Betänkande
ShUB
37
2018 rd
Social- och hälsovårdsutskottet
Regeringens proposition till riksdagen med förslag till lag om sekundär användning av personuppgifter inom social- och hälsovården och till vissa lagar som har samband med den
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om sekundär användning av personuppgifter inom social- och hälsovården och till vissa lagar som har samband med den (RP 159/2017 rd): Ärendet har remitterats till social- och hälsovårdsutskottet för betänkande och till grundlagsutskottet för utlåtande. 
Utlåtande
Utlåtande har lämnats av 
grundlagsutskottet
GrUU 1/2018 rd
Sakkunniga
Utskottet har hört 
jurist
Joni
Komulainen
social- och hälsovårdsministeriet
konsultativ tjänsteman
Pia-Liisa
Heiliö
social- och hälsovårdsministeriet
specialsakkunnig
Mikko
Huovila
social- och hälsovårdsministeriet
specialsakkunnig
Jukka
Lähesmaa
social- och hälsovårdsministeriet
regeringssekreterare
Helena
Raula
social- och hälsovårdsministeriet
specialsakkunnig
Satu
Tissari
social- och hälsovårdsministeriet
referendarieråd
Håkan
Stoor
Riksdagens justitieombudsmans kansli
lagstiftningsdirektör
Tuula
Majuri
justitieministeriet
överinspektör
Riina
Vuorento
undervisnings- och kulturministeriet
utvecklingschef
Asta
Wallenius
arbets- och näringsministeriet
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
förändringsdirektör för social- och hälsovårdsreformen
Jaakko
Herrala
Birkalands förbund
utvecklingschef
Leena
Storgårds
Statistikcentralen
direktör
Timo
Salovaara
Befolkningsregistercentralen
professor
Matti
Häyry
Aalto-universitetet
biträdande professor
Antti
Honkela
Helsingfors universitet
professor
Petri
Kinnunen
Lapplands universitet
forskarprofessor emeritus
Pekka
Ruotsalainen
Tammerfors universitet
MKD, professor i förebyggande hälsovård
Päivi
Rautava
Åbo universitet
generalsekreterare
Sanna Kaisa
Spoof
Forskningsetiska delegationen (TENK)
statistikchef
Tiina
Palotie-Heino
Pensionsskyddscentralen
dataadministrationsdirektör
Toni
Suihko
Södra Karelens social- och hälsovårdsdistrikt
specialsakkunnig
Maritta
Korhonen
Folkpensionsanstalten
teamchef
Jaana
Martikainen
Folkpensionsanstalten
direktör
Jussi
Holmalahti
Tillstånds- och tillsynsverket för social- och hälsovården (Valvira)
direktör för informationstjänsterna
Pekka
Kahri
Institutet för hälsa och välfärd (THL)
enhetschef
Arto
Vuori
Institutet för hälsa och välfärd (THL)
forsknings- och servicecenterdirektör
Jorma
Mäkitalo
Arbetshälsoinstitutet
utvecklingschef
Sirpa
Soini
Nationella kommittén för medicinsk forskningsetik TUKIJA
generalsekreterare
Sinikka
Sihvo
Riksomfattande etiska delegationen inom social- och hälsovården ETENE
specialistläkare
Tiina
Varis
Etiska kommittén i Egentliga Finlands sjukvårdsdistrikt
förvaltningsöverläkare
Lasse
Lehtonen
Helsingfors och Nylands sjukvårdsdistrikt
sakkunnigläkare
Tuula
Kock
​Finlands Kommunförbund
specialsakkunnig
Tuija
Savolainen
​Finlands Kommunförbund
styrelseordförande
Harri
Ketamo
Headai
forskare
Marjut
Salokannel
direktör
Tommi
Nyrönen
Suomen ELIXIR-keskus
vice ordförande
Elias
Aarnio
Electronic Frontier Finland - Effi ry
expert
Joel
Kuuva
Hyvinvointiala HALI ry
jurist
Timo
Niemi
Kuluttajaliitto - Konsumentförbundet ry
specialsakkunnig
Päivi
Opari
SOSTE Finlands social och hälsa rf
Senior Advisor
Hannu
Hämäläinen
Jubileumsfonden för Finlands självständighet Sitra
professor
Jarno
Limnéll.
Skriftligt yttrande har lämnats av 
finansministeriet
Regionförvaltningsverket i Södra Finland
enhetschef
Jarmo
Wahlfors
Finlands Akademi
CSC - IT-centret för vetenskap
Mellersta Finlands kompetenscentrum inom det sociala området (Koske)
Uleåborgs stad
Lääketeollisuus ry.
PROPOSITIONEN
I propositionen föreslås en ny lag om sekundär användning av personuppgifter inom social- och hälsovården. Regeringen föreslår också ändringar i lagen om Institutet för hälsa och välfärd, lagen om patientens ställning och rättigheter, lagen om klientens ställning och rättigheter inom socialvården, lagen om elektroniska recept, läkemedelslagen, lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården, lagen om smittsamma sjukdomar och lagen om utredande av dödsorsak samt upphävande av lagen om riksomfattande personregister för hälsovården och lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården. 
Genom de föreslagna lagarna ändras bestämmelserna inom det aktuella lagstiftningsområdet så att de motsvarar kraven enligt EU:s allmänna dataskyddsförordning, som ska tillämpas från och med den 25 maj 2018. 
Syftet med propositionen är att skapa tidsenliga och enhetliga förutsättningar för att de kunduppgifter på personnivå som uppkommer i samband med serviceverksamheten inom social- och hälsovården samt andra personuppgifter som gäller hälsa och välfärd ska kunna användas för statistikföring, forskning, utvecklings- och innovationsverksamhet, undervisning, informationsledning, myndighetsstyrning och myndighetstillsyn samt för myndigheternas planerings- och utredningsuppgifter. 
Genom de föreslagna lagarna förenhetligas den samlade lagstiftning som styr användningen av kunduppgifter inom social- och hälsovården samt andra personuppgifter som gäller hälsa och välfärd. Användningstillstånd som gäller uppgifter av detta slag ska enligt propositionen i fortsättningen beviljas centraliserat av Tillståndsmyndigheten för social- och hälsovårdsuppgifter, det ska upprättas ett centraliserat system för hantering av förfrågningar om uppgifter för behandlingen av tillstånd och förfrågningar om uppgifter och det ska utformas informationssäkra driftmiljöer och anslutningar för de uppgifter som lämnas ut enligt tillstånden. Ett centralt syfte med propositionen är att i väsentlig grad öka smidigheten och snabbheten i behandlingen av tillstånd för användning av uppgifter och lätta på den därmed förknippade administrativa börda som föranleds av parallella tillståndsförfaranden. 
I propositionen har hänsyn tagits till integrationen inom social- och hälsovården, den kraftfulla inverkan som digitaliseringen har på den elektroniska behandlingen av kunduppgifter samt de dataskydds- och informationssäkerhetskrav som behandlingen ska uppfylla. Samtidigt har den tekniska utvecklingen skapat nya möjligheter att behandla känsliga kunduppgifter och att för tillåtna användningsändamål samköra dem med andra personuppgifter på ett sätt som bättre än tidigare tryggar skyddet av kundernas personuppgifter och deras tillitsskydd. 
De föreslagna lagarna avses träda i kraft den 1 januari 2018. 
En del av bestämmelserna ska dock tillämpas först efter en övergångsperiod. 
UTSKOTTETS ÖVERVÄGANDEN
Allmänt
Social- och hälsovårdsutskottet framhåller att propositionen ger möjligheter att i större utsträckning utnyttja klient- och patientuppgifter inom social- och hälsovården i större utsträckning för andra ändamål i servicesystemet än bara för det ursprungliga ändamålet (sekundär användning av uppgifter). 
Det är välkommet att propositionen ger bättre stöd för att använda social- och hälsovårdsuppgifter för vetenskaplig forskning. När tillståndsförvaltningen för ansökningar från fler än en organisation centraliseras till en organisation blir informationsinhämtningen betydligt smidigare och snabbare. Därmed minskar den administrativa bördan i tillståndsförfarandet. I dag är tillståndsförvaltningen utspridd över flera myndigheter. En centralisering minskar forskarnas arbetsbörda och med reviderad tillståndsbehandling går det snabbare att få tillstånd. Samtidigt förkortas tiden i ovisshet om tillstånd beviljas eller inte. Det underlättar för forskarna att genomföra sina studier samtidigt som användningen av resurserna kan planeras effektivare. Enheterna inom social- och hälsovården kan frisätta en del resurser exempelvis för själva vården och omsorgen när tillståndsförvaltningen hanteras av en annan samordnad enhet. 
Bestämmelserna skapar dessutom förutsättningar för mer omfattande användning av social- och hälsovårdsuppgifter för att vidareutveckla och leda servicesystemet och för att utnyttjas av myndigheterna för planering och utredning. Möjligheter att bättre utnyttja data spelar enligt utskottet en stor roll också när servicesystemet utvärderas och följs upp. 
Ett av målen med förslaget är därför att ska nya möjligheter utnyttja data för utveckling och information och på så sätt möjliggöra ny företagsverksamhet och nya tjänster och produkter. I och med de nya informationsresurserna är det tänkt att det ska skapas förutsättningar att starta nya företag och expandera verksamheten i befintliga företag både här hemma och på det internationella planet. 
