom social- och hälsovården trots sekretessplikten användas med stöd av artikel 9.2 g i dataskyddsförordningen vid framställningen av undervisningsmaterial för personal som behandlar kunduppgifter samt för yrkesutbildade personer inom social- och hälsovården. Om personuppgifter används för annat än ursprungligt syfte med stöd av en medlemsstats lagstiftning, kräver detta att proportionalitetsprincipen iakttas och att kriterierna att uppgifterna ska vara behövliga uppfylls. Därför föreslås det i propositionen att det föreskrivs att kunduppgifter får behandlas i identifierbar form i undervisningen och framställningen av undervisningsmaterial endast om det är nödvändigt för att förverkliga syftet med undervisningen. Uppgifterna får behandlas antingen med ett användningstillstånd utfärdat av en tillhandahållare av social- och hälsovårdstjänster (dess egna uppgifter) eller med ett användningstillstånd utfärdat av tillståndsmyndigheten (uppgifter från fler än en tjänstetillhandahållare). Det är alltid tillståndsmyndigheten som beviljar tillstånd för privata tjänstetillhandahållares räkning inom social- och hälsovården.  
Tillståndsmyndigheten kan dessutom för framställande av undervisningsmaterial i enlighet med 45 § överlåta anonymiserade uppgifter, om de begärda uppgifterna kan anonymiseras. För överlåtelse av detta slag behövs inte användningstillstånd.  
Sådant undervisningsmaterial får och ska vid undervisning i form av föreläsningar presenteras anonymt på det sätt som föreskrivs i 2 mom. Identifierbara uppgifter får användas i undervisningssituationer endast om undervisningen inte kan hållas anonym på grund av att fallet i fråga är sällsynt, på grund av undervisningens natur eller av något annat motsvarande skäl. Det är inte exceptionellt att studerande åtminstone indirekt kan identifiera en person utifrån uppgifterna t.ex. för att de själva har vårdat patienten eller behandlat kundens ärende. Därför är det för att skydda de registrerades rättigheter nödvändigt att de som deltar i undervisningen ska föreläggas lagstadgad sekretessplikt. Sekretessplikten följer direkt av lagens 53 §. Med hjälp av sekretessplikten försöker man säkerställa att uppgifterna behandlas av endast de personer som måste behandla dem. Eftersom de som studerar till yrkesutbildade personer inte nödvändigtvis ännu i början av sina studier är insatta i all lagstiftning som gäller dem, ska den som ger utbildningen vara skyldig att informera studerandena om att sekretessplikt gäller i fråga om uppgifterna.Dessutom ska den som ger utbildning informera studerandena om de sanktioner som följer för brott mot sekretessplikten bl.a. med stöd av 38 kap. i strafflagen. 
I 3 mom. föreskrivs att en registrerad inte har rätt att göra invändningar mot behandlingen av personuppgifter om honom eller henne i undervisningssyfte. När behandlingen av uppgifter grundar sig på artikel 6.1 e i dataskyddsförordningen har den registrerade enligt artikel 21 i regel rätt att göra invändningar mot behandlingen av sina personuppgifter. Enligt artikel 21.1 i förordningen får en registeransvarig, om den registrerade har gjort invändningar mot behandlingen av uppgifter, inte längre behandla personuppgifterna såvida denne inte kan påvisa sådana tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. 
En medlemsstat kan enligt artikel 23.1 i dataskyddsförordningen begränsa tillämpningsområdet för rätten att göra invändningar enligt artikel 21, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa skyddet av den registrerade eller andras rättigheter och friheter. I artikel 23.2 i förordningen har närmare beskrivits vilka särskilda bestämmelser som vid behov ska tas in i lagstiftningsåtgärderna. Dessa är ändamålen med behandlingen eller kategorierna av behandling, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skyddsåtgärder, specificeringen av den registeransvariga, lagringstiden, riskerna för de registrerades rättigheter och friheter samt de registrerades rätt att bli informerade om begränsningen. 
Rätten att göra invändningar måste i undervisningssyfte kunna begränsas särskilt om det är fråga om ett sällsynt fall. För att dessa fall ska kunna skötas på ett högklassigt och korrekt sätt ska de behandlas redan i samband med undervisningssituationer. Om en person i dessa fall har rätt att invända, blir det i praktiken omöjligt att genomföra undervisningen, eftersom det är svårt eller rentav omöjligt att hitta motsvarande exempel. Detta leder till att de som deltar i undervisningen inte kan undervisas i hur dessa fall ska skötas, och då får den kund som lider av samma sjukdom eller som har hamnat i en liknande situation inte den vård eller annan hjälp som han eller hon behöver. Det är därför fråga om en nödvändig begränsande åtgärd när det gäller rätten att göra invändningar. Uppgifterna kan i allmänhet inte på grund av fallens karaktär presenteras som exempel eller anonyma. Det är nämligen i praktiken möjligt att identifiera personen, om det bara finns ett fåtal fall i hela landet eller inom ett visst område. Sekretessplikten avser även i detta fall att förhindra att den registrerades identitet avslöjas för utomstående.  
I 4 mom. föreskrivs vidare för att skydda den registrerade att tillståndshavaren ska förstöra ett separat material som samlats in för undervisningsändamål när det inte längre behövs för det ändamålet. 
40 §. Myndighetens planerings- och utredningsuppgifter. Enligt paragrafen kan det för myndighetens planerings- och utredningsuppgifter trots sekretessplikten i enskilda fall ges sådana i 6 § avsedda myndigheters registeruppgifter, som har registrerats i social- och hälsovårdens verksamhet och som är nödvändiga för uppgifterna i fråga. Tillståndsmyndigheten för social- och hälsovårdsuppgifter kan ge tillstånd till Folkpensionsanstaltens, Pensionsskyddscentralens och Befolkningsregistercentralens uppgifter som är begränsade i 6 § och som är nödvändiga för planerings- och utredningsuppgifter. 
Bestämmelsen är enhetlig med bestämmelsen i 16 § i personuppgiftslagen och motsvarar de i 28 § i offentlighetslagen avsedda planering- och utredningsuppgifterna. Skillnaden är i praktiken den att nu kan tillståndsmyndigheten centraliserat ge tillstånd till myndigheternas uppgifter inom flera förvaltningsområden samt samköra och lämna ut dem centraliserat. Enligt 28 § i gällande offentlighetslag fattar ministeriet beslut om beviljande av tillstånd, om uppgifter behövs ur register som finns hos flera myndigheter som är underställda samma ministerium.  
I kommunerna är det nödvändigt att samköra uppgifter om välbefinnande även med bl.a. uppgifter som samlas in inom idrotts-, bildnings- och kulturväsendet samt tekniska sektorn. Detta är viktigt även i social- och hälsovårdstjänsternas föränderliga strukturer för att främja välbefinnandet på ett bredare plan. Även i den planerade modellen för ordnande av landskapens social- och hälsovårdstjänster behöver både den som anordnar social- och hälsovårdstjänster och kommunen information, utifrån vilken de kan svara för en ändamålsenlig skötsel av de uppgifter och skyldigheter som föreskrivs i hälso- och sjukvårdslagen, socialvårdslagen och i annan speciallagstiftning eller som grundar sig på avtal eller för andra uppgifter som en kommun enligt kommunallagen (410/2015) har åtagit sig. 
Enligt gällande kommunallag producerar kommunerna och samkommunerna en betydande del av social- och hälsovårdstjänsterna. Kommunen ska främja sina invånares välfärd och ordna tjänsterna för sina invånare på ett ekonomiskt, socialt och miljömässigt hållbart sätt. Kommunen ska ta hänsyn till främjandet av kommuninvånarnas välfärd samt till ordnandet och produktionen av tjänster i kommunstrategin. Kommunstrategin ska grunda sig på en bedömning av nuläget i kommunen samt av framtida förändringar i omvärlden och deras inverkan på fullgörandet av kommunens uppgifter. 
De kommunala myndigheterna ska i samarbete ge akt på och främja välfärden hos personer som behöver särskilt stöd samt avhjälpa missförhållanden och förebygga uppkomsten av dem. De myndigheter som ansvarar för det särskilda stödet ska enligt socialvårdslagen förmedla information om de sociala problem som klienterna ställs inför samt ge sakkunnighjälp till andra myndigheter och till kommuninvånarna och till organisationer som är verksamma i kommunen. För de syften som nämns behöver de kommunala myndigheterna och de framtida landskapsmyndigheterna få uppgifter som överskrider förvaltningsområdesgränserna för skötseln av sina lagstadgade uppgifter, samt ett administrativt förfarande med hjälp av vilket uppgifterna smidigt och skyndsamt fås i tjänstebruk. 
Behandlingen av andra än känsliga uppgifter grundar sig på artikel 6.1 e i dataskyddsförordningen. Enligt den är behandlingen av personuppgifter laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den registeransvarigas myndighetsutövning.  
Eftersom uppgifterna vid planerings- och utredningsuppgifter behandlas för något annat ändamål än det för vilket de har samlats in, ska lagstiftningen dessutom i ett demokratiskt samhälle utgöra en nödvändig och proportionerlig åtgärd för att trygga de mål som avses i artikel 23.1 i dataskyddsförordningen. Dessa mål är bl.a. den i led e avsedda folkhälsan och sociala tryggheten och det i led i avsedda skyddet av den registrerade eller andras rättigheter och friheter. På grund av detta ska det föreskrivas att det för planerings- och utredningsuppgifter får användas endast sådana personuppgifter som är nödvändiga för ändamålet. 
Om myndighetens planerings- och utredningsuppgifter gäller känsliga uppgifter, ska det för behandlingen finns en grund i artikel 9.2 i dataskyddsförordningen. Som grund för behandlingen föreslås artikel 9.2 g som tillåter behandling om den är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. 
I paragrafen finns bestämmelser om de förutsättningar i enlighet med vilka uppgifter kan lämnas ut för myndighetens planerings- och utredningsuppgift. Myndighetens planerings- och utredningsuppgifter är sådana uppgifter som är viktiga för det allmänna intresset, eftersom syftet med dessa uppgifter är att genomföra offentlighetsprincipen och producera uppgifter för ett allmänt samhälleligt behov. Inom social- och hälsovårdssektorn förverkligar myndighetens planerings- och utredningsuppgifter särskilt mål som hänför sig till folkhälsan och den sociala tryggheten. Därför kan detta när det gäller känsliga uppgifter motiveras med artikel 9.2 e och artikel 23 e. 
För att skydda registrerade och begränsa behandlingen av personuppgifter föreslås motsvarande skyddsåtgärder som i gällande personuppgiftslag. För det första måste det finnas ett av myndigheten beviljat användningstillstånd för planerings- och utredningsuppgifter. Bestämmelser om den behörighet som gäller användningstillstånd finns i lagens 44 §. Behandlingen kräver en ändamålsenlig plan för användning av uppgifter och förutsättningen är att informationsbehovet eller själva uppgiften inte kan genomföras utan behandling av kunduppgifter. Skyddsåtgärder är bl.a. informationssäkerhetskraven enligt 3 kap. och sekretessplikten enligt 53 §. Vidare följer gränserna för myndighetens planerings- och utredningsuppgifter av de bestämmelser som gäller den egna behörigheten för den myndighet som utför planerings- och utredningsuppgifter. Dess behörighet bestämmer nämligen även vilka planerings- och utredningsuppgifter som hör till myndigheten i fråga.  
Behandling av uppgifter med stöd av lag utan användningstillstånd 
41 §. Informationsledning. Ordnandet av tjänster är en sådan uppgift för tjänstetillhandahållare inom social- och hälsovården som grundar sig på lag. Syftet med den föreslagna paragrafen är att förbättra tjänstetillhandahållarens faktiska förutsättningar för att sköta sin uppgift.  
Grunden för behandling för informationsledning följer av artikel 6.1 e i dataskyddsförordningen, enligt vilken uppgifter får behandlas, om det är nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den registeransvarigas myndighetsutövning. Eftersom uppgifterna i informationsledning behandlas för något annat ändamål än det för vilket de har samlats in, ska lagstiftningen dessutom i ett demokratiskt samhälle utgöra en nödvändig och proportionerlig åtgärd för att trygga de mål som avses i artikel 23.1 i dataskyddsförordningen. Dessa mål är bl.a. den i led e avsedda folkhälsan och sociala tryggheten och det i led i avsedda skyddet av den registrerade samt andras rättigheter och friheter.  
Kraven på uppgifter som hör till särskilda kategorier av personuppgifter, t.ex. hälsouppgifter, är strängare enligt artikel 9 i dataskyddsförordningen. Sådan behandling som sker i informationsledningssyfte lyder dock under artikel 9.2 h i förordningen. Enligt den artikeln kan uppgifter behandlas bland annat för förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av medlemsstaternas nationella rätt och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda. Enligt punkt 3 förutsätts att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ. 
För att servicesystemet ska kunna utvecklas i en mera verkningsfull riktning och för att resultatet av de tjänster som kunderna får ska kunna följas effektivt ska det vara möjligt för tjänstetillhandahållarna att behandla och samköra identifierbara uppgifter som stöd för den operativa och strategiska ledningen samt beslutsfattandet. På detta sätt kan verksamheten, produktionen och ekonomin styras bättre. De identifierbara uppgifter som behövs för utveckling av produktionsprocesser, samordning av den samlade vården av en patient, kundsegmentering och andra motsvarande användningsändamål som förbättrar produktiviteten och verkningsfullheten ska kunna användas som grund för ledningsinformationen i realtid, kontinuerligt och kumulerande, som ett led i organisationernas dagliga verksamhet och utan inledande av separata forskningsprojekt. Tjänstetillhandahållaren ska kunna använda sådan information utifrån vilken den kan svara för en ändamålsenlig skötsel av sina uppgifter och skyldigheter som grundar sig på avtal eller som anges i hälso- och sjukvårdslagen (1326/2010) och socialvårdslagen (1301/2014) samt i annan speciallagstiftning på området. 
Enligt t.ex. hälso- och sjukvårdslagen ansvarar en kommun eller samkommun för ordnandet och genomförandet av hälso- och sjukvårdstjänster, lika tillgång till de ordnade tjänsterna och vidtagna andra åtgärderna samt fastställandet av behovet av, mängden av och kvaliteten på tjänster, sättet att producera tjänster och tillsynen över tjänsteproduktionen. En kommun eller en samkommun för ett sjukvårdsdistrikt ska ordna hälso- och sjukvårdens innehåll och omfattning enligt vad som krävs för kommuninvånarnas eller invånarnas i samkommunen välbefinnande, patientsäkerhet, sociala trygghet och hälsotillstånd och för det medicinskt, odontologiskt och hälsovetenskapligt bedömda behov som kan motiveras utifrån observation av faktorer som påverkar dessa hälsoaspekter. En kommun och en samkommun för ett sjukvårdsdistrikt ska även se till att servicen för de invånare som den ansvarar för ordnas och är tillgänglig på lika villkor inom hela kommunen eller samkommunen. Kommunen ska också anvisa tillräckligt med resurser för det främjande av hälsa och välfärd som ligger till grund för statsandelen för kommunal basservice samt för hälso- och sjukvårdstjänsterna. Vidare hälso- och sjukvårdslagen ålägger samkommunen för ett sjukvårdsdistrikt att planera och utveckla den specialiserade sjukvården så att primärvården och den specialiserade sjukvården bildar en funktionell helhet. 
På motsvarande sätt är en kommun enligt socialvårdslagen skyldig att se till att kommuninvånarna ska ha tillgång till rådgivning och handledning inom socialvården, och när socialvården ordnar rådgivning och handledning ska den vid behov samarbeta med den primärvård som ger hälsorådgivning som avses i 13 § i hälso- och sjukvårdslagen samt med andra sektorer. Genom strukturellt socialt arbete ska kommunen se till att information om social välfärd och sociala problem förmedlas och sakkunskapen inom socialvården utnyttjas för att främja välfärd och hälsa.  
De kommunala myndigheterna ska enligt socialvårdslagen i samarbete ge akt på och främja välfärden hos personer som behöver särskilt stöd samt avhjälpa missförhållanden och förebygga uppkomsten av dem. De kommunala myndigheterna ska enligt socialvårdslagen även i samarbete ge akt på och främja barns och unga personers välfärd samt avhjälpa missförhållanden i uppväxtförhållandena och förebygga uppkomsten av missförhållanden. De myndigheter som ansvarar för socialvården ska bl.a. förmedla information om barns och unga personers uppväxtförhållanden och sociala problem samt ge sakkunnighjälp till andra myndigheter och till kommuninvånarna och till organisationer som är verksamma i kommunen.  
I gällande bestämmelser tas dock inte entydigt ställning till samkörning av identifierbara uppgifter i den registeransvarigas olika register när tjänstetillhandahållarens verksamhet planeras, utvärderas, leds, övervakas eller i fråga om andra motsvarande behov. Klientuppgiftssystemet ska enligt 7 § i klientuppgiftslagen kunna producera de uppgifter som behövs för den planering, ledning och statistikföring som tillhandahållaren av socialvårdstjänster och hälso- och sjukvårdstjänster själv sköter och de uppgifter som behövs för den riksomfattande forsknings- och statistikverksamheten samt uppgifter om bedömning av vårdbehovet och om tidpunkten för intagning för vård. Enligt 21 § i lagen om klienthandlingar inom socialvården (254/2015) ska klientuppgifter kunna användas inom klientprocessen samt vid planeringen, utvärderingen, ledningen och övervakningen av verksamheten. 
Informationsledningens betydelse framhävs, om den reform av ordnandet av social- och hälsovårdstjänster som är aktuell för närvarande förverkligas. I och med reformen kommer avsevärt större områden, dvs. landskapen, att svara för ordnandet av social- och hälsovårdstjänster. Syftet med förslaget är även att förbättra tillgången till social- och hälsovårdstjänster och att integrera tjänsterna till en mer komprimerad helhet. För att målen ska fullföljas krävs nya verktyg för att tolka helhetsbilden ordentligt och för att kundernas servicehelhet ska kunna kontrolleras. 
Det är således nödvändigt att möjliggöra informationsledning för att trygga både folkhälsan och den sociala tryggheten och de grundläggande fri- och rättigheterna för enskilda registrerade, dvs. den i 19 § i grundlagen föreskrivna sociala tryggheten. Dessa två grunder enligt artikel 23 i dataskyddsförordningen går hand i hand: effektiv och verkningsfull informationsledning resulterar i att kunderna får bättre service och på detta sätt tryggas den registrerades rätt till hälsa och social välfärd samt patientsäkerhet. 
Den registrerades rättigheter skyddas framför allt genom att ett i lagen föreskrivet användningsändamål är begränsat. Den som behandlar uppgifterna har lagstadgad tystnadsplikt, som följer av 53 §. Den registrerades rättigheter skyddas dessutom av de informationssäkerhetskrav som bl.a. anges i 3 kap. 
Förädling av information och egentlig behandling av information vid ledning och beslutsfattande kan ofta ske på en förenklad nivå, eller på patient- eller kundgruppsnivå eller på något annat sätt anonymt eller pseudonymt så att en enskild person inte direkt kan identifieras, fastän processen med att producera information förutsätter behandling av identifierbar information. Tjänstetillhandahållaren ska vid planering av elektronisk behandling av uppgifter dessutom redan i princip reda ut och beakta i vilken utsträckning och på vilket sätt användningen av uppgifterna för eget behov kan genomföras utan identifierbara uppgifter.  
I paragrafens 1 mom. finns bestämmelser om rätt för tillhandahållare av social- och hälsovård att på ett identifierbart sätt behandla sekretessbelagda och känsliga kunduppgifter som identifierbara, om detta är nödvändigt för att den serviceverksamhet som tillhandahållaren är ansvarig för ska kunna produceras, följas, utvärderas, planeras, utvecklas, ledas och övervakas. Tjänstetillhandahållaren behöver inte tillstånd för att samköra uppgifterna eller för annan behandling i det syfte som anges i paragrafen, om uppgifterna har uppstått i tillhandahållarens egen verksamhet eller tjänstetillhandahållaren är en registeransvarig enligt artikel 4 led 7 i dataskyddsförordningen. Uppgifterna har enligt 1 mom. uppstått i tillhandahållarens egen verksamhet oberoende av om tillhandahållaren har producerat tjänsterna för någon annans räkning i egenskap av registerförare eller om tillhandahållaren är en i dataskyddsförordningen avsedd registeransvarig för dessa uppgifter. Informationsledning ska bl.a. ur patientsäkerhetens synvinkel vara möjlig även för en registerförare för att den på ett effektivare sätt ska kunna utvärdera och följa sin verksamhet. 
Förutsättningarna för att en registerförare i informationsledningssyfte får behandla personuppgifter följer av artikel 28 och 29 i dataskyddsförordningen. Enligt artikel 29 i förordningen får registerföraren och personer som utför arbete under registerförarens överinseende endast behandla personuppgifter på instruktion från den registeransvariga, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. I det föreslagna momentet krävs i överensstämmelse med artikel 29 att registerföraren har rätt att behandla uppgifter i informationsledningssyfte.  
I övrigt ska bestämmelserna i artikel 28 i förordningen iakttas när det gäller registerföraren. Artikeln i fråga ska iakttas när registerföraren genomför behandlingen av personuppgifterna för den registeransvarigas räkning. En registeransvarig får enligt artikel 28.1 endast anlita sådana registerförare som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i förordningen och säkerställer att den registrerades rättigheter skyddas. En registerförare får enligt artikel 28.2 inte anlita en annan registerförare utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den registeransvarige. 
I artikel 28.3 i förordningen föreskrivs det att när uppgifter behandlas av en registerförare ska hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för registerföraren med avseende på den registeransvariga och i vilken föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den registeransvarigas skyldigheter och rättigheter anges. I punkt 3 föreskrivs vidare närmare om vilka omständigheter som ska anges i det avtalet eller den rättsakten. En del av dessa har lyfts fram i följande stycken, eftersom de är särskilt betydande med tanke på den föreslagna paragrafen om informationsledning. Det är skäl att framhäva att även de andra bestämmelserna i artikel 28 i förordningen ska iakttas, fastän de inte granskas särskilt här.  
I artikel 28.3 a i förordningen konstateras att registerföraren endast får behandla personuppgifter på dokumenterade instruktioner från den registeransvarige, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som registerföraren omfattas av, och i så fall ska registerföraren informera den registervarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt: Registerföraren ska således informera den registeransvarige om att uppgifterna behandlas för informationsledning på det sätt som anges i förordningen. Den registeransvarige behöver inte informeras separat för varje behandling. Det räcker med att registerföraren informerar om sin lagstadgade rätt att behandla personuppgifter i informationsledningssyfte en gång, t.ex. när avtalet eller rättsakten mellan registerföraren och den registeransvarige utarbetas. Detta kan även nämnas i avtalet eller rättsakten. 
Enligt artikel 28.3 b i förordningen ska registerförare omfattas av en lagstadgad tystnadsplikt. Sekretessplikt i informationsledningssyfte följer direkt av den föreslagna 53 §. Enligt artikel 28.3 e ska registerföraren hjälpa den registeransvarige, i den mån detta är möjligt, så att den registeransvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter. I informationsledningssyfte kommer denna skyldighet att hjälpa på fråga särskilt när en tjänstetillhandahållare som arbetar för den registeransvariges räkning behandlar personuppgifter för informationsledning. Den registeransvarige och registerföraren kan med ömsesidiga arrangemang avtala om att t.ex. registerföraren till den registeransvarige sänder de uppgifter som behövs för att tillgodose den registrerades rättigheter eller att den registeransvarige kan be den registrerade att vända sig direkt till registerföraren.  
Vidare ska det enligt artikel 28.3 g i avtalet eller rättsakten mellan den registeransvarige och registerföraren tas in en punkt om hur uppgifter behandlas efter det att tillhandahållandet av behandlingstjänster har avslutats. Enligt förordningen är alternativen att radera eller återlämna alla personuppgifter till den registeransvarige och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt. Nationella bestämmelser om lagring av personuppgifterna och om lagringstiden efter det att tillhandahållandet av behandlingstjänster har avslutats finns bl.a. i offentlighetslagen som allmän lag och i speciallagstiftningen i patientlagen och förordningen om journalhandlingar samt i lagen om klienthandlingar inom socialvården. Vidare föreskrivs det om arkivering av handlingar i arkivlagen. Lagstiftningen förbjuder en registerförare att använda uppgifterna för sina egna syften efter det att avtalet har löpt ut. De måste dock bevaras för bl.a. tillsyn.  
Fastän serviceanordnaren i egenskap av registeransvarig i sista hand svarar för att behandlingen av personuppgifter i tjänster som genomförs för serviceanordnarens räkning är förenlig med dataskyddsförordningen och den nationella lagstiftningen, svarar även en tjänsteproducent som agerar för serviceanordnarens räkning för planeringen av databehandlingen samt för ändamålsenlig behandling av uppgifter, för anvisningar och för egenkontroll i sin egen verksamhet.  
I 2 mom. föreskrivs om situationer där tjänstetillhandahållaren kan jämföra sin egen verksamhet med andra tjänstetillhandahållares verksamhet. Dessa situationer är begränsade till sådan serviceverksamhet som genomförs på tjänstetillhandahållarens ansvar eller till utvärdering, planering och utveckling av servicekedjor. Ett användningsändamål som är mera begränsat än det som avses i 1 mom. är motiverat, eftersom den produktion, uppföljning, ledning och övervakning av tjänster som avses i 1 mom. uttryckligen gäller tjänstetillhandahållarens egen verksamhet. Tjänstetillhandahållaren ska i enlighet med 45 § lämna in planen för användning av uppgifter till Tillståndsmyndigheten för social- och hälsovårdsuppgifter, som utifrån planen bedömer om de begärda uppgifterna kan anonymiseras. Tillståndsmyndigheten producerar alltid jämförelsematerialet i fråga och lämnar ut det anonymiserat till tjänstetillhandahållaren. På detta sätt behöver tjänstetillhandahållaren inte ha en grund enligt dataskyddsförordningen för behandlingen av uppgifter, eftersom det inte längre är fråga om behandling av personuppgifter. 
42 §. Myndighetsstyrning och myndighetstillsyn inom social- och hälsovården. I lagstiftningen om social- och hälsovård finns ett betydande antal myndigheter till vars uppgifter det hör att styra och övervaka både privata och offentliga aktörer på området - både verksamhetsenheter och yrkesutbildade personer. Exempel på dylika myndigheter är Tillstånds- och tillsynsverket för social- och hälsovården (Valvira), regionförvaltningsverken och Säkerhets- och utvecklingscentret för läkemedelsområdet (Fimea). De övervakande myndigheterna har i enskilda fall fått rätt att få även sekretessbelagda uppgifter för skötseln av sina lagstadgade uppgifter.  
Digitaliseringen innebär nya möjligheter att utifrån patient- och kunduppgifter bedöma den verksamhet som bedrivs av dem som övervakas även på ett allmännare plan, om övervakningen genomförs regelrätt och upprepas tillräckligt ofta med hjälp av indikatorer som tagits fram för ändamålet. 
Enligt 1 mom. kan en tillsynsmyndighet inom social- och hälsovården för utförande av en lagstadgad styrnings- och tillsynsuppgift av Tillståndsmyndigheten för social- och hälsovårdsuppgifter få samkörda uppgifter som baserar sig på kunduppgifter inom social- och hälsovården och vid behov samkörda uppgifter som baserar sig på andra registeruppgifter hos de registeransvariga som avses i 6 § i anonymiserad form. Bestämmelsen motsvarar den i 45 § avsedda rätten som tillståndsmyndigheten har att i enskilda fall behandla identifierbara uppgifter hos de myndigheter som avses i 6 § utan tillståndsförfarande, om de samkörda uppgifterna begärs och lämnas ut i anonymiserad form. För tillsynsmyndigheterna är det ofta viktigt att uppföljningen av uppgifterna upprepas oförändrad, vilket gör det möjligt att upptäcka eventuella snabba negativa förändringar i den verksamhet som bedrivs av dem som övervakas och att börja utreda orsakerna till dessa. 
Om den myndighet som övervakar den registeransvariges verksamhet enligt lagen har rätt att få de uppgifter som är nödvändiga för sin uppgift oberoende av sekretessplikten, kan uppgifter som erhållits på detta sätt lämnas ut till den enligt 2 mom. även i identifierbar form, om myndigheten särskilt och välmotiverat begär detta. 
Myndighetsstyrning och myndighetstillsyn kan inte genomföras om det inte finns rätt därtill enligt lag. Tillsynsmyndigheternas uppgift som sådan grundar sig således direkt på lag. Närmare bestämmelser om rätt till information som gäller dessa uppgifter finns i lag. Den rättsliga grunden i situationer som beskrivs i 2 mom. grundar sig således i första hand på bestämmelser i någon annan lag, och i denna lag upprättas endast rätt att få desamma uppgifterna även av tillståndsmyndigheten. 
Genom paragrafen tillgodoses det allmänna intresset på folkhälsoområdet enligt artikel 9.2 i i dataskyddsförordningen, eftersom detta skyddar de höga kvalitets- och säkerhetsnormerna inom hälso- och sjukvården. Även i denna paragraf efterstävas funktionell differentiering, dvs. uppgifterna ska i regel inte kunna användas i beslut eller andra åtgärder som gäller personer. Paragrafens rättsverkningar riktas inte direkt till registrerade, utan uppgifterna används för att bedöma verksamhet som bedrivs av tjänstetillhandahållare och yrkesutbildade personer inom social- och hälsovården. Bestämmelser om detta finns uttryckligen i lagens 31 §, enligt vilken uppgifter som samlats in med stöd av denna lag inte får lämnas ut för administrativt beslutsfattande eller någon annan motsvarande behandling av ärenden som gäller en enskild person utan hans eller hennes uttryckliga samtycke. De uppgifter som avses i 9 § 2 mom. får dock användas i en tillsynsuppgift som gäller någon annan än en patient eller en kund inom socialvården, när lagenligheten i verksamhet som bedrivs av verksamhetsenheter inom social- och hälsovården eller den professionella lämpligheten hos yrkesutbildade personer inom social- och hälsovården bedöms.  
I 3 mom. föreskrivs att identifierbara personuppgifter kan lämnas ut till tillsynsmyndigheten via den informationssäkra drifttjänsten. Genom bestämmelsen möjliggörs tillsynsmyndighetens rätt att få information via en teknisk anslutning. På basis av 29 § 3 mom. i offentlighetslagen och grundlagsutskottets tolkning i anknytning till det ska det alltid separat föreskrivas om utlämnande av uppgifter med hjälp av en teknisk anslutning.  
5 kap. Behandling av ansökan om användningstillstånd, begäran om anonymiserade uppgifter och utlämnade uppgifter
43 §. Allmänna grunder för beviljande av användningstillstånd. Genom den föreslagna lagen utfärdas närmare bestämmelser än tidigare om grunderna för att bevilja användningstillstånd och om de förutsättningar som måste gälla för att användningstillstånd ska kunna beviljas för kunduppgifter inom social- och hälsovården och förmånshandläggningen samt för andra registeruppgifter som gäller välfärd och hälsa. 
De registeruppgifter som behandlas i enlighet med den allmänna dataskyddsförordningen och deras omfattning ska följa den princip om uppgiftsminimering som förutsätts i artikel 5.1 c i dataskyddsförordningen. De uppgifter som avses i användningstillståndet ska således stå i rätt proportion till det eftersträvade målet och de personuppgifter som används ska vara lämpliga och väsentliga samt begränsade i förhållande till vad som är nödvändigt i relation till de ändamål som de behandlas för. 
Ett användningstillstånd får enligt 1 mom. beviljas, om det användningsändamål för uppgifterna som framgår av ansökan och av planen för användning av uppgifterna 
överensstämmer med den allmänna dataskyddsförordningen, personuppgiftslagen samt denna och någon annan lag som gäller uppgifter, 
förverkligas ändamålsenligast genom användning av de uppgifter som avses i ansökan. 
I 2 mom. framhävs för säkerhets skull förutsättningarna för beviljande av tillstånd, vilka även i övrigt är uppenbara. Enligt momentet ska alla förutsättningar för tillståndet uppfyllas, om ansökan om användningstillstånd hänför sig till ett sådant användningsändamål för vilken det föreskrivs separat om tillståndsförfarande och grunder för beviljande av tillstånd. Som exempel på ett sådant tillstånd kan nämnas tillståndsförutsättningarna för interventionsprövning, som avses i lagen om medicinsk forskning (488/1999). En central förutsättning för tillstånd är samtycke av den som ska undersökas. Om man vid forskning av detta slag i fråga om dem som undersöks vill behandla registeruppgifter hos flera olika registeransvariga eller registeruppgifter hos en privat tjänstetillhandahållare inom social- och hälsovården, ska samtycket gälla alla uppgifter som behövs i den sagda forskningen.  
När användningstillstånd beviljas ska det beaktas på vilka grunder uppgifterna från första början har samlats in och för vilket ändamål. I 3 mom. föreskrivs om situationer där sammanställning av uppgifter i ett personregister grundar sig på den registrerades samtycke. Om uppgifterna ursprungligen har sammanställts med samtycke av den registrerade, kan användningstillstånd beviljas endast om det är förenligt med samtycket och villkoren för utlämnande och användning av informationen. En motsvarande bestämmelse finns i 28 § 1 mom. i den gällande offentlighetslagen. Syftet med bestämmelsen är att trygga individens självbestämmanderätt. I regeringens proposition med förslag till offentlighetslag (RP 30/1998 rd) sägs ”När en myndighet samlar in uppgifter om individer och sammanslutningar med deras samtycke, kan det med tanke på självbestämmanderätten inte anses acceptabelt att uppgifterna senare används i strid med villkoren för användning och utlämnande. Därför föreslås att tillstånd inte får utfärdas i strid med de villkor för användning och utlämnande som uppställts i samtycket.” Syftet med momentet är att bevara denna princip som överensstämmer med offentlighetslagen när uppgifter lämnas ut för ändamål som är förenliga med den föreslagna lagen. 