Ett av de primära målen är alltså att dataanvändningen breddas, men också att i all sekundär behandling skydda social- och hälsovårdsuppgifter för att allmänheten ska ha stort förtroende för sekundär användning av deras personuppgifter. Följaktligen ställer sig utskottet bakom propositionen också för att den möjliggöra betydligt bättre dataskydd vid sekundär behandling av känsliga personuppgifter inom social- och hälsovården. Det i sin tur stärker förtroendet för social- och hälsovårdssystemet överlag. 
Regeringen föreslår således att det byggs ett nytt gigantiskt system för sekundär behandling av uppgifter inom social- och hälsovården. Enligt sakkunniga som utskottet hört krävs det en lång rad ändringar i de föreslagna lagarna, om det ska vara säkert att behandla känsliga personuppgifter i det föreslagna systemet. Utskottet går närmare in på detta längre fram i den allmänna motiveringen och i detaljmotiveringen. 
En ny tillståndsmyndighet
Regeringen föreslår att det inrättas en nationell tillståndsmyndighet för sekundär användning av personuppgifter inom social- och hälsovården. Tack vare centraliserad behandling av ansökningar om tillstånd blir processen smidigare. Samtidigt förbättras dataskyddet och samordnas de personuppgiftsansvarigas tillståndsrutiner. 
Den nya tillståndsmyndigheten ska central ha hand om en rad tjänster vid sekundär användning av kunduppgifter inom social- och hälsovård på andra myndigheters och organisationers vägnar. Enligt 5 § fattar tillståndsmyndigheten för social- och hälsovårdsuppgifter beslut om användningstillstånd som gäller andra personuppgiftsansvarigas material samt svarar för insamling, samkörning och utlämnande av uppgifter. Tillståndsmyndigheten får också på begäran om information samla in personuppgifter från olika personuppgiftsansvariga och genom att samköra dem producera anonym information för den som framställt en begäran. 
Vidare driver tillståndsmyndigheten ett hanteringssystem för begäranden om information för behandling och förmedling av begäranden och tillståndsansökningar plus en informationssäker drifttjänst för att motta och lämna ut personuppgifter. Myndigheten förvaltar en informationssäker driftmiljö där tillståndshavaren kan behandla de utlämnade personuppgifterna. Vidare ska tillståndsmyndigheten övervaka att villkoren för tillståndet följs. Den får återkalla användningstillståndet, om tillståndshavaren inte följer lag eller bryter mot villkoren i tillståndet. 
Enligt 4 § 1 mom. ska den nya tillståndsmyndigheten finnas i anslutning till Institutet för hälsa och välfärd (THL). Tillståndsmyndig blir en enhet vid THL som enligt propositionen avskilts från sådan behandling av personuppgifter som institutet utför för användningsändamålen enligt 2 § (RP s. 100). Enligt 2 mom. leds tillståndsmyndigheten fristående från THL men omfattas av social- och hälsovårdsministeriets resultatstyrning. 
De personuppgiftsansvariga som behandlar kunduppgifter inom social- och hälsovården ingår i tillståndsmyndighetens styrstruktur. Enligt 4 och 8 § ska tillståndsmyndigheten ha en styrgrupp, som består av företrädare för de personuppgiftsansvariga som tillståndsmyndigheten får lämna ut uppgifter på grundval av propositionen. Enligt utskottet är det viktigt att de personuppgiftsansvariga via styrgruppen kan påverka bland annat de avgifter som tas ut för tjänsterna och hur resurser används för att förbättra informationssystemen. Social- och hälsovårdsministeriet lägger upp resultatmål för tillståndsmyndigheten och dess verksamhet utifrån förslag från styrgruppen. 
Dessutom tillåter 9 § i lagförslag 1 att det bildas ett aktiebolag som är underställt tillståndsmyndigheten och som inte vinstdrivande. Social- och hälsovårdsministeriet får ensamt eller tillsammans med en eller flera organisationer som avses i 6 §, undervisnings- och kulturministeriet, arbets- och näringsministeriet eller finansministeriet bilda ett aktiebolag som är underställt tillståndsmyndigheten. Bolaget ska ägas och förvaltas av staten, medan social- och hälsovårdsministeriet ansvarar för ägarstyrningen. Bolaget kan ges uppgifter i anknytning till de tjänster som avses i 10 § 3–7 punkten och som inte innefattar några beslutsbefogenheter. 
Utskottet anser det vara motiverat att tillståndsmyndigheten ska finnas i anslutning till THL. På grundval av flera lagar är institutet tillståndsmyndighet också när det gäller uppgifter hos andra personuppgiftsansvariga. När den nya myndigheten finns i anslutning till THL kan man uppnå synergivinster både kompetensmässigt och ekonomiskt. 
Tillståndsmyndigheten måste dock ha en självständig ställning i relation till THL för att kunna garantera oberoende och objektivitet i relation till THL:s egna behov av tillstånd. THL utför en hel del registerstudier, sammanställer register och använder data för sitt arbete som statistisk myndighet och i andra lagstadgade uppdrag. Med avseende på de befogenheter som tillståndsmyndigheten får är det viktigt att myndigheten klart och tydligt är fristående från THL. Om det vore THL som är tillståndsmyndighet, skulle institutet ha befogenhet att besluta att andra myndigheter ska lämna ut data till sig självt. I lagen måste THL stå som någon som använder de personuppgifter som avses där. För att intressekonflikter ska undvikas anser utskottet det nödvändigt att den nya myndigheten bedriver fristående verksamhet och att ledningen är självständig i relation till den övriga verksamheten vid THL. För att understryka den självständiga ställningen föreslår utskottet att 4 § preciseras med att direktören för myndigheten utnämns av social- och hälsovårdsministeriet. 
Social- och hälsovårdsutskottet föreslår att 8 § i lagförslag 1 kompletteras med bestämmelser om en expertgrupp som ska stödja tillståndsmyndigheten. Gruppen ska ha till uppgift att lägga upp principiella riktlinjer för dataskydd, informationssäkerhet och anonymisering i den verksamhet som Tillståndsmyndigheten för social- och hälsovårdsuppgifter bedriver. Medlemmar ska enligt utskottet ha aktuell och högkvalitativa kunskaper och visioner om dataskydds- och informationssäkerhetsfrågor och anonymiseringsteknik inom social- och hälsovårdsområdet. 
I propositionen kallas myndigheten tillståndsmyndigheten. Utskottet föreslår att myndigheten i lagen kallas Tillståndsmyndigheten. Användningstillstånd ändras till åtkomsttillstånd och ansökan om användningstillstånd till ansökan om åtkomsttillstånd. 
Utlämnande av uppgifter för utvecklings- och innovationsverksamhet
Grundlagsutskottets ställningstaganden
Enligt 2 § och 38 § i lagförslag 1 ska personuppgifter kunna behandlas och lämnas ut också för utvecklings- och innovationsverksamhet. Med utvecklings- och innovationsverksamhet avses enligt definitionen i 3 § 1 mom. 4 punkten tillämpning och användning av tekniska uppgifter och affärsinformation och annan befintlig kunskap tillsammans med personuppgifter som avses i denna lag i syfte att utveckla nya eller avsevärt förbättrade produkter, processer eller tjänster. 
I sitt utlåtande GrUU 1/2018 rd (s. 6) anser grundlagsutskottet att förslagen till bestämmelser om användning av känsliga personuppgifter för utvecklings- och innovationsverksamhet berör själva kärnan i skyddet för personuppgifter, som hör till privatlivet. Grundlagsutskottet vill därför särskilt lyfta fram de föreslagna villkoren för behandling, anonymiseringen av uppgifter och behandlingen på grundval av samtycke. 
Enligt 38 § 2 mom. i lagförslag 1 ska uppgifter få lämnas ut i anonymiserad form utan den registrerades samtycke i enlighet med 45 §. Enligt 45 § ska Tillståndsmyndigheten för social- och hälsovårdsuppgifter med stöd av artikel 9.2 g och artikel 86 i dataskyddsförordningen bedöma om de begärda uppgifterna kan anonymiseras. När uppgifterna har anonymiserats effektivt är det inte längre fråga om personuppgifter och de kräver därmed inte särskilt skydd, står det i propositionen (RP, s. 177). Informationen har anonymiserats på ett sätt som gör att den registrerade inte längre är identifierbar. Sådan information berörs inte längre av reglerna för behandling av personuppgifter (RP, 96). 
Att anonyma uppgifter lämnas ut äventyrar enligt propositionen inte den registrerades eller medborgarens ställning, eftersom individen inte längre kan identifieras i uppgifterna. Vid anonymisering måste man se till att rätt teknik används för att slutresultatet verkligen ska vara anonymt och individens rättsliga ställning inte äventyras (RP, s. 81). Vid anonymisering ska avseende fästas vid de tekniska lösningarna för att det inte längre ska vara möjligt att identifiera en registrerad (RP, s. 177). När uppgifterna har anonymiserats effektivt är det inte längre fråga om personuppgifter och de kräver därmed inte särskilt skydd, står det i propositionen (RP, s. 177). Informationen har anonymiserats på ett sätt som gör att den registrerade inte längre är identifierbar. Sådan information berörs inte längre av reglerna för behandling av personuppgifter (RP, 96). 
Enligt definitionen i artikel 4 i dataskyddsförordningen avses med personuppgifter varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet, säger grundlagsutskottet (s. 7). Enligt skäl 26 i förordningen gäller dataskyddsprinciperna all information som rör en identifierad eller identifierbar fysisk person. Också personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör enligt skälet anses som uppgifter om en identifierbar fysisk person. 
För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som till exempel utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen, står det vidare i skälen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Principerna för dataskyddet bör enligt skälet därför inte gälla för anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Dataskyddsförordningen berör därför enligt skälet inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller forskningsändamål. 
Grundlagsutskottet anser att de avgränsningar av förordningens tillämpningsområde som anges i skälet är problemfria med avseende på skyddet för privatlivet och personuppgifter enligt 10 § 1 mom. i grundlagen. Utskottets uppfattning är också att personuppgifter som ursprungligen varit känsliga effektivt kan behandlas anonymiserade utan att skyddet för privatlivet eller personuppgifter äventyras. Det är väsentligt att en effektiv anonymisering även ges en säker rättsgrund. Enligt utskottets uppfattning är det självklart att en effektiv anonymisering inte kan garanteras enbart genom att identifieringsuppgifter om fysiska personer, såsom namn och personbeteckning, avlägsnas från ett så omfattande datamaterial som nu är aktuellt. De ovannämnda skrivningarna i propositionsmotiven anger dock vilka element som är viktigast för att anonymiseringen ska vara effektiv, menar utskottet. 
Avgränsningen av räckvidden enligt skäl 26 i dataskyddsförordningen och definitionen av personuppgift i förordningen innebär att den nationella lagstiftaren har möjlighet att lagstifta om myndigheternas skyldigheter när det gäller att genomföra anonymiseringen, eftersom behandlingen av anonymiserade personuppgifter inte ingår i förordningens räckvidd. Grundlagsutskottets uppfattning är dock att det är väsentligt att den nationella lagstiftningen inte kan syfta till att kringskära förordningens räckvidd ytterligare. Med stöd av artikel 9.4 i dataskyddsförordningen får medlemsstaterna behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Den föreslagna rätten att lämna ut uppgifter gäller en exceptionellt omfattande datamängd med känsliga uppgifter. 
Därför ålade grundlagsutskottet (s. 8) social- och hälsovårdsutskottet att reda ut det möjliga området för nationell lagstiftning och i väsentlig grad precisera 38 och 45 § i lagförslag 1, till den del paragraferna gäller möjligheten att lämna ut anonymiserade uppgifter för utvecklings- och innovationsverksamhet enligt 38 § utan samtycke av den registrerade. En sådan precisering kan göras till exempel genom att så detaljerat som möjligt lagstifta om de anonymiseringskrav som beskrivs i propositionsmotiven. Om den nationella lagstiftaren enligt social- och hälsovårdsutskottets uppfattning inte har handlingsutrymme nog att göra en sådan precisering, måste möjligheten att från myndighetsregister lämna ut anonymiserade uppgifter för utvecklings- och innovationsverksamhet enligt 38 § strykas i de här bestämmelserna, framhåller grundlagsutskottet. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Enligt 38 § 1 mom. i lagförslag 1 ska uppgifter få lämnas ut för utvecklings- och innovationsverksamhet om den registrerade har gett sitt samtycke till behandling av uppgifterna för det aktuella ändamålet, säger grundlagsutskottet vidare (s. 8). Tillstånd får ges om det uppfyller villkoren i den registrerades samtycke. Av motiveringen (RP, s. 130) till 38 § i lagförslag 1 framgår det att syftet med paragrafen är att möjliggöra användningen av samtycke och särskilt dynamiskt samtycke, när registeruppgifterna behandlas för ändamål inom utvecklings- och innovationsverksamhet. Med dynamiskt samtycke avses en digital plattform, där registrerade interaktivt kan delta och påverka sitt eget samtycke och se vad de har gett samtycke till. Registrerade kan också ändra sitt samtycke med hjälp av plattformen. 
Grundlagsutskottet påpekar att det har ansett att samtycke från en person vars grundläggande fri- och rättigheter begränsas i sig kan spela en roll i en konstitutionell bedömning. Utskottet har ändå i sin tidigare praxis sett vissa problem med en sådan lagstiftningsmetod och poängterat hur viktigt det är att vara mycket återhållsam med att godkänna samtycke som rättslig grund för att ingripa i de grundläggande fri- och rättigheterna. Förfarandet är inte förenligt med rättsstatsprincipen enligt 2 § 3 mom. i grundlagen, där det sägs att all utövning av offentlig makt ska bygga på lag. I detta sammanhang framhöll grundlagsutskottet också att skyddet för de grundläggande fri- och rättigheterna inte i vilket som helst ärende kan vara beroende av den berörda personens samtycke. Utskottet har i det här avseendet sett det som väsentligt vad som kan betraktas som juridiskt relevant samtycke i en viss situation. Vidare har utskottet krävt att en lag som utifrån samtycke ingriper i skyddet för de grundläggande fri- och rättigheterna bland annat ska vara exakt och noga avgränsad, att den föreskriver hur samtycket ska ges och återtas, att det säkerställs att samtycket är riktigt och ges av fri vilja och att lagstiftningen är nödvändig (GrUU 19/2000 rd, s. 3, GrUU 27/1998 rd, s. 2, och GrUU 19/2000 rd, s. 3). 
Dessutom behandlar grundlagsutskottet allmänna dataskyddsförordningen och går närmare in på samtycke (9–11). Utskottet (s. 10) ser det som beklagligt att regeringen i propositionen inte på tillbörligt sätt beskriver det nationella handlingsutrymmet visavi dataskyddsförordningen. Grundlagsutskottet förutsätter att social- och hälsovårdsutskottet noga utreda omfattningen av det nationella handlingsutrymmet och inom ramen för det preciserar bestämmelsen på så sätt att de uppgifter som avses i artikel 9 i dataskyddsförordningen får lämnas ut för utvecklings- och innovationsverksamhet enligt 38 § på de villkor för samtycke som anges i förordningen, men också utifrån ett faktiskt samtycke som i sak är avgränsat till vissa forskningsområden eller forskningsprojekt och som ges frivilligt och på grundval av tillräcklig information i andra sammanhang än kundtjänst inom social- eller hälsovården. Grundlagsutskottet ser inget hinder för att lagstifta om att samtycket ska ges exempelvis via en digital plattform som beskrivs i propositionen, separat från kundtjänsten. Om det inte finns nationellt handlingsutrymme för att precisera bestämmelserna på detta sätt, måste de ändras så att det inte är tillåtet att ur myndighetsregister lämna ut kunduppgifter inom social- och hälsovården för utvecklings- och innovationsverksamhet enligt 38 § på grundval av samtycke. Denna ändring är enligt grundlagsutskottet en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Social- och hälsovårdsutskottets förslag till ändringar
Social- och hälsovårdsutskottet framhåller att bara uppgifter där en person inte kan identifieras indirekt, inte ens för den personuppgiftsansvarige, enligt EU:s allmänna dataskyddsförordning betraktas som anonyma. Också personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör enligt skäl 26 i förordningen anses som uppgifter om en identifierbar fysisk person. För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som till exempel utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. 
För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Principerna för dataskyddet bör enligt skälet därför inte gälla för anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Dataskyddsförordningen berör därför inte behandling av sådan anonym information, som inbegriper information för statistiska ändamål eller forskningsändamål. 
Vid utfrågningen av sakkunniga uttrycktes det flera gången oro för hur vi ska kunna försäkra oss om att det inte någon gång i framtiden går att häva anonymiseringen med avancerad teknik. Det finns ett flertal tekniker för anonymisering och de utvecklas hela tiden, men samtidigt håller tekniken för att häva anonymisering jämna steg med utvecklingen. 
Enligt information som utskottet fått från social- och hälsovårdsministeriet tillåter inte det nationella handlingsutrymmet att samtycke för utvecklings- och innovationsverksamhet enligt 38 § preciseras på det sätt som grundlagsutskottet föreslår. Ministeriet motiverar detta med att ”vissa forskningsområden eller delar av forskningsprojekt” i skäl 33 i dataskyddsförordningen bara avser samtycke för vetenskapliga forskningsändamål. Utvecklings- och innovationsverksamhet är inte vetenskaplig forskning i den mening som förordningen avser. I och med att skäl 33 i dataskyddsförordningen inte gäller utvecklings- och innovationsverksamhet och eftersom förordningen inte heller i övrigt tillåter något nationellt handlingsutrymme, finns det inga förutsättningar enligt förordningen för att lämna ut uppgifter för utvecklings- och innovationsverksamhet på grundval av samtycke. 
När det inte finns något nationellt handlingsutrymme för att föreskriva mer exakt om samtycke, måste 38 § enligt social- och hälsovårdsutskottet ändras i överensstämmelse med utlåtandet från grundlagsutskottet. Det betyder att bestämmelsen om att lämna ut personuppgifter inom social- och hälsovården ur ett myndighetsregister till utvecklings- och innovationsverksamhet på grundval av samtycke måste strykas. Utskottet föreslår därför att paragrafen ändras till att bara aggregerade statistiska uppgifter får lämnas ut för utvecklings- och innovationsverksamhet. Enligt ändringen avses med aggregerade statistiska uppgifter statistisk information som anonymiserats på ett tillförlitligt sätt. Aggregerade data inom statistiken tas fram med en metod som innebär att det inte ens genom samkörning med andra anonymiserade data går att identifiera de personer vars uppgifter statistiken bygger på. Med andra ord kommer det inte ens senare att finnas någon så kallad kvarstående risk för att de registrerade ska kunna identifieras med hjälp av nya tekniker för att häva anonymiseringen. 