I momentet föreskrivs dessutom om situationer där det användningsändamål för vilket uppgifterna behövs åtminstone till vissa delar grundar sig på den registrerades samtycke. Enskilda undersökningar eller andra projekt genomförs ofta med samtycke av den registrerade. För att ett projekt ska genomföras kan det dessutom vara nödvändigt att använda registermaterial. Enligt förslaget ska den registrerade i dessa fall ge sitt samtycke både till själva projektet och till användning av registermaterialet. När det gäller dessa registrerade som har gett sitt samtycke till ett projekt kan användningstillstånd således beviljas endast om det genom tillståndsvillkoren är möjligt att garantera att uppgifterna används och lämnas ut endast i enlighet med de villkor som ingår i det nämnda samtycket. Däremot kan uppgifter om eventuella kontrollgrupper plockas ur registret utan samtycke, förutom i sådana fall där det är fråga om i 38 § 1 mom. avsedd utvecklings- och innovationsverksamhet, som alltid grundar sig på den registrerades samtycke.  
Paragrafens 4 mom. motsvarar i huvudsak bestämmelserna i 28 § i offentlighetslagen. Tillstånd att få sekretessbelagda uppgifter kan beviljas för viss tid, om det är uppenbart att de intressen som sekretessen är avsedd att skydda inte kränks om uppgifterna lämnas ut. Till tillståndet ska fogas föreskrifter som behövs för att skydda enskilda intressen. Tillståndets tidsbundenhet utgör inget hinder för att tiden kan förlängas genom ett separat beslut.  
Sekretessplikten för tillståndshavaren bestäms i enlighet med 53 § i förslaget. Med stöd av den paragrafen tillämpas bestämmelserna om sekretess i offentlighetslagen på sekretessen oberoende av om det är fråga om myndighetsuppgifter.  
Vid tillståndsprövning är det i enlighet med regeringens proposition med förslag till offentlighetslag (RP 30/1998 rd) i regel fråga om rättslig prövning. Den myndighet som ansvarar för tillståndsprövningen ska för det första avgöra huruvida de rättsliga förutsättningarna för användningsändamålet uppfylls. Juridiska förutsättningar saknas t.ex. när det finns grundad anledning att misstänka att den som begär en handling inte kan skydda den. Myndigheten ska även kontrollera att användningen av uppgifterna stämmer överens med gällande lagstiftning. En mer omfattande juridisk ram måste beaktas och det ska särskilt säkerställas att behandlingen av uppgifterna följer bestämmelserna i dataskyddsförordningen. Även tillståndsvillkorens och föreskrifternas betydelse ska iakttas vid tillståndsprövningen. Ibland måste stränga villkor uppställas för att de juridiska förutsättningarna ska kunna anses bli uppfyllda. 
Tillståndsprövningen består också av ändamålsenlighetsprövning. Avslag kommer på denna grund att bli något tämligen ovanligt. Om tillstånd på basis av ändamålsenlighetsprövning avslås, ska det likväl kunna motiveras objektivt. 
Ett tillstånd kan återkallas, om det anses att det finns skäl för återkallandet. Om tillstånd inte beviljas eller om det återkallas, ska beslut fattas om detta, så att ändring kan sökas i beslutet i enlighet med 57 §. Motsvarande villkor som gäller prövning och återkallande av tillstånd ingår i 18 § 5 mom. i klientlagen och i 13 § 5 mom. i patientlagen, som föreslås bli upphävda. 
I paragrafens 5 mom. finns bestämmelser om det förfarande som ska iakttas när Tillståndsmyndigheten för social- och hälsovårdsuppgifter anser att ett ärende som inletts som ansökan om användningstillstånd ska behandlas som en sådan begäran om information enligt 45 § som gäller anonymiserade uppgifter. Tillståndsmyndigheten ska i dessa situationer ta kontakt med den tillståndssökande och föreslå att ärendet behandlas som en begäran om information. Om den tillståndssökande i denna situation vill ha ett tillståndsbeslut i ärendet, ska tillståndsmyndigheten i detta fall fatta beslut i ärendet. Om den tillståndssökande däremot går med på att ärendet behandlas som begäran om information eller inte reagerar inom den tid som tillståndsmyndigheten fastställt, kan tillståndsmyndigheten behandla ärendet som begäran om information. 
44 §. Behörighet för behandling av användningstillstånd. I paragrafen föreskrivs om vem som ska ansvara för de beslut som gäller tillstånd. Enligt 28 § i den gällande offentlighetslagen kan en enskild registeransvarig, om inte något annat föreskrivs genom lag, i enskilda fall bevilja tillstånd att ta del av en sekretessbelagd handling för vetenskaplig forskning eller statistikföring eller för ett sådant planerings- eller utredningsarbete som en myndighet utför. Enligt denna bestämmelse förutsätter ett tillstånd att det är uppenbart att de intressen som sekretessen är avsedd att skydda inte kränks om uppgifterna lämnas ut. 
Om tillstånd behövs för en handling som finns hos flera myndigheter som är underställda samma ministerium, fattar ministeriet i fråga beslut enligt 28 § i offentlighetslagen efter att först vid behov ha hört behöriga myndigheter. Med avvikelse från nämnda bestämmelse kan Institutet för hälsa och välfärd bevilja tillstånd att få uppgifter i enskilda fall, när det för vetenskaplig forskning behövs uppgifter ur journalhandlingar som finns hos flera än en kommun eller samkommun som tillhandahåller hälso- och sjukvårdstjänster, hos en i lagen om privat hälso- och sjukvård avsedd enhet som tillhandahåller hälso- och sjukvårdstjänster eller hos en yrkesutbildad person inom hälso- och sjukvården som utövar sitt yrke självständigt. På motsvarande sätt kan Institutet för hälsa och välfärd utöver det som föreskrivs i 28 § i offentlighetslagen med stöd av 18 § 5 mom. i klientlagen bevilja tillstånd till uppgifter i enskilda fall, när det för vetenskaplig forskning behövs uppgifter ur handlingar om en klient som finns hos flera än en kommun eller samkommun som tillhandahåller socialvårdstjänster eller hos en serviceproducent som privat ordnar socialvård.  
Den föreslagna bestämmelsen täcker i fråga om kunduppgifter inom social- och hälsovården alla de situationer om vilka det föreskrivs i 28 § i offentlighetslagen, i 13 § 5 mom. i patientlagen och i 18 § 5 mom. i klientlagen. Det föreslås därför att 13 § 5 mom. i patientlagen och 18 § 5 mom. i klientlagen upphävs. Bestämmelserna i 28 § i offentlighetslagen tillämpas inte längre på utlämnande av uppgifter ur kundregister inom social- och hälsovården eller ur andra register som innehåller personuppgifter. Bestämmelserna i den föreslagna lagen åsidosätter till dessa delar 28 § i offentlighetslagen. I den föreslagna lagen föreskrivs det om fler användningsändamål än de som avses i den gällande lagstiftningen, för vilka registeruppgifter inom social- och hälsovården kan utlämnas. 
I enlighet med 1 mom. i paragrafen ska Tillståndsmyndigheten för social- och hälsovårdsuppgifter alltid svara för besluten om användningstillstånd om en ansökan om användningstillstånd gäller personregister som förs av flera registeransvariga enligt 6 § eller uppgifter som avses i klientuppgiftslagen och som har registrerats i Kanta-tjänsterna. Som uppgifter som ingår i Kanta-tjänsterna betraktas även bl.a. de logguppgifter om utlämnande som avses i 5 § i klientuppgiftslagen.  
I momentet preciseras det att Tillståndsmyndigheten för social- och hälsovårdsuppgifter dock alltid svarar för beviljandet av tillstånd om uppgifter lämnas ut för utvecklings- och innovationsverksamhet enligt 38 §. Det är i dessa fall motiverat att koncentrera den kompetens som gäller tillståndsbehörigheten hos tillståndsmyndigheten, eftersom det är fråga om ett sådant nytt användningsändamål som tillstånd inte tidigare har beviljats för och eftersom förutsättningarna för att tillstånd ska beviljas avviker från andra användningsändamål. Tillämpningsområdet för den utvecklings- och innovationsverksamhet som avses i 38 § är begränsad, eftersom det kan förverkligas endast med samtycke av den registrerade eller med anonymiserade uppgifter. 
Till den del enbart Pensionsskyddscentralens, Befolkningsregistercentralens och Statistikcentralens uppgifter begärs svarar Tillståndsmyndigheten för social- och hälsovårdsuppgifter för de beslut om användningstillstånd som gäller dem endast om uppgifterna samkörs med uppgifter som innehas av de organisationer som avses i 6 § 1—8 punkten. Således ska Pensionsskyddscentralen, Befolkningsregistercentralen och Statistikcentralen fortfarande ha behörighet för sitt material när det begärs uppgifter från endast deras eget material eller när deras material har samkörts med varandra. Tillståndsmyndigheten kan inte i dessa situationer heller bevilja användningstillstånd för utvecklings- och innovationsverksamhet. 
Enligt 2 mom. svarar tillståndsmyndigheten alltid för beslutet om användningstillstånd när det gäller uppgifter hos en privat serviceanordnare. Ansvaret beror inte på om ansökan om användningstillstånd gäller uppgifter hos en eller flera privata serviceanordnare inom social- och hälsovården. Enligt den gällande patientlagen och klientlagen beviljas tillstånd alltid av Institutet för hälsa och välfärd när uppgifter hos en privat tjänsteproducent behövs för vetenskaplig forskning och statistikföring. Syftet med lagarna har varit att Institutet för hälsa och välfärd beslutar om tillstånd alltid när den registeransvarige för de uppgifter som behövs är en privat tjänstetillhandahållare oberoende av om begäran om information gäller en eller flera serviceanordnares uppgifter. På grund av formuleringarna i lagarna har det dock i viss mån varit oklart om en privat registeransvarig själv kan ge tillstånden. Syftet med förslaget är att förtydliga situationen på ett sådant sätt att tillståndsmyndigheten alltid beviljar tillstånd för en privat aktörs räkning. Tillståndsbehörigheten anses innefatta sådan prövning att den inte kan överlåtas på en privat serviceproducents ansvar. Användningstillstånd ska alltid beviljas av den myndighet som beslutar om tillståndet enligt 44 §, eftersom en uppgift med betydande offentlig makt enligt 124 § i grundlagen endast kan skötas av en myndighet. Detta framhävs särskilt, eftersom användningsändamålen utvidgas från det nuvarande i förslaget. 
I 3 mom. i paragrafen föreskrivs om en situation där en ansökan om användningstillstånd gäller uppgifter som finns endast i ett eget personregister hos en av de myndigheter eller organisationer som avses i 6 § 1 mom. När det är fråga om en offentlig registeransvarigs egna registeruppgifter, kan den registeransvarige i enlighet med 28 § i offentlighetslagen besluta om att de sekretessbelagda uppgifterna ska lämnas ut för vetenskaplig eller historisk forskning eller för en myndighets utredningsuppgift. I förslaget föreslås inte heller att tillståndsbehörigheten i dessa situationer ska koncentreras hos Tillståndsmyndigheten för social- och hälsovårdsuppgifter. Däremot agerar en offentlig registeransvarig med stöd av den föreslagna lagen när den beviljar användningstillstånd, och 28 § i offentlighetslagen tillämpas inte längre på behandlingen av personuppgifter som gäller tjänster och förmåner inom social- och hälsovården. Om den registeransvarige vid behandlingen av ett ärende noterar att en tillståndsansökan gäller uppgifter från flera registeransvariga, ska denna i enlighet med 21 § i förvaltningslagen överföra ärendet till Tillståndsmyndigheten för social- och hälsovårdsuppgifter. Tillståndsmyndigheten kan avtala med de övriga organisationer som avses i 6 § att den svarar för beslut om användningstillstånd för organisationens räkning. 
Enligt 4 mom. har den myndighet som svarar för beslut om användningstillstånd rätt att begära utlåtande om en ansökan om användningstillstånd från Dataombudsmannen, om den anser att det behövs. Dataombudsmannen hörs således inte regelbundet för tillståndsprövningen, men det ges en möjlighet till detta. Det kan vara nödvändigt att begära utlåtande t.ex. när det är fråga om en ny eller invecklad begäran om information och det är oklart huruvida den uppfyller de krav som ställs på behandling av personuppgifter i lagstiftningen. Rätten att begära utlåtande fungerar som en skyddsåtgärd för den registrerade, eftersom det med hjälp av den är möjligt att överlämna ansökan till den myndighet som övervakar behandlingen av personuppgifter för bedömning. 
45 §.Utlämnande av anonymiserade uppgifter. I paragrafen finns bestämmelser om situationer där uppgifter begärs för ett användningsändamål enligt 2 § endast i anonymiserad form. Användningsändamål är statistikföring, vetenskaplig forskning, utvecklings- och innovationsverksamhet, undervisning, informationsledning, myndighetsstyrning och myndighetstillsyn inom social- och hälsovården samt myndigheternas planerings- och utredningsuppgifter. Genom paragrafen skapas möjligheter för Tillståndsmyndigheten för social- och hälsovårdsuppgifter att behandla personuppgifter för anonymisering. Därför har det varit nödvändigt att begränsa tillståndsmyndighetens rätt att behandla uppgifter för de användningsändamål som anges i lagen. När det material som ska utlämnas har anonymiserats gäller inte längre bestämmelserna om behandling av personuppgifter för det, t.ex. dataskyddsbegränsningarna, utan materialet kan utlämnas fritt. 
Personuppgifter kan även samköras med de personuppgifter som den part som begärt uppgifter lagligen innehar. Särskilt i dessa situationer ska tillståndsmyndigheten planera anonymiseringen verkligt omsorgsfullt och vid behov i samarbete med den som begär uppgifter, för att slutresultatet ska vara genuint anonymt. 
Rätten för Tillståndsmyndigheten för social- och hälsovårdsuppgifter enligt 1 mom. att lämna ut uppgifter i anonymiserad form främjar iakttagandet av offentlighetsprincipen. Enligt offentlighetslagen är en myndighets handlingar offentliga om inte något annat föreskrivs i lag. Enligt 24 § 1 mom. 25 punkten i offentlighetslagen är handlingar som innehåller uppgifter om en klient hos socialvården samt de förmåner eller stödåtgärder eller den socialvårdsservice denne erhållit eller uppgifter om en persons hälsotillstånd eller handikapp, den hälsovård eller rehabilitering som denne har erhållit sekretessbelagda. Grunden för sekretess för handlingar som innehåller personuppgifter är skydd för privatlivet, och den avser uppgifter som gäller individen. Sekretessgrunden elimineras, om en individ inte längre ens indirekt kan identifieras på basis av uppgifterna, dvs. uppgifterna har anonymiserats. Anonymiserade uppgifter hör inte heller längre till den definition för personuppgifter som anges i dataskyddsförordningen.  
I artikel 86 i dataskyddsförordningen föreskrivs om förhållandet mellan skyddet för personuppgifter och offentlighetsprincipen som följer: ”Personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna förordning.” 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter ska ha en i dataskyddsförordningen avsedd grund att behandla uppgifter. Bestämmelser om Tillståndsmyndighetens rätt att få uppgifter för ändamål som avses i denna paragraf finns i 36 § som gäller tillståndsmyndighetens rätt att behandla uppgifter. Den som lägger fram en begäran om information behöver inte en dylik grund, eftersom de anonymiserade uppgifter som överlåts till den som begär information inte längre är personuppgifter, och dataskyddsförordningen därför inte tillämpas på dem.  
Enligt skäl 154 i ingressen till dataskyddsförordningen kan allmänhetens rätt att få tillgång till allmänna handlingar betraktas som ett allmänt intresse. Tillståndsmyndighetens grund för att behandla uppgifter för att den ska kunna omvandla dem i anonymiserad form för den som begär information kan således härledas från den bestämmelse i artikel 6.1 e i dataskyddsförordningen som gäller utförande av en uppgift av allmänt intresse. Dessutom kan den betraktas som en medlemsstats viktiga mål av generellt allmänt intresse enligt artikel 23.1 e. 
När det gäller känsliga uppgifter kan grunden för behandling härledas från en orsak som gäller ett viktigt allmänt intresse enligt artikel 9.2 g. I artikel 9 i förordningen förutsätts ytterligare att det föreskrivs om frågan genom lag, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Vid behandling enligt denna paragraf är skyddsåtgärden den att tillståndsmyndigheten inte får lämna ut uppgifter annat än i anonymiserad form och för användningsändamål som avses i denna lag.  
I sak kan tillståndsmyndigheten med uppgifter från flera registeransvariga utföra samma uppgift, som enligt 21 § i offentlighetslagen hör till en myndighet som är registeransvarig som dess lagstadgade uppgift och som med tillstånd av behöriga myndigheter kan produceras även ur informationssystem som upprätthålls av andra myndigheter. Bestämmelsen ger dessutom tillståndsmyndigheten en möjlighet att samköra sådana registeruppgifter på personnivå som tillhör den som begär information med andra i den föreslagna lagen avsedda registeruppgifter, så att det av de uppgifter som tillståndsmyndigheten har samkört identifierade och därefter anonymiserat inte ens indirekt går att identifiera den registrerade. 
Utlämnande av uppgifter innefattar inte någon egentlig tillståndsprocess, utan förfarandet är lätt. Tillståndsmyndigheten iakttar dock i egenskap av myndighet allmänna förvaltningslagar, t.ex. förvaltningslagen (434/2003). Beslut enligt förvaltningslagen ska således fattas om utlämnande av uppgifter. Rätten att överklaga bestäms i enlighet med 57 § i denna lag. 
För att få uppgifter krävs det att planen för användning av uppgifter lämnas in till tillståndsmyndigheten. Bestämmelser om skyldigheten att lämna in planen för användning av uppgifter till tillståndsmyndigheten finns i 46 § i lagen. Det är nödvändigt att lämna in planen för att tillståndsmyndigheten ska kunna bedöma huruvida de uppgifter som begärs kan anonymiseras. Fastän utlämnandet av anonymiserade uppgifter inte innefattar någon egentlig tillståndsprövning, ska tillståndsmyndigheten dock ha en grund för behandlingen av personuppgifter. Om det av planen för användning av uppgifter framgår att det är möjligt att anonymisera uppgifterna, ska de i princip utlämnas till den som har begärt dem. Det kommer således endast sällan på fråga att uppgifter inte utlämnas.  
I paragrafens 2 mom. finns en hänvisning till 41 och 42 § i lagen. I 41 § om informationsledning och i 42 § om myndighetsstyrning och myndighetstillsyn finns bestämmelser om särskilda förutsättningar för att anonymiserade uppgifter ska lämnas ut. Dessa förutsättningar ska iakttas i detta syfte. I 38 §, som gäller utvecklings- och innovationsverksamhet, finns en förtydligande hänvisning till 45 §. 
46 §. Lämnande av ansökan om användningstillstånd och begäran om information till Tillståndsmyndigheten för social- och hälsovårdsuppgifter. Det centrala målet med den föreslagna lagen är att få till stånd snabba och smidiga förfaranden för informationssäker behandling av kunduppgifter inom social- och hälsovården samt av andra personuppgifter som gäller välfärd och hälsa. Digitaliseringen innebär att det finns allt bättre förutsättningar för att nå detta mål. För att målen ska nås är det även nödvändigt att utnyttja de möjligheter som digitaliseringen för med sig. Den föreslagna lagen grundar sig på tanken om digital behandling och digitala tillståndsbeslut i fråga om tillståndsansökningar i standardformat, på tillstånd grundad samkörning av uppgifter i digitalt format samt utlämnande av dessa uppgifter för behandling i informationssäker driftmiljö.  
En ansökan om användningstillstånd, som gäller uppgifter hos flera registeransvariga enligt 6 §, ska enligt paragrafens 1 mom. lämnas till Tillståndsmyndigheten för social- och hälsovårdsuppgifter via det hanteringssystem för begäranden om information som avses i 14 §. En begäran om information och eventuella kompletteringar av ansökan ska likaså skickas via hanteringssystemet. Till en ansökan om tillstånd ska enligt bestämmelsen fogas en plan för användning av uppgifter. Till övriga delar tillämpas på behandlingen av ansökan bestämmelserna i förvaltningslagen. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter utfärdar på basis av 2 mom. närmare föreskrifter om datainnehållet och datastrukturerna i ansökan om användningstillstånd och planen för användning av uppgifterna. I praktiken har Institutet för hälsa och välfärd redan när det beviljar användningstillstånd utifrån den gällande lagstiftningen förutsatt att tillståndsansökningarna ska uppgöras på den elektroniska ansökningsblankett som finns tillgänglig.  
47 §. Tidsfrister för behandling av användningstillstånd. Med tanke på möjligheterna att behandla uppgifter är det utomordentligt viktigt att beslutet om användningstillstånd och uppgifterna utifrån det fås inom en skälig och förutsebar tidsfrist från det att tillståndsansökan lämnades in. Den rådande decentraliserade praxisen för tillstånd och utlämnande av uppgifter gör det ytterst svårt för den som ansöker om tillstånd att bedöma den tid det tar för ett tillstånd att behandlas och den tid utlämnandet av uppgifter tar i olika myndigheter. Detta har ofta tagit oskäligt lång tid.  
Det ovan anförda har gett upphov till problem av två slag: Exempelvis en stipendieforskare har inte alltid ens hunnit börja med sin undersökning när stipendieperioden redan har löpt ut. Företag som i sin verksamhet kan dra nytta av Finlands heltäckande datalager söker sig till länder där förutsebarheten för ett användningstillstånd och inhämtande av information inom en skälig tid är avsevärt större.  
I 1 mom. föreslås en bestämmelse om att beslut om ansökan om användningstillstånd ska utfärdas utan dröjsmål. Om detta inte är möjligt ska användningstillstånd enligt huvudregeln utfärdas senast inom 3 månader från det att tillståndsansökan har anlänt i fullständig form till myndigheten. Uttrycket ”utan dröjsmål” innebär att tillståndsansökan ska behandlas utan dröjsmål efter det att de uppgifter som behövs för att utfärda beslutet finns tillgängliga. Tidsfristen börjar således inte löpa förrän sökanden har lämnat in alla uppgifter som behövs för behandlingen av ansökan. Vid tillståndsbehandlingen kan det nämligen finnas ett behov av att begära tilläggsutredning av den sökande, för att det ska vara möjligt att avgöra ansökan. 
I praktiken finns det dessutom situationer där det till grund för tillståndsbehandlingen måste inhämtas uppgifter som kräver ett exceptionellt stort eller ett exceptionellt krävande urval från olika registeransvariga eller en exceptionellt krävande prövning. Av dessa orsaker kan Tillståndsmyndigheten för social- och hälsovårdsuppgifter enligt 2 mom. besluta att behandlingstiden för en ansökan om användningstillstånd förlängs med högst 3 månader. Tillståndsmyndigheten ska ge den som ansöker om tillstånd information om förlängning av tidsfristen och om grunden för förlängningen samt om den nya tidsfrist inom vilken tillståndsbeslutet ska utfärdas. Detta tryggar förutsebarheten för verksamheten hos den som ansöker om tillstånd. 
Den myndighet som ansvarar för beslutet om användningstillstånd har enligt 44 § 4 mom. rätt att vid behov begära utlåtande av Dataombudsmannen. Om utlåtande begärs förlänger det i allmänhet oundvikligen tiden för behandling av ansökan om användningstillstånd. Utlåtande begärs i allmänhet främst i svåra och oklara situationer, där behandlingen av ansökan om användningstillstånd även i övrigt kan ta längre tid i anspråk än vanligt. I detta fall är det ofta omöjligt att utfärda ett beslut om en ansökan om användningstillstånd inom den tid som föreskrivs i 1 mom. För dylika situationer föreskrivs det i 3 mom. att den tidsfrist för behandlingen av ansökan som gäller för den ansvariga myndigheten avbryts tills ärendet behandlas av Dataombudsmannen. Tidsfristen för behandlingen av beslutet fortsätter när Dataombudsmannens utlåtande har kommit in till myndigheten. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter kan behöva uppgifter inte bara av sökanden utan även av de registeransvariga vars uppgifter sökanden begär att ska utlämnas. Uppgifter kan behövas t.ex. för att avgöra om den användning som sökanden lägger fram för uppgifterna eller projektet i fråga i praktiken är möjliga att genomföra med hjälp av de registeruppgifter som begärs eller vad det kommer att kosta att plocka ut de begärda uppgifterna. På grund av detta föreskrivs det i 4 mom. att en registeransvarig som avses i 6 § och en privat tillhandahållare av social- och hälsovård till tillståndsmyndigheten ska lämna ut de uppgifter som krävs för behandlingen av en ansökan om användningstillstånd eller av en begäran om anonymiserade uppgifter. Uppgifterna ska lämnas ut inom 15 vardagar från det att tillståndsmyndigheten har begärt dem. 
48 §. Tidsfrister för utlämnande av uppgifter. I den gällande offentlighetslagen föreskrivs det om en tidsgräns på 30 dagar för utlämnande av uppgifter. I 1 mom. föreslås samma tidsfrist för utlämnande av uppgifter. Avsikten är dock att information som bör utlämnas snabbt ska utlämnas utan dröjsmål. 
Tidsfristen räknas från det att den behöriga myndigheten har fattat beslut om att uppgifterna får lämnas ut till sökanden. Om uppgifterna lämnas ut med stöd av ett användningstillstånd, bestäms behörigheten i enlighet med 44 §. Enligt den paragrafen svarar Tillståndsmyndigheten för social- och hälsovårdsuppgifter för beslutet om användningstillstånd, om ansökan om användningstillstånd gäller personregister hos flera av de registeransvariga som avses i 6 § eller uppgifter som registrerats i Kanta-tjänsterna eller om tillståndsansökan gäller registeruppgifter hos en eller flera privata serviceanordnare inom social- och hälsovården. Tillståndsmyndigheten svarar dessutom alltid för ett beslut om användningstillstånd när uppgifter lämnas ut för utvecklings- och innovationsverksamhet och endast tillståndsmyndigheten har rätt att besluta om utlämnande av anonymiserade uppgifter i enlighet med 45 §. I dessa fall ska också de registeransvariga lämna ut uppgifter till tillståndsmyndigheten. 
Om en begäran om information eller en ansökan om användningstillstånd däremot gäller uppgifter i personregister som finns hos endast en sådan organisation som avses i 6 §, svarar organisationen själv för beslutet om användningstillstånd, om den inte avtalat om något annat med Tillståndsmyndigheten för social- och hälsovårdsuppgifter. I detta fall kan uppgifterna också lämnas ut direkt till sökanden.  
För utlämnande av uppgifter till sökanden kan det behövas ännu noggrannare tilläggsuppgifter för att uppgifterna ska kunna lämnas ut. Till exempel för att bestämma en exakt målgrupp för urvalet kan det behövas ytterligare uppgifter. Därför ska det enligt förslaget föreskrivas att man vid behov kan be sökanden om ytterligare uppgifter till stöd för utlämnande av uppgifter. I detta fall börjar tidsfristen löpa först då den behövliga tilläggsutredningen har erhållits. 
Det kan emellertid inkomma flera begäran om uppgifter från tillståndsmyndigheten inom en kort tid samtidigt som den registeransvarige också har andra nödvändiga och brådskande lagstadgade uppdrag. Det kan också i vissa fall vara särskilt krävande att plocka ut uppgifter. Om uppgifterna inte kan lämnas ut till tillståndsmyndigheten inom den tid som avses i 1 mom., ska den registeransvarige enligt 2 mom. före tidsfristens utgång informera tillståndsmyndigheten om dröjsmålet, orsaken till dröjsmålet och den förlängning av tidsfristen som behövs för utlämnande av uppgifterna. Tillståndsmyndigheten kan då av grundad anledning ställa upp en ny tidsfrist för utlämnandet. 
Paragrafens 3 mom. gäller den tidsfrist inom vilken tillståndsmyndigheten till tillståndshavaren ska lämna ut de uppgifter som den med stöd av ett användningstillstånd samlat in och, om tillståndet så förutsätter, samkört. Huvudregeln är att uppgifterna ska lämnas ut utan dröjsmål. Uppgifterna ska dock lämnas ut senast inom 60 dagar från det att tillståndet beviljades. 
Enligt 4 mom. kan tillståndsmyndigheten dock av vägande skäl förlänga tidsfristen för utlämnandet. Ett villkor för detta är att uppgifternas användningsändamål förutsätter en exceptionellt omfattande behandling som berör uppgifter från flera olika registeransvariga eller en särskilt krävande samkörning. Tillståndsmyndigheten ska i sådana fall informera tillståndshavaren om förlängningen av tidsfristen och om grunden för förlängningen samt om den nya tidsfrist inom vilken uppgifterna ska lämnas ut. Det är inte fråga om ett överklagbart beslut, utan ett avgörande i sak som det inte kan sökas ändring i. 
49 §. Avgift för användningstillstånd. I paragrafen föreskrivs det om hur det kan tas ut en avgift för sådana användningstillståndstjänster som avses i denna lag. Tillståndsmyndigheten för social- och hälsovårdsuppgifter eller någon annan myndighet som beviljat tillstånd får ta ut en avgift för beslutet om användningstillstånd enligt vad som föreskrivs i lagen om grunderna för avgifter till staten. På motsvarande sätt bestäms avgiften för användningstillstånd enligt det som föreskrivs om avgifter för kommunala tjänster i sådana fall där ansökan om användningstillstånd gäller endast en enda kommunal myndighets registeruppgifter. 
50 §. Ersättningar för tjänster. Enligt 1 mom. får Tillståndsmyndigheten för social- och hälsovårdsuppgifter ta ut ersättning för urval, tillhandahållande och samkörning av uppgifter enligt ett användningstillstånd som avses i den föreslagna lagen, samt för användning av en informationssäker miljö. Eftersom det med stöd av ett användningstillstånd oftast lämnas ut uppgifter från flera registeransvariga, ska de ersättningar som gäller uppgifter som med stöd av användningstillstånd plockas ut och tillhandahålls från andra datalager än datalagren vid Tillståndsmyndigheten för social- och hälsovårdsuppgifter enligt 2 mom. bestämmas i enlighet med bestämmelserna om varje registeransvarig som tillhandahållit uppgifterna.  
Den registeransvarige som lämnar ut uppgifter till tillståndsmyndigheten med stöd av ett användningstillstånd enligt denna lag har rätt att från tillståndsmyndigheten som ersättning få en andel som fastställs på detta sätt av alla kostnadsersättningar som påförts tillståndshavaren. I fråga om Kanta-tjänsterna innehas motsvarande rätt av Folkpensionsanstalten, som är registerförare för de registeruppgifter som ingår i Kanta-tjänsterna.  
Enligt 3 mom. ska den som har rätt till ersättning på begäran tillhandahålla tillståndsmyndigheten en uppskattning av vilka kostnader den orsakas. Dessa uppgifter behövs så att tillståndsmyndigheten kan göra upp ett kostnadsförslag för inlämnande av en begäran om information. Den som ansöker om tillstånd får på detta sätt information om hur mycket den måste betala för att få uppgifterna.Tillståndsmyndigheten tar ut alla de ersättningar som avses i 2 mom. hos tillståndshavaren och redovisar dem för de registeransvariga som lämnat uppgifter. 
Enligt 4 mom. kan tillståndsmyndigheten ta ut ersättning för att plocka ut uppgifter ur sina egna datalager, samköra dem och tillhandahålla dem till tillståndshavaren. Dessutom kan tillståndsmyndigheten ta ut ersättning för användning av den informationssäkra miljön. Dessa ersättningar bestäms enligt vad som föreskrivs i lagen om grunderna för avgifter till staten.  
Registrering och anteckning i ett offentligt register av en anmälan till Tillstånds- och tillsynsverket för social- och hälsovården enligt 30 § 1 mom. är enligt 5 mom. avgiftsbelagd. 
I 6 mom. konstateras att bestämmelser om grunderna för bestämmande av ersättningar finns i lagen om grunderna för avgifter till staten. Bestämmelser om avgifter för bedömning som utförs av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet. 
51 §. Utlämnande av uppgifter till tillståndshavaren sedan användningstillstånd beviljats. I paragrafen föreskrivs det om de förfaranden och villkor i enlighet med vilka Tillståndsmyndigheten för social- och hälsovårdsuppgifter ska lämna ut uppgifter då den i de situationer som förutsätts i 44 § har beviljat ett användningstillstånd. Däremot föreslås det inga bestämmelser om utlämnande av anonyma uppgifter, eftersom de inte längre omfattas av kraven för behandling av personuppgifter och utlämnandet av dem därför inte kräver särskilda skyddsåtgärder eller bestämmelser. Till tillståndsmyndighetens uppgifter hör att inhämta och samköra de registeruppgifter som individualiserats i användningstillståndet och lämna ut datamaterialet till tillståndshavaren för att behandlas på följande sätt:  
Om de uppgifter som ska lämnas ut är identifierbara eller pseudonymiserade, ska de enligt huvudregeln med stöd av 1 mom. 1 punkten via en informationssäker drifttjänst som avses i 17 § lämnas ut till tillståndshavaren för behandling. Behandlingen ska då ske i tillståndsmyndighetens informationssäkra driftmiljö enligt 20 § 1 mom. Också pseudonymiserade uppgifter är till sin natur personuppgifter, eftersom de med hjälp av en identifierare kan kopplas ihop med registrerade personer.  
Enligt 1 mom. 2 punkten kan samkörda uppgifter i undantagsfall lämnas ut till sökanden i pseudonymiserad eller identifierbar form för behandling i en annan driftmiljö enligt 20 § 3 mom. än tillståndsmyndighetens informationssäkra driftmiljö. En förutsättning är att utlämnandet ska vara nödvändigt av skäl som framgår särskilt av planen för användning av uppgifterna och användningstillståndet och att uppgifterna lämnas ut via en informationssäker drifttjänst som avses i 17 §.  
Enligt 2 mom. ska Statistikcentralen eller Institutet för hälsa och välfärd, om användningsändamålet förutsätter behandling av uppgifter som Statistikcentralen eller Institutet för hälsa och välfärd i egenskap av statistikmyndighet samlat in för statistiska ändamål, samköra de uppgifter som ska lämnas ut samt om situationen så kräver pseudonymisera eller anonymisera uppgifterna. Uppgifterna kan därefter beroende på art och omfattning lämnas ut till tillståndshavaren för behandling i en informationssäker driftmiljö som förvaltas av Statistikcentralen eller Tillståndsmyndigheten för social- och hälsovårdsuppgifter eller i någon annan driftmiljö enligt 20 §. 
I 3 mom. föreskrivs det att leverantören av en driftmiljö ska säkerställa att tillståndshavaren uppfyller kraven i användningstillståndet. En anslutning till tillståndshavaren får inte öppnas i driftmiljön förrän leverantören har säkerställt att kraven är uppfyllda. Syftet med bestämmelsen är att säkerställa att tillståndsvillkoren följs.  