Dessutom föreslår social- och hälsovårdsutskottet att tillämpningsområdet för 38 § avgränsas till att bara omfatta ändamål för att främja folkhälsan och den social tryggheten, utveckla social- och hälsovården eller servicesystemet eller skydda individers hälsa och välfärd eller garantera deras anknytande rättigheter och friheter. Avgränsningen är viktig eftersom användningsändamålet för de aggregerade statistiska uppgifter som får lämnas ut för utvecklings- och innovationsverksamhet då har beröringspunkter med det användningsändamål som uppgifter primärt har samlats in för. Utvecklings- och innovationsverksamhet ska då ha eventuella förväntade vinster för individernas hälsa eller välbefinnande, folkhälsan och social- och hälsovårdssystemets funktion. 
Med hänvisning till utlåtandet från grundlagsutskottet och ändringarna ovan i 38 § föreslår social- och hälsovårdsutskottet att också 45 och 51 § ändras väsentligt. 
Enligt 45 § finns det inga restriktioner i möjligheterna att lämna ut anonymiserade uppgifter. Också med anonyma uppgifter kan det gå att ta reda enskilda registrerades identitet och uppgifter om den, om uppgifterna aggregeras eller avancerad teknik för att häva dem används. Följaktligen måste det också införas vissa restriktioner för att behandla anonymiserade uppgifter. 
Utskottet föreslår att 45 § bara ska gälla begäranden om uppgifter, alltså inte ansökningar om tillstånd, när de innebär att den som ansöker om tillstånd också har för avsikt att behandla de uppgifter som han eller hon fått på grundval av tillståndet. På grundval av begäran om uppgifter kan personen få analyserade data i form av aggregerade statistiska uppgifter. Materialet ska sammanställas av Tillståndsmyndigheten för social- och hälsovårdsuppgifter utifrån de behöriga principiella riktlinjerna från den expertgrupp som avses i 8 § 4 mom. Följaktligen kan de aggregerade statistiska uppgifter som tagits fram på grundval av en begäran lämnas ut på ett informationssäkert sätt till personen, som får använda uppgifterna fritt och också lämna dem vidare eller publicera dem. 
För att säkerställa att dataskyddet är ordnat på behörigt sätt föreslår utskottet att uppgifter som lämnas ut på grund av ett tillstånd med stöd av 61 § 3 mom. alltid ska behandlas i en informationssäker driftmiljö oberoende av om den sökande får uppgifterna i identifierbar form, pseudonymiserade eller anonymiserade. I första hand lämnas utgifterna ut till Tillståndsmyndigheten för social- och hälsovårdsuppgifter i en informationssäker driftmiljö och bara i undantagsfall i någon annan informationssäker driftmiljö. Enligt propositionen avses med informationssäker driftmiljö en sådan teknisk, organisatorisk och fysisk miljö för behandling av uppgifter där informationssäkerheten har säkerställts genom lämpliga administrativa och tekniska åtgärder. I propositionen (s. 96) beskriver regeringen närmare vad som avses med informationssäker driftmiljö. I 20–34 § i lagförslag 1 ingår det närmare bestämmelser krav och övervakning över informationssäker driftmiljö. 
De ändrade 45 och 51 § ska gälla alla begäranden om uppgifter och alla uppgifter som lämnas ut på grundval av tillstånd oberoende av på vilka grunder eller för vilka ändamål uppgifterna begärs eller tillstånd söks. 
Enligt utskottet ger ändringarna väsentliga förbättringar i dataskyddet och i bestämmelserna i propositionen, men också i jämförelse med det nuvarande läget, som betyder att den som har fått tillstånd inte får hantera materialet utanför den informationssäkra driftmiljön under någon som helst fas av behandlingen. I dag lämnas uppgifterna ut till den som har forskningstillstånd och personen behandlar dem självständigt och på eget ansvar. Efter att utskottets ändringar har trätt i kraft kommer bara aggregerade statistiska uppgifter som inte utgör någon risk för att enskildas uppgifter kan identifieras att lämnas ut för att behandlas på något annat sätt än i en informationssäker driftmiljö. 
Användning och utlämnande av uppgifter som tidigare samlats in med samtycke
I 59 § 5 mom. i lagförslag 1 föreskrivs det att uppgifter som före lagens ikraftträdande samlats in med den berördes samtycke får användas och lämnas ut för användningsändamål enligt 2 § trots vad som föreskrivs i 43 § 2 mom., om det är uppenbart att användningen och utlämnandet inte i väsentlig mån avviker från de syften som uppgifterna har lämnats för. 
I sitt utlåtande (GrUU 1/2018 rd, s. 11) påpekar grundlagsutskottet att motiveringen till bestämmelsen är relativt kortfattad men säger ut att bestämmelsen gäller behandling av uppgifter som frivilligt lämnats till myndigheterna och utlämnande av dem för användningsändamål enligt 2 §. Vid insamlingen av gamla uppgifter har man inte nödvändigtvis använt skriftliga blanketter för samtycke eller så kan det av andra skäl vara svårt att tolka samtyckena, står det i motiveringen (RP, s. 155). Grundlagsutskottet förutsätter att social- och hälsovårdsutskottet noga utreder den föreslagna bestämmelsens exakta räckvidd och förhållande till de villkor som dataskyddsförordningen ställer på samtycke. Enligt social- och hälsovårdsministeriets utredning till grundlagsutskottet bör fokus ligga på hur övergångsbestämmelsen förhåller sig till biobankslagens bestämmelse om samtycke, som tillkommit med grundlagsutskottets medverkan (GrUU 10/2012 rd). Grundlagsutskottet menar också att det står klart att det utifrån så här öppna övergångsbestämmelser inte går att göra avsteg från den reglering av samtycke för utvecklings- och innovationsverksamhet som måste införas med anledning av utskottets ståndpunkt till lagstiftningsordningen. 
Social- och hälsovårdsutskottet föreslår att bestämmelsen ändras med anledning av utlåtandet från grundlagsutskottet. Följaktligen föreslår utskottet att bestämmelsen avgränsas. Material som samlats in med samtycke ska också i fortsättningen kan användas för vetenskaplig forskning, statistik och för planering och utredning vid myndigheter. Uppgifter kommer således inte att kunna lämnas ut för exempelvis utvecklings- och innovationsverksamhet. 
Också enligt dataskyddsförordningen är vetenskaplig forskning och statistik förenliga med det ursprungliga användningsändamålet för uppgifterna. Enligt 28 § i lagen om offentlighet i myndigheternas verksamhet (621/1999) kan en myndighet, om inte något annat föreskrivs genom lag, i enskilda fall bevilja tillstånd att ta del av en sekretessbelagd handling för vetenskaplig forskning eller statistikföring eller för planerings- eller utredningsarbete som en myndighet utför. Enligt utskottets uppfattning betyder detta att material som har samlats in med samtycke innan lagförslag 1 träder i kraft också fortsatt får behandlas för samma ändamål. Följaktligen föreslår utskottet att bestämmelsen ändras till att användningsändamålet inte får avvika från det ursprungliga ändamålet. Därför stryker utskottet ”i väsentlig mån” (i 59 § 5 mom. i RP som i betänkandet blir 59 § 4 mom.). Vidare föreslår utskottet att momentet får en bestämmelse om att tillståndsmyndigheten från fall till fall kan förutsätta att det för att få använda material som tidigare samlats in med samtycke krävs att etiska kommittén vid THL gör en bedömning. Samma villkor ställer regeringen för att betydelsefullt forskningsmaterial enligt 5 f § 2 mom. i lagen om Institutet för hälsa och välfärd ska få föras över för förvaring på THL och därmed för senare användning. 
Varken datauppgifter i biobankerna eller genomdata som ska finnas på det planerade genomcentrumet ingår i tillämpningsområdet för den föreslagna lagen, eftersom varken biobanker eller genomcentrumet finns bland de personuppgiftsansvariga som nämns i lagen med rätt att behandla uppgifter. Enligt uppgifter till utskottet kommer det i en revidering av biobankslagen (688/2012) och i lagen om det nya genomcentrumet att föreskrivas om hur deras data eventuellt får aggregeras med de uppgifter som avses i lagförslag 1. 
Anonymisering av resultat som grundar sig på uppgifterna
Vid utfrågningen av sakkunniga ställdes frågan hur det ska gå att garantera att uppgifterna behåller sin anonymitet när resultaten av forskningen publiceras. Lagförslag 1 har inga bestämmelser om publicering av resultat. Utskottet föreslår att lagen kompletteras med en paragraf om ansvar för att anonymisera resultaten från de ändamål som uppgifterna har tillstånd och har använts för, när resultaten publiceras. Utskottet anser att det behövs en bestämmelse om dataskyddsskäl trots att den samtidigt betyder att de rådande principerna för publicering ändras. 
Ovan sägs det att det krävs särskild kompetens för att anonymisera uppgifter och att sammanställa aggregatbaserad statistik som uppfyller kraven på skydd för personuppgifter. För att minimera identifieringsrisken också efter anonymisering är det enligt uppgifter till utskottet viktigt att resultaten från samma material anonymiseras på samma sätt och att Tillståndsmyndigheten för social- och hälsovårdsuppgifter centralt har information om vilka resultat som tidigare har tagits fram med hjälp av uppgifterna och lämnats ut för att bli publicerade. Det är nödvändigt när nya data anonymiseras för att bli publicerade. Utskottet föreslår därför att bestämmelsen om ansvar för att publicera resultat som tagits fram i en informationssäker driftmiljö föreskriver att det är Tillståndsmyndigheten för social- och hälsovårdsuppgifter som ska kontrollera att resultaten är anonymiserade. Den som publicerar resultaten ansvarar för att kraven i dataskyddsdirektivet i övrigt är uppfyllda. Det dock tillståndshavaren som själv ska föreslå hur de vetenskapliga resultaten ska publiceras för att uppfylla dataskyddsvillkoren. Det är enligt utskottet motiverat eftersom tillståndshavaren vanligen kan bedöma anonymiseringen med avseende på hur dataskyddet för deltagarna ska behållas samtidigt som de vetenskapliga resultaten inte får försämras. 