52 §.Redogörelseskyldighet för myndigheter som ansvarar för behandlingen av användningstillstånd. I paragrafen föreskrivs det att myndigheter som ansvarar för behandlingen av användningstillstånd till Dataombudsmannen ska lämna en redogörelse för behandlingen av uppgifter som registrerats i loggregistret samt för annan behandling av uppgifter med stöd av denna lag. Syftet med redogörelsen är att säkerställa att behandlingen är laglig och trygga de registrerades rättsskydd. Bestämmelsen är alltså en skyddsåtgärd för den registrerades rättigheter och friheter enligt dataskyddsförordningen.  
En redogörelse ska lämnas minst en gång om året. Dataombudsmannen och den för behandlingen av användningstillståndet ansvariga myndigheten kan gemensamt komma överens om praktiska detaljer och arrangemang i fråga om omfattningen av och innehållet i redogörelsen och om när redogörelsen ska lämnas in. 
53 §. Sekretessplikt. I paragrafens 1 mom. föreskrivs det att uppgifter som erhållits med stöd av den föreslagna lagen är sekretessbelagda i huvudsak med stöd av offentlighetslagen. Enligt den förslagna 53 § ska det som föreskrivs om sekretessbelagda uppgifter i 24 § i offentlighetslagen tillämpas på uppgifter som erhållits med stöd av denna lag. Dessutom ska offentlighetslagens 22 § om handlingssekretess, 23 § om tystnadsplikt och förbud mot utnyttjande samt 31 § om upphörande av sekretess i fråga om en myndighetshandling tillämpas. 
I offentlighetslagen föreskrivs det om flera undantag i fråga om handlingssekretess, och i enlighet med 32 § i den lagen gäller undantagen i fråga om tystnadsplikt och grunderna för upphörande av tystnadsplikt också handlingssekretess. Med tanke på tillämpningen av denna lag är det viktigt att inte de nämnda grunderna för undantag tillämpas på uppgifter som erhållits med stöd av denna lag, men tystnadsplikten upphör samtidigt som handlingssekretessen i enlighet med 31 och 32 § i offentlighetslagen. 
Sekretessbelagda enligt 24 § 25 punkten i offentlighetslagen är bl.a. handlingar som innehåller uppgifter om en klient hos socialvården samt de förmåner eller stödåtgärder eller den socialvårdsservice denne erhållit eller uppgifter om en persons hälsotillstånd eller handikapp, den hälsovård eller rehabilitering som denne har erhållit eller uppgifter om någons sexuella beteende eller inriktning. Sekretessbelagda med stöd av 24 § 32 punkten i offentlighetslagen är likaså handlingar som innehåller uppgifter om en persons politiska övertygelse eller uppgifter om åsikter som personen har uttalat privat eller uppgifter om någons levnadssätt, deltagande i föreningsverksamhet eller fritidssysselsättningar, familjeliv eller andra med dem jämförbara personliga förhållanden. 
Enligt den föreslagna 53 § ska bestämmelserna om sekretessplikt i offentlighetslagen tillämpas på alla uppgifter som uppgifter som lämnas ut med stöd av denna lag oberoende av om det har varit en privat aktörs eller en myndighets uppgifter och oberoende av om den som behandlar uppgifterna är en privatperson, en juridisk person eller en myndighet. 
När uppgifter lämnas ut till någon annan än en myndighet ska mottagaren enligt 2 mom. informeras om sekretessplikten. På lämnandet av information tillämpas 25 § i offentlighetslagen. 
Paragrafens 3 mom. innehåller ett förbud att använda uppgifter om en enskild person som erhållits med stöd av denna lag för administrativt beslutsfattande eller någon annan motsvarande behandling av ärenden som gäller en enskild person. Då sekretessbelagda uppgifter behandlas med stöd av denna lag är syftet med behandlingen inte att fatta beslut som gäller en individ, utan att behandla uppgifterna för att förstå större helheter och t.ex. få nya forskningsresultat. Därför får uppgifterna enligt huvudregeln inte användas som grund för administrativ verksamhet eller juridiska beslut som gäller den registrerade utan hans eller hennes uttryckliga samtycke.  
Det föreskrivs dock om ett undantag för tillsynsmyndigheter i fråga om det förbud som avses i 3 mom. I propositionen föreskrivs det i 42 § 1 mom. att en tillsynsmyndighet ska ha rätt att få anonymiserade uppgifter för utförande av en styrnings- och tillsynsuppgift. I 42 § 2 mom. föreskrivs det att sådana uppgifter som en tillsynsmyndighet enligt någon annan lag har rätt att få trots sekretessplikten kan på motiverad begäran lämnas ut också som identifierbara. Enligt 53 § 3 mom. får uppgifterna användas när tillsynsmyndigheten bedömer lagenligheten i verksamhet som bedrivs av verksamhetsenheter inom social- och hälsovården eller den professionella lämpligheten hos yrkesutbildade personer inom social- och hälsovården. Uppgifterna får inte heller i detta fall användas i beslutsfattande som gäller den registrerade själv. 
6 kap. Särskilda bestämmelser
54 §. Rättigheter, skyldigheter och åtgärder på grund av betydande kliniska fynd. I paragrafen förskrivs det om rättigheter och skyldigheter som uppkommer för olika aktörer, om det vid användning enligt denna lag av klientuppgifter inom hälso- och sjukvården eller av registeruppgifter som innehåller klientuppgifter kommer fram ett kliniskt betydande fynd. Enligt 1 mom. har en innehavare av användningstillstånd som enligt den föreslagna lagen använder klientuppgifter inom hälso- och sjukvården eller registeruppgifter som innehåller klientuppgifter rätt att anmäla betydande kliniska fynd. En förutsättning är att det enligt anmälarens yrkesmässiga uppfattning på grundval av fyndet är möjligt att förebygga hälsorisker för en viss patient eller betydligt förbättra vårdens kvalitet. Anmälan görs till en ansvarig person som utsetts av Tillståndsmyndigheten för social- och hälsovårdsuppgifter. 
Efter att ha fått anmälan ska den ansvariga personen vid tillståndsmyndigheten enligt 2 mom. avkoda eventuella pseudonymiserade uppgifter och utreda vem eller vilka informationen gäller samt utan obefogat dröjsmål lämna uppgifterna till en expert som utsetts av Institutet för hälsa och välfärd.  
Enligt 3 mom. ska den expert vid Institutet för hälsa och välfärd som avses i 2 mom. i samarbete med övriga experter som utsetts av institutet bedöma betydelsen av informationen och den förväntade nyttan med de åtgärder som kan vidtas med stöd av den.Om nyttan bedöms vara så uppenbar att det skulle vara viktigt att den som ska undersökas får vård, ska den expert som avses i 2 mom. anmäla fyndet till den verksamhetsenhet som med stöd av hälso- och sjukvårdslagen är regionalt ansvarig för den aktuella personens hälso- och sjukvård. 
Den verksamhetsenhet för hälso- och sjukvård som avses i 3 mom. ska enligt 4 mom. kontakta patienten och klarlägga om han eller hon vill ha information om det betydande kliniska fyndet och de undersöknings- och vårdåtgärder som fyndet eventuellt kräver samt om den förväntade nyttan med åtgärderna. 
I 5 mom. föreskrivs det om patientens rätt att förbjuda kontakt enligt 4 mom. som tas på basis av ett kliniskt betydande fynd. Patienten kan utfärda förbudet redan på förhand antingen elektroniskt via tjänsten Mina Kanta-sidor som avses i klientuppgiftslagen eller skriftligt i valfri verksamhetsenhet som producerar offentlig hälso- och sjukvård, varvid förbudet antecknas i patientens informationshanteringstjänst som avses i 14 a § i klientuppgiftslagen. Å andra sidan kan patienten förbjuda uppgifter, undersökningar och vård som föreslagits vid individuell kontakt. 
55 §.Styrning, övervakning och uppföljning. I 1 mom. föreskrivs det att social- och hälsovårdsministeriet ska ansvara för den allmänna planeringen, styrningen och övervakningen av behandling av kunduppgifter enligt denna lag och av anknytande informationsförvaltning. I och med detta är ministeriets ansvar samma som dess ansvar i övrigt när det gäller rikstäckande planering och styrning av social- och hälsovården.  
Enligt 2 mom. ska Dataombudsmannen, Tillstånds- och tillsynsverket för social- och hälsovården samt Tillståndsmyndigheten för social- och hälsovårdsuppgifter i enlighet med sin behörighet styra och övervaka efterlevnaden av denna lag inom sitt verksamhetsområde. Till Dataombudsmannens ansvarsområde hör övervakning av behandlingen av personuppgifter med stöd av annan lagstiftning. Tillstånds- och tillsynsverkets och tillståndsmyndighetens behörighet bestäms däremot särskilt i denna lag. 
I 3 mom. föreskrivs det att tillståndsmyndigheten och övriga myndigheter som beviljar användningstillstånd i enlighet med denna lag samt Tillstånds- och tillsynsverket för social- och hälsovården för sin del ska följa och övervaka att det dataskydd och den datasäkerhet som hänför sig till deras tjänster förverkligas. Dessutom ska de myndigheter som beviljar tillstånd på eget initiativ följa och övervaka att villkoren för tillstånd som de beviljat iakttas. Därför föreslås det att det i lagen föreskrivs om en skyldighet att på eget initiativ vidta nödvändiga åtgärder om någon har behandlat personuppgifter i strid med lagen. Åtgärder som kan komma i fråga är t.ex. en anmärkning, återkallande av användarrättigheterna och vid behov också brottsanmälan. För att förverkliga uppföljningen och övervakningen har tillståndsmyndigheten rätt att få logguppgifter från andra än sin egen informationssäkra driftmiljö samt användarregistrets uppgifter utan obefogat dröjsmål. 
Dataombudsmannen övervakar behandlingen av personuppgifter. Då dataskyddsförordningen börjar tillämpas den 25 maj 2018 har den nya myndighet som fortsätter Dataombudsmannens byrås arbete bl.a. befogenhet att förelägga administrativa böter för överträdelser som gäller behandling av personuppgifter och dess befogenhet utvidgas också i övrigt jämfört med nuläget. För att effektivt förverkliga övervakningen av behandlingen av personuppgifter ska tillståndsmyndigheten och andra myndigheter som beviljar användningstillstånd enligt 4 mom. ha skyldighet att ofördröjligen underrätta Dataombudsmannen, om myndigheten har grundad anledning att misstänka att den som behandlar uppgifter med stöd av ett användningstillstånd från myndigheten inte behandlar personuppgifter i enlighet med lag. Enligt dataskyddsförordningen har den registeransvarige och den som behandlar personuppgifter motsvarande skyldighet. Eftersom de myndigheter som beviljar tillstånd i allmänhet inte alltid kommer att vara den som behandlar eller för register över de uppgifter myndigheterna övervakar, har det ansetts ändamålsenligt att i lagen ta in bestämmelser om en anmälningsskyldighet som kompletterar bestämmelserna i dataskyddsförordningen. 
56 §.Skyldighet för Tillståndsmyndigheten för social- och hälsovårdsuppgifter att rapportera till styrgruppen. I paragrafen föreskrivs om skyldigheten för Tillståndsmyndigheten för social- och hälsovårdsuppgifter att rapportera till sin styrgrupp om avvikelser från de tidsfrister som avses i 47 och 48 §. Tillståndsmyndigheten ska publicera uppgifter om avvikelserna. Skyldigheten ökar insynen i verksamheten. 
57 §. Överklagande. I 1 mom. föreskrivs det om begäran om omprövning i ett beslut om ansökan om användningstillstånd enligt denna lag. Enligt 43 § i förslaget kan ett tillstånd återkallas, om det anses att det finns skäl för återkallandet. För tydlighetsskull har det i 58 § preciserats att det också får begäras omprövning i ett beslut om återkallande av ett tillstånd. Dessutom får omprövning begäras i ett beslut om utlämnande av anonymiserade uppgifter enligt 45 § samt i ett beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med stöd av denna lag. Omprövning ska begäras hos den myndighet som fattat beslutet. I bestämmelsen om omprövning hänvisas det till förvaltningslagen. Allmänna bestämmelser om förfarandet för begäran om omprövning finns i 7 a kap. i förvaltningslagen. 
Enligt det föreslagna 2 mom. får ändring i ett beslut som har fattats om en begäran om omprövning sökas genom besvär hos förvaltningsdomstolen. Vid överklagandet ska bestämmelserna i förvaltningsprocesslagen tillämpas. Förvaltningsdomstolens beslut får överklagas genom besvär bara om högsta förvaltningsdomstolen beviljar besvärstillstånd 
58 §.Ikraftträdande. Enligt paragrafen är avsikten att lagen ska träda i kraft den 1 januari 2018. En del av bestämmelserna ska dock börja tillämpas först senare. Avsikten är att även om lagen träder i kraft så snart som möjligt, ska den börja tillämpas stegvis då när det är mest ändamålsenligt med tanke på utvecklingen av datasystemen, andra författningar som är under beredning och de organisationsförändringar som är på kommande. 
59 §. Övergångsbestämmelser. I paragrafens 1 mom. föreskrivs det att kommunen och samkommunen, till dess att lagen om ordnande av social- och hälsovården har trätt i kraft, har rätt att i enlighet med 41 § i denna lag behandla uppgifter avsedda för deras egna register och för det gemensamma register som avses i 9 § i hälso- och sjukvårdslagen.  
Enligt 41 § i den föreslagna lagen har tillhandahållare av social- och hälsovård trots sekretessplikten rätt att på ett identifierbart sätt behandla och samköra känsliga klientuppgifter som har uppstått i tillhandahållarens egen verksamhet eller är införda i tillhandahållarens egna register, om detta är nödvändigt för att den serviceverksamhet som tillhandahållaren är ansvarig för ska kunna idkas, följas, utvärderas, planeras, utvecklas, ledas och övervakas. Paragrafen har utarbetats med beaktande av reformen av lagstiftningen om ordnandet av social- och hälsovården. Efter att lagen om ordnande av social- och hälsovård trätt i kraft är landskapen de offentliga tillhandahållare av tjänster som avses i bestämmelsen, men till dess är det kommunerna och samkommunerna som avses. Med stöd av en övergångsbestämmelse har kommunen eller samkommunen efter att lagen trätt i kraft rätt att under en övergångsperiod behandla uppgifter som har lagrats i de egna registren samt i det gemensamma register som avses i 9 § i hälso- och sjukvårdslagen för det ändamål som avses i 8 §. 
I paragrafens 2 mom. föreslås bestämmelser om en övergångsperiod efter vilken Tillståndsmyndigheten för social- och hälsovårdsuppgifter får lämna ut identifierbara uppgifter till en tillståndshavare för att behandlas endast i en sådan informationssäker driftmiljö som avses i 20 § 3 mom. Enligt det föreslagna 20 § 1 mom. ska tillståndsmyndigheten ensam eller tillsammans med andra myndigheter förvalta en informationssäker driftmiljö som gör det möjligt att garantera en informationssäker, tillståndsenlig behandling av uppgifter som lämnats ut med stöd av ett användningstillstånd. Enligt 20 § 3 mom. är det emellertid möjligt att lämna ut också andra än anonymiserade uppgifter för att behandlas i en annan driftmiljö än den som avses i 1 mom. Ett villkor för detta är att det i ansökan särskilt motiveras varför detta är nödvändigt.Driftmiljön måste dessutom uppfylla villkoren i 21—29 § i den föreslagna lagen. 
Identifierbara personuppgifter utlämnas vanligen i forskningssyften för vilka de kan sammanföras med uppgifter i journalhandlingar inom hälso- och sjukvården. Då behandlas de ofta i verksamhetsenhetens egna informationssystem avsedda för forskare, i vilka det tillsvidare inte genomförts alla dataskydds- och säkerhetskrav som förutsätts. Syftet med övergångsperioden är att säkerställa att forskningen inom hälso- och sjukvården inte hämmas då lagen träder ikraft. De berörda verksamhetsenheterna har dock skyldighet att se till att de datasystem som forskarna använder motsvarar kraven i 20 § 3 mom. senast då övergångsperioden gått ut. 
Kraven ska börja tillämpas från och med den 1 januari 2020. Till dess får uppgifter utlämnas i enlighet med den lagstiftning som gäller för närvarande. I praktiken uppskattas det ta omkring två år att skapa informationssäkra driftmiljöer efter det att lagen godkänts. Dessutom är avsikten att social- och hälsovårdsreformen och landskapsreformen ska träda i kraft den 1 januari 2020. Landskapen skapar sina egna informationssystem där uppgifterna ska behandlas. Vid skapandet av landskapens system kan man sålunda beakta också de krav som ställs i denna lag. Därför är det motiverat att de krav som hänför sig till systemen kopplas till tidsplanen för social- och hälsovårdsreformen och landskapsreformen. De som tar emot information omfattas av tystnadsplikt redan enligt den gällande lagstiftningen. Dessutom ska behandling av personuppgifter från och med den 25 maj 2018 uppfylla kraven i EU:s dataskyddsförordning.  
I 2 mom. föreskrivs dessutom om en lika lång övergångsperiod som ska gälla 54 § om kliniska fynd. Övergångsperioden behövs för att man ska hinna uppdatera informationssystemen så att det är tekniskt möjligt att genomföra förbudsrätten enligt 54 § 5 mom. Paragrafen kan inte tillämpas förrän förbudsrätten blir gällande, eftersom rätten med avseende på skyddet för personuppgifter är en betydande skyddsåtgärd som är nödvändig för att anmälningar om kliniska fynd ska kunna göras.  
Paragrafens 3 mom. gäller den rätt som föreskrivs för Folkpensionsanstalten att under en övergångsperiod avvika från tidsfristerna för utlämnande av uppgifter enligt 47 § 4 mom. och 48 §. De uppgifter som utlämnas av Folkpensionsanstalten gäller ofta uppgifter ur flera förmånsregister från en lång tid och de finns i skilda informationssystem som skapats under olika perioder. Av detta följer att det för närvarande tar i medeltal 42 timmar effektiv arbetstid, dvs. ungefär 7 arbetsdagar, att plocka ut uppgifter för en begäran om information. Ungefär vart femte urval av uppgifter tar över 60 timmar att göra och vart tionde över 100 timmar. Vartefter Folkpensionsanstaltens informationssystem förnyas kan möjligheten att utnyttja dem förbättras och behövliga uppgifter kan plockas ut snabbare och enklare. Inte heller ur receptcentret och receptarkivet kan uppgifter ännu plockas ut inom de föreskrivna tidsfristerna. 
Ett alternativ för att underlätta behandlingen av uppgifter är att skapa ett förgrundssystem, till vilket de uppgifter som behövs oftast kan överföras och där de kan uppdateras. Då skulle den behövliga arbetsvolymen och kostnaderna för Folkpensionsanstalten minska betydligt. Detta möjliggör också att tillståndsmyndigheten kan ges rätt att plocka ut uppgifterna direkt ur förgrundssystemet. 
I 4 mom. ingår en övergångsbestämmelse för Kanta-tjänsterna. För närvarande lämnas inte uppgifter ur Kanta-tjänsterna ut för sekundära användningsändamål. Utlämnanden kan enligt 10 § 3 mom. i klientuppgiftslagen endast göras till riksomfattande personregister för hälsovården. Möjligheter att välja uppgifter ur Kanta-tjänsterna utvecklas som bäst. Urval kan redan delvis göras manuellt. Det realistiska är att alla uppgifter som registrerats i Kanta-tjänsterna kan fås för sekundära användningsändamål senast den 1 januari 2020. 
Paragrafens 5 mom. innehåller en särskild bestämmelse som gäller behandlingen av uppgifter som frivilligt lämnats till myndigheterna och utlämnande av dem för användningsändamål enligt 2 §. Vid insamlingen av gamla uppgifter har man inte nödvändigtvis använt skriftliga blanketter för samtycke eller också kan det av andra skäl vara svårt att tolka samtyckena. Därför föreslås det att material som samlats in före lagens ikraftträdande får användas och lämnas ut för användningsändamål enligt 2 § oavsett vad som föreskrivs i 43 § 2 mom., om det är uppenbart att användningen och utlämnandet inte i väsentlig mån avviker från de syften för vilka uppgifterna har lämnats. 
I paragrafens 6 mom. föreskrivs det om en övergångsperiod för sådana ansökningar som har gjorts före lagens ikraftträdande. Dessa ansökningar ska behandlas i enlighet med de bestämmelser som gällde före lagens ikraftträdande. 
Ett undantag utgör ansökningar som gäller utlämnande av personuppgifter i enlighet med 4 § i lagen om riksomfattande personregister för hälsovården. På dem tillämpas inte skyldigheten enligt 1 mom. i nämnda paragraf att ge Dataombudsmannen möjlighet att bli hörd, utan rätten enligt 44 § 4 mom. i den föreslagna lagen om sekundär användning av personuppgifter inom social- och hälsovården att begära utlåtande av Dataombudsmannen om ansökan om användningstillstånd. Enligt 4 § i lagen om riksomfattande personregister ska uppgifter som införs i personregister som avses i denna lag hållas hemliga. Social- och hälsostyrelsen och läkemedelsverket kan dock ge tillstånd till utlämnande av personuppgifter, om utlämnandet sker för hälso- och sjukvårdsverksamhet, förebyggande eller behandling av sjukdomar eller för anknytande specifik vetenskaplig forskning och utlämnandet uppfyller kraven i 19 § 1 mom. 3 punkten i personregisterlagen (471/1987). Innan ett tillståndsbeslut utfärdas ska Dataombudsmannen ges möjlighet att bli hörd. Eftersom Institutet för hälsa och välfärd har lång erfarenhet av att bevilja användningstillstånd, är hörande inte motiverat i andra situationer än sådana där institutet behöver tolkningshjälp av Dataombudsmannen. Syftet med momentet är samtidigt att stegvis övergå till det föreslagna nya förfarandet för användningstillstånd samt att lätta den extra administrativa börda som orsakas av det lagstadgade hörandet av Dataombudsmannen. 
I 7 mom. föreskrivsom en övergångsperiod för sådana rådgivningstjänster som avses i 13 §. Den startar i maj en månad innan Tillståndsmyndigheten för social- och hälsovårdsuppgifter inleder behandlingen av begäranden om information som gäller anonymiserade uppgifter. Att dela in tillståndsmyndighetens verksamhet i faser behövs eftersom tillståndsmyndighetens verksamhet inte kan inledas omedelbart när lagen träder i kraft.  
Tillståndsmyndigheten börjar enligt 8 mom. behandla begäranden om information som gäller anonymiserad information den 1 juni 2018. 
I 9 mom. föreskrivs om en övergångsperiod för ibruktagandet av tjänsten för insamling, samkörning och förbehandling av uppgifter, hanteringssystemet för begäranden om information samt i tillståndsmyndighetens informationssäkra driftmiljö. De tas i bruk samma dag som behandlingen av begäranden som gäller anonymiserade uppgifter inleds. 
Enligt 10 mom. inleds tillståndsmyndighetens tillståndsbehandling den 1 september 2018. Därför föreslås att även lagarna om upphävande av 13 § 5 mom. i patientlagen och 18 § 5 mom. i klientlagen samt lagen om ändring av 15 § 4 mom. i lagen om elektroniska recept träder i kraft samma dag som tillståndsmyndigheten inleder sin verksamhet. Därmed är Institutet för hälsa och välfärd fortfarande under övergångsperioden den myndighet som beviljar användningstillstånd i de situationer som avses i nämnda moment. Däremot kan enskilda registeransvariga redan bevilja användningstillstånd för sina egna material i enlighet med denna lag. 
1.2
Lagen om Institutet för hälsa och välfärd
I detta lagförslag överförs bestämmelser som gäller Institutet för hälsa och välfärds statistikmyndighetsuppgifter och register till lagen om Institutet för hälsa och välfärd. Samtidigt upphävs lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården och lagen om riksomfattande personregister för hälsovården, vilka hittills innehållit bestämmelser om institutets statistikmyndighets- och registeruppgifter. På så vis ändras regleringen om Institutet för hälsa och välfärds personregister så att den överensstämmer med grundlagen. 
Samtidigt skapas förutsättningar för att Institutet för hälsa och välfärd bättre ska kunna utföra de uppgifter institutet får i social- och hälsovårdsreformen. Utvärderingen av institutets uppgifter och roll i relation till social- och hälsovårdsreformen pågår dock fortfarande delvis när denna proposition färdigställs. Lagen som gäller institutet behandlas därför sannolikt på nytt av riksdagen när institutets ställning har klarnat. Samtidigt kan vid behov preciseras vilka uppgifter som omfattas av Institutet för hälsa och välfärds rätt att få information. 
Likaså bedöms lagstiftningen inom social- och hälsovårdsministeriets förvaltningsområde som en helhet i förhållande till EU:s dataskyddsförordning under hösten 2017 och våren 2018. Då kommer även lagen om Institutet för hälsa och välfärd att granskas ännu noggrannare i förhållande till dataskyddsförordningen. 
2 §. Uppgifter. Enligt 2 § 1 mom. 3 punkten i den gällande lagen om Institutet för hälsa och välfärd ska institutet bedriva forskning och utveckling inom branschen och främja innovationer samt ta initiativ och göra framställningar som behövs för att utveckla social- och hälsovården och dess service och främja befolkningens hälsa och välfärd. I punkten görs en teknisk ändring så att den förutom 3 punkten får 3 a- och b-punkter. Syftet med ändringen är att skilja åt uppgifter med olika behandlingsgrunder vid institutet. Forskning, utveckling och innovationer samt att ta initiativ och göra framställningar är tre mycket olika behandlingsändamål. I den föreslagna 5 § föreskrivs om institutets rätt att få information om dessa tre uppgifter endast för forskningssyfte. 
Enligt 1 mom. 4 punkten ska institutet föra register inom branschen samt sörja för kunskapsunderlaget för sitt uppgiftsområde och för användningen av det. Vidare har Institutet för hälsa och välfärd till uppgift att vara sådan statistikmyndighet inom branschen som avses i 2 § 2 mom. i statistiklagen (280/2004). En bestämmelse om den senare uppgiften tas in i 2 § 1 mom. 4 c-punkten och i den nya 5 i §. 
Institutet för hälsa och välfärd kan samla in datamaterial (bl.a. forsknings- och registermaterial). Ur dessa material kan härledas statistiska uppgifter, men de har inte primärt samlats in för statistiska ändamål och utgör således inte i första hand material som samlats in för statistiska ändamål. Sådana forsknings-, register- och andra material kan användas för skötseln av Institutet för hälsa och välfärds uppgifter i enlighet med lagstiftningen. Institutet för hälsa och välfärd kan dessutom samla in uppgifter uttryckligen för statistiska ändamål och då namnges uppgiftsinsamlingen enligt det syftet och behandlas som statistiskt material. 
En förutsättning för att Institutet för hälsa och välfärd ska kunna sörja för kunskapsunderlaget för uppgiftsområdet och för en effektivare användning av materialet är att det får smidigare och självständiga än förut definiera och upprätthålla datafiler och föra register. Därför definieras datainnehållet i register som samlas in och förs inte längre enligt variabel utan enligt datatyp i 5 §. Institutet kan förutom att upprätthålla datafiler och föra register behandla de uppgifter som avses i 5 § när det  
undersöker och följer befolkningens välfärd och hälsa, faktorer som påverkar dem och problem i anslutning till dem, hur utbredda problemen är och möjligheterna att förebygga dem, samt utveckla och främja åtgärder för att främja välfärd och hälsa och minska problem i anslutning till dem, 
undersöker, följer, utvärderar, utvecklar och styr verksamheten inom social- och hälsovården och ger den experthjälp som behövs för att genomföra sådan politik och tillämpa sådana tillvägagångssätt och förfaranden som främjar välfärd och hälsa, 
bedriver forskning inom branschen, samt 
för kvalitetsregister inom branschen. 
För Institutet för hälsa och välfärd föreskrivs totalt flera dataintensiva uppgifter, och ett effektivt och tillförlitligt utförande av dem förutsätter behandling av personuppgifter och andra sekretessbelagda uppgifter. För att uppgifterna ska kunna utföras är det i praktiken nödvändigt att behandla personuppgifter. Bestämmelser om institutets lagstadgade uppgifter finns i 2 § i lagen om Institutet för hälsa och välfärd och i ett flertal speciallagar, såsom lagen om smittsamma sjukdomar (1227/2016). När Institutet för hälsa och välfärd behandlar personuppgifter kan också den lagstadgade grunden för behandlingen av uppgifter därför i olika situationer följa av olika punkter i artiklarna 6 och 9.  
Enligt artikel 6.1 c i den allmänna dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse för den registeransvarige. När arten av och syftet för Institutet för hälsa och välfärds behandling av personuppgifter är noga definierade, kan behandlingen av uppgifter bygga på artikel 6.1 c.  
En del av Institutet för hälsa och välfärds uppgifter behövs för att utföra den uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen eller utöva sådan offentlig makt som hör till den registeransvarige. Institutet för hälsa och välfärd har många uppgifter som betjänar folkhälsan och ordnandet av social- och hälsovårdstjänster och är av allmänt intresse. I vissa situationer, t.ex. i vissa av institutets undersökningar, kan behandlingen av personuppgifter också bygga på den registrerades samtycke enligt artikel 6.1 a, förutsatt att samtycket uppfyller förutsättningarna i dataskyddsförordningen.  
Kraven på behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter, dvs. känsliga uppgifter, som hälsovårdsuppgifter, är strängare enligt artikel 9 i dataskyddsförordningen. Behandlingen av dem är i princip förbjuden. De kan dock för det första enligt artikel 9.2 b i förordningen behandlas för att den registeransvarige ska kunna fullgöra sina särskilda rättigheter, om behandlingen är nödvändig för att den registeransvarige ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd. I lagen ska då även tas in bestämmelser om lämpliga skyddsåtgärder. I synnerhet Institutet för hälsa och välfärds uppgifter i anslutning till social trygghet kan bygga på denna underpunkt.  
Behandlingen av känsliga uppgifter vid Institutet för hälsa och välfärd kan också basera sig på artikel 9.2 g, enligt vilken känsliga uppgifter kan behandlas, om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av medlemsstatens lagstiftning. Lagstiftningen ska då stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. 
Enligt artikel 9.2 h i förordningen kan känsliga uppgifter behandlas bland annat för medicinska diagnoser och förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av medlemsstaternas nationella rätt och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 i artikeln är uppfyllda. Enligt punkt 3 förutsätts att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ. Till exempel Institutet för hälsa och välfärds uppgifter i anslutning till rättsmedicin kan skötas på denna grund. 
Enligt artikel 9.2 i får känsliga uppgifter också behandlas om det är nödvändigt av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt. Till exempel i lagen om smittsamma sjukdomar har Institutet för hälsa och välfärd ålagts sådana uppgifter som kan motiveras med denna underpunkt. 
När Institutet för hälsa och välfärd i egenskap av myndighet sköter sina lagstadgade uppgifter, behöver det inte användningstillstånd från Tillståndsmyndigheten för social- och hälsovårdsuppgifter som avses i den föreslagna lagen om sekundär användning av personuppgifter inom social- och hälsovården. Om Institutet för hälsa och välfärd tillsammans med en annan myndighet eller andra organisationer sköter lagstadgade uppgifter, får de inte lämna ut uppgifter till varandra för en annans lagstadgade uppgift, om det inte finns en grund för detta i lag. Till exempel i 24 § 2 mom. i lagen om smittsamma sjukdomar föreskrivs att Institutet för hälsa och välfärd och den läkare som i samkommunen för sjukvårdsdistriktet ansvarar för smittsamma sjukdomar har oberoende av sekretessbestämmelserna rätt att kostnadsfritt av de kommunala och de statliga hälsovårds-, hälsoskydds- och veterinärmyndigheterna och myndigheterna för livsmedelstillsyn, av de laboratorier som avses i 18 §, från verksamhetsenheter inom den privata socialvården och hälso- och sjukvården samt självständiga yrkesutövare inom hälso- och sjukvården få de uppgifter som behövs för att upptäcka epidemier som avses i 23 §, utreda orsaken till dem och spåra smittan och att i detta syfte behandla uppgifter som de som insjuknat i en smittsam sjukdom och andra har lämnat till dem.  
Institutet för hälsa och välfärd ska ansöka om användningstillstånd hos den tillståndsmyndighet som avses i den föreslagna lagen om sekundär användning av personuppgifter inom social- och hälsovården när det behöver uppgifter från andra registeransvariga i situationer när  
Institutet för hälsa och välfärd inte sköter sin myndighetsuppgift. 
Institutet för hälsa och välfärd verkar på en konkurrensutsatt marknad och dess myndighetsställning skulle kunna snedvrida konkurrensen. 
Institutet för hälsa och välfärd verkar i ett forsknings- eller motsvarande gemensamt projekt tillsammans med offentliga eller privata aktörer och det behövs uppgifter från andra registeransvariga i projektet.  
Till uppgifterna för Institutet för hälsa och välfärd fogas dessutom en ny 1 mom. 4 d-punkt om förandet av kvalitetsregister. Med kvalitetsregister avses enligt 5 i § ett register vars uppgifter används för utvärdering av behandlingen av en viss sjukdom eller en viss behandlingsmetod. I registret lagras på ett strukturerat sätt nödvändiga personuppgifter i anknytning till sjukdomen och behandlingsmetoden eller tillhandahållandet av socialservice. I registret får dessutom lagras uppgifter om vilken verksamhetsenhet som svarat för behandlingen eller servicen och vilka personer som gett behandlingen eller servicen för att dess kvalitet ska kunna utvärderas. 
I ett kvalitetsregister ska behandling av personuppgifter bygga på lag. Behandlingsgrunden följer av artikel 6.1 e i dataskyddsförordningen, enligt vilken personuppgifter får behandlas, om det är nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den registeransvariges myndighetsutövning.  
Personuppgifter i kvalitetsregister behandlas för andra ändamål än det som de ursprungligen samlades in för. Därför ska det i ett demokratiskt samhälle dessutom vara en nödvändig och proportionerlig åtgärd för att trygga de mål som avses i artikel 23 i dataskyddsförordningen, såsom den registrerades rättigheter eller folkhälsa och social trygghet. Behandling av personuppgifter i anknytning till kvalitetsregister är i ett demokratiskt samhälle nödvändigt i syfte att säkerställa folkhälsa och social trygghet i enlighet med artikel 23 i förordningen. 
Enligt 8 § i hälso- och sjukvårdslagen ska verksamheten inom hälso- och sjukvården baseras på evidens, god vårdpraxis och goda rutiner. Verksamheten inom hälso- och sjukvården ska vara av god kvalitet och säker och bedrivas på behörigt sätt. Detta mål kan uppnås med hjälp av kvalitetsregister. Genom dem fås empirisk kunskap om och bevis för hur bra en viss behandling eller behandlingsmetod fungerar. 
Därmed ska artikel 9.2 i vara grunden för behandlingen till de delar känsliga uppgifter enligt artikel 9 behöver samlas in i registret, såsom uppgifter om hälsa. Enligt artikel 9 i i dataskyddsförordningen får känsliga personuppgifter behandlas om behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård, på grundval av medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt. Syftet med kvalitetsregister ska uttryckligen vara att säkerställa höga kvalitets- och säkerhetsnormer för hälso- och sjukvården. Den som behandlar personuppgifter i kvalitetsregister omfattas av lagstadgad tystnadsplikt. I registren får lagras endast personuppgifter som är nödvändiga med avseende på kvalitetsregistrets syfte. 
5 §. Rätt att få och att behandla uppgifter. Det föreslås att gällande 5 § ändras. I den ändrade paragrafen föreskrivs om vilka aktörer som är skyldiga att lämna uppgifter till Institutet för hälsa och välfärd för vissa lagstadgade uppgifter och vilken typ av uppgifter informationsskyldigheten gäller. Bestämmelser om Institutet för hälsa och välfärds uppgifter finns förutom i lagen som gäller institutet i ett flertal andra lagar som också innehåller bestämmelser om institutets rätt att få information för de aktuella uppgifterna. Däremot ska den rätt att få information som föreslås i 5 § 1 mom. endast gälla de lagstadgade uppgifter som avses i 2 § 1—3 och 4 punkten i denna lag. Institutet ska enligt 2 § 1—3, 4 och 4 d punkten  
1) undersöka och följa befolkningens välfärd och hälsa, faktorer som påverkar dem och problem i anslutning till dem, hur utbredda problemen är och möjligheterna att förebygga dem, samt utveckla och främja åtgärder för att främja välfärd och hälsa och minska problem i anslutning till dem, 
2) undersöka, följa, utvärdera, utveckla och styra verksamheten inom social- och hälsovården och ge experthjälp för att genomföra sådan politik och tillämpa sådana tillvägagångssätt och sådan praxis som främjar välfärd och hälsa, 
3) bedriva forskning inom branschen,  
4) upprätthålla datafiler och föra register inom området och sörja för kunskapsunderlaget inom sitt uppgiftsområde och för nyttiggörandet av det, och 
föra kvalitetsregister inom branschen. 
Till de delar det i sådana uppgifter som ålagts Institutet för hälsa och välfärd behandlas personuppgifter enligt denna paragraf ska det finnas en behandlingsgrund enligt artikel 6 i dataskyddsförordningen för behandlingen. I alla de uppgifter som räknas upp behövs behandling i enlighet med artikel 6.1 e för att Institutet för hälsa och välfärd ska kunna utföra en uppgift av allmänt intresse som tilldelats institutet. De uppgifter för Institutet för hälsa och välfärd som räknas upp här är mycket betydande ur samhällssynvinkel, eftersom målet för dem bland annat är att minska ojämlikhet och marginalisering, utveckla och bedöma social- och hälsovårdstjänster samt säkerställa ett hållbart välfärdssamhälle. Därför är de helt klart förenliga med det allmänna intresset. 
Eftersom Institutet för hälsa och välfärd för skötseln av dessa uppgifter ska ha rätt att även behandla känsliga uppgifter enligt artikel 9 i dataskyddsförordningen, ska behandlingsgrunden dessutom härledas ur artikel 9.2. Till de delar det är fråga om ren vetenskaplig forskningsverksamhet som bedrivs av Institutet för hälsa och välfärd, följer grunden för behandlingen av artikel 9.2 j i dataskyddsförordningen. Enligt den kan känsliga uppgifter behandlas, om behandlingen är nödvändig för vetenskapliga forskningsändamål i enlighet med artikel 89, på grundval av medlemsstatens lagstiftning, vilken ska stå i proportion till syftet, är förenlig med rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.  
Det är fråga om behandling för ett vetenskapligt forskningsändamål, när institutet enligt punkt 3 i det som räknas upp ovan behandlar personuppgifter i forskning inom området. Det är likaså fråga om detta när uppgifter för ändamål enligt punkt 1) och 2) behandlas för vetenskaplig forskning. Om det i ett material som baserar sig på vetenskaplig forskning dras slutsatser utifrån anonyma uppgifter till exempel för ändamål enligt punkt 1) och 2), förutsätter behandlingen av uppgifter inte längre en grund enligt artikel 9 i dataskyddsförordningen, eftersom det inte längre är fråga om behandling av personuppgifter.  
Om personuppgifter i enlighet med punkterna 1) och 2) behandlas för andra än vetenskapliga forskningsändamål, måste det hittas en annan grund för behandlingen av uppgifter i förordningen. En sådan grund skulle vara artikel 9.2 g enligt vilken känsliga uppgifter får behandlas om det är nödvändigt av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, förutsatt att den står i proportion till det eftersträvade syftet, är förenlig med det väsentliga innehållet i rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. 
Institutet för hälsa och välfärds uppgifter enligt 2 § 1—2 och 4 punkten tryggar mål av generellt allmänt intresse i anknytning till folkhälsa och social trygghet enligt artikel 23.1 e i dataskyddsförordningen. I artikel 6.4 förutsätts att sekundär användning av uppgifter enligt medlemsstatens lagstiftning utgör en nödvändig och proportionell åtgärd för att uppnå målen enligt artikel 23. Målet för Institutet för hälsa och välfärds lagstadgade uppgifter är utöver forskning bl.a. att producera information till stöd för beslutsfattande som möjliggör skydd mot hot mot hälsan, förbättra kvaliteten på social- och hälsovårdstjänster och systemets sätt att fungera, främja förverkligandet av social trygghet och öka befolkningens välfärd samt förebygga problem i anknytning till dessa. En del av uppgifterna fullgör delvis även behandlingsändamålen enligt artikel 9.2 h och i i dataskyddsförordningen, men som helhet betraktat fullgör de uppgifter i samband med tryggandet av ett viktigt allmänt intresse, dvs. folkhälsa och social trygghet. När det gäller kvalitetsregister följer grunden för behandling av känsliga uppgifter av artikel 9.2 h i enlighet med vad som beskrivs i motiveringen till 2 § 4 d. 
Både artikel 9.2 j och g i dataskyddsförordningen förutsätter dessutom lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Inom vetenskaplig forskning följer dessa skyddsåtgärder av den gällande personuppgiftslagen och i fortsättningen av den allmänna lag som ska ersätta personuppgiftslagen och är under beredning vid justitieministeriet. Dessutom har Institutet för hälsa och välfärds experter till följd av offentlighetslagen tystnadsplikt i alla användningsändamål. En skyddsåtgärd är också att uppgifter inte ska användas till beslutsfattande som gäller en individ och att Institutet för hälsa och välfärd endast ska ha rätt att få uppgifter som är nödvändiga för skötseln av sina uppgifter. Dataombudsmannen har rätt att begära omprövning av Institutet för hälsa och välfärds beslut om uppgiftsinsamling. Institutet ska dessutom samråda med registeransvariga om nya uppgiftsinsamlingar eller betydande förändringar i dem.  
I den gällande 5 § i lagen om Institutet för hälsa och välfärd föreskrivs redan om institutets rätt att samla in och behandla personuppgifter samt blod- och vävnadsprov. Nu utfärdas noggrannare bestämmelser om institutets rätt att samla in uppgifter. Utgångspunkten är att alla de uppgifter som lämnas ska vara nödvändiga för skötseln av institutets ovan beskrivna uppgifter, eftersom uppgifterna inom målområdet för hälsa och välfärd i regel är sekretessbelagda och även känsliga personuppgifter. För behandlingen av blod- och vävnadsprov gäller i fortsättningen 5 e §.  
För att Institutet för hälsa och välfärd ska kunna utföra sina uppgifter förutsätts i praktiken att det samlas in uppgifter om bland annat relevanta levnadsförhållanden och levnadssätt, andra miljöfaktorer, sjukdomar och deras riskfaktorer samt användningen av hälso- och socialvårdstjänster. Institutet samlar in uppgifter antingen från den registrerade med stöd av ett skriftligt samtycke eller ur register eller databaser hos olika myndigheter eller privata och offentliga anordnare och producenter inom social- och hälsovården eller i enlighet med behörighet som föreskrivs i en annan lag. Med stöd av de insamlade uppgifterna framställer Institutet för hälsa och välfärd bland annat statistik, indikatorer, uppföljningsrapporter och undersökningar om befolkningens hälsa och välfärd, användningen av social- och hälsovårdstjänster, kostnader, produktivitet, effektivitet, kostnadsnyttoeffekt och patientsäkerhet. 
Sekretessplikten i fråga om uppgifter följer direkt av offentlighetslagen, vars 24 § innehåller bestämmelser om sekretessbelagda uppgifter. Sekretessbelagda enligt offentlighetslagen är handlingar som innehåller uppgifter om en klient hos socialvården eller en enskild kund hos arbetsförvaltningen samt de förmåner eller stödåtgärder eller den socialvårdsservice eller den service för arbetsförvaltningens enskilda kunder denne erhållit eller uppgifter om en persons hälsotillstånd eller handikapp, den hälsovård eller rehabilitering som denne har erhållit eller uppgifter om någons sexuella beteende eller inriktning. Sekretessbelagda är likaså handlingar som innehåller uppgifter om en persons politiska övertygelse eller uppgifter om åsikter som personen har uttalat privat eller uppgifter om någons levnadssätt, deltagande i föreningsverksamhet eller fritidssysselsättningar, familjeliv eller andra med dem jämförbara personliga förhållanden. Offentlighetslagen är direkt bindande för Institutet för hälsa och välfärd, eftersom den är en myndighet. 
Paragrafens 1 mom. ska gälla institutets rätt att få uppgifter från uppgiftsskyldiga för sina lagstadgade uppgifter. Registeransvarig för de uppgifter som ska samlas in och behandlas är Institutet för hälsa och välfärd. Skyldiga att lämna uppgifter är myndigheter som ordnar social- och hälsovård, privata aktörer som ordnar och producerar social- och hälsovårdstjänster, Folkpensionsanstalten som lyder under riksdagen, Valvira, Befolkningsregistercentralen och Statistikcentralen.Syftet med uppgiftsskyldigheten är att effektivisera insamlingen av uppgifter och undvika överlappande uppgiftginsamlingar som belastar både dem som producerar och dem som samlar in information. I mån av möjlighet används uppgifter som en gång registrerats elektroniskt smidigt förutom för deras primära användningsändamål även för skötseln av Institutet för hälsa och välfärds uppgifter.  
Med stöd av bestämmelsen har Institutet för hälsa och välfärd rätt att avgiftsfritt och trots sekretessplikten och andra begränsningar för erhållandet av information få de uppgifter som anges i paragrafen tillsammans med identifieringsuppgifter för hela befolkningen. Samråd om utlämnande av nya uppgifter och det praktiska genomförandet av dataurval förs med de uppgiftsskyldiga på det sätt som föreskrivs i 5 d § i lagen. I form av sådan identifieringsuppgift som nämns i momentet samlas i personmaterial alltid in en persons personbeteckning och i organisationsmaterial en identifierare som gör det möjligt att identifiera en organisation och i fråga om byggnader en byggnadskod. I nationella personregister inom hälso- och sjukvården har sedan 1970-talet samlats in de registrerades personbeteckningar som identifieringsuppgift. Personbeteckningen som identifieringsuppgift är nödvändig för att uppgifternas kvalitet och omfattning ska kunna bedömas. Genom insamlingen av personbeteckningar kan den totala svarsbördan för uppgiftslämnare minskas, eftersom uppgifter kan samköras och kontrolleras i andra informationskällor. En entydig identifierare är också en nödvändig förutsättning för vetenskaplig forskning samt framställandet av statistik som beskriver servicekedjor och den totala användningen av tjänster. I praktiken har användningen av direkta identifieringsuppgifter minimerats och pseudoidentifierare tagits i bruk vid behandlingen av uppgifter.  
I 1 mom. 1 punkten föreskrivs huvudsakligen om uppgifter som privata och offentliga anordnare och producenter av social- och hälsovårdstjänster lämnar till Institutet för hälsa och välfärd. Syftet med bestämmelsen är att möjliggöra kontinuitet i uppgiftsinsamlingar som för närvarande regleras i lagen och förordningen om riksomfattande personregister för hälsovården samt lagen om statistikväsendet vid Forsknings- och utvecklingscentralen för social- och hälsovården och utveckling av dem så att de överensstämmer med dagens informationsbehov i fråga om tjänster både inom socialvården och inom hälso- och sjukvården. De nuvarande och framtida informationsbehoven vid skötseln av Institutet för hälsa och välfärds uppgifter förutsätter förvärv av en bred kunskapsbas som förutom tidigare uppgiftsinsamlingar även omfattar bland annat nya uppgifter om verksamheten i branschen. De äldsta registren som förs av Institutet för hälsa och välfärd startades av medicinalstyrelsen på 1950- och 1960-talet och de används alltmer inom forskning, statistikföring samt hälso- och välfärdsuppföljning. Institutet för hälsa och välfärds nuvarande nationella register är vårdanmälningsregistren inom primärvården, den specialiserade sjukvården och socialvården, klientinventering inom hemvården, cancerregistret, massundersökningsregistret, missbildningsregistret, registret över födelser, registret över aborter och sterilisering, implantatregistret, synskaderegistret, barnskyddsregistret och utkomststödsregistret.  
Sekretessbelagda och känsliga personuppgifter som ska samlas in med stöd av skyldigheten att lämna uppgifter är uppgifter om institutionsvård och öppenvårdstjänster samt prehospital akutsjukvård av en kund eller patient, foster eller barn som fötts levande eller fötts döda samt uppgifter om modern och fadern, om han är känd, uppgifter om serviceanordnare och producent, tidpunkt för inledande och avslutande av servicen, kundens hemort och boendeform, grunden för tillhandahållande av servicen och tillgången till den, behovet, arten och omfattningen i fråga om servicen, sjukdom, skada, handikapp, social situation eller medicinskt tillstånd samt anknytande åtgärder och beslut, tjänster och vård, undersökningsresultat, medicinering och rehabilitering, vaccineringar samt annat förebyggande av sjukdomar och servicebehov, kvaliteten på åtgärder och tjänster och deras verkningsfullhet, produktsäkerheten i fråga om produkter och utrustning för hälso- och sjukvård, kund- och patientsäkerhet, personal och andra resurser som använts för tjänsterna samt kostnaderna för dem och avgifter som tagits ut för tjänsterna. Uppgifter om avbrytande av havandeskap och om sterilisering enligt vad som föreskrivs om dem i lagen om avbrytande av havandeskap (239/1970) och i steriliseringslagen (283/1970) samt i författningar som utfärdats med stöd av dem. 
I 1 mom. 2 punkten föreskrivs om rätten för Institutet för hälsa och välfärd att från Folkpensionsanstalten få uppgifter tillsammans med identifieringsuppgifter trots sekretessplikten och andra begränsningar i fråga om användningen av uppgifter. Bestämmelser om erhållande av uppgifter om förmåner som enligt bestämmelserna ska verkställas av Folkpensionsanstalten och om användningen av dem finns för närvarande i 5 § 2 mom. i lagen om Institutet för hälsa och välfärd. Enligt gällande bestämmelse har Institutet för hälsa och välfärd rätt att avgiftsfritt och trots sekretessbestämmelserna och andra begränsningar i fråga om erhållande av information av Folkpensionsanstalten för statistikförings-, forsknings-, planerings- och utredningsuppgifter inom sitt verksamhetsområde få uppgifter om förmåner som Folkpensionsanstalten enligt bestämmelserna ska verkställa och uppgifter om hur förmånerna använts. Institutet för hälsa och välfärd svarar också för planeringen och styrningen av användningen och realiseringen av elektroniska recept och av de nationella informationssystemtjänster som avses i lagen om elektroniska recept.  
Folkpensionsanstalten är med stöd av bestämmelsen skyldig att till Institutet för hälsa och välfärd lämna ut de uppgifter som nämns i bestämmelsen om förmåner som enligt bestämmelserna ska verkställas av Folkpensionsanstalten och om användningen av dem samt sådana uppgifter om recept och anknytande receptexpedieringar ur receptarkivet och receptdatabasen som avses i lagen om elektroniska recept. Avsikten är att bestämmelsen ska främja en informationssäker och administrativt ändamålsenlig behandling av uppgifterna så att begäranden om information som görs för lagstadgade uppgifter inte ska behöva skötas genom separata begäranden om information, användningstillstånd och leveranser. För att underlätta urvalet av uppgifter kan också inrättas en särskild teknisk anslutning mellan Folkpensionsanstalten och Institutet för hälsa och välfärd.  
Institutet för hälsa och välfärd har med stöd av 2 punkten även rätt till uppgifter som lagrats i de Kanta-tjänster som avses i klientuppgiftslagen. Tjänsterna omfattar bland annat uppgifterna i det nationella patientdataarkivet, logguppgifterna för tjänsterna och uppgifterna i medborgargränssnittet (Mina Kanta-sidor). I fortsättningen kommer också klienthandlingar som gäller socialvårdsklienter att föras in i Kanta-tjänster i hela landet.  
Bestämmelser om rätten för Institutet för hälsa och välfärd att behandla uppgifter i det nationella patientuppgiftsarkivet finns i 10 § 3 mom. i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården, enligt vilket utlämnandet av uppgifter till riksomfattande personregister för hälsovården enligt lagen om riksomfattande personregister för hälsovården och de bestämmelser som utfärdats med stöd av den med hjälp av de riksomfattande informationssystemtjänsterna kan utföras åt de tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig till arkiveringstjänsten. 
Institutet för hälsa och välfärd ska ha rätt att plocka ut uppgifter direkt ur Kanta-tjänsterna. Detta förutsätter att informationssystemen vid Institutet för hälsa och välfärd utvecklas så att de blir interoperabla med Kanta-tjänsterna. Enligt klientuppgiftslagen sköter Folkpensionsanstalten den tekniska driften av dessa tjänster för de registeransvarigas räkning. Detta innebär att Folkpensionsanstalten verkar som sådan registerförare som avses i dataskyddsförordningen för dessa uppgifter.  
I 1 mom. 3 punkten föreskrivs om sådana uppgifter som kan fås från Tillstånds- och tillsynsverket för social- och hälsovården och som Institutet för hälsa och välfärd behandlar för sina forsknings- och uppföljningsuppgifter. Uppgifter om avbrytande av havandeskap och om sterilisering enligt vad som föreskrivs om dem i lagen om avbrytande av havandeskap och i steriliseringslagen samt i förordningar som har utfärdats med stöd av dem. Uppgifter från nämnden för abort- och steriliseringsärenden vid Tillstånds- och tillsynsverket för social- och hälsovården är nödvändiga för att komplettera de medicinska registren för reproduktiv hälsa vid Institutet för hälsa och välfärd. Dessutom behövs uppgifter ur det centralregister över yrkesutbildade personer inom hälso- och sjukvården som avses i 24 a § i lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994) och ur det centralregister över yrkesutbildade personer inom socialvården som avses i 16 § i lagen om yrkesutbildade personer inom socialvården (817/2015). Personaluppgifter behövs när statistik ska upprättas över personalen och kostnaderna inom social- och hälsovården. Avsikten är att bestämmelsen ska främja en informationssäker och administrativt ändamålsenlig behandling av uppgifterna så att begäranden om information som görs för lagstadgade uppgifter inte ska behöva skötas genom separata användningstillstånd. 
I 1 mom. 4 punkten föreskrivs om institutets rätt att få uppgifter ur befolkningsdatasystemet vid Befolkningsregistercentralen. Bestämmelser om befolkningsdatasystemet finns i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009). De uppgifter som ska plockas ut gäller hela befolkningen och de byggnads- och koordinatuppgifter som ingår i befolkningsdatasystemet. Genom de uppgifter som plockas ut kompletteras institutets lagstadgade register och andra uppgiftsinsamlingar samt utförs urval som gäller hela bakgrundspopulationen för t.ex. uppföljning av vaccintäckningen samt sådana sampelurval och urval av kontrollgrupp som förutsätts för uppföljningar och undersökningar. Avsikten är att bestämmelsen ska främja en informationssäker och administrativt ändamålsenlig behandling av uppgifter så att begäranden om information för lagstadgade uppgifter inte behöver skötas med separata begäranden om information, användningstillstånd och dyra leveranser. Institutet för hälsa och välfärd gör egna urval ur befolkningsdatasystemet, eftersom institutet har kvalificerad expertis när det gäller urvalsmetoder. 
I 1 mom. 5 punkten föreskrivs att institutet kan få uppgifter från Statistikcentralen om dödsorsaker i den form som Statistikcentralen elektroniskt registrerar dem i registret över dödsfall. Bestämmelser om uppgifterna finns i lagen om utredande av dödsorsak (459/1973). Enligt lagen om utredande av dödsorsak ska en verksamhetsenhet för hälso- och sjukvården eller läkaren anmäla dödsfall till befolkningsdatasystemet och till Institutet för hälsa och välfärd och Institutet för hälsa och välfärd vidare till Statistikcentralen. Statistikcentralen ska förvara handlingar och uppgifter som lämnats till centralen. Med de uppgifter som nämns i detta moment avses dödsfallsuppgifter som vidareförädlats av Statistikcentralen och som centralen har i elektronisk form. Med stöd av förordningen om riksomfattande personregister för hälsovården (774/1989) har institutet kunna registrera dödsattestuppgifter som en del av cancerregistret och synskaderegistret. I praktiken behöver uppgifter om dödsfall också samköras med institutets andra register för att uppföljningen av befolkningens hälsa och välfärd samt kvaliteten på patientsäkerheten och vården ska kunna stärkas. Avsikten är att bestämmelsen ska främja en informationssäker och administrativt ändamålsenlig behandling av uppgifterna så att begäranden om information som görs för lagstadgade uppgifter inte ska behöva skötas genom separata begäranden om information, användningstillstånd och leveranser, utan uppgifterna kan levereras som en helhet t.ex. en gång om året. 
I 2 mom. föreskrivs att som sådan identifieringsuppgift som avses i 1 mom. samlas för en person in personbeteckningen och för andra dataenheter en identifieringskod. Institutet för hälsa och välfärd ska enligt 3 mom. ha rätt att få de uppgifter som avses i 1 och 2 mom. via en teknisk anslutning. Institutet kan vid behov även själv göra dataurval via en teknisk anslutning som öppnas av den uppgiftsskyldiga, eftersom institutet har kvalificerad expertis när det gäller urvalsmetoder. 
5 a §.Utlämnande av uppgifter. I 1 mom. konstateras att uppgifter som samlats in med stöd av 5 § 1 mom. 1 punkten i lagen får lämnas ut på det sätt som föreskrivs i lagen om sekundär användning av personuppgifter inom social- och hälsovården. Uppgifterna samlas in från myndigheter som ordnar social- och hälsovård och aktörer som ordnar de aktuella tjänsterna privat. Av dessa uppgifter består bland annat uppgifterna i Institutet för hälsa och välfärd vårdanmälningsregister (Hilmo, Avohilmo). 
I 2 mom. föreskrivs att trots vad som någon annanstans i lag föreskrivs om rätten eller skyldigheten att lämna ut sekretessbelagda uppgifter får uppgifter som samlats in med stöd av denna lag inte lämnas ut för att användas vid administrativt beslutsfattande som gäller enskilda personer eller familjer eller vid annan motsvarande behandling av ärenden. Motsvarande bestämmelse har funnits i lagen om riksomfattande personregister för hälsovården och lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården. Bestämmelsen utgör dock inte ett hinder för behandling av uppgifter som gäller den registrerade med stöd av 54 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården, när det är fråga om ett kliniskt betydande fynd, om inte den registrerade har förbjudit kontakt på basis av ett kliniskt betydande fynd. Bestämmelsen är en skyddsåtgärd för den registrerades rättigheter och friheter enligt dataskyddsförordningen. 
I 3 mom. föreskrivs om identifierbar återrapportering till informationsproducenter. Uppgifter som en sådan informationsproducent som anges i 5 § har tillhandahållit till Institutet för hälsa och välfärd kan lämnas tillbaka till den myndighet eller tjänstetillhandahållare som har lämnat datamaterialet till institutet. Att få tillbaka uppgifter som lämnats till institutet på radnivå är en ny tjänst som skulle bidra till att förbättra kvaliteten på de uppgifter som samlas in och användningen av uppgifterna på lokal nivå i beslutsfattande och i informationsledning. 
5 b §. Bevaringstid för uppgifter. Institutet för hälsa och välfärd får i princip bevara material som innehåller identifieringsuppgifter så länge som det är nödvändigt för skötseln av institutets lagstadgade uppgifter. Därefter ska uppgifterna i regel förstöras inom ett år. Bestämmelsen är förenlig med 6 § i lagen om upphävande av lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården. I paragrafen ingår en hänvisning till arkivlagen. Enligt 8 § 2 mom. i arkivlagen (831/1994) ska arkivbildaren, dvs. i detta fall Institutet för hälsa och välfärd, bestämma bevaringstiderna och förvaringssätten för handlingar som inkommer och uppstår till följd av skötseln av uppgifterna och ha en arkivbildningsplan över dem. 
I 2 mom. konstateras att de olika känsliga uppgifter som avses i artikel 9.1 i dataskyddsförordningen, såsom uppgifter om hälsa, dock ska utplånas ur registret så snart det inte längre finns någon grund enligt 1 mom. för behandling. Grunden och behovet av behandling ska bedömas minst vart femte år, om inte något annat följer av lag. Genom bestämmelsen skyddas i synnerhet uppgifter som enligt dataskyddsförordningen är känsliga och det skulle för behandlingen av dem vara en särskild skyddsåtgärd som skyddar den registrerades rättigheter och friheter. 
5 c §. Uppgiftsskyldighet och beslut om uppgiftsinsamling. I 6 § i statistiklagen föreskrivs om en statistikmyndighets skyldighet att samråda med uppgiftslämnarna eller företrädarna för uppgiftslämnarna om vilka uppgifter som ska samlas in med stöd av uppgiftsskyldigheten, vilka tidsfrister och förfaringssätt som ska tillämpas vid insamlingen samt om återrapportering. I 7 § föreskrivs om en statistikmyndighets rätt att besluta vilka uppgifter som ska samlas in samt vilka förfaringssätt och tidsfrister som ska iakttas vid insamlingen. I fråga om sakinnehållet tas bestämmelser som huvudsakligen motsvarar 6 och 7 § i statistiklagen in i 5 c och 5 d § i lagen om Institutet för hälsa och välfärd och de ska gälla uppgiftsinsamlingar enligt 5 §. 
Enligt 1 mom. är en registeransvarig vars registeruppgifter omfattas av den rätt till uppgifter som Institutet för hälsa och välfärd har enligt 5 § 1 mom. skyldig att ge institutet de uppgifter som avses i 5 § i enlighet med institutets beslut. De uppgifter som ska lämnas, leveranstiden och leveransformen preciseras i ett beslut från institutet. 
I 2 mom. föreskrivs att Institutet för hälsa och välfärd beslutar vilka nya uppgiftsinsamlingar som ska genomföras på basis av den skyldighet att lämna uppgifter som avses i 1 mom. samt om utvidgning av uppgiftsinsamlingar, vilka tidsfrister och förfaranden som ska iakttas när uppgifterna lämnas samt om återrapportering till uppgiftslämnarna. När institutet med stöd av denna lag inleder en uppgiftsinsamling som är ny till datainnehåll och omfattning ska det fatta beslut om vilka uppgifter som ska samlas in, vilka tidsfrister som iakttas vid utlämnandet, på vilket sätt uppgifterna ska lämnas samt om återrapporteringen. I fortsättningen skulle det vara ändamålsenligt att uppgiftsinsamlingar utvidgas i synnerhet inom socialvården, och då fattas ett separat beslut om en ny skyldighet att lämna uppgifter. Uppgiftsinsamlingen kan givetvis inte utvidgas utanför rätten till information enligt 5 §. 
Enligt 3 mom. begärs omprövning av institutets beslut enligt 2 mom. hos Institutet för hälsa och välfärd i den ordning som anges i förvaltningslagen (434/2003). Vidare ska dataombudsmannen ha rätt att begära omprövning och söka ändring i beslutet. Dataombudsmannens rätt att söka ändring skyddar den registrerades rättigheter och friheter och fungerar således som en skyddsåtgärd enligt dataskyddsförordningen.  
Ändring i ett beslut om begäran om omprövning söks i enlighet med förvaltningsprocesslagen (568/1996) hos förvaltningsdomstolen och i förvaltningsdomstolens beslut med besvärstillstånd hos högsta förvaltningsdomstolen. Beslutet kan verkställas omedelbart, om inte besvärsmyndigheten förbjuder verkställigheten. Överklagande hindrar inte att beslutet verkställs, om inte besvärsmyndigheten uttryckligen förbjuder det. Institutets beslut om uppgiftsinsamling ska gälla tills vidare. 
5 d §.Samrådsskyldighet och bedömning av behovet av information. I paragrafen föreskrivs om samråd som ska föras innan en ny uppgiftsinsamling görs. Innan Institutet för hälsa och välfärd fattar ett beslut enligt 5 c § 2 mom. om skyldighet att lämna uppgifter, ska det samråda med organisationer eller sammanslutningar som företräder de uppgiftslämnare som avses i 5 § 1 mom. samt vid behov höra Dataombudsmannen om insamlingen av uppgifter. Den part som företräder uppgiftslämnare vid samråd kan t.ex. vara Kommunförbundet eller någon annan motsvarande organisation som företräder uppgiftslämnarna. 
Av 2 mom. framgår vilka frågor som åtminstone ska tas upp vid samrådet. Vid samråd bedöms behovet av de uppgifter som ska samlas in, innehållet och förändringar i dem samt bevaringstiden för uppgifterna och sättet att samla in dem samt behovet av identifieringsuppgifter. 
I 3 mom. föreskrivs att samråd och hörande enligt 1 mom. ska ordnas i så god tid att synpunkterna hos de instanser som företräder uppgiftslämnarna och dataombudsmannen kan beaktas. Samråd ska ordnas också om en aktör som företräder uppgiftslämnarna begär det. 
5 e §.Rätt att få och att hantera prover. I 5 § 3 mom. i den gällande lagen om Institutet för hälsa och välfärd föreskrivs att Institutet för fullgörande av forsknings- och utredningsuppgifter enligt 2 § eller någon annan lag får samla in och behandla personuppgifter och blod- och vävnadsprov. Den gällande bestämmelsen blir ny 5 e § och preciseras.  
I motiveringen till regeringens proposition med förslag till lagen om Institutet för hälsa och välfärd (RP 124/2008 rd) konstateras i fråga om insamling av blod- och vävnadsprov att enligt 10 § i grundlagen utfärdas bestämmelser om skydd för personuppgifter genom lag. Bestämmelser om behandling eller utlämnande av personuppgifter och prov som tagits på människor finns förutom i personuppgiftslagen och lagen om offentlighet i myndigheternas verksamhet också i lagen om medicinsk forskning (488/1999) och i lagen om användning av mänskliga organ, vävnader och celler för medicinska ändamål (101/2001). Dessutom gäller att vid behandlingen av uppgifter och prov ska hänsyn tas till speciallagstiftningen om de berörda instanserna, arkiveringslagstiftningen och ibland också statistiklagen.  
Av ovan nämnda motivering till regeringens proposition framgår också att det föreskrivs om grunden för behandlingen av biologiska prov delvis därför att det inte har funnits någon biobankslag som skulle reglera behandlingen av prov. Dessa blod- och vävnadsprov överfördes till Institutet för hälsa och välfärd från Folkhälsoinstitutet, när Stakes och Folkhälsoinstitutet slogs ihop och blev Institutet för hälsa och välfärd. Enligt den 1 a § som upphävdes i folkhälsolagen (327/1981) i och med lagen om Institutet för hälsa och välfärd fick Folkhälsoinstitutet samla in och behandla blod- och vävnadsprov för vetenskaplig forskning som gällde befolkningens hälsa och för att följa upp och övervaka befolkningens hälsa. Likaså hade Folkhälsoinstitutet rätt att förvara och använda prov som samlats in i samband med screeningundersökningar under graviditet för forskning. 
En del av Institutet för hälsa och välfärds prov har överförts till en biobank sedan biobankslagen trädde i kraft. Alla prov har dock inte varit lämpade att överföra till en biobank, men de måste fortfarande behandlas i Institutets andra uppgifter. Dessutom överfördes rättsmedicinska uppgifter till Institutet för hälsa och välfärd och på grund av dem samlar Institutet för hälsa och välfärd fortfarande in blodprov. Till institutet för hälsa och välfärd har överförts gamla prov bland annat från Folkpensionsanstalten. De äldsta proven samlades in på 1960-talet. 
En del av proven har med den registrerades samtycke samlats in för Institutet för hälsa och välfärds forskningsverksamhet. Bland annat därför att ett samtycke som getts i tiden inte längre uppfyller villkoren för samtycke i lagstiftning som gäller behandling av personuppgifter, har bestämmelser om grunden för behandlingen av prov utfärdats genom lag.  
Därför har det ansetts motiverat att förvara den gällande bestämmelsen i lag. Institutet för hälsa och välfärds rätt att behandla uppgifter har dock begränsats till vad som är nödvändigt för att institutet ska kunna sköta sina uppgifter. 
I och med den lagstadgade verksamheten får Institutet för hälsa och välfärd in forskningsprov i anknytning till befolkningens hälsa för analys, bl.a. för fastställande av faderskap, dödsorsak och rattfylleri etc. samt vid uppföljningen av pandemier. I dessa fall innehåller andra lagar bestämmelser om användningen och förvaringen av prov (såsom faderskapslagen, lagen om smittsamma sjukdomar). 
En del av provsamlingarna vid Institutet för hälsa och välfärd har överförts till en biobank i enlighet med biobankslagen. I anknytning till detta förtydligas i 2 mom. Institutet för hälsa och välfärds behörighet vid överföringen av prov så att det uttryckligen föreskrivs om att prov som institutet innehar kan överföras till en biobank. 