Social- och hälsovårdsutskottet framhåller att det måste avsättas adekvata resurser för publiceringsprocessen för att den ska vara smidig och tillåta att exempelvis vetenskapliga resultat kan publiceras på ett informationssäkert sätt. Samtidigt understryker utskottet att det inte är meningen att tillståndsmyndigheten ska ha rätt att intervenera i de vetenskapliga resultaten. Dess uppgift är att säkerställa anonymiteten för personuppgifterna. 
Verkställande – genomförande och uppföljning
Att den föreslagna lagen tillåter sekundär användning av social- och hälsovårdsuppgifter innebär till vissa delar att användningsändamålet för känsliga uppgifter ändras i mycket väsentlig grad. Ändringen gäller en ytterst omfattande datamängd. Å andra sidan går lagförslagen till vissa delar ut på att samordna gällande lagstiftning och att förbättra skyddet för personuppgifter när det gäller både dataskydd och informationssäkerhet vid behandlingen av personuppgifter. 
Den tekniska utvecklingen har skapat nya möjligheter att behandla känsliga kunduppgifter och att för tillåtna användningsändamål samköra dem med andra personuppgifter på ett sätt som bättre tryggar skyddet för kundernas personuppgifter och deras skydd för berättigade förväntningar. Regelverket bildar en gigantisk mekanism för sekundär användning av social- och hälsovårdsuppgifter och det måste därför genomföras med stor noggrannhet. Känsliga personuppgifter måste behandlas på ett informationssäkert sätt för att de inte ska avslöjas för utomstående. Följaktligen är det viktigt att tillståndsmyndigheten inrättas och lagarna verkställs med hjälp av kompetens på hög nivå och med hänsyn till den tekniska utvecklingen. När myndigheten startar och verksamheten planeras är det av stor vikt att säkerställa att det finns tillgång till stor expertis inom dataskydd och informationssäkerhet och att verksamheten över hela linjen resurssätts i tillräckligt hög grad. Också den planerade expertgruppen måste få tillräcklig resurstilldelning. Gruppen förutsätts ha aktuell och högkvalitativa kunskaper och visioner om dataskydds- och informationssäkerhetsfrågor och anonymiseringsteknik inom social- och hälsovårdsområdet. 
Enligt information till utskottet kommer genomförandet att ställa stora krav. De utsatta fristerna är korta för de kommuner och samkommuner som ordnar social- och hälsovård och andra personuppgiftsansvariga som avses i lagförslag 1. Som regeringen säger om de ekonomiska konsekvenserna kommer också de personuppgiftsansvariga att få ökade kostnader. När verkställigheten planeras och genomförs måste statsrådet därför se till att aktörerna har behövliga resurser och får tillräckligt mycket utbildning för att förvärva den nödvändiga kompetensen för att alla kommuner och samkommuner och alla andra personuppgiftsansvariga ska kunna genomföra reformen. Utskottet förutsätter att statsrådet också ser till att det ordnas vägledning och utbildning för att de berörda aktörerna ska kunna uppfylla sina skyldigheter inom den utsatta tiden. 
Propositionen hänförde sig till budgeten för 2018, men har senare lyfts ut. I en tilläggsbudget för 2019 ingår ett anslag på 2,5 miljoner euro för omkostnader för den tillståndsmyndighet som administrerar användningen av social- och hälsovårdsuppgifter. Kostnaderna för propositionen måste täckas på behörigt sätt med statliga medel både för att inrätta Tillståndsmyndigheten för social- och hälsovårdsuppgifter och för de offentliga personuppgiftsansvariga som avses i lagförslaget. 
Dessutom måste statsrådet noga följa upp och ta ställning till hur regelverket har verkställts och fungerar. Detta är viktigt för att lagstiftningen ska tillgodose de behov som kommer med den tekniska utvecklingen, för att den sekundära användningen av personuppgifter ska fungera smidigt, för att informationssäkerheten för behandling av känsliga social- och hälsovårdsutgifter ska ligga på hög nivå och för att den sekundära användningen av personuppgifter ska vara till nytta för social- och hälsovårdssystemet. Vidare är det viktigt att statsrådet noga följer upp och utvärderar hur systemet och den anknytande lagstiftningen fungerar i sin helhet också när verksamheten har kommit i gång. Detta är av relevans för att man ska kunna nyttiggöra den tekniska utvecklingen på behörigt sätt för att skydda personuppgifter. I förekommande fall måste lagarna ändras. 
Ikraftträdande
Social- och hälsovårdsutskottet föreslår att lagarna träder i kraft den 1 april 2019. Följande lagar ska dock undantas: lagen om upphävande av 18 § 5 mom. i lagen om patientens ställning och rättigheter (lagförslag 4), lagen om upphävande av 13 § 5 mom. i lagen om klientens ställning och rättigheter inom socialvården (lagförslag 5) och lagen om ändring av 15 § 4 mom. i lagen om elektroniska recept (lagförslag 6). De föreslås träda i kraft den 1 januari 2020 samtidigt som Tillståndsmyndigheten för social- och hälsovårdsuppgifter enligt övergångsbestämmelserna börjar behandla begäranden upp uppgifter. I 59 § i lagförslag 1 ingår ett flertal övergångsbestämmelser som enligt uppgifter från social- och hälsovårdsministeriet behövs för att vissa verksamheter ska kunna starta senare. 
DETALJMOTIVERING
Lag om sekundär användning av personuppgifter inom social- och hälsovården (lagförslag 1)
Social- och hälsovårdsutskottet föreslår att de termer som används i lagförslaget ändras för att bättre motsvara vad de avser och i dessutom i enlighet med dagens terminologi. Det innebär att käyttölupa (användningstillstånd) i stället betecknas tietolupa, käyttölupahakemus (ansökan om användningstillstånd) får formen tietolupahakemus och därmed blir också käyttölupaviranomainen (tillståndsmyndighet) i stället tietolupaviranomainen. Dessa terminologiska ändringar nämns inte särskilt för varje paragrafändring nedan.  
3 §. Definitioner.
Utskottet föreslår att 9 punkten ändras på så sätt att en begäran om information avser en begäran att om att få aggregerade statistiska uppgifter av sådana personuppgifter som avses i lagen i stället för en begäran om uppgifter i anonymiserad form för ett användningsändamål enligt lagen. Samtidigt fogas definitionen av aggregerade statistiska uppgifter till paragrafen som en ny 18 punkt. Enligt den avses med aggregerade statistiska uppgifter statistisk information som anonymiserats på ett tillförlitligt sätt. Vidare blir 18 och 19 punkten i propositionen 19 och 20 punkten. 
Aggregerade data inom statistiken tas fram på ett sätt där det inte ens genom samkörning med andra anonymiserade data går att identifiera de personer vars uppgifter statistiken bygger på. Med andra ord kommer det inte ens senare att finnas någon så kallad kvarstående risk för att de registrerade ska kunna identifieras med hjälp av nya tekniker för att häva anonymiseringen. Definitionen behövs bland annat för de ändrade 37 (38 § i RP) och 45 §.  
I 13 punkten föreslås dessutom språkliga preciseringar. 
4 §. Tillståndsmyndigheten för social- och hälsovårdsuppgifter.
Enligt 1 mom. finns Tillståndsmyndigheten för social- och hälsovårdsuppgifter i anslutning till Institutet för hälsa och välfärd. För de uppgifter som föreskrivs för myndigheten svarar vid institutet en enhet som har avskilts från de uppgifter som anges i 2 § i lagen om Institutet för hälsa och välfärd (668/2008). 
Utskottet anser att Tillståndsmyndighetens oberoende, objektivitet och opartiskhet i förhållande till institutet bör stärkas ytterligare på lagnivå. Det föreslår att ordet ”självständig” läggs till i 1 mom. för att understryka den berörda enhetens opartiska och avhängiga ställning. 
Enligt det föreslagna 2 mom. omfattas Tillståndsmyndigheten av social- och hälsovårdsministeriets resultatstyrning, och den har en separat styrgrupp. För att ytterligare stärka myndighetens självständiga ställning föreslår utskottet att momentet kompletteras med att social- och hälsovårdsministeriet utnämner myndighetens direktör och att det tillsätter styrgruppen. 
5 §. Uppgifter för Tillståndsmyndigheten för social- och hälsovårdsuppgifter.
Paragrafen gäller tillståndsmyndighetens uppgifter. Utskottet föreslår att 1 mom. i enlighet med de ändringar som föreslås i 45 § kompletteras med ett omnämnande av att tillståndsmyndigheten också ska fatta beslut om huruvida en begäran om information enligt 45 § överensstämmer med lagen. Dessutom kompletteras momentet så att det ligger i linje med 14 §, som gäller dels tjänster för insamling och samkörning av uppgifter, dels tjänster för förbehandling av uppgifter. 