I 3 mom. ingår bestämmelser om bevaringstiden för prov.På förvaring av prov tillämpas 5 b §. I enlighet med 5 b § får Institutet för hälsa och välfärd bevara proven så länge det är nödvändigt för fullgörandet av sådana uppgifter där de behandlas, om det inte föreskrivs något annat om bevaring av uppgifter i någon annan lag som gäller institutet. Efter detta ska uppgifterna förstöras inom ett år, om inte Arkivverket med stöd av arkivlagen (831/1994) bestämmer att uppgifterna ska förvaras varaktigt.  
De känsliga uppgifter som avses i artikel 9.1 i dataskyddsförordningen ska dock utplånas ur registret så snart det inte längre finns någon grund enligt 1 mom. för behandling. Grunden och behovet av behandling ska bedömas minst vart femte år, om inte något annat följer av lag. Detta gäller även prov. 
5 f §. Överföring av betydelsefullt forskningsmaterial till Institutet för hälsa och välfärd. I den gällande lagen om Institutet för hälsa och välfärd flyttas 5 § 4 mom. och blir en ny 5 f §. Det föreslås att 1 mom. ändras så att material kan användas även i annan än Institutet för hälsa och välfärds egen forskningsverksamhet. Enligt den gällande bestämmelsen kan materialet nämligen användas endast i Institutet för hälsa och välfärds forskningsverksamhet. I övrigt föreslås inga ändringar i paragrafens innehåll.  
Förutsättningen för överföring av material är att den etiska kommittéen har gett ett positivt utlåtande om det. Bestämmelsen i 2 mom. är en skyddsåtgärd enligt dataskyddsförordningen som tryggar den registrerades rättigheter.  
5 g §.Rätt för Institutet för hälsa och välfärd att få uppgifter för att utföra sinnesundersökningar. I den gällande lagen om Institutet för hälsa och välfärd flyttas 5 § 5 och 6 mom. och blir en ny 5 g §. Bestämmelsen gäller rätten till information för Institutet för hälsa och välfärd och den rättspsykiatriska nämnd som verkar i anslutning till institutet. Enligt bestämmelsen har Institutet för hälsa och välfärd och den som på förordnande av Institutet för hälsa och välfärd med stöd av mentalvårdslagen (1116/1990) utför sinnesundersökningar rätt att få nödvändiga uppgifter för utförandet av sinnesundersökning av de instanser som räknas upp i paragrafen. Enligt den tidigare ordalydelsen hade Institutet för hälsa och välfärd rätt att få uppgifter som behövs för uppgiften och kunde bevilja anstalter tillstånd att avgiftsfritt få motsvarande uppgifter som institutet hade rätt till. Paragrafen preciseras så att den uppfyller kraven i grundlagen och dataskyddsförordningen. Bestämmelser om uppgifter i anknytning till sinnesundersökningar som görs av Institutet för hälsa och välfärd finns förutom i lagen om Institutet för hälsa och välfärd dessutom i synnerhet i 16 § i mentalvårdslagen.  
I paragrafen föreskrivs dessutom att nämnden för rättspsykiatriska ärenden har rätt att få motsvarande information för fullgörande av uppgifter enligt 3 a § 2 mom. Nämnden för rättspsykiatriska ärenden behandlar och avgör utlåtandeärenden som avses i 17 kap. 37 § i rättegångsbalken och som gäller en persons sinnestillstånd eller farlighet, ärenden som gäller bestämmande om vård på psykiatriskt sjukhus eller på anstalt för specialomsorger för en åtalad eller misstänkt eller en person som på grund av sitt sinnestillstånd inte har dömts till straff samt ärenden som gäller avslutande av denna vård. Rätten att få information är nödvändig för att dessa utlåtandeärenden ska kunna behandlas och avgöras.  
5 h §. Behandling av uppgifter som statistikmyndighet. Institutet för hälsa och välfärd är enligt den föreslagna 2 § 4 c punkten sådan statistikmyndighet som avses i 2 § 2 mom. i statistiklagen. I paragrafen skapas samma möjlighet för Institutet för hälsa och välfärd som i Stakes statistiklag att samla in uppgifter i rollen som statistikmyndighet.  
Paragrafens 1 mom. motsvarar i stor utsträckning skyldigheten att lämna uppgifter enligt 2 § 1 mom. i lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården (Stakes statistiklag), som föreslås bli upphävd. De uppgifter som avses i momentet ska kunna fås utan identifieringsuppgifter uttryckligen för Institutet för hälsa och välfärds uppgifter som statistikmyndighet.  
Som ett exempel på uppgiftsinsamlingar uteslutande för statistikmyndighetsuppgifter som Institutet för hälsa och välfärd nu gör kan nämnas uppgiftsinsamlingar för fertilitetsbehandlingar, missbrukarvård, rådgivning i uppfostrings- och familjefrågor, underhåll för barn eller vårdnad om barn, medling i brott- och tvistemål, skyddshemstjänster samt uppgiftsinsamlingar som gäller privata social- och hälsovårdstjänster. Statistik har under årens lopp även kommit in för produktion till Institutet för hälsa och välfärd från andra organisationer, såsom Statistikcentralen, Fimea, undervisnings- och kulturministeriet och Alko Ab. Beslut om statistik som ingår i Institutet för hälsa och välfärds statistikserie uppkommer i samarbete mellan den statistikproducerande enheten, enheten för statistik och register samt publikationskommittén för statistikprodukter vid Institutet för hälsa och välfärd. Statistik samlas in både på grund av skyldigheten att lämna ut uppgifter och baserat på frivillighet. 
I 2 mom. föreskrivs att statistiklagen tillämpas på sekretess för uppgifter som samlats in för skötseln av statistikmyndighetsuppgifter. Uppgifter som samlats in enbart för skötseln av statistikmyndighetsuppgifter lämnas ut på det sätt som föreskrivs i 13 § i statistiklagen. Vid uppgiftsinsamling iakttas dessutom statistiklagen och därmed t.ex. bestämmelserna om uppgiftsinsamling i 2 kap. i lagen. 
Enligt 2 § 2 och 3 mom. i Stakes statistiklag har Institutet för hälsa och välfärd dessutom rätt att få vissa datamaterial tillsammans med personbeteckningar för framställande av statistik. Uppgifterna har samlats in tillsammans med personbeteckningar när det har varit nödvändigt för framställandet av statistik.Det kommer inte längre att finnas behov av sådana uppgiftsinsamlingar, eftersom Institutet för hälsa och välfärd med stöd av 3 mom. och 4 § i statistiklagen även på andra grunder kan producera statistik utifrån insamlade material, bland annat sådana som avses i 5 §. De uppgifter som anges i 5 § samlas in för Institutet för hälsa och välfärds andra lagstadgade uppgifter, i synnerhet uppgifter med anknytning till forskning och uppföljning av befolkningens hälsa och välfärd och av social- och hälsovården.  
Institutet för hälsa och välfärd kan vid behov utifrån de uppgifter som avses i 5 § framställa statistik, eftersom man enligt 4 § i statistiklagen när uppgifter samlas in för framställning av statistik i första hand ska utnyttja uppgifter som inkommit vid skötseln av åligganden inom den offentliga förvaltningen samt uppgifter som uppkommit till följd av näringsidkares, yrkesutövares, sammanslutningars och stiftelsers sedvanliga verksamhet. Uppgifterna ska samlas in på ett ekonomiskt sätt och så att uppgiftslämnarna orsakas så liten olägenhet och så små kostnader som möjligt. Användningen av dessa informationskällor stöds också av artikel 24 i EU:s statistikförordning, enligt vilken nationella statistikbyråer och andra nationella myndigheter för att minska bördan för de svarande har rätt att få använda administrativa informationskällor inom sin offentliga förvaltning i den utsträckning som detta är nödvändigt för att utveckla, framställa och sprida europeisk statistik. Separata uppgiftsinsamlingar ur material som Institutet för hälsa och välfärd redan förfogar över bör därför inte göras. När Institutet för hälsa och välfärd producerar statistiskt material utifrån dessa, omfattas det material som sammanställts för ett statistiskt ändamål av statistiklagen. 
5 i §.Kvalitetsregister. Med kvalitetsregister avses enligt 1 mom. ett register vars uppgifter används för utvärdering av behandlingen av en viss sjukdom eller en viss behandlingsmetod eller för utvärdering av socialservice. I registret lagras nödvändiga personuppgifter i anknytning till sjukdomen och behandlingsmetoden eller tillhandahållandet av socialservice. I registret får dessutom lagras uppgifter om vilken verksamhetsenhet som svarat för behandlingen eller servicen och vilka personer som gett behandlingen eller servicen för att dess kvalitet ska kunna utvärderas. 
Kvalitetsregister överförs på Institutet för hälsa och välfärds registeransvar genom den föreslagna övergångsbestämmelsen. Bestämmelsen ska gälla kvalitetsregister som redan finns när lagen stiftas och vars registeransvariga för närvarande är till exempel privata organisationer. Karakteristiskt för kvalitetsregister som förs av organisationer är att en instans sammanställer personuppgifter som samlats in i flera registeransvarigas verksamhet. Vanligtvis är det de verksamhetsenheter inom den offentliga hälso- och sjukvården som producerar specialiserad sjukvård som lämnar uppgifter till kvalitetsregistren. På så sätt kommer en myndighets uppgifter i dessa fall in i privata register, och användningstillstånd för dem har också i vissa fall beviljats av privata registeransvariga.  
I dessa kvalitetsregister har uppgifter i allmänhet samlats in med patienternas samtycke. Detta samtycke uppfyller antagligen åtminstone inte till alla delar kriterierna i dataskyddsförordningen för samtycke i fråga om känsliga personuppgifter. Kriterier finns bland annat i artiklarna 6, 7 och 9 och i skälen 32—33 och 42—43 i ingressen.  
I dataskyddsförordningen konstateras bland annat att samtycke bör vara en den registrerades frivilliga, specifika, medvetna och entydiga viljeförklaring om att han eller hon godkänner behandling av personuppgifter som rör honom eller henne. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften. För att samtycket ska vara medvetet bör den registrerade känna till åtminstone den registeransvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Samtycket bör inte utgöra en giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den registeransvarige. Detta gäller särskilt om den registeransvarige är en myndighet och det därför är osannolikt att samtyckte har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. 
De äldsta kvalitetsregistren började sammanställas redan på 1950-talet. Åtminstone då man började föra de register som har förts under en längre tid kände man inte ens till de möjligheter som automatisk databehandling och artificiell intelligens för med sig. De registrerade har därför inte kunnat informeras om alla de användningsändamål för vilka registren i dag kan användas. Sannolikt har inte samtliga registrerade heller informerats om sin rätt enligt personuppgiftslagen att granska sina uppgifter och kräva att felaktiga uppgifter korrigeras eller stryks. Dataskyddsförordningen, liksom också den gällande personuppgiftslagen, kräver att användningsändamålen definieras redan innan personuppgifterna sparas och att den registrerade informeras om användningsändamålen och om sina rättigheter. 
I 2 mom. föreskrivs att Institutet för hälsa och välfärd får använda kvalitetsregister som överförts till institutet för användningsändamål enligt lagen om sekundär användning av personuppgifter inom social- och hälsovården. Om utomstående vill använda dessa uppgifter för motsvarande ändamål, beviljas tillstånd för det, liksom för andra registeruppgifter vid Institutet för hälsa och välfärd, av Tillståndsmyndigheten för social- och hälsovårdsuppgifter. 
Genom förordning av social- och hälsovårdsministeriet föreskrivs enligt 3 mom. vilka kvalitetsregister som Institutet för hälsa och välfärd är registeransvarig för. Institutet för hälsa och välfärd meddelar föreskrifter om deras datastrukturer och datainnehåll.  
1.3
Läkemedelslagen
Genom lagen upphävs 30 e § 4 mom. i läkemedelslagen (395/1987), sådant det lyder i lag 330/2013. Bestämmelser om sådana uppgifter och sådan behandling av uppgifter som det föreskrivs om i bestämmelsen kommer i fortsättningen att finnas i den föreslagna lagen om sekundär användning av personuppgifter inom social- och hälsovården. Genom lagen upphävs dessutom 30 e § 6 mom., sådant det lyder i lag 330/2013. Genom ändringen stryks hänvisningen till lagen om riksomfattande personregister för hälsovården, som upphävs genom propositionen. 
1.4
Lagen om upphävande av 18 § 5 mom. i lagen om klientens ställning och rättigheter inom socialvården
Genom lagen upphävs 18 § 5 mom. i lagen om klientens ställning och rättigheter inom socialvården (812/2000), sådant det lyder i lag 795/2010. Bestämmelser om sådana uppgifter och sådan behandling av uppgifter som det föreskrivs om i bestämmelsen kommer i fortsättningen att finnas i den föreslagna lagen om sekundär användning av personuppgifter inom social- och hälsovården. 
1.5
Lagen om upphävande av 13 § 5 mom. i lagen om patientens ställning och rättigheter
Genom denna lag upphävs 13 § 5 mom. i lagen om patientens ställning och rättigheter, sådant det lyder i lag 795/2010. Bestämmelser om sådana uppgifter och sådan behandling av uppgifter som det föreskrivs om i bestämmelsen kommer i fortsättningen att finnas i den föreslagna lagen om sekundär användning av personuppgifter inom social- och hälsovården. 
1.6
Lagen om elektroniska recept
Genom lagen ändras i lagen om elektroniska recept (61/2007) 15 § 4 mom., sådant det lyder i lag 251/2014. Enligt bestämmelsen ska Tillståndsmyndigheten för social- och hälsvårdsuppgifter i fortsättningen ha rätt att behandla och lämna ut uppgifter ur receptcentret och receptarkivet i enlighet med lagen om sekundär användning av personuppgifter inom social- och hälsovården (/). Folkpensionsanstalten ska vidare ha rätt att utan tillstånd från tillståndsmyndigheten använda uppgifterna i receptcentret och receptarkivet i sin egen vetenskapliga forskning. 
Vidare ändras 15 § 5 mom., sådant det lyder i lag 61/2007. Folkpensionsanstalten ska i fortsättningen få upprätta och lämna ut sammanställningar över uppgifter i receptcentret och receptarkivet för utvecklande av sin verksamhet och sina tjänster. Enligt den gällande lagen får Folkpensionsanstalten upprätta och överlåta sammanställningar över sådana uppgifter i receptcentret och receptarkivet som kan vara av betydelse för utredning av läkemedelssäkerheten samt nyttan av och kostnaderna för läkemedelsbehandlingar. 
1.7
Lagen om upphävande av 10 § 3 mom. i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården
Genom lagen upphävs 10 § 3 mom. i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007). I fortsättningen föreskrivs i lagen om Institutet för hälsa och välfärd om utlämnande av uppgifter enligt bestämmelsen.  
1.8
Lagen om upphävande av 15 § 3 mom. i lagen om utredande av dödsorsak
Genom lagen upphävs 15 § 3 mom. i lagen om utredande av dödsorsak (459/1973) 15 § 3 mom., sådant det lyder i lag 684/1999. I fortsättningen föreskrivs i lagen om sekundär användning av personuppgifter inom social- och hälsovården om utlämnande av uppgifter enligt bestämmelsen. 
1.9
Lagen om upphävande av 42 § i lagen om smittsamma sjukdomar
Genom lagen upphävs 42 § i lagen om smittsamma sjukdomar (1227/2016). I fortsättningen föreskrivs i lagen om sekundär användning av personuppgifter inom social- och hälsovården om utlämnande av uppgifter enligt bestämmelsen. 
1.10
Lagen om upphävande av lagen om riksomfattande personregister för hälsovården
Genom lagen upphävs lagen om riksomfattande personregister för hälsovården. Samtidigt upphävs förordningen om riksomfattande personregister för hälsovården som utfärdats med stöd av lagen om upphävande av lagen om riksomfattande personregister för hälsovården. I fortsättningen kommer sådana uppgifter och sådan behandling av uppgifter som det föreskrivs om i dem att regleras i de nya bestämmelser som föreslås i lagen om sekundär användning av personuppgifter inom social- och hälsovården. I lagen om riksomfattande personregister för hälsovården och i den förordning som utfärdats med stöd av den finns också bestämmelser om Fimeas narkotikatillsynsregister och register över läkemedelsbiverkningar. Eftersom det finns heltäckande bestämmelser om dem i annan lagstiftning, behövs inga ändringar i fråga om dem, trots att lagen om riksomfattande personregister för hälsovården upphävs. 
1.11
Lagen om upphävande av lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården
Genom lagen upphävs lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården (409/2001). Bestämmelser om sådana uppgifter och sådan behandling av uppgifter som det föreskrivs om i bestämmelsen kommer i fortsättningen att finnas i den föreslagna lagen om sekundär användning av personuppgifter inom social- och hälsovården. 
2
Ikraftträdande
Lagarna föreslå träda i kraft den 1 januari 2018. Lagen om upphävande av 13 § 5 mom. i lagen om patientens ställning och rättigheter, lagen om upphävande av 18 § 5 mom. i lagen om klientens ställning och rättigheter inom socialvården och lagen om ändring av 15 § 4 mom. i lagen om elektroniska recept föreslås dock träda i kraft den 1 september 2018 samtidigt som tillståndsmyndigheten börjar bevilja användningstillstånd.  
För vissa skyldigheter enligt bestämmelserna i den föreslagna lagen om sekundär användning av personuppgifter inom social- och hälsovården gäller dessutom en övergångsperiod. En mera ingående beskrivning av övergångsbestämmelserna finns i detaljmotiveringen till 59 § som gäller ikraftträdandet av lagen om sekundär användning av personuppgifter inom social- och hälsovården. 
I lagen om Institutet för hälsa och välfärd finns också en övergångsperiod för kvalitetsregister. Övergångsperioden behövs för att kvalitetsregistren ska kunna överföras på Institutet för hälsa och välfärds registeransvar. Enligt bestämmelsen ska registeransvaret för kvalitetsregister vars registeransvariga inte är en myndighet eller en verksamhetsenhet inom social- och hälsovården överföras till en myndighet, dvs. Institutet för hälsa och välfärd innan dataskyddsförordningen börjar tillämpas nationellt den 25 maj 2018.  
Registren innehåller information som är betydande med avseende på skyddet för individens personuppgifter. Till de delar personuppgifter har samlats in i dessa register med individens samtycke har deras användningsändamål i allmänhet inte kunnat specificeras tillräckligt.Delvis har uppgifter också samlats in ur lagstadgade register. Med beaktande av uppgifternas kvalitet och syftet med behandlingen är det befogat att den registeransvarige för personuppgifter i fortsättningen ska vara en myndighet.  
För att kvalitetsregistren ska kunna överföras till Institutet för hälsa och välfärd innan dataskyddsförordningen börjar tillämpas ska registeransvariga senast den 30 mars 2018 anmäla sina register till social- och hälsovårdsministeriet. Med stöd av informationen bedömer social- och hälsovårdsministeriet vilka register som bör överföras på Institutet för hälsa och välfärds registeransvar och utarbetar utifrån dem en förordning. Förutsättningen är att materialet är betydelsefullt med avseende på befolkningens välfärd eller hälsa och vårdens kvalitet. Vid bedömningen ska även avgöras hur materialet ytterligare kommer att behandlas i förhållande till personuppgiftslagen och dataskyddsförordningen. Denna bedömning ska också göras för sådana material som inte duger som kvalitetsregister. Då ska det bland annat beaktas om materialet kan arkiveras eller om det måste förstöras. Även en myndighet och en verksamhetsenhet inom social- och hälsovården kan, efter eget val, föreslå att registeransvaret för dess kvalitetsregister överförs på Institutet för hälsa och välfärd. 
Någon annan aktör än en myndighet kan vidare vara registerförare för dessa kvalitetsregister enligt vad som förerkivs om personuppgiftsbiträden i dataskyddsförordningen. Ett motsvarande arrangemang finns redan t.ex. i Institutet för hälsa och välfärds synskaderegister, som tekniskt förs av Synskadades Centralförbund rf, samt i cancerregistret, som tekniskt förs av Cancerföreningen i Finland rf. 
Till exempel i Finlands njursjukdomsregister samlas in nationellt heltäckande, väsentlig information om dialys- och njurtransplantationspatienter. Registeruppgifterna används till epidemiologisk uppföljning av njursjukdomar, uppföljning av kvaliteten på vården för dialys- och njurtransplantationspatienter, planering av de resurser som behövs för vården och till forskningsarbete. Registret förs av Njur- och leverförbundet rf och har sedan början av 1990-talet fått sin finansiering från staten, under de senaste åren från Institutet för hälsa och välfärd. Registeruppgifter har samlats in sedan 1964.  
Likaså samlar Finlands patientsäkerhetsförening rf in uppgifter om farliga situationer inom hälso- och sjukvården i rapporteringssystemet HaiPro. Den beviljar själv användningstillstånd till systemet för forskning. HaiPro-materialet består av uppgifter om farliga situationer hos organisationer som använder HaiPro inom den offentliga och privata sektorn i den finländska social- och hälsovården. Materialet är registerbaserat och har samlats in sedan 2007. De organisationer som har gett tillstånd till att de uppgifter som de rapporterat till HaiPro får användas för forskning är med i det sammanslagna HaiPro-materialet. I systemet registreras inte uppgifter på personnivå. Individer kan dock indirekt identifieras bland uppgifterna om farliga situationer, t.ex. om det är fråga om en sällsynt händelse. Således måste det anses befogat att överföra materialet till Institutet för hälsa och välfärd och att det i fortsättningen ska vara en myndighet som beviljar tillstånd för materialet. 
En privat verksamhetsenhet inom social- och hälsovården kan dock vara registeransvarig. Detta är befogat, eftersom det är fråga om uppgifter som registerats i dess egna register i samband med vården av en patient, och den således inte samlar in uppgifter från andra registeransvariga. Vidare övervakas verksamhetsenheternas verksamhet och det finns noggranna bestämmelser om dess ändamålsenlighet. Privata verksamhetsenheter kan inte själva bevilja användningstillstånd för kvalitetsregister, utan de ska alltid beviljas av Tillståndsmyndigheten för social- och hälsovårdsuppgifter. 
3
Förhållande till grundlagen samt lagstiftningsordning
Riksomfattande statistikmyndighet för social- och hälsovården är enligt statistiklagen (280/2004) Institutet för hälsa och välfärd. Institutet för hälsa och välfärd samlar dessutom in kunduppgifter från den offentliga och privata social- och hälsovården till de riksomfattande registren inom social- och hälsovården. Insamlingen av uppgifter baserar sig på lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården, (409/2001, s.k. Stakes statistiklag,) och lagen (555/1989) och förordningen (774/1989) om riksomfattande personregister för hälsovården. 
Nämnda författningar har visat sig vara föråldrade och otillräckliga. I synnerhet utvecklingen av socialvårdsverksamheten och samarbetet inom social- och hälsovården samt planering, styrning, tillsyn och forskning vad gäller dem kräver en betydlig mer omfattande behandling av personuppgifter än nu. Den gällande lagstiftningen möjliggör inte det. 
I Institutet för hälsa och välfärds s.k. vårdanmälningsregister samlas in känsliga patientuppgifter tillsammans med personbeteckningar med stöd av den förordning som utfärdats med stöd av lagen. Enligt ett beslut av statsrådets biträdande justitiekansler den 10 februari 2014 (Dnr OKV/628/1/2012) uppfyller bestämmelserna som gäller Institutet för hälsa och välfärds vårdanmälningsregister inte de krav som enligt 10 § 1 mom. i den gällande grundlagen ställs på typ av författning, bestämmelsernas omfattning och detaljnivå i fråga om personregister. 
Bestämmelser om vårdanmälningsregistret finns i lagen om riksomfattande personregister för hälsovården som trädde i kraft 1989, men närmare bestämmelser om detaljer utfärdas genom förordning. Enligt förordningen är vårdanmälningsregistret ett sådant personregister som avses i lagen och som innehåller patientens personuppgifter samt uppgifter som gäller en verksamhetsenhet inom hälso- och sjukvården, grunden för kundrelationen, ordnande av vården och den fortsatta vården, uppgifter om diagnoser och vårdåtgärder samt avgifter som patienten, kommunen eller någon annan part betalat för vårdperioden. Riksdagens andra lagutskott ansåg i sitt betänkande om regeringens proposition med förslag till nämnda lag (II LaUB 3/1989 rd) att dessa personregister innehåller uppgifter som ska betraktas som särskilt känsliga och som är så betydande att det är motiverat att föreskriva om dem genom lag.  
Allmän lag om behandling av personuppgifter när bestämmelserna om vårdanmälningsregistret utfärdades var den personregisterlag (471/1987) som hade trätt i kraft den 1 januari 1988. Den upphävdes genom den personuppgiftslag (523/1999) som trädde i kraft den 1 juni 1999. Förvaltningsutskottet har i sitt betänkande (FvUB 26/1998 rd) framhållit att den nya personuppgiftslagen är en allmän lag om behandling av personuppgifter och att den måste följas i all behandling av personuppgifter. Dessutom konstateras i betänkandet att lagen dock inte kommer att reglera eller lösa alla enskilda frågor som kommer upp inom olika områden i anknytning till behandlingen av personuppgifter. Därför behövs det också speciallagstiftning för olika sektorer. Förvaltningsutskottet hänvisar också till utlåtandet GrUU 14/1998 rd och konstaterar att lagen åtminstone måste innehålla de saker som grundlagsutskottet nämner i utlåtandet. Vidare konstateras att kompletterande och mer exakta bestämmelser om vilka uppgifter som får registreras kan utfärdas genom förordning. Det viktiga är att lagtexten tillräckligt klart anger vad som får regleras genom förordning. 
3.1
Skydd för privatlivet och offentlighetsprincipen
Enligt 10 § 1 mom. i grundlagen är vars och ens privatliv, heder och hemfrid tryggade. Närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Bestämmelsen hänvisar till behovet att trygga skyddet för individens privatliv vid behandlingen av personuppgifter, dvs. skyddet för personuppgifter ingår delvis i skyddet för privatlivet. Närmare bestämmelser om skyddet för personuppgifter kan utfärdas genom lag, men samtidigt ska dataskyddet tryggas på ett sätt som kan anses godtagbart med avseende på systemet för de grundläggande fri- och rättigheterna som helhet. 
Riksdagens grundlagsutskott har i sina utlåtanden (GrUU 8/1995 rd, GrUU 26/1996 rd samt GrUU 7, 28 och 29/1997 rd) tagit ställning till skyldigheten enligt 8 § 1 mom. i regeringsformen (nuvarande 10 § 1 mom. i grundlagen) att utfärda bestämmelser genom lag om behandling av personuppgifter. Utskottet har konstaterat att det utifrån bestämmelsen om grundläggande fri- och rättigheter som gäller skydd för personuppgifter är viktigt att åtminstone reglera syftet med registreringen, de registrerade personuppgifternas innehåll, ändamålen för vilka uppgifterna får användas inbegripet uppgifternas tillförlitlighet och deras bevaringstider samt den registrerades rättsskydd. Detsamma gäller i vilken utsträckning dess omständigheter ska regleras och hur ingående på lagnivå. I senare utlåtanden (GrUU 12/2002 rd, 14/2002 rd, 51/2002 rd och 11/2008 rd) har utskottet upprepat sin åsikt och konstaterat att kravet på bestämmelser i lag också gäller möjligheten att lämna ut personuppgifter via en teknisk anslutning.  
Lagstiftning som gäller behandlingen av personuppgifter ska vara heltäckande, exakt och noga avgränsad. Grundlagsutskottet har dessutom i flera utlåtanden noterat vad och vem rätten att få uppgifter gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och möjlighet att lämna ut uppgifter har enligt utskottet kunnat gälla "behövliga uppgifter" för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att ”uppgifterna är nödvändiga” för ett visst syfte (GrUU 10/2014 rd, s 6/II, GrUU 17/2016 rd, s. 2–3, GrUU 38/2016 rd, s. 2).  
Dessutom krävs bestämmelser i lag om möjligheten att kombinera registeruppgifter (GrUU 17/2007 rd och GrUU 30/2005 rd). Grundlagsutskottet har i nyare utlåtandepraxis fastställt att enligt dess uppfattning finns det inget hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet av personuppgifter till vissa delar kan uppfyllas även genom en ändamålsenligt beredd allmän unionsförordning eller genom en allmän nationell lag (GrUU 38/2016 rd).  
Ovan nämnda utlåtande från grundlagsutskottet hänför sig till att bestämmelserna om behandling av personuppgifter befinner sig i ett brytningsskede, eftersom EU:s dataskyddsförordning för med sig ändringar i den gällande lagstiftningen. Således ändras de gällande principerna för behandling av personuppgifter något från och med nästa år. Betydelsefullt är att den allmänna regleringen för behandling av personuppgifter i fortsättningen följer direkt av dataskyddsförordningen. Grundlagsutskottet har konstaterat att det för utredningsarbetets del i den arbetsgrupp som justitieministeriet tillsatt för att utreda ändringar i lagstiftningen till följd av dataskyddsförordningen (JM 1/41/2016) också är av betydelse hur det grundlagsfästa skyddet för personuppgifter förhåller sig till dataskyddsförordningen (GrUU 38/2016, s. 4).  
Genom den föreslagna lagen preciseras och kompletteras förordningen till de delar det är möjligt och ändamålsenligt inom ramen för det nationella spelrummet. Syftet med propositionen är samtidigt att få den gällande lagstiftningen om sekundär användning av personuppgifter att motsvara dataskyddsförordningen inom social- och hälsovården.  
Under beredningen av förslaget har man noga följt och deltagit i beredningen av EU:s allmänna dataskyddsförordning, samt så noggrant som möjligt beaktat de krav som förordningen, som ska tillämpas från och med den 25 maj 2018, ställer på behandlingen av personuppgifter samt särskilda kategorier av personuppgifter, speciellt hälsouppgifter. Eftersom genomförandet av förordningen såväl på nationell som på internationell nivå just inletts, finns det inga etablerade tolkningslinjer för hur den ska tillämpas.  
Enligt grundlagsutskottets praxis ska den registrerade dessutom ha tillgång till behövliga rättsmedel. Ett rättsmedel kan t.ex. vara rätten att kontrollera uppgifter som gäller en själv. (GrUU 7/1997 rd). 
Enligt 80 § i grundlagen ska bestämmelser om grunderna för individens rättigheter och skyldigheter utfärdas genom lag. Inskränkningar i de grundläggande fri- och rättigheterna ska alltså basera sig på lag, och bestämmelser om inskränkningar i de grundläggande fri- och rättigheterna får inte utfärdas i en författning på lägre nivå. Grundlagsutskottet har tolkat paragrafen så att inskränkningar i de grundläggande fri- och rättigheterna ska vara noga avgränsade och tillräckligt exakt definierade (GrUU 25/1994 rd, s. 8). Det ska också finnas en godtagbar grund för reglering som ingriper i grundläggande fri- och rättigheter och regleringen ska vara proportionerlig (t.ex. GrUU 10/2004 rd). En bedömning av proportionaliteten görs genom en inbördes jämförelse av de bakomliggande intressena till den rätt som garanteras av en grundläggande rättighet och en inskränkning i rätten. 
I den föreslagna nya lagen om sekundär användning av personuppgifter inom social- och hälsovården samlas bestämmelser som gäller användningen av social- och hälsovårdsuppgifter samt välfärdsuppgifter för något annat ändamål än det som personuppgifterna ursprungligen registrerades för. I lagförslaget avgränsas så exakt som möjligt de ändamål för vilka nämnda uppgifter får lämnas ut, liksom de grunder som ska tillämpas när beslut om utlämnande fattas. Bestämmelser om användningsändamål finns speciellt i 37—42 § i lagförslaget. Personuppgifter får lämnas ut för dessa användningsändamål trots sekretessplikten. Behandling av personuppgifter har dessutom i flera punkter bundits vid nödvändighetskriteriet. 
Den registrerades rättigheter följer i princip av dataskyddsförordningen. Av förordningen följer direkt vissa begränsningar i dessa rättigheter. T.ex. i enlighet med artikel 14 i förordningen behöver de uppgifter som förutsätts i artikeln inte lämnas särskilt till den registrerade, när bestämmelser om insamling eller utlämnande av uppgifter utfärdas i en lag som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Rätten till radering gäller däremot enligt artikel 17 bland annat inte när behandlingen görs för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige. Dessutom, när den allmänna lag som justitieministeriet bereder blir färdig kommer den sannolikt att leda till begränsningar åtminstone när personuppgifter behandlas för forskning och statistiska ändamål. 
I 39 § 3 mom. i den föreslagna lagen ingår dessutom en begränsning i rätten enligt artikel 21 i dataskyddsförordningen att göra invändningar mot behandling av personuppgifter, om behandlingen av uppgifter är nödvändig på grund av att fallet i fråga är sällsynt. Syftet med begränsningen är bland annat att säkerställa patientsäkerheten och på så vis skydda de grundläggande fri- och rättigheterna för andra individer.  
Den föreslagna lagen innehåller också en avsevärd mängd tekniska och andra säkerhetsgarantier med vilkas hjälp man kan säkerställa att uppgiftsmottagaren behandlar uppgifter så att den registrerades privatliv skyddas när det på grund av användningsändamålet är nödvändigt att undantagsvis lämna ut de begärda uppgifterna med personbeteckning eller så att den registrerade kan identifieras indirekt. 
Den registrerades rättigheter och friheter skyddas bland annat så att personuppgifter i regel kan behandlas endast med stöd av ett användningstillstånd från en myndighet och tillståndshavaren omfattas av sekretessplikt enligt 53 §. Sekretessplikten är viktig också utifrån offentlighetsprincipen i 12 § 2 mom. i grundlagen. Riksdagen har betonat att bestämmelserna om sekretess för myndigheternas uppgifter borde tas in centraliserat i offentlighetslagen (GrUU 25/2010 rd, s. 3, GrUU 2/2008 rd, s. 2) i stället för i speciallagstiftning. I nämnda paragraf är det fråga om en utvidgning av sekretessbestämmelserna så att de också gäller annan än myndighetsverksamhet. I paragrafen förbjuds dessutom i regel användningen av uppgifter vid beslutsfattande om en enskild person. För att lagstiftningen ska vara enhetlig skulle det vara viktigt att bestämmelserna tas in i den föreslagna lagen, eftersom lagen innehåller bestämmelser om sådana uppgifter som omfattas av sekretessplikten. Syftet med sekretessplikten är att samtidigt trygga skyddet för individers personuppgifter som en grundläggande rättighet. 
Personuppgifter ska anonymiseras eller pseudonymiseras alltid när det är möjligt med tanke på användningsändamålet, och för behandlingen av dem skapas tjänster enligt 3 kap. I tjänsterna ingår en informationssäker driftmiljö. Personuppgifter kan lämnas ut endast till en sådan driftmiljö.  
Den myndighet som beviljat användningstillstånd ska övervaka att tillståndsvillkoren iakttas. Dessutom ska den i enlighet med 52 § rapportera till Dataombudsmannen om behandlingen av uppgifter. 
Utan användningstillstånd kan uppgifter lämnas ut genom ett förfarande enligt 45 §, där uppgifterna anonymiseras. När uppgifterna har anonymiserats är det inte längre fråga om personuppgifter och de kräver därmed inte särskilt skydd. Vid anonymisering ska fästas uppmärksamhet vid den teknik som används för att det inte längre ska vara möjligt att identifiera en registrerad.  
När det gäller jämlik behandling av de registrerade garanterar den föreslagna lagen att tolkningslinjerna och besluten som gäller användning av personuppgifter inom social- och hälsovården samt andra välfärdsuppgifter som omfattas av skyddet för privatlivet blir så enhetliga som möjligt. Det föreslagna centraliserade tillståndsförfarandet garanterar också skyddet för privatlivet så att behandlingen av personuppgifter kan minimeras även när man med stöd av en och samma plan för användning av uppgifter behöver uppgifter med anknytning till hälsa och välfärd från flera olika registeransvariga. 
I propositionen föreslås att lagen om riksomfattande personregister för hälsovården upphävs eftersom den är föråldrad och otillräcklig med tanke på skyddet för privatlivet. Dessutom föreslås att lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården upphävs. 
I stället för dem föreslås att lagen om Institutet för hälsa och välfärd ändras så att lagen så tydligt som möjligt anger institutets uppgifter samt detaljerade grunder med stöd av vilka institutet trots sekretessplikten får samla in och behandla sådana personuppgifter som är nödvändiga för skötseln av institutets uppgifter. Bestämmelser om utlämnande av personuppgifter föreslås i 5, 5 e och 5 f §.  
Av de föreslagna bestämmelserna framgår så exakt som möjligt på lagnivå de uppgifter som omfattas av skyddet för privatlivet samt andra personuppgifter som institutet i egenskap av register- och forskningsmyndighet i branschen har rätt att trots sekretessplikten få för skötseln av sina uppgifter, förfarandena när uppgifterna samlas in samt bestämmelser om uppgifternas bevaringstider och utplånande av dem. 
Både i lagförslaget om sekundär användning av personuppgifter inom social- och hälsovården och i de ändringar som föreslås i lagen om Institutet för hälsa och välfärd föreskrivs om användning av en teknisk anslutning när personuppgifter lämnas ut. I lagen om Institutet för hälsa och välfärd ingår den aktuella bestämmelsen i 5 § 3 mom. I lagen om sekundär användning av personuppgifter inom social- och hälsovården är åter en informationssäker drifttjänst enligt 17 § en sådan anslutning. 
3.2
Utövning av offentlig makt
I 124 § i grundlagen föreskrivs om överföring av förvaltningsuppgifter på andra än myndigheter. Enligt den kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning.  
Enligt motiveringen till 124 § i grundlagen och grundlagsutskottets tolkningspraxis hänvisar ”offentlig förvaltningsuppgift” till en större helhet än ”utövning av offentlig makt”. En offentlig förvaltningsuppgift kan också vara en serviceuppgift som inte nödvändigtvis innebär utövning av offentlig makt eller andelen utövning av offentlig makt kan åtminstone vara obetydlig. 
Enligt 124 § i grundlagen kan en uppgift med betydande offentlig makt endast skötas av en myndighet. Sådan betydande offentlig makt kan bland annat ingå i prövningen av användningstillstånd och andra beslut om utlämnande av uppgifter med stöd av denna lag. Skötseln av en offentlig förvaltningsuppgift är med stöd av paragrafen i regel en myndighetsuppgift och kan endast i begränsad omfattning anförtros andra än myndigheter.  
Av grundlagsutskottets tolkningspraxis framgår att ett arrangemang enligt 124 § i grundlagen, dvs. att anförtro en förvaltningsuppgift åt andra än myndigheter, i synnerhet i situationer som väsentligt inverkar på den rättsliga ställningen för enskilda endast kan vara sådant som kompletterar och bistår myndigheternas verksamhet. Grundlagsutskottet har i sin praxis bland annat utvärderat övervakning av flygtrafiken (GrUU 47/2005 rd), utläggning av förfarandet för utfärdande av pass (GrUU 6/2013 rd), anförtroendet av verksamheten i myndigheternas säkerhetsnät åt statliga bolag (GrUU 8/2014 rd) och anförtroendet av den tekniska bedömningen av järnvägstrafikens överensstämmelse och inspektionsuppgifter åt enskilda juridiska personer (GrUU 16/2002 rd). Det har varit fråga om en verksamhetshelhet som skapar förutsättningar för myndighetsverksamheten, är av teknisk karaktär eller osjälvständig. 
Grundlagsutskottet har i praktiken delat in bedömningen enligt 124 § i tre delar. Indelningen baserar sig på förarbetet till grundlagen. Utskottet har förutsatt att 
det är inte fråga om överföring av betydande offentlig makt,  
uppgiftsöverföringen är ändamålsenlig bland annat med tanke på förvaltningens effektivitet och övriga interna behov inom förvaltningen liksom också enskilda personers och samfunds behov, och  
de grundläggande fri- och rättigheterna, rättsskyddet eller övriga krav på god förvaltning tillgodoses i samband med överföringen. 
I förslaget som gäller sekundär användning av personuppgifter inom social- och hälsovården ingår en tillståndsprocess genom vilken den som begär personuppgifter får tillgång till dem. I 44 § 2 mom. föreslås att tillstånd för en privat aktör alltid ska beviljas av en myndighet. En myndighet beslutar alltså alltid för en privat serviceanordnare inom social- och hälsovården om dess sekretessbelagda personuppgifter får användas för de ändamål som föreskrivs i lag. Vid beredningen av lagförslaget har det ansetts att behörigheten för utlämnande av registeruppgifter inte med stöd av 124 § i grundlagen kan anförtros en privat aktör, utan det bör alltid vara en myndighet som ansvarar för behandlingen av användningstillstånd. Det handlar nämligen om ett beslut med en betydande inverkan på de registrerades rättsliga ställning och innebär stora risker för missbruk. Även i den gällande lagstiftningen har tillståndsbehandling varit på myndigheternas ansvar. Myndighetsansvaret framhävs ytterligare när personuppgifter med stöd av förslaget ska kunna lämnas ut för flera användningsändamål än tidigare. 
I mera begränsad utsträckning än behandlingen av användningstillstånd innefattar de tjänster som avses i 10 § i lagförslaget även utövning av offentlig makt. I paragrafen föreskrivs om tjänster som produceras för sekundär användning av personuppgifter. Tjänsterna är samtidigt en fast del av tillståndsprocessen. Bestämmelser om det ansvar som ingår i tjänsterna finns i 11 §. I 3 mom. i samma paragraf föreslås att en myndighet alltid ska svara för tjänster som är nära förknippade med tillståndsprövning för en privat tillhandahållare av social- och hälsovårdstjänster. Att det är en myndighet som svarar för tjänsterna hänför sig för sin del till det skydd för personuppgifter som tryggas i 10 § i grundlagen, 124 § i grundlagen och ändamålsenlighetsprövning. Eftersom tjänsterna har en nära anknytning till tillståndsprövning, är det ändamålsenligt att koncentrera dem till en myndighet som också kan övervaka och styra skötseln av dem. 
Enligt 9 § i regeringens proposition om sekundär användning av personuppgifter inom social- och hälsovården är det dock vissa tjänster som i samband med behandling av personuppgifter får överföras till ett statsägt bolag. Det är fråga om tjänster av teknisk karaktär som stöder myndigheternas verksamhet och i stor utsträckning utförs under styrning och övervakning av Tillståndsmyndigheten för social- och hälsovårdsuppgifter. Bolaget ska enligt bestämmelsen inte ges uppgifter som gäller utlämnande av uppgifter, utan det är alltid tillståndsmyndigheten eller någon annan myndighet som svarar för användningstillståndsprocessen och utlämnande av anonyma uppgifter. Bolaget svarar inte heller annars för uppgifter i anslutning till tillståndssökande eller begäranden om information. Till ett aktiebolag överförs således inte beslutsfattande som gäller individers eller juridiska personers rättigheter, skyldigheter eller intressen och det utövar således inte betydande offentlig makt. 
Däremot kan till ett bolag med stöd av paragrafen överföras tekniska tjänster i anslutning till behandling av personuppgifter. Således ska aktiebolagets uppgifter bedömas i förhållande till 124 § i grundlagen. Ändamålsenligheten i uppgiftsöverföringen har därför bedömts i motiveringen till 9 §. Eftersom det inte är beslutanderätt som ska överföras till ett bolag, utan skyldigheter i anslutning till produktion av tjänster, är tröskeln för överföringen av uppgifter lägre än när beslutanderätt ges (RP 1/1998 rd). 
När grundlagsutskottet har bedömt ändamålsenligheten i överföringen av förvaltningsuppgifter, har det bland annat fäst uppmärksamhet vid om det har skapats en tillräcklig styrnings- och tillsynsmodell för styrningen och övervakningen av förvaltningsuppgiften. Till exempel när det gäller säkerhetsnätet (RP 54/2013 rd) har grundlagsutskottet (GrUU 8/2014 rd, s. 5) förutsatt att ”den modell för tillsyn och styrning som ingår i regleringen, med beaktande av verksamhetens natur, faktiskt och tydligt säkerställer en tillräcklig tillsyn och styrning av tjänsteproducenten” och att ”det bör sörjas för att verksamheten är effektiv och ledningen konsekvent i alla konkreta situationer, särskilt i undantagsförhållanden". 
Ett aktiebolag skulle vara helt ägt och kontrollerat av staten. Ansvarig för ägarstyrningen av bolaget och administreringen av dess aktier skulle vara social- och hälsovårdsministeriet. Förverkligandet av styrningen och tillsynen över bolaget skulle säkerställas genom att bolaget på begäran av social- och hälsovårdsministeriet ska ge ministeriet de uppgifter som behövs för att styra och övervaka bolaget. 
De som arbetar i aktiebolaget och ledamöterna i dess styrelse omfattas av sekretessplikten enligt 53 §. På bolagets handlingar tillämpas åter bestämmelserna om myndighetens handlingar i offentlighetslagen, vilket ökar öppenheten och insynen i bolagets verksamhet och individernas rätt att få uppgifter om aktiebolagets verksamhet. 
I 118 § 3 mom. i grundlagen föreskrivs det om straffrättsligt och skadeståndsrättsligt ansvar vid skötseln av offentliga uppdrag. Enligt bestämmelsen har var och en som har lidit rättskränkning eller skada till följd av en lagstridig åtgärd eller försummelse av en tjänsteman eller någon som sköter ett offentligt uppdrag, enligt vad som bestäms genom lag, rätt att yrka att denne döms till straff samt kräva skadestånd av det offentliga samfundet eller av tjänstemannen eller den som sköter det offentliga uppdraget. Individens rätt beror inte på om uppgiften skötts av en tjänsteman eller av någon annan som har anförtrotts den offentliga uppgiften.  
I 9 § föreskrivs att på dem som arbetar i aktiebolaget och ledamöterna i dess styrelse tillämpas straffrättsligt tjänsteansvar. I 2 § 3 mom. i grundlagen förutsätts att utövningen av offentlig makt ska bygga på lag och i 118 § föreskrivs om ansvar för ämbetsåtgärder. Grundlagsutskottet har i sitt utlåtande GrUU 8/2014 rd, s. 5 förutsatt bland annat att det på anställda hos det bolag som producerar nät- och infrastrukturtjänster i säkerhetsnätet eller de anställda hos underleverantören ska tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de utför uppgifter som avses i lagen om verksamheten i den offentliga förvaltningens säkerhetsnät (se även GrUU 6/2013 rd).  
En del av aktiebolagets tjänster inbegriper uppgifter i anknytning till behandling av personuppgifter och de måste utvärderas i förhållande till 124 § i grundlagen. Därför måste ändamålsenligheten i uppgiftsöverföringen bedömas. Vid bedömningen av ändamålsenligheten ska enligt förarbetena till grundlagen uppmärksammas dels förvaltningens effektivitet och övriga interna behov, dels enskilda personers och sammanslutningars behov. Eftersom inte beslutanderätt, utan skyldigheter i anknytning till produktion av tjänster ska överföras på bolaget, är tröskeln för överföringen av uppgifter lägre än när beslutanderätt ges. (RP 1/1998 rd). De som arbetar i aktiebolaget och ledamöterna i dess styrelse skulle omfattas av sekretessplikten enligt 53 §.  
En informationssäker driftmiljö enligt 20 § kan också inrättas av en annan än en myndighet, även av en privaträttslig juridisk person. I driftmiljöer behandlas personuppgifter. Bestämmelsen ska också bedömas enligt 10 § i grundlagen och även enligt 124 § i grundlagen. 
Den informationssäkra driftmiljö som drivs av Tillståndsmyndigheten för social- och hälsovårdsuppgifter bör alltid vara den primära plats där personuppgifter utlämnas. Tillståndsmyndighetens driftmiljö möjliggör dock inte nödvändigtvis alltid behandling av uppgifter för tillståndshavarens behov, eftersom uppgifter kan behandlas på så många olika sätt. För olika användningsändamål kan behövas olika verktyg som tillståndsmyndigheten inte alltid kan tillhandahålla tillståndshavaren. Till exempel vetenskaplig forskning kan utföras med många olika metoder och där kan behövas olika typer av analysverktyg. Tillståndsmyndighetens driftmiljö möjliggör därför inte alltid i praktiken behandling av uppgifter för det i sig sakliga användningsändamål för personuppgifterna som anges i ansökan om användningstillstånd.  
Tillståndsmyndighetens driftmiljö bör inte begränsa ett i sig grundlagsenligt användningsändamål. Därför skulle det vara ändmålsenligt att uppgifter kan behandlas även någon annanstans än i tillståndsmyndighetens driftmiljö. Mot bakgrunden av den nuvarande regleringen har även känsliga personuppgifter kunnat behandlas någon annanstans än i myndighetens driftmiljö. Av registerförare förutsätts givetvis tystnadsplikt.  
Även om uppgifter kan överföras till någon annan miljö än tillståndsmyndighetens driftmiljö, får den registrerades grundläggande rättigheter inte äventyras i sådana situationer. I syfte att skydda personuppgifter ställs i 21—29 § minimikrav på informationssäkerheten i informationssäkra driftmiljöer som de ska uppfylla. Bedömningsorganet för informationssäkerhet gör en revision för systemen för att säkerställa att minimikraven uppfylls. Tillstånds- och tillsynsverket för social- och hälsovården ska övervaka systemen. Tillståndshavaren är dessutom bunden av tystnadsplikt och Dataombudsmannen övervakar inom sitt verksamhetsområde och Tillståndsmyndigheten för social- och hälsovårdsuppgifter under de villkor som anges i lagen att personuppgifter behandlas i enlighet med lagen och tillståndsvillkoren. På så vis kan man bättre än för närvarande sörja för att personuppgifter behandlas på behörigt sätt. 
I 10 § i grundlagen förutsätts inte att personuppgifter behandlas av en myndighet. I praktiken behandlar privata aktörer personuppgifter i betydande utsträckning och även känsliga personuppgifter. Även privaträttsliga juridiska personer sköter tekniska uppgifter i samband med myndigheternas behandling av personuppgifter t.ex. med stöd av ett avtal.  
Grundlagens 21 § gäller rättsskydd. Enligt 1 mom. har var och en rätt att på behörigt sätt och utan ogrundat dröjsmål få sin sak behandlad av en domstol eller någon annan myndighet som är behörig enligt lag samt att få ett beslut som gäller hans eller hennes rättigheter och skyldigheter behandlat vid domstol eller något annat oavhängigt rättskipningsorgan. I 57 § i den föreslagna lagen om sekundär användning av personuppgifter inom social- och hälsovården föreskrivs om överklagande av en myndighets beslut. I 5 c § 3 mom. i ändringslagen om Institutet för hälsa och välfärd ges Dataombudsmannen rätt att kräva ändringar i ett beslut från Institutet för hälsa och välfärd om insamling av uppgifter. Syftet med de föreslagna bestämmelserna är att tillsammans med de rättsmedel som följer av dataskyddsförordningen och de övriga rättsmedlen i lagförslagen säkerställa att rättsskyddet fullgörs på det sätt som aves i grundlagen. 
3.3
Bemyndiganden att meddela föreskrifter
Enligt 80 § 1 mom. i grundlagen kan statsrådet och ministerierna utfärda förordningar med stöd av ett bemyndigande i grundlagen eller i någon annan lag. Bestämmelser om grunderna för individens rättigheter och skyldigheter samt om frågor som enligt grundlagen i övrigt hör till området för lag ska dock utfärdas genom lag. Enligt 80 § 2 mom. i grundlagen kan andra myndigheter genom lag bemyndigas att utfärda rättsnormer i bestämda frågor, om det med hänsyn till föremålet för regleringen finns särskilda skäl och regleringens betydelse i sak inte kräver att den sker genom lag eller förordning. Tillämpningsområdet för ett sådant bemyndigande ska vara exakt avgränsat. Av grundlagen följer att de frågor som bemyndigandet gäller måste preciseras exakt i lag. Grundlagsutskottet har i sin utlåtandepraxis krävt att bemyndiganden i lag ska vara exakta och noggrant avgränsade (GrUU 19/2002 rd, s. 5, GrUU 1/2004 rd, s. 2 och GrUU 17/2010 rd, s. 2). 
Enligt 9 § 2 mom. som gäller sekundär användning av personuppgifter inom social- och hälsovården kan närmare bestämmelser om bolagets uppgifter utfärdas genom förordning av statsrådet. Bestämmelser om bolagets uppgifter utfärdas i lag, men genom förordning kan uppgifterna vid behov preciseras. Likaså kan man genom social- och hälsovårdsministeriets förordning enligt 21 § 2 mom. i den föreslagna lagen föreskriva närmare om de tekniska identifierings- och verifieringsmedlen i en informationssäker driftmiljö. 
I propositionen föreslås att normgivningsbemyndiganden föreskrivs för tillståndsmyndigheten. Tillståndsmyndigheten kan enligt 19 § 5 mom. meddela närmare föreskrifter om de uppgifter som ska registreras i loggregistren och om deras datainnehåll. Bestämmelser om de grundläggande uppgifterna i loggarna finns i 19 §. Tillståndsmyndigheten kan därmed inte genom sitt normgivningsbemyndigande bestämma vilka uppgifter som ska registreras i registren, men den kan genom en föreskrift precisera uppgifternas innehåll.  
Tillståndsmyndigheten kan dessutom med stöd av 24 § 2 mom. utfärda närmare föreskrifter om de krav som ska ställas på andra tjänsteleverantörers informationssäkra driftmiljöer. I 1 mom. utreds de grunder enligt vilka tillståndsmyndigheten ska fastställa kraven. I bestämmelsen preciseras dessutom att villkoret i kraven ska vara motsvarande nivå på informationssäkerhet och basfunktioner som i tillståndsmyndighetens egen driftmiljö.  
Tillståndsmyndigheten får också med stöd av 25 § 2 mom. utfärda närmare föreskrifter om det förfarande som ska iakttas vid påvisande av informationssäkerhet. Ovan nämnda normgivningsbemyndiganden som föreslagits för tillståndsmyndigheten gäller huvudsakligen tekniska detaljer, vilket passar in som en naturlig del i tillståndsmyndighetens uppgifter. Det är nödvändigt att tekniska och närmare föreskrifter utfärdas, eftersom den tekniska utvecklingen går så snabbt framåt och de förutsätter specialsakkunskap om informationssäkra driftmiljöer. 
Genom förordning av social- och hälsovårdsministeriet föreskrivs dessutom med stöd av 5 i § 3 mom. i lagen om Institutet för hälsa och välfärd vilka kvalitetsregister som ska föras av Institutet för hälsa och välfärd. Institutet för hälsa och välfärd ska med stöd av samma bestämmelse ha rätt att meddela föreskrifter om kvalitetsregistrens datastrukturer och datainnehåll. 
De föreslagna bemyndigandena har huvudsakligen avgränsats till att gälla endast tekniska detaljer. Grunderna för individernas rättsliga ställning bestäms åter enligt lagens bestämmelser. Normgivningsbemyndigandena i förslaget kan inte på grunderna ovan anses strida mot 80 § i grundlagen. 
På de grunder som anges ovan kan lagförslagen behandlas i vanlig lagstiftningsordning. Trots detta och i synnerhet eftersom tillämpningsförfarandet i anknytning till dataskyddsförordningen är nytt anses det önskvärt att grundlagsutskottets utlåtande begärs om propositionen. 
Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 
Lagförslag
1. 
Lag 
om sekundär användning av personuppgifter inom social- och hälsovården 
I enlighet med riksdagens beslut föreskrivs: 
1 kap.  
Allmänna bestämmelser 
1 §  
Lagens syfte 
Lagens syfte är att möjliggöra en effektiv och informationssäker behandling av personupp-gifter som har registrerats i social- och hälsovårdsverksamhet och för styrnings-, tillsyns-, forsknings- och statistikändamål inom social- och hälsovården samt en samkörning av dessa personuppgifter med Folkpensionsanstaltens, Befolkningsregistercentralens, Statistikcen-tralens och Pensionsskyddscentralens personuppgifter. 
Lagens syfte är dessutom att trygga skyddet för individens tillitsskydd samt rättigheter och friheter vid behandlingen av personuppgifter. 
2 §  
Tillämpningsområde 
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, när personuppgifter som avses i 1 §, trots att de inte ursprungligen har registrerats för ändamålen, behandlas för följande användningsändamål: 
statistikföring, 
vetenskaplig forskning, 
utvecklings- och innovationsverksamhet,  
undervisning, 
informationsledning, 
myndighetsstyrning och myndighetstillsyn inom social- och hälsovården, samt  
myndigheternas planerings- och utredningsuppgifter. 
Bestämmelser om organisationer vars uppgifter får behandlas i enlighet med 1 mom. samt om inskränkningar i behandlingen av uppgifter finns i 6 och 7 §.  
Bestämmelser om grunder för utlämnande personuppgifter och om mottagarens rätt att behandla de utlämnade personuppgifterna för sådana ändamål som avses i 1 mom. finns i 4 och 5 kap. 
3 §  
Definitioner 
I denna lag avses med 
1) kunduppgifter personuppgifter enligt artikel 4.1 i dataskyddsförordningen som enligt lag är sekretessbelagda och som har registrerats i ett kundregister i en kundrelation inom social- och hälsovården eller vid förmånshandläggning eller i ett administrativt register i anknytning till en kundrelation,  
2) primärt användningsändamål för personuppgifter det användningsändamål för vilket personuppgifterna ursprungligen har registrerats,  
3) sekundärt användningsändamål för personuppgifter behandling av personuppgifter för något annat användningsändamål än det primära användningsändamål som avses i 2 punkten, 
4) utvecklings- och innovationsverksamhet tillämpning och användning av tekniska uppgifter och affärsinformation och annan befintlig kunskap tillsammans med personuppgifter som avses i denna lag i syfte att utveckla nya eller avsevärt förbättrade produkter, processer eller tjänster, 
5) informationsledning behandling av information till stöd för tjänstetillhandahållare vid styrning, ledning och beslutsfattande i fråga om verksamhet, produktion och ekonomi i kund-, service- och produktionsprocesser, 
6) myndighetsstyrning inom social- och hälsovården de nationella social- och hälsovårdsmyndigheternas lagstadgade styrning av aktörer inom branschen baserad på person- och statistikuppgifter som samlats in för ändamålet eller på uppgifter som i ett enskilt fall har erhållits för styrnings- eller tillsynsuppgiften, 
7) myndighetstillsyn inom social- och hälsovården de nationella social- och hälsovårdsmyndigheternas lagstadgade tillsyn över yrkesutbildade personer och verksamhetsenheter inom social- och hälsovården, 
8) användningstillstånd tillstånd enligt denna lag att behandla de sekretessbelagda personuppgifter som anges i tillståndet för det användningsändamål som avses i tillståndet,  
9) begäran om information en begäran om att få personuppgifter i anonymiserad form för ett användningsändamål enligt denna lag,  
10) informationssäker drifttjänst en informationssäker lösning via vilken parterna kan lämna ut och ta emot uppgifter som omfattas av användningsbegränsningar, 
11) informationssäker driftmiljö en teknisk, organisatorisk och fysisk driftmiljö för behandling av uppgifter där informationssäkerhet har säkerställts genom lämpliga administrativa och tekniska åtgärder, 
12) hanteringssystem för begäranden om information ett system via vilket den som ansöker om användningstillstånd eller den som på annat sätt begär information med stöd av denna lag lämnar in en ansökan om användningstillstånd eller en begäran om information enligt denna lag med bilagor till myndigheten och i vilket ett beslut om användningstillstånd eller om begäran om information delges den sökande,  
13) tjänstetillhandahållare en myndighet som ordnar, producerar eller lämnar social- och hälsovård eller social- och hälsovårdstjänster eller en sådan producent av privat service som avses i lagen om privat socialservice (922/2011) eller i lagen om privat hälso- och sjukvård (152/1990),  
14) serviceanordnare en tillhandahållare av social- och hälsovårdstjänster som
a) i egenskap av myndighet är skyldig att se till att kunden får sådana tjänster eller förmåner som kunden har rätt till enligt lag eller ett myndighetsbeslut, eller
b) i egenskap av privat tjänstetillhandahållare är skyldig att se till att en kund som köper en tjänst privat får sådana tjänster som kunden har rätt till enligt konsumentskyddsbestämmelserna,
 
15) tjänsteproducent en tjänstetillhandahållare som enligt ett avtal med en serviceanordnare eller annars för en serviceanordnares räkning producerar social- eller hälsovårdstjänster, 
16) tjänsteleverantör en aktör som tillhandahåller kunderna tjänster som syftar till en informationssäker driftmiljö, 
17) plan för användning av uppgifter en forskningsplan, projektplan eller motsvarande plan av vilken framgår användningsändamålet för de uppgifter som avses i tillståndsansökan, den registeransvarige och registerförarna, den rättsliga grunden för behandlingen samt väsentliga omständigheter som gäller dataskydd och informationssäkerhet vid behandlingen av uppgifterna och som omfattar uppgifternas hela livscykel inklusive bevaring och förstöring eller arkivering av uppgifterna, 
18) färdigt datamaterial en materialhelhet som Tillståndsmyndigheten för social- och hälsovårdsuppgifter som avses i 4 § har sammanställt av uppgifter från en eller flera organisationer och samkört till ett enda material eller lagrat så att det finns en enhetlig kod för identifierarna för materialet, 
19) bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar och myndigheter som Kommunikationsverket med stöd av lagen om bedömningsorgan för informationssäkerhet (1405/2011) har godkänt att utföra bedömningar av om informationssystem överensstämmer med kraven i fråga om informationssäkerhet. 
2 kap.  
Myndigheter och organisationer  
4 §  
Tillståndsmyndigheten för social- och hälsovårdsuppgifter 
Den i denna lag avsedda Tillståndsmyndigheten för social- och hälsovårdsuppgifter finns i anslutning till Institutet för hälsa och välfärd. För de uppgifter som föreskrivs för tillståndsmyndigheten svarar vid institutet en enhet som har avskilts från de uppgifter som anges i 2 § i lagen om Institutet för hälsa och välfärd (668/2008). 
Tillståndsmyndigheten omfattas av social- och hälsovårdsministeriets resultatstyrning och har en separat styrgrupp.  
5 § 
Uppgifter för Tillståndsmyndigheten för social- och hälsovårdsuppgifter 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter fattar beslut om användningstillstånd som gäller andra registeransvarigas material samt svarar för insamling, samkörning och utlämnande av uppgifter som lämnas ut ur dessa material för sekundär användning enligt denna lag. Tillståndsmyndigheten får även för ett användningsändamål enligt denna lag på begäran om information samla in personuppgifter från olika registeransvariga och genom att samköra dem producera anonym information åt den som framställt begäran. 
Tillståndsmyndigheten driver ett hanteringssystem för begäranden om information för förmedling och behandling av begäranden om information och tillståndsansökningar samt en informationssäker drifttjänst för mottagande och utlämnande av personuppgifter. Tillståndsmyndigheten förvaltar även en informationssäker driftmiljö där tillståndshavaren kan behandla de personuppgifter som lämnats ut med stöd av ett användningstillstånd. 
Tillståndsmyndigheten övervakar att villkoren för det beviljade tillståndet iakttas. Den får återkalla användningstillståndet, om tillståndshavaren inte iakttar lagen eller bryter mot villkoren i tillståndet. 
6 § 
Myndigheter och organisationer som svarar för tjänster samt begränsningar i fråga om datamaterial 
Bestämmelser om tjänster som behövs för behandling av kunduppgifter inom social- och hälsovården samt av andra sådana personuppgifter som avses i denna lag och som ska samköras med kunduppgifterna för ändamål enligt 2 § finns i 3 kap. Ansvaret för produktionen av dessa tjänster innehas av Tillståndsmyndigheten för social- och hälsovårdsuppgifter och av följande myndigheter och organisationer: 
1) social- och hälsovårdsministeriet, 
2) Institutet för hälsa och välfärd, 
3) Folkpensionsanstalten till den del det för ändamål enligt denna lag behövs personuppgifter som registrerats i en kundrelation i samband med förmånsbehandling samt uppgifter om recept och anknytande receptexpedieringar vid det receptcenter som avses i 3 § 1 mom. 4 punkten i lagen om elektroniska recept (61/2007) och i det receptarkiv som avses i 3 § 1 mom. 5 punkten i den lagen,  
4) Tillstånds- och tillsynsverket för social- och hälsovården, 
5) regionförvaltningsverken till den del de behandlar ärenden som anknyter sig till social- och hälsovården, 
6) Arbetshälsoinstitutet, 
7) Säkerhets- och utvecklingscentret för läkemedelsområdet,  
8) offentliga serviceanordnare inom social- och hälsovården, 
9) Statistikcentralen till den del det för ändamål enligt denna lag behövs sådana uppgifter som avses i lagen om utredande av dödsorsak (459/1973), 
10) Pensionsskyddscentralen till den del det för ändamål enligt denna lag behövs nödvändiga personuppgifter ur Pensionsskyddscentralens register om de försäkrades arbets- och förvärvsuppgifter samt om beviljade förmåner och grunderna för dem, inbegripet diagnoser för invalidpensioner och sjukpensioner som registrerats vid verkställigheten av arbetspensionsskyddet, 
11) Befolkningsregistercentralen till den del det för ändamål enligt denna lag behövs basuppgifter om personer, uppgifter om personers familjeförhållanden och bostadsort samt byggnadsuppgifter ur befolkningsdatasystemet. 
7 § 
Undantag som gäller behandling av statistikmyndigheters uppgifter 
Statistikcentralen samt Institutet för hälsa och välfärd i egenskap av statistikmyndighet (statistikmyndigheter) svarar för användningstillstånd för uppgifter som de i egenskap av statistikmyndigheter samlat in för vetenskaplig forskning och för att uppgifter som hänför sig till en och samma forskningsplan samkörs med deras egna uppgifter samt för pseudonymisering eller anonymisering av uppgifterna i enlighet med statistiklagen (280/2004). En tillståndsansökan som gäller andra sådana uppgifter som avses i denna lag och uppgifter som statistikmyndigheterna samlat in för statistiska ändamål lämnas till Statistikcentralen och Institutet för hälsa och välfärd via det hanteringssystem för begäranden om information som avses i 16 §. Kontakterna till den tillståndssökande vid behandlingen av en tillståndsansökan och delgivningen av beslutet sker via hanteringssystemet. 
Bestämmelser om tillgodoseendet av åtkomsträttighet till uppgifter enligt denna lag som sammanslagits i enlighet med statistiklagen föreskrivs i 51 § 2 mom.  
8 § 
Styrning av verksamheten vid Tillståndsmyndigheten för social- och hälsovårdsuppgifter och utvecklande av samarbete mellan registeransvariga 
För styrning av verksamheten vid Tillståndsmyndigheten för social- och hälsovårdsuppgifter och utvecklande av den gemensamma verksamheten mellan organisationer som svarar för tjänster tillsätter social- och hälsovårdsministeriet för en treårsperiod en styrgrupp för tillståndsmyndigheten samt utser en ordförande för styrgruppen. Till ledamöter i styrgruppen utser Social- och hälsovårdsministeriet  
sex företrädare enligt förslag från de organisationer och myndigheter som anges i 6 §, 
en ledamot som företräder kommunerna som anordnare av social- och hälsovårdstjänster,  
utifrån Kommunförbundets förslag en ledamot som företräder kommunerna som anordnare av förebyggande social- och hälsovård,  
en ledamot som företräder privata anordnare av social- och hälsovårdstjänster.  
Styrgruppen har till uppgift att behandla och hos Institutet för hälsa och välfärd och social- och hälsovårdsministeriet göra en framställning om 
tillståndsmyndighetens årliga verksamhetsplan och anknytande budget,  
verksamhetsberättelsen och bokslutet till den del de gäller tillståndsmyndigheten, 
det gemensamma utvecklandet av de registeransvarigas verksamhet och de resurser som ska anvisas för den,  
resurser som ska anvisas varje aktör för utvecklande av informationssystem och samarbete. 
Styrgruppen ger akt på verkan av tillståndsmyndighetens verksamhet och tjänster och på de tidsfrister i anknytning till tillståndsbehandling som avses i 47 § och de tidfrister för utlämnande av uppgifter som avses i 48 §. Styrgruppen kan dessutom 
ställa målmätare för tillståndsmyndighetens verksamhetsprocesser och starta externa revisioner av dem, 
vid behov lägga fram förslag till utveckling av tillståndsmyndighetens verksamhet för Institutet för hälsa och välfärd och social- och hälsovårdsministeriet, 
tillsätta expertgrupper som stöder tillståndsmyndighetens verksamhet. 