Utskottet föreslår ett nytt 4 mom. med en hänvisning till den nya 52 § som det föreslår. Paragrafen avses innehålla bestämmelser om Tillståndsmyndighetens ansvar för anonymisering av de personuppgifter som legat till grund för det offentliggjorda resultatet. 
6 §. Myndigheter och organisationer som svarar för tjänster samt begränsningar i fråga om datamaterial.
Det föreslagna 1 mom. gäller vilken myndighet som svarar för de tjänster som behövs för behandling av personuppgifter som avses i lagen för ändamål enligt 2 §. Utskottet föreslår en precisering av 1 mom. 6 punkten på så sätt att bestämmelsen gäller Arbetshälsoinstitutet till den del det för ändamål enligt lagen behövs uppgifter ur registren över arbetsrelaterade sjukdomar och exponeringsmätningar och ur institutets patientregister. Preciseringen är motiverad eftersom det inte entydigt av regeringens förslag framgår vilka av institutets register som omfattas av lagen. Vidare preciserar utskottet 1 mom. med att ordet ”ändamål” ändras till ”användningsändamål” i det inledande stycket. 
7 §. Undantag som gäller behandling av statistikmyndigheters uppgifter.
En ändring föreslås i 2 mom. för att anpassa ett uttryck efter de begrepp som används i lagen i övrigt. Dessutom rättar utskottet en felaktig momenthänvisning. 
8 §. Styrning av verksamheten vid Tillståndsmyndigheten för social- och hälsovårdsuppgifter och utvecklande av samarbete mellan registeransvariga.
Det föreslagna 3 mom. ändras för att göra momentet språkligt mer flytande. 
Utskottet föreslår ett nytt 4 mom. Enligt det ska social- och hälsovårdsministeriet utse en expertgrupp på hög nivå för Tillståndsmyndigheten. Syftet är att se till att myndigheten får bästa möjliga experthjälp med så aktuell sakkunskap som möjligt för att garantera dataskydd och informationssäkerhet i myndighetens verksamhet och beslutsprocesser, inklusive tillförlitlig anonymisering av personuppgifter. 
Expertgruppen ska ha i uppgift att ta fram principiella riktlinjer för anonymisering, dataskydd och informationssäkerhet för myndigheten. Gruppen är ett av de viktigaste sätten för att säkerställa skyddet av personuppgifter när känsliga personuppgifter behandlas för något av de sekundära användningsändamål som lagen tillåter och när resultat som härleds från uppgifterna publiceras. Till det nya 4 mom. fogas också ett bemyndigande att utfärda förordning. Enligt det får närmare bestämmelser om expertgruppens uppgifter, antalet gruppmedlemmar och behörighetsvillkor för medlemmarna utfärdas genom förordning av social- och hälsovårdsministeriet. 
9 §. Möjlighet att bilda aktiebolag.
Paragrafen gäller möjligheten att bilda ett aktiebolag som lyder under tillståndsmyndigheten. Enligt det föreslagna 4 mom. tillämpas på bolagets handlingar vad som i lagen om offentlighet i myndigheternas verksamhet (621/1999, offentlighetslagen) föreskrivs om myndighetshandlingar. Utskottet föreslår att momentet preciseras med en bestämmelse om vilken myndighet som ska fatta beslut enligt 4 kap. i offentlighetslagen när bolagshandlingar inte lämnas ut till den som begär det. Enligt utskottets förslag är det Tillståndsmyndigheten för social- och hälsovårdsuppgifter som svarar för beslutet.  
11 §. Organisationernas ansvar för tjänsterna.
Den föreslagna 6 § innehåller bestämmelser om de i paragrafen nämnda organisationernas skyldighet att svara för de tjänster som avses i 10 §.och som möjliggör sekundär användning av uppgifterna. Utskottet föreslår att paragrafen ändras både till struktur och till innehåll, I propositionen gäller 1 och 3 mom. situationer där tillståndsmyndigheten svarar för de tjänster som avses i 10 § 3—7 punkten. Utskottet föreslår att de momenten slås ihop till ett nytt 1 mom. med samlade bestämmelser om dessa situationer. 
Vidare kompletteras i 2 mom. de situationer där tillståndsmyndigheten svarar för tjänster som gäller uppgifter hos Pensionsskyddscentralen, Befolkningsregistercentralen och Statistikcentralen. Den föreslagna kompletteringen gäller situationer där uppgifter hos de berörda organisationerna samkörs med uppgifter som registrerats i Kanta-tjänsterna eller med registeruppgifter hos en privat serviceanordnare inom social- och hälsovården. Detta är enligt utskottets mening motiverat eftersom det är fråga om att samköra flera olika organisationers uppgifter. 
Det föreslagna 3 mom. föreslås bli ändrat på så sätt att de organisationer som avses i 6 § 1—8 punkten svarar bara för de tjänster som avses i 10 § 1—4 punkten när det gäller deras egna användningstillstånd, inte för alla tjänster som avses i 10 § såsom regeringen föreslår. Enligt utskottets mening rör det sig om en motiverad ändring, eftersom långt ifrån alla de nämnda organisationerna har de resurser som behövs för att tillhandahålla de tjänster som avses i paragrafen. De gäller exempelvis kommunerna, som är personuppgiftsansvariga när det gäller social- och hälsovårdsdata. Det skulle heller inte vara rationellt med avseende på kostnadseffektivitet. Det är inte ändamålsenligt att ålägga alla i 6 § avsedda organisationer en skyldighet att själva producera de tjänster som avses i 10 § 5—7 punkten (hanteringssystem för begäranden om information, informationssäker drifttjänst och informationssäker driftmiljö). 
Därför ändras bestämmelsen också på så sätt att organisationerna i fråga kan underrätta tillståndsmyndigheten att de avstår från att producera andra tjänster än de som avses i 10 § 1 och 2 punkten. Det innebär att tillståndsmyndigheten blir ansvarig för alla i 10 § 3—7 punkten avsedda tjänster för den underrättande organisationens vidkommande. Tillståndsmyndigheten svarar då också för besluten om användningstillstånd åt den organisationen. Enligt propositionen skulle ett sådant arrangemang ha byggt på avtal, varvid tillståndsmyndigheten utifrån egen bedömning också skulle ha kunnat vägra producera de tjänsterna. Situationen skulle ha kunnat leda till att tjänsterna oberoende av resursläge måste produceras i mycket stor omfattning i olika organisationer. 
12 §. Beskrivningar av datamaterial.
Utskottet ändrar hänvisningen till 14 § 3 mom., så att den gäller 14 § 5 mom., som föreslås bli ändrad. 
13 §. Rådgivningstjänster.
Paragrafen gäller rådgivningstjänster och hur de ordnas. Utskottet föreslår att 2 mom. kompletteras till följd av att 45 § om begäran om information ändras. Kompletteringen innebär att skyldigheten att ordna rådgivning också gäller förutsättningarna för att godkänna en begäran. Utskottet ändrar också hänvisningen till 14 § 3 mom., så att den gäller 14 § 5 mom., som föreslås bli ändrad. 
14 §. Tjänst för insamling, samkörning och förbehandling av uppgifter.
Utskottet föreslår att strukturen på paragrafen ändras och att innehållet preciseras på så sätt att det tydligare än vad regeringen föreslår framgår vem som svarar för tjänsterna och under vilka förutsättningar. Det föreslagna 1 mom. preciseras för att tydligare ange att bestämmelsen är förpliktande för tillståndsmyndigheten när den har beviljat användningstillståndet eller fattat ett beslut om bifall när det gäller en begäran om information enligt den nya 45 §. Det innebär att 1 mom. inbegriper 1 mom. och delvis 2 mom. i propositionen, men med ändringar. Enligt det ändrade 1 mom. ska tillståndsmyndigheten samlar in, samkör och förbehandlar de uppgifter som dess beslut gäller och att den vid behov pseudonymiserar eller anonymiserar datamaterialet eller producerar de aggregerade statistiska uppgifter som begäran om information förutsätter. 
Utskottet föreslår ett nytt 2 mom. där enskilda personuppgiftsansvariga enligt 6 § 1—8 punkten åläggs en skyldighet att producera materialet enligt tillståndet åt tillståndshavaren, när den personuppgiftsansvarige har beviljat tillstånd att använda uppgifterna i sina egna register. Vidare föreslår utskottet att 2 mom. ska innehålla bestämmelser om enskilda personuppgiftsansvarigas skyldighet att lämna de uppgifter som den samlat in i enlighet med beslutet till tillståndsmyndigheten för anonymisering. Det innebär att de enskilda personuppgiftsansvariga inte själva producerar anonymiserade datamaterial. I stället är det alltid tillståndsmyndigheten som ska göra detta. Syftet är att säkerställa kompetensen och dataskyddet.  
Slutet på det föreslagna 2 mom. blir 3 mom., men i preciserad form. Enligt det ska tillståndsmyndigheten när den lämnat ut uppgifter bevara en beskrivning av hur datamaterialet och de aggregerade statistiska uppgifterna bildats, av pseudonymiserings- och anonymiseringsmetoderna och av det utlämnade slutresultatet. På det sättet gäller bestämmelsen alla tillståndsmyndigheter enligt den föreslagna lagen, medan regeringens formulering bara gäller Tillståndsmyndigheten för social- och hälsovårdsuppgifter. 
Det föreslagna 3 mom. blir nytt 5 mom. för att paragrafen ska vara följdriktig. Momentet ändras inte. Inte heller 4 mom. ändras. 
19 §. Logguppgifter.