9 § 
Möjlighet att bilda aktiebolag 
Social- och hälsovårdsministeriet får ensamt eller tillsammans med en eller flera organisationer som avses i 6 §, undervisnings- och kulturministeriet, arbets- och näringsministeriet eller finansministeriet bilda ett aktiebolag som lyder under Tillståndsmyndigheten för social- och hälsovårdsuppgifter. Bolaget ägs och förvaltas av staten. För ägarstyrningen av bolaget och förvaltningen av dess aktier svarar social- och hälsovårdsministeriet. Syftet med bolagets verksamhet är inte att uppnå vinst.  
Bolaget kan ges uppgifter i anknytning till de tjänster som avses i 10 § 3—7 punkten. Närmare bestämmelser om bolagets uppgifter får utfärdas av statsrådet. 
Institutet för hälsa och välfärd eller Tillståndsmyndigheten för social- och hälsovårdsuppgifter kan producera administrativa tjänster och andra stödtjänster för aktiebolaget mot ersättning till marknadspris.  
Bolaget ska på begäran lämna social- och hälsovårdsministeriet de uppgifter som behövs för att bolaget ska kunna styras och övervakas. På bolagets handlingar tillämpas vad som i lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, föreskrivs om myndighetshandlingar. 
För bolagets verksamhet kan det beviljas statsunderstöd inom ramen för de anslag som tas in i statsbudgeten. Bestämmelser om statsunderstöd finns i statsunderstödslagen (688/2001). 
På personer som är anställda hos bolaget och på ledamöter i bolagets styrelse tillämpas bestämmelserna om straffrättsligt tjänsteansvar. 
3 kap. 
Tjänster som möjliggör sekundär användning 
Informationstjänster  
10 § 
Tjänster som organisationer producerar för sekundär användning 
För sekundär användning av registeruppgifter tillhandahålls följande tjänster producerade av de organisationer som avses i 6 §: 
beskrivningar av datamaterial,  
rådgivningstjänst,  
tjänst för insamling, samkörning och förbehandling av uppgifter, 
tjänst för administrering av identifierare, 
hanteringssystem för begäranden om information, 
informationssäker drifttjänst,  
informationssäker driftmiljö. 
11 § 
Organisationernas ansvar för tjänsterna 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter svarar för de tjänster som avses i 10 § 3—7 punkten om en ansökan om användningstillstånd eller en begäran om information enligt denna lag gäller personregister som förs av flera registeransvariga enligt 6 § eller uppgifter som registrerats i de riksomfattande informationssystemtjänster (Kanta-tjänster) som avses i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007, nedan klientuppgiftslagen) eller om uppgifter lämnas ut ur en eller flera organisationers register för utvecklings- och innovationsverksamhet enligt 38 §. Tillståndsmyndigheten för social- och hälsovårdsuppgifter svarar dock för tjänster som gäller uppgifter hos Pensionsskyddscentralen, Befolkningsregistercentralen och Statistikcentralen endast om uppgifterna samkörs med uppgifter som innehas av de organisationer som avses i 6 § 1—8 punkten. 
Om en begäran om information eller en ansökan om användningstillstånd gäller uppgifter i personregister hos endast en av de organisationer som avses i 6 §, svarar organisationen själv för alla de tjänster som avses i 10 §. Tillståndsmyndigheten för social- och hälsovårdsuppgifter kan dock avtala med de övriga organisationer som avses i 6 § att den tillhandahåller alla eller en del av de tjänster som avses i detta moment för en avtalsslutande organisations räkning. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter svarar alltid för de tjänster som avses i 10 § 3—7 punkten om en ansökan om användningstillstånd eller en begäran om information enligt denna lag gäller registeruppgifter hos en eller flera privata serviceanordnare inom social- eller hälsovården.  
12 § 
Beskrivningar av datamaterial 
De organisationer som avses i 6 § ska som registeransvariga göra upp materialbeskrivningar av datainnehållet i sina datalager så att det på basis av dem är möjligt att bedöma om registeruppgifterna lämpar sig för de ändamål som anges i 2 §. Tillståndsmyndigheten för social- och hälsovårdsuppgifter ska göra upp materialbeskrivningar över sina i 14 § 3 mom. avsedda färdiga datamaterial. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter utfärdar närmare föreskrifter om materialbeskrivningarnas datainnehåll, begrepp och datastrukturer. Innan föreskrifterna meddelas ska tillståndsmyndigheten höra organisationerna i fråga.  
Bestämmelser om när de skyldigheter som föreskrivs i 1 mom. börjar tillämpas utfärdas genom förordning av statsrådet. 
13 §  
Rådgivningstjänster  
En registeransvarig enligt 6 § ska ordna en rådgivningstjänst för sina egna registeruppgifter som avses i den paragrafen så att de som behöver uppgifterna för ändamål som avses i 2 § får tillräcklig information om de tillgängliga registrens datainnehåll och huruvida registeruppgifterna lämpar sig för det aktuella informationsbehovet. 
Utöver vad som föreskrivs i 1 mom. ska Tillståndsmyndigheten för social- och hälsovårdsuppgifter ordna en rådgivningstjänst som avser förutsättningarna för beviljande av användningstillstånd, innehållet i och betydelsen av de tjänster som avses i 10 § samt de färdiga datamaterial som avses i 14 § 3 mom. 
14 § 
Tjänst för insamling, samkörning och förbehandling av uppgifter 
Om ett användningstillstånd som Tillståndsmyndigheten för social- och hälsovårdsuppgifter beviljar gäller flera registeransvarigas uppgifter, samlar tillståndsmyndigheten in och förbehandlar de uppgifter som i enlighet med användningstillståndet plockats ut eller erhållits och vid behov samkörts enligt 36 §. 
Om tillståndsmyndigheten lämnar ut uppgifter med stöd av en begäran om information, samlar den in och vid behov samkör den samt anonymiserar det material som ska lämnas ut. Tillståndsmyndigheten ska bevara en beskrivning av hur materialet bildats, anonymiseringsmetoderna och slutresultatet. 
Tillståndsmyndigheten får utforma färdiga datamaterial av uppgifter hos de myndigheter och organisationer som avses i 6 §. Tillståndsmyndigheten får senare plocka ut de uppgifter som behövs för beviljande av användningstillstånd och som avses i ett beviljat användningstillstånd ur de färdiga datamaterialen.  
Om personuppgifter med stöd av flera olika planer för användning av uppgifter lämnas ut i pseudonymiserad form, ska uppgifterna pseudonymiseras med olika identifierare för varje utlämnande. 
15 § 
Tjänst för administrering av identifierare 
Den myndighet som beviljat användningstillstånd förvarar identifierarna för pseudonymiserat material på ett informationssäkert sätt så att materialet vid behov kan göras identifierbart och att detta samma material med hjälp av identifierarna kan produceras på nytt.  
Myndigheten ska förvara identifierarna så länge de behövs för forskning och för säkerställande av ändamålsenliga forskningsresultat.  
Informationssystemtjänster som verksamheten förutsätter och garanterande av deras säkerhet 
16 § 
Hanteringssystem för begäranden om information 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter driver ensam eller tillsammans med andra myndigheter ett system för hantering av begäranden om information, via vilket en ansökan om användningstillstånd eller en begäran om information enligt denna lag ska lämnas till tillståndsmyndigheten.  
Utredningar och kompletteringar som tillståndsmyndigheten begär för att kunna behandla ansökan samt de utredningar, kompletteringar och ändringar i ansökan som sökanden lämnar in till tillståndsmyndigheten förmedlas via hanteringssystemet. Tillståndsbeslutet delges sökanden via hanteringsystemet.  
Om användningsändamålet enligt lag förutsätter en etisk förhandsgranskning av planen för användning av uppgifterna, inleds även en etisk granskning och ett utlåtande lämnas via hanteringssystemet.  
17 § 
Informationssäker drifttjänst 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter driver en informationssäker drifttjänst att användas vid utlämnande av de uppgifter som behövs vid behandlingen av en ansökan om användningstillstånd eller i begäran om information samt av uppgifter som avses i ett beviljat användningstillstånd. Via drifttjänsten får personuppgifter under de förutsättningar som anges i denna lag lämnas mellan tillståndsmyndigheten och de övriga myndigheter som anges i 6 §, mellan tillståndsmyndigheten och privata tillhandahållare av social- och hälsovårdstjänster samt mellan den som ansöker om tillstånd och tillståndsmyndigheten.  
När personuppgifter förmedlas via den informationssäkra drifttjänsten ska deras integritet och ursprung säkerställas med en elektronisk underskrift. Integritet och ursprung hos uppgifter som sänds av en organisation med informationsteknisk utrustning ska säkerställas genom användning av teknik med motsvarande tillförlitlighet som vid elektronisk signering som görs av en fysisk person. Användare av den informationssäkra drifttjänsten måste vara starkt identifierade när personuppgifter lämnas ut till dem. Bestämmelser om avancerad elektronisk underskrift och stark elektronisk identifiering finns i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG och i lagen om stark autentisering och elektroniska signaturer (617/2009). 
Tillståndsmyndigheten ska skapa de gränssnitt som behövs för drifttjänstens interoperabilitet och sörja för att dataöverföringen kan göras med hjälp av allmänt använda tekniker. 
18 § 
Allmänna informationssäkerhetskrav 
När personuppgifter behandlas med stöd av denna lag ska en tillräcklig informationssäkerhet för behandlingen säkerställas genom riskhantering, åtkomsthantering, aktiv övervakning och genom iakttagande av föreskrifter och anvisningar från den myndighet som svarar för förverkligandet och övervakningen av informationssäkerhet och dataskydd. Särskild uppmärksamhet ska ägnas åt vid att användningsbegränsningar och sekretessplikten iakttas. 
19 §  
Logguppgifter 
När personuppgifter behandlas för tillståndsprövning eller utlämnande av uppgifter enligt denna lag ska logguppgifter samlas in som följer: 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter och en organisation som avses i 6 § ska i användningslogguppgifterna registrera uppgifter om den organisation vars uppgifter används, den som har använt uppgifterna, de uppgifter och uppgiftsgrupper som har behandlats, användningsändamålet för uppgifterna, identifierare för en ansökan om användningstillstånd eller begäran om information och användningstidpunkten.  
tillståndsmyndigheten, en privat tillhandahållare av social- och hälsovårdstjänster och en organisation som avses i 6 § ska i utlämningslogguppgifterna registrera uppgifter om den utlämnande organisationen, den som lämnat ut uppgifterna, utlämningsändamålet enligt 2 §, identifierare för en ansökan om användningstillstånd eller begäran om information, mottagaren och utlämningstidpunkten.  
Den som behandlar personuppgifter med stöd av ett användningstillstånd enligt denna lag ska i användningslogguppgifterna registrera information om den registeransvarige som fått användningstillstånd, användningsändamålet enligt 2 §, användningstillstånd som ger rätt till behandling, användare som är berättigad att behandla uppgifterna enligt användningstillståndet, de uppgifter och uppgiftsgrupper som har behandlats samt användningstidpunkten. 
En tjänstetillhandahållare som behandlar personuppgifter för informationsledning ska i användningslogguppgifterna registrera information om vilka personuppgifter som använts, vem som har använt uppgifterna, användningsändamålet och användningstidpunkten. 
Logguppgifter ska förstöras eller arkiveras när de inte längre behövs för tillsynen av om uppgifter används eller utlämnas i enlighet med lag och för bestämmandet av påföljder på grund av eventuella missbruk.  
Tillståndsmyndigheten kan meddela närmare föreskrifter om de uppgifter som ska registreras i loggregistren och om deras datainnehåll. 
20 § 
Informationssäker driftmiljö 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter ska ensam eller tillsammans med andra myndigheter förvalta en informationssäker driftmiljö som gör det möjligt att garantera en informationssäker, tillståndsenlig behandling av uppgifter som tillståndsmyndigheten eller någon annan myndighet som avses i denna lag lämnar ut med stöd av denna lag.  
Behandlingen ska vara tekniskt möjlig att genomföra på olika sätt och driftmiljön ska vara tillgänglig från olika platser. Tillståndsmyndigheten ska bedöma hur känsliga de uppgifter som lämnas ut är och beakta detta i de krav som i beslutet om användningstillstånd ska ställas på användning av den informationssäkra driftmiljön. 
Om ansökan om användningstillstånd innehåller en begäran om att andra än anonymiserade uppgifter ska behandlas i en annan miljö än den som avses i 1 mom., ska det i ansökan särskilt motiveras varför detta är nödvändigt. Tillståndsmyndigheten eller någon annan myndighet som avses i denna lag får då lämna ut uppgifter till sökanden endast om driftmiljön uppfyller villkoren i 20 § 2 mom. och 21—29 §. 
21 § 
Identifiering av användare i informationssäkra driftmiljöer  
Användarna i en informationssäker driftmiljö ska identifieras på ett tillförlitligt sätt och verifieras.  
Närmare bestämmelser om de tekniska identifierings- och verifieringsmedlen får utfärdas genom förordning av social- och hälsovårdsministeriet.  
22 § 
Åtkomsträttigheter för användare i informationssäkra driftmiljöer  
Tjänsteleverantören ska specificera åtkomsträttigheterna till personuppgifter för tillståndshavaren och andra personer som behandlar personuppgifter i driftmiljön. Tillståndshavaren ges åtkomsträttighet till personuppgifter enligt användningstillståndet. Andra personer som behandlar personuppgifter i en driftmiljö beviljas åtkomsträttigheter till sådana nödvändiga personuppgifter som de behöver i sina arbetsuppgifter.  
Tjänsteleverantören ska föra register över användarna i den informationssäkra driftmiljön och deras åtkomsträttigheter. Uppgifter om åtkomsträttigheter för användarna i driftmiljön ska förstöras när de inte längre behövs för tillsynen av om miljön används eller uppgifter lämnas ut i enlighet med lag. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter meddelar föreskrifter om de grunder enligt vilka tjänsteleverantören ska specificera tillståndshavarens åtkomsträttigheter till kunduppgifterna. 
23 § 
Skydd för informationssäkra driftmiljöer 
En informationssäker driftmiljö ska skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet enligt vad som föreskrivs i 36 § i offentlighetslagen och i den statsrådsförordning som utfärdats med stöd av 1 mom. i den paragrafen. 
Driftmiljön ska i enlighet med 19 § möjliggöra insamling av logguppgifter om användningen av utlämnade uppgifter för uppföljning och tillsyn.  
24 § 
Minimikrav på informationssäkra driftmiljöer 
Informationssäkra driftmiljöer ska uppfylla kraven på informationssäkerhet och interoperabel informationsöverföring som bygger på myndigheternas föreskrifter, rekommendationer och de standarder som enligt dessa lämpar sig för en informationssäker driftmiljö.  
Tillståndsmyndigheten för social- och hälsovårdsuppgifter meddelar närmare föreskrifter om de krav som ska ställas på andra tjänsteleverantörers informationssäkra driftmiljöer. Kraven ska förutsätta informationssäkerhet och basfunktioner på motsvarande nivå som i tillståndsmyndighetens egen driftmiljö. 
25 § 
Påvisande av informationssäkerhet i en informationssäker driftmiljö 
Informationssäkerheten i driftmiljön ska påvisas genom ett i 26 § avsett intyg från ett bedömningsorgan för informationssäkerhet. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter får meddela närmare föreskrifter om de förfaranden som ska iakttas vid påvisande av informationssäkerhet. 
26 § 
Bedömning av informationssäkerhet 
Ett bedömningsorgan för informationssäkerhet bedömer i enlighet med denna lag och lagen om bedömningsorgan för informationssäkerhet på ansökan av tjänsteleverantören om driftmiljön uppfyller kraven på informationssäkerhet. Som bedömningskriterier ska användas föreskrifter om kraven på en säker driftmiljö från Tillståndsmyndigheten för social- och hälsovårdsuppgifter. 
Om driftmiljön uppfyller informationssäkerhetskraven enligt denna lag, ska bedömningsorganet för informationssäkerhet ge tjänsteleverantören ett intyg över sin bedömning och en anknytande kontrollrapport. Om bedömningen eller en förnyad bedömning gäller endast en del av driftmiljön, ska det antecknas tydligt i bedömningsorganets intyg vilken del av driftmiljön som har bedömts. 
Bedömningsorganets intyg är i kraft högst fem år. Bedömningsorganet för informationssäkerhet kan av tjänsteleverantören kräva alla de uppgifter som förutsätts för bedömningen och för uppgörandet och upprätthållandet av intyget. På utfärdande av intyget tillämpas i övrigt 9 § 3 mom. i lagen om bedömningsorgan för informationssäkerhet. 
27 § 
Återkallande av bedömningsorganets intyg  
Om ett bedömningsorgan för informationssäkerhet konstaterar att en driftmiljö inte har uppfyllt eller inte längre uppfyller kraven i denna lag eller att ett intyg av någon annan orsak inte borde ha beviljats, ska organet uppmana tjänsteleverantören att avhjälpa bristerna. Bedömningsorganet får återkalla intyget för viss tid eller helt och hållet eller bevilja intyget med begränsningar, om inte tjänsteleverantören avhjälper bristerna inom den tid som organet satt ut. När tidsfristens längd bestäms ska det beaktas att en skälig tid behövs för att korrigera driftmiljön. 
28 § 
Anmälningsskyldighet för bedömningsorgan för informationssäkerhet  
Bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården om alla intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats för viss tid eller helt och hållet eller förvägrats samt om de uppmaningar och begränsningar som avses i 27 §. Dessutom ska bedömningsorgan för informationssäkerhet på begäran ge Tillstånds- och tillsynsverket för social- och hälsovården all behövlig ytterligare information i ärendet.  
29 § 
Uppföljning efter ibruktagande av informationssäker driftmiljö  
Tjänsteleverantören ska genom ett uppdaterat och systematiskt förfarande följa upp och utvärdera erfarenheterna av den informationssäkra driftmiljön under den tid den används för produktion. Tjänsteleverantören ska ge akt på ändringar i denna lag och justera driftmiljön i enlighet med ändringarna. Väsentliga förändringar i driftmiljön ska anmälas till bedömningsorganet för informationssäkerhet. Bedömningsorganets intyg ska förnyas, om betydande förändringar görs i driftmiljön eller om minimikraven på driftmiljön har ändrats på ett sätt som förutsätter en förnyad bedömning. 
Tjänsteleverantören ska bevara uppgifterna om överensstämmelse med kraven och övriga uppgifter som tillsynen kräver i minst fem år efter det att den informationssäkra driftmiljön inte längre används för produktion.  
30 § 
Övervakning och inspektioner av informationssystem  
Tillstånds- och tillsynsverket för social- och hälsovården ska övervaka och främja att informationssäkra driftmiljöer uppfyller kraven på dataskydd och informationssäkerhet. Tillstånds- och tillsynsverket för social- och hälsovården för ett offentligt register över driftmiljöer som uppfyller kraven och som anmälts till verket. 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner som krävs för tillsynen. För att utföra en inspektion har en inspektör rätt att få tillträde till alla lokaler där det bedrivs verksamhet som avses i denna lag eller där det förvaras uppgifter som är viktiga för tillsynen över efterlevnaden av denna lag. Inspektioner får dock inte utföras i utrymmen som används för boende av permanent natur. 
Vid en inspektion ska alla handlingar som inspektören ber om och som behövs för inspektionen läggas fram. På inspektörens begäran ska dessutom kopior av de handlingar som behövs för inspektionen överlämnas till inspektören utan avgift. 
Tillstånds- och tillsynsverket för social- och hälsovården ska bevara inspektionsprotokollet i tio år efter att inspektionen utförts. 
31 § 
Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att anlita utomstående experter  
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att anlita utomstående experter för bedömning av informationssäkra driftmiljöers överensstämmelse med kraven. Utomstående experter får delta i inspektioner som avses i denna lag samt undersöka och testa driftmiljöer. Utomstående sakkunniga ska ha den sakkunskap och kompetens som uppgifterna kräver. 
På utomstående sakkunniga som utför uppgifter enligt denna lag tillämpas förvaltningslagens (434/2003) bestämmelser om tjänstemannajäv och bestämmelserna om straffrättsligt tjänsteansvar. 
32 § 
Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att få information  
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att avgiftsfritt och trots sekretessbestämmelserna för tillsynen över driftmiljöer få nödvändiga uppgifter av statliga och kommunala myndigheter samt av fysiska och juridiska personer som omfattas av denna lag eller av bestämmelser som utfärdats med stöd av den. 
33 § 
Tillstånds- och tillsynsverket för social- och hälsovårdens åläggande att avhjälpa brister samt vite 
Tillstånds- och tillsynsverket för social- och hälsovården får med anledning av en inspektion som gjorts med stöd av 30 § ålägga tjänsteleverantören att avhjälpa brister i driftmiljöer som används för produktion. 
Om en informationssäker driftmiljö kan äventyra dataskyddet, eller om systemet inte uppfyller de väsentliga krav som ställs på det i denna lag, och bristerna inte har avhjälpts inom den tidsfrist som Tillstånds- och tillsynsverket för social- och hälsovården har satt ut, får verket förbjuda användningen av driftmiljön till dess att bristerna har avhjälpts. Vidare får Tillståndsmyndigheten för social- och hälsovårdsuppgifter eller någon annan myndighet som avses i 6 § stänga av förbindelsen till sina informationssystem, om den som använder dem äventyrar eller ett utomstående system som anslutits till dem kan äventyra en ändamålsenlig användning av informationssystemet. 
Tillstånds- och tillsynsverket för social- och hälsovården får ålägga tjänsteleverantören eller en befullmäktigad representant att inom den tid och på det sätt som verket bestämmer informera om beslut som gäller användningen av driftmiljön för produktion.  
Tillstånds- och tillsynsverket för social- och hälsovården kan förena beslut som fattats med stöd av 1 mom. med vite eller med hot om att verksamheten helt eller delvis avbryts eller att den försummade åtgärden vidtas på den försumliges bekostnad. Tillstånds- och tillsynsverket ska underrätta Tillståndsmyndigheten för social- och hälsovårdsuppgifter om sitt beslut.  
34 § 
Föreläggande att fullgöra skyldigheter 
Om en tjänsteleverantör, en myndighet som avses i 6 § eller den som annars behandlar personuppgifter i enlighet med denna lag har underlåtit att fullgöra sin skyldighet enligt denna lag när det gäller informationssystem eller deras användning, får Tillstånds- och tillsynsverket för social- och hälsovården meddela ett föreläggande om att skyldigheten ska uppfyllas inom utsatt tid. 
4 kap.  
Grunder och förutsättningar för sekundär användning av personuppgifter 
Allmänna grunder för sekundär användning 
35 § 
Grunder för behandling av personuppgifter  
Registeruppgifter hos de registeransvariga som avses i 6 § och registeruppgifter hos en privat serviceanordnare inom social- och hälsovården får behandlas med ett tidsbundet användningstillstånd från den registeransvarige eller Tillståndsmyndigheten för social- och hälsovårdsuppgifter, direkt med stöd av lagens bestämmelser eller med stöd av en begäran om information samkörda och anonymiserade av tillståndsmyndigheten enligt vad som föreskrivs nedan.  
36 §  
Rätt för Tillståndsmyndigheten för social- och hälsovårdsuppgifter att få och behandla uppgifter trots sekretessplikten 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter har oberoende av sekretessplikten och andra begränsningar som gäller användningen av uppgifterna rätt att från de registeransvariga som avses i 6 § och från privata tillhandahållare av social- och hälsovårdstjänster samt från Folkpensionsanstalten av de uppgifter i Kanta-tjänsterna som avses i klientuppgiftslagen få 
uppgifter som behövs för att ett användningstillstånd ska kunna beviljas,  
uppgifter som avses i det beviljade användningstillståndet för insamling och samkörning och för utlämnande till tillståndshavaren för behandling i enlighet med 14 §,  
uppgifter för att bedöma om de uppgifter som avses i 45 § kan anonymiseras, 
uppgifter som behövs för produktion av anonyma datamaterial, samt 
uppgifter som behövs för att sammanställa det färdiga datamaterial som avses i 14 § 3 mom.  
De uppgifter som avses i 1 mom. kan lämnas ut till tillståndsmyndigheten via den informationssäkra drifttjänst som avses i 17 §. 
Tillståndsmyndigheten kan oberoende av sekretessplikten och andra begränsningar i användningen av uppgifter via den informationssäkra drifttjänst som avses i 17 § plocka ut uppgifter enligt användningstillståndet ur uppgifter och datalager som innehas av de registeransvariga som avses i 1 mom., om det är möjligt och ändamålsenligt med hänsyn till dessa uppgifters och datalagers innehåll och tekniska utförande. 
Tillståndsmyndigheten är registeransvarig på det sätt som avses i denna paragraf för de uppgifter den har erhållit. 
Uppgifter som lämnas ut med stöd av användningstillstånd 
37 § 
Användningstillstånd för vetenskaplig forskning och statistikföring 
För vetenskaplig forskning och statistikföring får trots sekretessplikten i enskilda fall ges användningstillstånd för kunduppgifter och andra personuppgifter från organisationer som avses i 6 §.  
Prövningen av om användningstillstånd ska beviljas eller inte ska utgå från att den vetenskapliga forskningens frihet tryggas. 
Bestämmelser om behandling av uppgifter för vetenskaplig forskning och statistikföring finns dessutom i personuppgiftslagen (523/1999).  
38 § 
Utvecklings- och innovationsverksamhet 
Trots skyldigheterna att iaktta sekretess får Tillståndsmyndigheten för social- och hälsovårdsuppgifter i enskilda fall ge användningstillstånd till kunduppgifter samt andra personuppgifter från organisationer som avses i 6 §, om utvecklings- och innovationsverksamheten genomförs på annat sätt än genom metoder inom vetenskaplig forskning som avses i 37 §, och den registrerade har gett sitt samtycke till behandling av uppgifterna för ändamålet i fråga. Tillstånd får ges så att det uppfyller villkoren i den registrerades samtycke.  
Dessutom förutsätts att 
en utnämnd ansvarig person eller grupp svarar för verksamheten, och 
uppgifterna används endast i enlighet med planen för användning av uppgifter och tillvägagångssättet är sådant att uppgifter om enskilda personer inte röjs för utomstående. 
Om uppgifterna begärs i anonymiserad form, kan de lämnas ut utan den registrerades samtycke i enlighet med 45 §. 
39 § 
Undervisning 
Kunduppgifter från en tillhandahållare av social- och hälsovårdstjänster får trots sekretessplikten och med stöd av artikel 9.2 g i dataskyddsförordningen behandlas för att framställa undervisningsmaterial för undervisning av personal som behandlar kunduppgifter inom social- och hälsovården och av personer som studerar till en yrkesexamen inom social- och hälsovården, om det är nödvändigt för att syftet med undervisningen ska uppnås. En förutsättning för detta är dessutom att användningstillstånd enligt denna lag har beviljats för behandlingen. 
Identifierbara uppgifter får dock användas i undervisningssituationer endast om undervisningen inte kan hållas anonym på grund av att fallet i fråga är sällsynt, på grund av undervisningens natur eller av något annat motsvarande skäl. Undervisningspersonalen ska informera dem som följer undervisningen om den lagstadgade sekretessplikten och om sanktioner för brott mot den. 
Den registrerade har inte i artikel 21 i dataskyddsförordningen avsedd rätt att göra invändningar mot behandling av personuppgifter om honom eller henne i undervisningssyfte, om behandlingen av uppgifter är nödvändig på grund av att fallet i fråga är sällsynt.  
Tillståndshavaren ska förstöra ett separat material som samlats in för undervisningsändamål när det inte längre behövs för det ändamålet. 
40 § 
Myndighetens planerings- och utredningsuppgifter  
Kunduppgifter som är nödvändiga för en myndighets planerings- och utredningsuppgifter samt andra personuppgifter från organisationer som avses i 6 § får behandlas med stöd av artikel 9.2 g i dataskyddsförordningen, om 
för behandlingen har beviljats ett i denna lag avsett användningstillstånd, 
behandlingen grundar sig på en ändamålsenlig plan för användning av uppgifter, 
planerings- och utredningsuppgiften eller det informationsbehov som är syftet med den kan inte förverkligas utan behandling av personuppgifter. 
Behandling av uppgifter med stöd av lag utan användningstillstånd 
41 § 
Informationsledning 
Tillhandahållare av social- och hälsovårdstjänster har trots sekretessplikten och med stöd av artikel 9.2 h i dataskyddsförordningen rätt att på ett identifierbart sätt behandla och samköra kunduppgifter som har uppstått i tillhandahållarens egen verksamhet eller är införda i tillhandahållarens egna register, om detta är nödvändigt för att den serviceverksamhet som tjänstetillhandahållaren är ansvarig för ska kunna produceras, följas, utvärderas, planeras, utvecklas, ledas och övervakas. 
Om en tjänstetillhandahållare för utvärdering, planering eller utveckling av serviceverksamhet som denna ansvarar för eller av servicekedjor måste jämföra sin egen verksamhet med andra tjänstetillhandahållares verksamhet, kan Tillståndsmyndigheten för social- och hälsovårdsuppgifter under de förutsättningar som anges i 45 § producera behövligt jämförelsematerial i anonymiserad form. 
42 § 
Myndighetsstyrning och myndighetstillsyn inom social- och hälsovården 
Tillsynsmyndigheter inom social- och hälsovården kan för utförande av sina lagstadgade styrnings- och tillsynsuppgifter av Tillståndsmyndigheten för social- och hälsovårdsuppgifter få samkörda på kunduppgifter och vid behov på andra identifierbara registeruppgifter hos i 6 § avsedda registeransvariga baserade samkörda uppgifter i anonymiserad form.  
Sådana uppgifter enligt 1 mom. som en tillsynsmyndighet som avses i momentet enligt någon annan lag har rätt att få trots sekretessplikten kan på motiverad begäran lämnas ut också som identifierbara.  
De uppgifter som avses i 2 mom. kan lämnas ut till tillsynsmyndigheten via den informationssäkra drifttjänst som avses i 17 §. 
5 kap.  
Behandling av ansökan om användningstillstånd, begäran om anonymiserade uppgifter och utlämnade uppgifter  
43 §  
Allmänna grunder för beviljande av användningstillstånd 
Ett användningstillstånd för personuppgifter får beviljas, om användningsändamålet för uppgifterna enligt ansökan och planen för användning av uppgifterna  
överensstämmer med den allmänna dataskyddsförordningen, personuppgiftslagen samt denna och någon annan lag som gäller uppgifterna, 
förverkligas ändamålsenligast genom användning av i ansökan avsedda uppgifterna. 
Om ansökan om användningstillstånd hänför sig till ett sådant användningsändamål för vilket det föreskrivs separat om tillståndsförfarande och grunder för beviljande av tillstånd, ska samtliga förutsättningar för tillståndet i fråga uppfyllas.  
Om de uppgifter som lämnas ut har sammanställts med den registrerades samtycke, kan användningstillstånd för registeruppgifter som gäller den registrerade beviljas endast om det är förenligt med samtycket och med villkoren för användningen och utlämnandet av informationen. Om uppgifterna om ansökan om användningstillstånd hänför sig till ett användningsändamål som baserar sig på den registrerades samtycke, kan användningstillstånd beviljas endast för sådana uppgifter som omfattas av den registrerades samtycke.  
Ett användningstillstånd kan beviljas för viss tid, om det är uppenbart att de intressen som sekretessen är avsedd att skydda inte kränks om uppgifterna lämnas ut. Tillståndet ska utifrån riskerna förenas med krav på åtgärder till skydd för behandlingen av uppgifter samt andra föreskrifter som behövs för att skydda enskilda intressen. Ett tillstånd kan återkallas om prövas föreligga skäl för återkallandet. 
Om Tillståndsmyndigheten för social- och hälsovårdsuppgifter utifrån ansökan om användningstillstånd konstaterar att ärendet kan behandlas som en begäran om information enligt 45 § och inte som en tillståndsansökan, ska tillståndsmyndigheten ta kontakt med den tillståndssökande och föreslå att ärendet behandlas som en begäran om information. Om den tillståndssökande kräver att ärendet behandlas som en tillståndsansökan, ska tillståndsmyndigheten fatta beslut i ärendet.  
44 §  
Behörighet för behandling av användningstillstånd  
Tillståndsmyndigheten för social- och hälsovårdsuppgifter svarar för att besluta om användningstillstånd, om ansökan om användningstillstånd gäller personregister som förs av flera registeransvariga enligt 6 § eller uppgifter som registrerats i Kanta-tjänsterna. Tillståndsmyndigheten svarar dessutom alltid för att besluta om användningstillstånd, om uppgifter ska lämnas ut för sådan utvecklings- och innovationsverksamhet som avses i 38 §. Tillståndsmyndigheten svarar dock för att besluta om användningstillstånd för Pensionsskyddscentralens, Befolkningsregistercentralens och Statistikcentralens uppgifter endast om uppgifterna samkörs med uppgifter som innehas av de organisationer som avses i 6 § 1—8 punkten. 
Tillståndsmyndigheten svarar dessutom för att besluta om användningstillstånd, om tillståndsansökan gäller registeruppgifter hos en eller flera privata serviceanordnare inom social- och hälsovården.  
Om en ansökan om användningstillstånd gäller uppgifter i personregister hos endast en av de organisationer som avses i 6 §, svarar organisationen själv för beslutet om användningstillstånd. Tillståndsmyndigheten kan dock avtala med de övriga organisationer som avses i 6 § att den svarar för att besluta om användningstillstånd för en avtalsslutande organisations räkning. 
Den myndighet som svarar för att besluta om användningstillstånd har rätt att begära utlåtande från dataombudsmannen om en ansökan om användningstillstånd, om den beslutande myndigheten bedömer att det behövs.  
45 §  
Utlämnande av anonymiserade uppgifter  
Om den sökande begär kunduppgifter eller sådana andra personuppgifter som avses i 6 § för ett användningsändamål enligt 2 § endast i anonymiserad form, bedömer Tillståndsmyndigheten för social- och hälsovårdsuppgifter med stöd av artikel 9.2 g och artikel 86 i dataskyddsförordningen om de begärda uppgifterna kan anonymiseras.  
På utlämnande av anonymiserade uppgifter tillämpas dessutom 41 och 42 §.  
46 § 
Lämnande av ansökan om användningstillstånd och begäran om information till Tillståndsmyndigheten för social- och hälsovårdsuppgifter 
Ansökningar om användningstillstånd och begäranden om information ska lämnas till Tillståndsmyndigheten för social- och hälsovårdsuppgifter via det system för hantering av begäranden om information som avses i 16 §. Om sökanden kompletterar sin ansökan, ska även kompletteringen lämnas till tillståndsmyndigheten via hanteringssystemet för begäranden av information. Till en tillståndsansökan och en begäran om anonymiserade uppgifter ska det fogas en plan för användning av uppgifterna. 