Paragrafen gäller de logguppgifter som används vid tillsynen över användning och utlämnande av personuppgifter. Utskottet föreslår att dess 1 mom. kompletteras att skyldigheten att samla in logguppgifter inte bara ska gälla tillståndsprövning och utlämnande av uppgifter, utan också beslutsfattande enligt lagen. Då gäller bestämmelserna om logguppgifter både användningstillstånd och informationsbegäran. 
Paragrafens 3 mom. formuleras om för att bli mer lättbegriplig. 
Utskottet föreslår att 4 mom. preciseras på så sätt att logguppgifterna ska förstöras eller arkiveras inom en viss tid. Den föreslagna tidsfristen är tolv år efter det att användningstillståndet upphör eller från det att uppgifterna på det sätt som avses i 3 mom. har behandlats för informationsledning. Efter tolv år finns det inte längre något behov att bevara logguppgifterna eller uppgifterna om åtkomsträttigheter eftersom eventuellt missbruk kopplat till behandlingen måste behandlas före det. 
20 §. Informationssäker driftmiljö.
Utskottet föreslår att 3 mom. ändras i överensstämmelse med övriga ändringar i fråga om anonymiserade datamaterial på så sätt att också anonymiserat datamaterial överlämnas för behandling i en informationssäker driftmiljö. Frasen ”andra än anonymiserade uppgifter” ersätts med ordet ”datamaterial”. Dessutom rättas den felaktiga hänvisningen till ett moment inom paragrafen.  
22 §. Åtkomsträttigheter för användare i informationssäkra driftmiljöer.
Utskottet föreslår att det i 2 mom. införs en tidsfrist inom vilken uppgifterna om de i paragrafen avsedda åtkomsträttigheterna för användare i informationssäkra driftmiljöer ska förstöras eller arkiveras. Uppgifterna ska förstöras eller arkiveras när tolv år förflutit sedan åtkomsträttigheten upphört. Tidsfristen motsvarar då tiden för bevarande av logguppgifter enligt 19 § 4 mom. 
24 §. Minimikrav på informationssäkra driftmiljöer.
Utskottet föreslår att det krav i 2 mom. utgår som innebär att basfunktioner på motsvarande nivå som Tillståndsmyndighetens ska krävas av andra driftmiljöer. Däremot är det motiverat att kräva informationssäkerhet på motsvarande nivå av andra driftmiljöer. 
34 §. Föreläggande att fullgöra skyldigheter.
Paragrafen föreslås föreskriva att Tillstånds- och tillsynsverket för social- och hälsovården får meddela den som behandlar personuppgifter ett föreläggande att inom utsatt tid fullgöra sådana skyldigheter enligt lagen som denne underlåtit att fullgöra och som gäller informationssystem eller deras användning. Utskottet anser att föreläggandet bör förenas med möjligheten att besluta om sanktioner om föreläggandet inte följs. Utskottet föreslår därför att paragrafen kompletteras med nya 2 och 3 mom. 
I 2 mom. finns bestämmelser om rätten att stänga av förbindelserna till informationssystem. 
I det nya 3 mom. föreslår utskottet bestämmelser om rätten att förena föreläggandet med vite eller med hot om att verksamheten helt eller delvis avbryts eller att den försummade åtgärden vidtas på den försumliges bekostnad. Dessutom införs en anmälningsskyldighet för Tillståndsmyndigheten. 
35 §. Grunder för behandling av personuppgifter.
Utskottet preciserar paragrafen genom att nämna att uppgifterna får behandlas för ett sekundärt användningsändamål. 
Vidare stryker utskottet omnämnandet av samkörda och anonymiserade uppgifter, eftersom det bara är aggregerade statistiska uppgifter som lämnas ut med stöd av en begäran om information. Detta framgår av den ändrade 9 punkten och den nya 18 punkten i 3 § och av den nya 45 §. Sådana uppgifter är inte personuppgifter, och därmed gäller 35 § i dem. Det är bara Tillståndsmyndigheten som behandlar de personuppgifter som behövs för produktion av de avsedda aggregerade statistiska uppgifterna.  
36 §. Rätt för Tillståndsmyndigheten för social- och hälsovårdsuppgifter att få och behandla uppgifter trots sekretessplikten.
Paragrafen anger grunderna med stöd av vilka Tillståndsmyndigheten har rätt att få och behandla uppgifter oberoende av sekretessplikten. Utskottet föreslår att 1 mom. preciseras på så sätt att rätten att få och behandla uppgifter avgränsas till uppgifter som är nödvändiga för att Tillståndsmyndigheten ska kunna utföra sitt uppdrag, eftersom det är fråga om en rätt att få känsliga personuppgifter utan den registrerades samtycke. Samtidigt ändras 1 mom. på så sätt att förteckningen över berörda uppgifter inte är uttömmande. Men nödvändighetskravet gäller ändå för uppgifterna. Social- och hälsovårdsutskottet påpekar att grundlagsutskottet bland annat i utlåtande GrUU 15/2018 rd (s. 38) bedömer bestämmelser om myndigheternas rätt att få och skyldighet att lämna ut information trots sekretessplikten med avseende på skyddet för privatlivet och personuppgifter i 10 § 1 mom. i grundlagen och då noterar bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och att lämna ut information kan gälla ”nödvändiga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över vad uppgifterna ska innehålla. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "informationen är nödvändig" för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 5—6, och de utlåtanden som nämns där). 
Utskottet föreslår att 1 mom. 2 punkten preciseras genom tillägg av en hänvisning till förbehandling enligt 14 §. 
Den föreslagna 1 mom. 3 punkten ändras i sin tur i överensstämmelse med 45 §, som föreslås bli ändrad. Ändringen innebär att både anonymisering av uppgifter och produktion av aggregerade statistiska uppgifter beaktas.  
I 1 mom. 4 punkten ändras anonyma datamaterial till aggregerade statistiska uppgifter. 
Hänvisningen i 1 mom. 5 punkten till 14 § 3 mom. ändras så att den gäller 14 § 5 mom. 
37 §. Utvecklings- och innovationsverksamhet.
Paragrafen föreskriver om villkoren för utlämnande av uppgifter för utvecklings- och innovationsverksamhet. Social- och hälsovårdsutskottet hänvisar till grundlagsutskottets utlåtande (GrUU 1/2018 rd) och föreslår att paragrafen skrivs om väsentligen. 
I 1 mom. föreslås det att möjligheten att lämna ut uppgifter för utvecklings- och innovationsverksamhet med stöd av samtycke ska utgå. Det innebär strykning av samtycke som grund för behandling, och dessutom ersätts användningstillstånd med begäran om information. Enligt inkommen utredning kan det vara möjligt att ta reda på en enskild registrerad persons identitet och uppgifter om denne också utifrån anonyma datamaterial. Snabb utveckling i fråga om datakraft och lärande artificiell intelligens gör det möjligt att samköra flera anonyma datamaterial. Därför bör det införas begränsningar också när det gäller behandling av anonyma datamaterial. Utskottet föreslår således att 1 mom. ändras ytterligare på så sätt att det i enskilda fall på grundval av en begäran om information får utlämnas endast aggregerade statistiska uppgifter för utvecklings- och innovationsverksamhet när det inte är fråga verksamhet som genomförs i form av vetenskaplig forskning.  
Eftersom samtycke utgår som grund för behandling föreslås det att också de tidigare förutsättningarna för samtycke ska utgå ur 2 mom. I stället föreslås det att 2 mom. ska innehålla bestämmelser om avgränsning av paragrafens tillämpningsområde, dvs. när uppgifter med stöd av 1 mom. får utlämnas för utvecklings- och innovationsverksamhet. Enligt momentet ska uppgifter som avses i 1 mom. få utlämnas i enlighet med 45 § förutsatt att avsikten med verksamheten, enligt begäran om information och den bifogade planen för användning av uppgifter, är att 1) främja folkhälsan och den social tryggheten, 2) utveckla social- och hälsovården eller servicesystemet eller 3) skydda individers hälsa och välfärd eller garantera deras rättigheter och friheter i anknytning därtill. Bestämmelsen gäller exempelvis lösningar som stöder utveckling av social- och hälsovårdssystemet och dess förvaltning, läkemedelsutveckling eller individens välbefinnande. Skyddet för individens hälsa och välfärd och säkerställandet av tillhörande fri-och rättigheter kan exempelvis vara kopplade till konsekvensbedömningar som gäller vaccin och läkemedel eller tjänsterna inom social- och hälsovården. Social- och hälsovårdsutskottet ser det som viktigt att den sekundära användningen social- och hälsovårdsuppgifter för utvecklings- och innovationsverksamhet avgränsas på så sätt att eventuell behandling av uppgifter enligt den föreslagna lagen kan gagna individers välfärd och hälsa, folkhälsan och social- och hälsovårdssystemets funktion.  
Utskottet föreslår nu att innehållet i paragrafen om utvecklings- och innovationsverksamhet ändras till väsentliga delar. Den föreskriver därmed inte längre om utlämnande av information med stöd av ett användningstillstånd. Paragrafen flyttas därför och blir 37 §, medan 37 i propositionen blir 38 §. En ny mellanrubrik införs därför före den nya 37 §, ”Användning av uppgifter i form av aggregerade statistiska uppgifter”. 
38 §. Användningstillstånd för vetenskaplig forskning och statistikföring.
Paragrafen flyttas i enlighet med vad som sägs ovan och 37 § i propositionen blir således 38 §. Hänvisningen i dess 3 mom. till den upphävda personuppgiftslagen ändras så att den gäller dataskyddslagen, som trädde i kraft den 1 januari 2019. 