Tillståndsmyndigheten utfärdar meddelar om datainnehållet och datastrukturerna i ansökan om användningstillstånd och planen för användning av uppgifterna. 
47 § 
Tidsfrister för behandling av användningstillstånd 
Beslut om ansökan om användningstillstånd ska meddelas utan dröjsmål, dock senast tre månader från det att tillståndsansökan har inkommit i fullständig form till myndigheten. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter kan av vägande skäl besluta att behandlingstiden för ansökningar om användningstillstånd ska förlängas med högst tre månader, om behandlingen av ansökan om användningstillstånd och den anknytande planen för användning av uppgifterna förutsätter en exceptionellt omfattande behandling som även omfattar flera olika registeransvarigas uppgifter eller särskilt krävande prövning. Tillståndsmyndigheten ska underrätta den som ansöker om tillstånd om förlängning av tidsfristen och om grunden för förlängningen samt om den nya tidsfrist inom vilken tillståndsbeslutet meddelas. 
Om den myndighet som svarar för beslutet om användningstillstånd begär ett utlåtande enligt 44 § 4 mom. från dataombudsmannen, avbryts den ansvariga myndighetens tidsfrist för behandling av ansökan tills utlåtandet har kommit in. 
En registeransvarig som avses i 6 § och en privat tillhandahållare av social- och hälsovårdstjänster ska utan dröjsmål lämna tillståndsmyndigheten de uppgifter som behövs för behandlingen av en ansökan om användningstillstånd eller av en sådan begäran om anonymiserade uppgifter som avses i 45 §, dock senast 15 vardagar från det att begäran inkom. 
48 § 
Tidsfrister för utlämnande av uppgifter 
En registeransvarig som avses i 6 § och en privat tillhandahållare av social- eller hälsovårdstjänster ska på begäran av tillståndsmyndigheten utan dröjsmål lämna ut registeruppgifter enligt ett beviljat användningstillstånd eller uppgifter som behövs för behandlingen av en sådan begäran om anonymiserade uppgifter som avses i 45 §, dock senast 30 dagar från det att tillståndsmyndigheten har fattat beslut om att uppgifterna får lämnas ut till sökanden. Om den utredning som den sökande anför till stöd för utlämnande av uppgifter är otillräcklig, ska tillståndsmyndigheten utan dröjsmål underrätta sökanden om vilka tilläggsutredningar som krävs. De begärda uppgifterna ska då lämnas till sökanden inom 30 dagar från det att tilläggsutredning togs emot, om säkerhet om förutsättningarna för utlämnandet kan nås med stöd av den inlämnade tilläggsutredningen.  
Om uppgifterna inte kan lämnas ut till tillståndsmyndigheten inom den tid som avses i 1 mom., ska den registeransvarige före tidsfristens utgång informera om dröjsmålet, om orsaken till dröjsmålet och om den förlängning av tidsfristen som behövs för utlämnande av uppgifter. Tillståndsmyndigheten ska av grundad anledning ställa en ny tidsfrist för utlämnandet. 
Tillståndsmyndigheten ska lämna ut de uppgifter som den med stöd av ett användningstillstånd samlat in och samkört till tillståndshavaren utan dröjsmål, dock senast 60 dagar från det att tillståndet beviljades. 
Tillståndsmyndigheten kan av vägande skäl förlänga tidsfristen för utlämnandet, om uppgifternas användningsändamål förutsätter en exceptionellt omfattande behandling som berör uppgifter hos flera olika registeransvariga eller en särskilt krävande samkörning. Tillståndsmyndigheten ska informera tillståndshavaren om förlängningen av tidsfristen och om grunden för förlängningen samt om den nya tidsfrist inom vilken uppgifterna ska lämnas ut. 
49 § 
Avgift för användningstillstånd 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter eller någon annan myndighet som beviljat tillstånd får ta ut en avgift för användningstillståndet. Bestämmelser om grunderna för fastställande av avgifter finns i lagen om grunder för avgifter till staten (150/1992). 
50 § 
Ersättningar för tjänster 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter får ta ut ersättning för urval, tillhandahållande och samkörning av uppgifter enligt ett användningstillstånd som avses i denna lag, samt för användning av en informationssäker miljö. 
Ersättningar som gäller uppgifter som med stöd av användningstillstånd plockas ut och tillhandahålls från andra datalager än tillståndsmyndighetens egna bestäms i enlighet med vad som föreskrivs om varje registeransvarig som tillhandahållit uppgifterna. Den registeransvarige eller registerföraren som lämnar ut uppgifter till tillståndsmyndigheten med stöd av ett användningstillstånd enligt denna lag har rätt att av tillståndsmyndigheten som ersättning få en på föreskrivet sätt bestämd andel av de kostnadsersättningar som påförts tillståndshavaren.  
Den som har rätt till ersättning i enlighet med denna paragraf ska på begäran tillhandahålla tillståndsmyndigheten en uppskattning av vilka kostnader den som har rätt till ersättning för behandlingen av uppgifter orsakas. Tillståndsmyndigheten gör utifrån de uppgifter den erhållit upp ett kostnadsförslag för tillmötesgående av en begäran om information och lämnar den till den som ansöker om tillstånd. Tillståndsmyndigheten tar ut de ersättningar som avses i 2 mom. hos tillståndshavaren och redovisar dem för de registeransvariga som lämnat uppgifter. 
Tillståndsmyndigheten kan ta ut ersättning för urval av uppgifter ur sina egna datalager, för samkörning och tillhandahållande av uppgifter samt för användning av den informationssäkra miljön. 
Registrering och införande av en i 30 § 1 mom. i denna lag avsedd anmälan i offentligt register hos Tillstånds- och tillsynsverket för social- och hälsovården är avgiftsbelagd. 
Bestämmelser om grunderna för bestämmande av ersättningar finns i lagen om grunderna för avgifter till staten. Bestämmelser om avgifter som gäller godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet. 
51 § 
Utlämnande av uppgifter till tillståndshavaren sedan användningstillstånd beviljats  
Om Tillståndsmyndigheten för social- och hälsovårdsuppgifter har beviljat användningstillstånd i en situation där detta förutsätts enligt 44 §, inhämtar tillståndsmyndigheten och vid behov samkör den de uppgifter som specificeras i användningstillståndet och lämnar ut datamaterialet till tillståndshavaren för behandling på följande sätt: 
om de uppgifter som ska lämnas ut är identifierbara eller pseudonymiserade, lämnas de ut via en informationssäker drifttjänst som avses i 17 § för behandling i en informationssäker driftmiljö som avses i 20 § 1 mom.,  
om det av skäl som framgår särskilt av planen för användning av uppgifterna och användningstillståndet är nödvändigt, lämnas uppgifterna ut pseudonymiserade eller försedda med personbeteckningar via en informationssäker drifttjänst som avses i 17 § för behandling i en informationssäker driftmiljö som avses i 20 § 3 mom. 
Om användningsändamålet förutsätter behandling av uppgifter som Statistikcentralen eller Institutet för hälsa och välfärd i egenskap av statistikmyndighet samlat in för statistiska ändamål, samkör statistikmyndigheten och vid behov pseudonymiserar eller anonymiserar den de uppgifter som ska lämnas ut. Om användningsändamålet förutsätter samkörning, pseudonymisering eller anonymisering av båda statistikmyndigheternas uppgifter, kommer myndigheterna sinsemellan överens om vilken myndighet som samkör och pseudonymiserar eller anonymiserar uppgifterna. Uppgifterna kan därefter beroende på art och omfattning lämnas ut vi hanteringssystemet för begäranden om information till tillståndshavaren för behandling i en informationssäker driftmiljö som förvaltas av Statistikcentralen eller Tillståndsmyndigheten för social- och hälsovårdsuppgifter eller i någon annan driftmiljö enligt 20 §. 
Leverantören av en driftmiljö ska innan en anslutning till tillståndshavaren öppnas säkerställa att tillståndshavaren uppfyller kraven i användningstillståndet. 
52 § 
Redogörelseskyldighet för myndigheter som ansvarar för behandlingen av användningstillstånd 
Myndigheter som ansvarar för behandlingen av användningstillstånd ska minst en gång om året lämna dataombudsmannen en detaljerad redogörelse för behandlingen av uppgifter med stöd av denna lag och för behandlingen av uppgifter som registrerats i loggregistret.  
53 § 
Sekretessplikt 
Även på andra uppgifter som erhållits med stöd av denna lag än uppgifter från myndigheter tillämpas offentlighetslagens  
1) 22 § om handlingssekretess, 
2) 23 § om tystnadsplikt och förbud mot utnyttjande, 
3) 24 § om sekretessbelagda uppgifter, 
4) 31 § om upphörande av sekretess i fråga om en handling, 
5) 32 § om undantag i fråga om och upphörande av tystnadsplikt. 
Om sekretessbelagda uppgifter med stöd av denna lag lämnas ut till någon annan än en myndighet, ska mottagaren i samband med utlämnandet informeras om sekretessplikten så som föreskrivs i 25 § i offentlighetslagen. 
Trots vad som någon annanstans i lag föreskrivs om rätten eller skyldigheten att lämna ut sekretessbelagda uppgifter, får uppgifter som samlats in med stöd av denna lag inte lämnas ut för administrativt beslutsfattande eller någon annan motsvarande behandling av ärenden som gäller en enskild person utan hans eller hennes uttryckliga samtycke. Tillståndsmyndigheten för social- och hälsovårdsuppgifter får dock i en tillsynsuppgift som gäller någon annan än den registrerade använda uppgifter som den erhållit med stöd av 42 §, när lagenligheten eller den professionella lämpligheten bedöms i verksamhet som bedrivs av verksamhetsenheter eller yrkesutbildade personer inom social- och hälsovården. 
6 kap. 
Särskilda bestämmelser 
54 §  
Rättigheter, skyldigheter och åtgärder på grund av betydande kliniska fynd 
Trots vad som föreskrivs i 53 § 3 mom. har en innehavare av användningstillstånd rätt att till den ansvariga person som Tillståndsmyndigheten för social- och hälsovårdsuppgifter utsett anmäla betydande kliniska fynd på grundval av vilka hälsorisker för en viss patient kan förebyggas eller vårdens kvalitet betydligt förbättras.  
Om de uppgifter som är grunden för den anmälan som avses i 1 mom. är pseudonymiserade, ska den ansvariga personen utreda vem eller vilka informationen gäller. När tillståndsmyndighetens ansvariga person känner till vilken eller vilka personer som en anmälan enligt 1 mom. gäller, ska den ansvariga personen utan obefogat dröjsmål lämna uppgifterna till en expert som utsetts av Institutet för hälsa och välfärd. 
Den expert som avses i 2 mom. ska i samarbete med övriga experter som utsetts av institutet bedöma betydelsen av informationen och den förväntade nyttan med de åtgärder som kan vidtas med stöd av den. Om nyttan bedöms vara så uppenbar att det skulle vara viktigt att den som ska undersökas får vård, ska den expert vid Institutet för hälsa och välfärd som avses i 2 mom. anmäla fyndet till den verksamhetsenhet som med stöd av hälso- och sjukvårdslagen (1326/2010) är regionalt ansvarig för den aktuella personens hälso- och sjukvård. 
Den verksamhetsenhet som avses i 3 mom. ska kontakta patienten och klarlägga om han eller hon vill ha information om det betydande kliniska fyndet och de undersöknings- och vårdåtgärder som eventuellt ska vidtas på grundval av det samt om den förväntade nyttan med åtgärderna. 
Patienten har rätt att förbjuda kontakt som tas på basis av ett kliniskt betydande fynd. Förbudet antecknas i patientens informationshanteringstjänst som avses i 14 a § i klientuppgiftslagen. Patienten kan meddela förbudet skriftligt hos en valfri verksamhetsenhet som producerar offentlig hälso- och sjukvård eller elektroniskt via det medborgargränssnitt som avses i 19 § i klientuppgiftslagen.  
55 §  
Styrning, övervakning och uppföljning 
För den allmänna planeringen, styrningen och övervakningen av behandling av kunduppgifter enligt denna lag och av anknytande informationsförvaltning svarar social- och hälsovårdsministeriet.  
Dataombudsmannen, Tillstånds- och tillsynsverket för social- och hälsovården samt Tillståndsmyndigheten för social- och hälsovårdsuppgifter styr och övervakar inom sitt verksamhetsområde i enlighet med sin behörighet efterlevnaden av denna lag. 
Tillståndsmyndigheten och övriga myndigheter som beviljar användningstillstånd i enlighet med denna lag samt Tillstånds- och tillsynsverket för social- och hälsovården ska för sin del följa och övervaka att det dataskydd och den datasäkerhet som hänför sig till deras tjänster förverkligas och att villkoren för tillstånd som de beviljar iakttas. Om någon har behandlat patientuppgifter i strid med lag, ska den behöriga myndigheten på eget initiativ vidta behövliga åtgärder. Om uppgifter med stöd av 20 § 3 mom. behandlas i någon annan driftmiljö än tillståndsmyndighetens informationssäkra driftmiljö ska logguppgifter enligt 19 § och uppgifter i ett användarregister enligt 22 § 2 mom. på tillståndsmyndighetens begäran lämnas till den utan obefogat dröjsmål.  
Om tillståndsmyndigheten eller en myndighet som beviljar användningstillstånd i enlighet med denna lag har grundad anledning att misstänka att den som behandlar uppgifter med stöd av ett användningstillstånd från myndigheten inte behandlar personuppgifter i enlighet med lag, ska myndigheten underrätta dataombudsmannen om saken snarast möjligt. 
56 §  
Skyldighet för Tillståndsmyndigheten för social- och hälsovårdsuppgifter att rapportera till styrgruppen 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter ska rapportera till styrgruppen om avvikelser från de tidsfrister som avses i 47 och 48 § och publicera uppgifter om dem. 
57 §  
Överklagande 
I ett beslut enligt denna lag som Tillståndsmyndigheten för social- och hälsovårdsuppgifter eller en registeransvarig som avses i 6 § meddelat om en ansökan om användningstillstånd och om återkallande av ett tillstånd och i ett beslut om utlämnande av anonymiserade uppgifter enligt 45 § samt i ett beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med stöd av denna lag får omprövning begäras på det sätt som anges i förvaltningslagen hos den myndighet som fattat beslutet.  
I ett beslut som har fattats med anledning av en begäran om omprövning får ändring sökas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). Förvaltningsdomstolens beslut får överklagas genom besvär bara om högsta förvaltningsdomstolen beviljar besvärstillstånd. 
58 § 
Ikraftträdande 
Denna lag träder i kraft den 20.  
59 § 
Övergångsbestämmelser 
Utöver vad som föreskrivs i 41 § har kommunen eller samkommunen i enlighet med den bestämmelsen rätt att på ett identifierbart sätt behandla och samköra kunduppgifter som har lagrats i det gemensamma register som avses i 9 § 1 mom. i hälso- och sjukvårdslagen till dess att lagen om ordnande av social- och hälsovården (/) träder i kraft. 
Bestämmelserna om logguppgifter i 19 § och om kraven på informationssäkra driftmiljöer i 20 § 3 mom. och 21—29 § samt om kliniska fynd i 54 § 5 mom. tillämpas från och med den 1 januari 2020. Före denna tidpunkt får uppgifter lämnas ut för behandling till tillståndstagaren med stöd av 51 § 1 mom. 2 punkten, även om det i ansökan om användningstillstånd inte anvisas en informationssäker driftmiljö för behandlingen av uppgifter. 
Tidsfristerna för utlämnande av uppgifter enligt 47 § 4 mom. och 48 § tillämpas på Folkpensionsanstalten och tjänsteanordnare inom socialvården från och med den 1 januari 2023 samt på uppgifter om recept och anknytande receptexpedieringar som registrerats i det receptcenter som avses i 3 § 1 mom. 4 punkten och i det receptarkiv som avses i 3 § 1 mom. 5 punkten i lagen om elektroniska recept från och med den 1 januari 2020.  
Denna lag tillämpas på de Kanta-tjänster som avses i klientuppgiftslagen från och med den 1 januari 2020.  
Uppgifter som före lagens ikraftträdande samlats in med den berördas samtycke får användas och lämnas ut för användningsändamål enligt 2 § trots vad som föreskrivs i 43 § 2 mom., om det är uppenbart att användningen och utlämnandet inte i väsentlig mån avviker från de syften för vilka uppgifterna har lämnats.  
Behandlingen av en ansökan som har gjorts innan denna lag trätt i kraft slutförs i enlighet med de bestämmelser som gällde vid ikraftträdandet. På en ansökan som gäller utlämnande av personuppgifter enligt 4 § i lagen om riksomfattande personregister för hälsovården (556/1989) tillämpas dock inte skyldigheten enligt 1 mom. i den paragrafen att ge dataombudsmannen möjlighet att bli hörd, utan rätten enligt 44 § 4 mom. i denna lag att begära utlåtande från dataombudsmannen om en ansökan om användningstillstånd. 
Bestämmelserna om en rådgivningstjänst i 13 § i denna lag ska tillämpas från och med den 1 januari 2018. 
Bestämmelserna om behandling av begäranden om anonymiserad information i 41 § 2 mom. och 42 och 45 § i denna lag ska tillämpas från och med den 1 juni 2018. 
Bestämmelserna om en tjänst för insamling, samkörning och förbehandling av uppgifter i 14 § 2 mom., ett hanteringssystem för begäranden om information i 16 § och informationssäker driftmiljö i 20 § 1 mom. tillämpas från och med den 1 juni 2018.  
Behörighet för behandling av användningstillstånd bestäms i enlighet med 44 § 1 och 2 mom. i denna lag från och med den 1 september 2018. Ansökan om användningstillstånd ska via hanteringssystemet för begäranden om information lämnas till tillståndsmyndigheten från och med den 1 september 2018.  
2. 
Lag 
om ändring av lagen om Institutet för hälsa och välfärd 
I enlighet med riksdagens beslut 
ändras i lagen om Institutet för hälsa och välfärd (668/2008) 2 § 1 mom. 3 och 4 punkten och 5 §, av dem 5 § sådan den lyder delvis ändrad i lag 1067/2009, samt  
fogas till 2 § 1 mom., sådant det lyder delvis ändrat i lagarna 1067/2009 och 1231/2010, nya 3 a-, 3 b-, 4 c- och 4 d-punkter samt till lagen nya 5 a—5 i § som följer: 
2 § 
Uppgifter 
Institutet ska 
3) bedriva forskning inom branschen,  
3 a) främja utveckling och innovationer, 
3 b) ta initiativ och göra framställningar som behövs för att utveckla social- och hälsovården och dess service och främja befolkningens hälsa och välfärd, 
4) upprätthålla datafiler samt föra register inom området och sörja för kunskapsunderlaget inom sitt uppgiftsområde och för nyttiggörandet av det,  
4 c) vara en statistikmyndighet som avses i 2 § 2 mom. i statistiklagen (280/2004), 
4 d) föra kvalitetsregister inom branschen, 
5 §  
Rätt att få och att behandla uppgifter 
För skötseln av de uppgifter som Institutet för hälsa och välfärd har enligt 2 § 1—3 och 4 punkten samt 4 d-punkten har institutet rätt att avgiftsfritt och trots sekretessplikten och andra begränsningar i fråga om användningen av uppgifter få nödvändiga uppgifter om befolkningen tillsammans med identifieringsuppgifter enligt följande: 
1) av myndigheter som ordnar social- och hälsovård enligt 4 § i lagen om offentlighet i myndigheternas verksamhet (621/1999) samt privata aktörer som ordnar och producerar social- och hälsovårdstjänster uppgifter som gäller institutionsvård och öppenvård samt prehospital akutsjukvård inom social- och hälsovården i fråga om
a) kunder och patienter,
b) foster, barn som fötts levande och barn som fötts döda samt uppgifter om modern och om fadern, om han är känd,
c) serviceanordnare och serviceproducenter,
d) tidpunkt för inledande och avslutande av servicen,
e) kundens hemkommun och boendeform,
f) grunden för tillhandahållande av servicen och tillgången till den,
g) behovet, arten och omfattningen av servicen,
h) sjukdom, skada, handikapp, social situation eller medicinskt tillstånd samt till dessa anknytande åtgärder och beslut, tjänster och vård, undersökningsresultat, medicinering och rehabilitering,
i) vaccineringar samt annat förebyggande av sjukdomar och servicebehov,
j) kvaliteten på åtgärder och tjänster och deras verkningsfullhet,
k) produktsäkerheten i fråga om produkter och utrustning för hälso- och sjukvård,
l) kund- och patientsäkerheten,
m) personal och andra resurser som använts för tjänsterna och kostnaderna för dessa resurser,
n) avgifter som tagits ut för tjänsterna.
 
2) av Folkpensionsanstalten
a) uppgifter om de förmåner som Folkpensionsanstalten ålagts att verkställa och uppgifter om hur förmånerna använts samt uppgifter om recept och anknytande receptexpedieringar ur det receptarkiv och den receptdatabas som avses i lagen om elektroniska recept,
b) uppgifter ur de riksomfattande informationssystemstjänster (Kanta-tjänster) som avses i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007),
 
3) av Tillstånds- och tillsynsverket för social- och hälsovården
a) uppgifter om avbrytande av havandeskap och om sterilisering enligt lagen om avbrytande av havandeskap (239/1970) och steriliseringslagen (283/1970),
b) uppgifter om yrkesutbildade personer inom socialvården och hälso- och sjukvården ur det centralregister över yrkesutbildade personer inom hälso- och sjukvården som avses i 24 a § i lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994) och ur det centralregister över yrkesutbildade personer inom socialvården som avses i 16 § i lagen om yrkesutbildade personer inom socialvården (817/2015),
 
4) av Befolkningsregistercentralen grundläggande personuppgifter, uppgifter om personers familjeförhållanden och bostadsort samt byggnadsuppgifter ur befolkningsdatasystemet som avses i 3 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009), samt 
5) av Statistikcentralen uppgifter som avses i lagen om utredande av dödsorsak (459/1973). 
Som identifieringsuppgift enligt 1 mom. insamlas för en person personbeteckningen och för en annan dataenhet en identifieringskod.  
De uppgifter som avses i 1 och 2 mom. får inhämtas med hjälp av en elektronisk anslutning. 
5 a § 
Utlämnande av uppgifter 
Uppgifter som samlats in med stöd av 5 § 1 mom. 1 punkten i denna lag får lämnas ut med iakttagande av vad som föreskrivs i lagen om sekundär användning av personuppgifter inom social- och hälsovården ( / ). 
Trots vad som föreskrivs någon annanstans i lag om rätten eller skyldigheten att lämna ut sekretessbelagda uppgifter, får uppgifter som samlats in med stöd av denna lag inte lämnas ut för att användas vid administrativt beslutsfattande som gäller enskilda personer eller familjer eller vid någon annan motsvarande behandling av ärenden.  
Vad som föreskrivs i 2 mom. eller i någon annan lag utgör inget hinder för att uppgifterna lämnas tillbaka till den myndighet eller den tjänstetillhandahållare som har lämnat datamaterialet till institutet.  
5 b §  
Bevaringstid för uppgifter 
Institutet för hälsa och välfärd får bevara uppgifterna så länge det är nödvändigt för att fullgöra de uppdrag där uppgifterna behandlas, om det inte föreskrivs något annat om bevaring av uppgifter i någon annan lag som gäller institutet. Efter detta ska uppgifterna förstöras inom ett år, om inte Arkivverket med stöd av arkivlagen (831/1994) bestämmer att uppgifterna ska bevaras varaktigt.  
Uppgifter som avses i artikel 9.1 i dataskyddsförordningen ska dock utplånas ur registret så snart den i 1 mom. avsedda grunden för behandling inte längre finns. Grunden och behovet av behandling ska bedömas minst vart femte år, om inte något annat följer av lag. 
5 c § 
Uppgiftsskyldighet och beslut om uppgiftsinsamling 
En registeransvarig, vars registeruppgifter omfattas av den rätt att få information som Institutet för hälsa och välfärd har enligt 5 § 1 mom., är skyldig att lämna institutet de uppgifter som avses i 5 § i enlighet med institutets beslut.  
Institutet för hälsa och välfärd beslutar vilka nya insamlingar av uppgifter som ska genomföras på basis av den uppgiftsskyldighet som avses i 1 mom. samt om utvidgning av insamlingar av uppgifter, vilka tidsfrister och förfaranden som ska iakttas när uppgifterna lämnas samt om återrapportering till uppgiftslämnarna.  
Omprövning av institutets beslut enligt 2 mom. får begäras på det sätt som anges i förvaltningslagen (434/2003). Vidare har Dataombudsmannen rätt att begära omprövning och söka ändring i ett beslut som avses i 2 mom. 
I ett beslut som har fattats med anledning av en begäran om omprövning får ändring sökas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (568/1996). Förvaltningsdomstolens beslut får överklagas genom besvär bara om högsta förvaltningsdomstolen beviljar besvärstillstånd. Ett beslut kan verkställas omedelbart, om inte besvärsmyndigheten förbjuder verkställigheten.  
5 d § 
Samrådsskyldighet och bedömning av behovet av information 
Om det är fråga om en ny insamling av uppgifter, en betydande ändring av informationsinnehållet i uppgifter som redan samlas in eller en utvidgning av insamlingar av uppgifter, ska Institutet för hälsa och välfärd samråda med organisationer som företräder de uppgiftslämnare som avses i 5 c § 1 mom. samt höra Dataombudsmannen om i 5 § 2 mom. avsedd insamling av uppgifter innan institutet fattar beslut om uppgiftskyldigheten. 
Vid samråd enligt 1 mom. bedöms behovet av de uppgifter som ska samlas in, innehållet och förändringar i det, bevaringstiden för uppgifterna och sättet att samla in dem samt behovet av identifieringsuppgifter.  
Samråd och hörande enligt 1 mom. ska ordnas i så god tid att synpunkterna hos de instanser som företräder uppgiftslämnarna och dataombudsmannens synpunkter kan beaktas. Samråd ska ordnas också om en instans som företräder uppgiftslämnarna begär det. 
5 e §  
Rätt att få och att hantera prov 
För fullgörande av sina forsknings- och utredningsuppgifter enligt 2 § eller någon annan lag får Institutet för hälsa och välfärd samla in och behandla blod- och vävnadsprov om det är nödvändigt för skötseln av uppgifterna. 
Institutet får i enlighet med biobankslagen (688/2012) överföra blod- och vävnadsprov som det innehar samt tillhörande uppgifter till en biobank. 
På förvaring av blod- och vävnadsprov tillämpas 5 b § om bevaringstid för uppgifter. 
5 f § 
Överföring av betydelsefullt forskningsmaterial till Institutet för hälsa och välfärd 
Om forskning och material från forskning som bedrivs av universitet, andra forskningsinstitut, enskilda forskare, forskargrupper eller verksamhetsenheter inom social- och hälsovården är speciellt betydelsefulla för befolkningens välfärd eller hälsa och för forskning som gäller dem, får materialet oberoende av sekretessbestämmelserna överföras till Institutet för hälsa och välfärd genom ett avtal för att användas inom forskningsverksamhet.  
För överföring av forskningsmaterial som avses i 1 mom. förutsätts det att den etiska kommittén vid Institutet för hälsa och välfärd ger ett positivt utlåtande om överlåtelsen.  
5 g § 
Rätt för Institutet för hälsa och välfärd att få uppgifter för att utföra sinnesundersökningar 
Institutet för hälsa och välfärd och den som på förordnande av Institutet för hälsa och välfärd med stöd av mentalvårdslagen (1116/1990) utför sinnesundersökningar har rätt att avgiftsfritt och trots bestämmelserna om sekretess få uppgifter som behövs för utförande av sinnesundersökningar från statliga och kommunala myndigheter och andra offentligrättsliga sammanslutningar, Folkpensionsanstalten, Pensionsskyddscentralen, patientskadenämnden, pensionsstiftelser och andra pensionsanstalter, försäkringsanstalter, serviceproducenter enligt 2 § 2 mom. om privat hälso- och sjukvård (152/1990), och självständiga yrkesutövare enligt 2 § 3 mom. i den lagen, verksamhetsenheter enligt 3 § 2 mom. i lagen om privat socialservice (922/2011) samt apotek. Nämnden för rättspsykiatriska ärenden har rätt till motsvarande uppgifter för fullgörande av uppgifter enligt 3 a § 2 mom. i denna lag. 
5 h § 
Behandling av uppgifter som statistikmyndighet 
När Institutet för hälsa och välfärd verkar som statistikmyndighet som avses i 2 § 4 c punkten är kommuner, samkommuner, statliga myndigheter samt offentliga och privata tjänsteproducenter inom social- och hälsovården skyldiga att på begäran förse institutet med sådana uppgifter om social- och hälsovårdsverksamhet som är nödvändiga för att upprätta statistik och som inte innehåller identifieringsuppgifter. På motsvarande sätt är Folkpensionsanstalten skyldig att lämna forsknings- och utvecklingscentralen uppgifter om betalda förmånsbelopp och antalet förmånstagare.  
Uppgifter som tagits emot med stöd av denna paragraf får behandlas endast i enlighet med statistiklagen. 
Institutet för hälsa och välfärd får vidare använda uppgifter som det inhämtat med stöd av 5 § även för statistikmyndighetsuppgifter. 
5 i § 
Kvalitetsregister 
Med kvalitetsregister avses ett register vars uppgifter används för utvärdering av behandlingen av en viss sjukdom eller en viss behandlingsmetod eller för utvärdering av socialservice. I registret lagras nödvändiga personuppgifter i anknytning till sjukdomen och behandlingsmetoden eller tillhandahållandet av socialservice. För att behandlingens eller servicens kvalitet ska kunna utvärderas får det i registret dessutom lagras uppgifter om vilken verksamhetsenhet som svarat för behandlingen eller servicen och vilka personer som gett behandlingen eller servicen. 
Ett kvalitetsregister som omfattas av Institutet för hälsa och välfärds registeransvar får användas för användningsändamål som avses i lagen om sekundär användning av personuppgifter inom social- och hälsovården. 
Bestämmelser om vilka kvalitetsregister Institutet för hälsa och välfärd är registeransvarig för utfärdas genom förordning av social- och hälsovårdsministeriet. Institutet för hälsa och välfärd meddelar föreskrifter om datastrukturer och datainnehåll i sina kvalitetsregister. 
Denna lag träder i kraft den20. 
Om personuppgifter före denna lags ikraftträdande har samlats in i ett kvalitetsregister och den registeransvarige för personuppgifterna inte är en myndighet eller en verksamhetsenhet inom social- och hälsovården, ska den registeransvarige senast den 30 mars 2018 lämna uppgifter till social- och hälsovårdsministeriet om registret och dess registerbeskrivning samt andra nödvändiga uppgifter för att ärendet ska kunna bedömas. 
3. 
Lag 
om ändring av 30 e § i läkemedelslagen 
I enlighet med riksdagens beslut  
upphävs i läkemedelslagen (395/1987) 30 e § 4 mom., sådant det lyder i lag 330/2013, samt  
ändras 30 e § 6 mom., sådant det lyder i lag 330/2013, som följer: 
30 e § 
Säkerhets- och utvecklingscentret för läkemedelsområdet meddelar närmare föreskrifter om förande av register över biverkningar och om rapportering av uppgifter till Säkerhets- och utvecklingscentret för läkemedelsområdet. Centret får vid behov meddela föreskrifter om rapporteringen av biverkningar av läkemedelspreparat till dem som har rätt att förskriva och expediera läkemedel. 
Denna lag träder i kraft den20. 
4. 
Lag 
om upphävande av 18 § 5 mom. i lagen om klientens ställning och rättigheter inom socialvården 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs i lagen om klientens ställning och rättigheter inom socialvården (812/2000) 18 § 5 mom., sådant det lyder i lag 796/2010. 
2 § 
Denna lag träder i kraft den 20. 
5. 
Lag 
om upphävande av 13 § 5 mom. i lagen om patientens ställning och rättigheter 
I enlighet med riksdagens beslut föreskrivs:  
1 § 
Genom denna lag upphävs i lagen om patientens ställning och rättigheter (785/1992) 13 § 5 mom., sådant det lyder i lag 795/2010. 
2 § 
Denna lag träder i kraft den 20. 
6. 
Lag 
om ändring av 15 § i lagen om elektroniska recept 
I enlighet med riksdagens beslut 
ändras i lagen om elektroniska recept (61/2007) 15 § 4 och 5 mom.,  
av dem 15 § 4 mom. sådant det lyder i lag 251/2014, som följer: 
15 § 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter har rätt att behandla och lämna ut uppgifter ur receptcentret och receptarkivet i enlighet med lagen om sekundär användning av personuppgifter inom social- och hälsovården (/). Folkpensionsanstalten har rätt att utan tillstånd från tillståndsmyndigheten använda uppgifter i receptcentret och receptarkivet i anstaltens vetenskapliga forskning. 
Folkpensionsanstalten får upprätta och överlåta sammanställningar över sådana uppgifter i receptcentret och receptarkivet som kan vara av betydelse för utredning av läkemedelssäkerheten och nyttan av och kostnaderna för läkemedelsbehandlingar samt för utvecklandet av Folkpensionsanstaltens verksamhet och tjänster. 
Denna lag träder i kraft den 20. 
7. 
Lag 
om upphävande av 10 § 3 mom. i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs 10 § 3 mom. i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007). 
2 § 
Denna lag träder i kraft den 20. 
8. 
Lag 
om upphävande av 15 § 3 mom. i lagen om utredande av dödsorsak 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs i lagen om utredande av dödsorsak (459/1973) 15 § 3 mom., sådant det lyder i lag 684/1999. 
2 § 
Denna lag träder i kraft den20. 
9. 
Lag 
om upphävande av 42 § i lagen om smittsamma sjukdomar 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs 42 § i lagen om smittsamma sjukdomar (1227/2016). 
2 § 
Denna lag träder i kraft den 20. 
10. 
Lag 
om upphävande av lagen om riksomfattande personregister för hälsovården 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs lagen om riksomfattande personregister för hälsovården (556/1989). 
2 § 
Denna lag träder i kraft den20. 
11. 
Lag 
om upphävande av lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården (409/2001). 
2 § 
Denna lag träder i kraft den 20. 
Helsingfors den 26 oktober 2017 
Statsminister
Juha
Sipilä
Familje- och omsorgsminister
Annika
Saarikko
Senast publicerat 4.2.2019 10:52