39 §. Undervisning.
I paragrafen föreskrivs det om de förutsättningar utifrån vilka personuppgifter kan användas i undervisning och framställning av undervisningsmaterial. Enligt propositionen innehåller 4 mom. i syfte att skydda den registrerade bestämmelser om att tillståndshavaren ska förstöra ett separat material som samlats in för undervisningsändamål när det inte längre behövs för det ändamålet. Utskottet föreslår att bestämmelsen skärps på så sätt att villkoret för att få bevara materialet ska vara att materialet är nödvändigt i stället för enbart behövligt.  
40 §. Myndighetens planerings- och utredningsuppgifter.
Utskottet föreslår en språklig precisering i paragrafen. 
41 §. Informationsledning.
Paragrafen innehåller bestämmelser om den rätt som tillhandahållare av social- och hälsovårdstjänster har att behandla kunduppgifter för informationsledning av sin serviceverksamhet. I 2 mom. föreskrivs det om situationer där tjänstetillhandahållaren behöver jämförelsematerial för att kunna jämföra sin egen verksamhet med andra tjänstetillhandahållares verksamhet. Enligt propositionen ska Tillståndsmyndigheten för social- och hälsovården få producera och överlämna anonymiserat datamaterial i de syftena. Det räcker emellertid inte med anonymisering av datamaterial för att dataskyddet ska vara tillräckligt för överlåtelse, och därför föreslår utskottet att bestämmelsen ändras så att Tillståndsmyndigheten lämnar uppgifterna i de nämna syftena i form av aggregerade statistiska uppgifter på grundval av en begäran om information.  
Utskottet föreslår vidare ett nytt 3 mom. med bestämmelser om kommuners och samkommuners rätt att för informationsledning på ett identifierbart sätt behandla och samköra också sådana kunduppgifter som lagrats i ett sådant gemensamt register för samkommunen och dess medlemskommuner som avses i 9 § 1 mom. i hälso- och sjukvårdslagen. Samma bestämmelse finns i övergångsbestämmelsen i 59 § 1 mom. propositionen. Enligt det momentet ska bestämmelsen dock gälla bara till dess att lagförslag 2 i regeringens proposition RP 15/2017 rd, lagen om ordnande av social- och hälsovården, träder i kraft. Den lagen har i dagens läge inte blivit stiftad och därför går det inte att hänvisa till den i övergångsbestämmelsen. Utskottet anser dock att bestämmelsen behövs och därför bör den ingå i 41 § 3 mom. Bestämmelsen kan behöva upphävas eller ändras senare, om organiseringsansvaret enligt hälso- och sjukvårdslagen ändras eller dess 9 § upphävs av någon annan anledning.  
42 §. Myndighetsstyrning och myndighetstillsyn inom social- och hälsovården.
Regeringen föreslår i 1 mom. att en tillsynsmyndighet inom social- och hälsovården för utförande av en lagstadgad styrnings- och tillsynsuppgift av Tillståndsmyndigheten för social- och hälsovårdsuppgifter ska kunna få samkörda uppgifter som baserar sig på kunduppgifter inom social- och hälsovården och vid behov samkörda uppgifter som baserar sig på andra registeruppgifter hos de registeransvariga som avses i 6 § i anonymiserad form. Utskottet föreslår i enlighet med vad som sägs ovan att 42 § 1 mom. ändras så att uppgifter i anonymiserad form ersätts med aggregerade statistiska uppgifter.  
Ordalydelsen i 1 mom. föreslås bli preciserad också i övrigt. 
Rubriken för 5 kap.
Utskottet föreslår att kapitelrubriken ändras så att den bättre motsvarar innehållet i de paragrafer som föreslås i betänkandet.  
43 §. Allmänna grunder för beviljande av användningstillstånd.
Utskottet föreslår att 1 mom. ändras på så sätt att det hänvisar till dataskyddslagen (1050/2018) i stället för den upphävda personuppgiftslagen. Dessutom ändras strukturen på momentet. 
44 §. Behörighet för behandling av användningstillstånd.
Utskottet föreslår en tydligare struktur på paragrafen. Detta sker genom att i 1 mom. ta in bestämmelser om de uppgifter i fråga om vilka tillståndsbehörigheten koncentreras till Tillståndsmyndigheten. I propositionen finns dessa bestämmelser i både 1 mom. och 2 mom. Paragrafen skrivs också om för att vara mer exakt. 
I 1 mom. införs en numrerad förteckning för att möjliggöra hänvisning till de numrerade punkterna. Hänvisningen i 1 punkten avgränsas från registeruppgifter för de myndigheter som avses i 6 § till registeruppgifter för de myndigheter som avses i 6 § 1—8 punkten.  
I det nya 2 mom. finns bestämmelser om Tillståndsmyndighetens behörighet att fatta beslut om användningstillstånd för Pensionsskyddscentralen, Befolkningsregistercentralen och Statistikcentralen när tillståndet avser uppgifter enligt 6 § 9—11 punkten, precis som i propositionen. Det är emellertid viktigt, anser utskottet, att här hänvisa till de numrerade punkterna i 1 mom., dvs. 1—3 punkten. Av dessa anges uppgifterna enligt 6 § 1—8 punkten i 1 punkten. Det innebär att Tillståndsmyndigheten fattar besluten om användningstillstånd i fråga om de myndighetsuppgifter som avses i 6 § 9—11 punkten när sådana samkörs med uppgifter enligt 1 mom. När momentet ändras på detta sätt täcker det också in de situationer där de nämnda uppgifterna hos Pensionsskyddscentralen, Befolkningsregistercentralen och Statistikcentralen behöver samköras med uppgifter i Kanta-tjänsterna eller med uppgifter hos en privat serviceanordnare inom social- och hälsovården. 
Det föreslagna 3 mom. gäller situationer där en ansökan om användningstillstånd bara gäller uppgifter hos en enda i 6 § avsedd organisation. Utskottet föreslår att bestämmelsen avgränsas för att bara gälla de organisationer som avses i 6 § 1—8 punkten, eftersom det läggs till att om den organisationen i enlighet med 11 § 3 mom. har meddelat Tillståndsmyndigheten att den avstår från att upprätthålla andra tjänster än de som avses i 10 § 1 och 2 punkten, är det Tillståndsmyndigheten som svarar för dess beslut om användningstillstånd avseende personuppgifter enligt lagen. Pensionsskyddscentralen, Befolkningsregistercentralen och Statistikcentralen kan inte avstå från att upprätthålla de tjänsterna. 
45 §. Behandling av begäranden om information.
I 45 § i propositionen finns inga restriktioner i möjligheterna att lämna ut anonymiserat datamaterial. Precis som det sägs ovan i motiven till 37 § (38 § i RP) kan det vara möjligt att ta reda på en enskild registrerad persons identitet och uppgifter om denne också utifrån datamaterial i anonym form. Därför behöver det också införas begränsningar också för behandlingen av anonymiserat datamaterial. Eftersom de bestämmelser som gäller behandlingen av anonymiserade uppgifter föreslås bli väsentligt ändrade föreslår utskottet att 45 § ändras skrivs om helt med hänsyn till dataskyddet. 
Den ändrade paragrafen gäller begäranden om information och inte ansökan om användningstillstånd. Utgångspunkten vid en ansökan är att den sökande har för avsikt att också själv behandla det datamaterial denne får tillgång till utifrån tillståndet. Behandlingen ska alltid ske i en informationssäker driftmiljö för att hindra möjligheten till identifiering. Detta gäller oberoende av om den sökande får uppgifterna i identifierbar form, pseudonymiserade eller anonymiserade. Däremot får den sökande på grundval av en begäran om information analyserade data i form av aggregerade statistiska uppgifter. Dessa ska sammanställas av Tillståndsmyndigheten för social- och hälsovårdsuppgifter utifrån de aktuella principiella riktlinjerna från den expertgrupp som avses i 8 § 4 mom. Följaktligen kan de aggregerade statistiska uppgifter som tagits fram på grundval av en begäran lämnas ut på ett informationssäkert sätt till personen, som får använda uppgifterna fritt och också lämna dem vidare eller publicera dem. 
Enligt det ändrade 45 § 1 mom. är det alltid Tillståndsmyndigheten som ska besluta om en begäran om information enligt 3 § 9 punkten överensstämmer med användningsändamålen enligt 2 § 1 mom. och de krav som i övrigt ställs på en sådan begäran.  
I det ändrade 2 mom. förutsätts det att Tillståndsmyndigheten vid sådana beslut med stöd av artiklarna 9.2 g och 86 i dataskyddsförordningen och med beaktande av expertgruppens principiella riktlinjer bedömer om det är möjligt att ta fram aggregerade statistiska uppgifter enligt begäran om de registeruppgifter som begäran avser. 
Det nya 3 mom. innehåller bestämmelser om undantag i de fall där uppgifterna begärs för vetenskaplig forskning och begäran till vissa delar gäller uppgifter som en statistikmyndighet samlat in för statistiska ändamål. I sådana fall ska bestämmelserna i 7 § och 51 § 4 mom. följas. Uppgifter som statistikmyndigheter samlar in för statistiska ändamål kan användas för vetenskaplig forskning, men inte för alla användningsändamål enligt 2 § 1 mom. 
Också paragrafens rubrik föreslås bli ändrad för att bättre motsvara det ändrade innehållet. 
46 §. Lämnande av ansökan om användningstillstånd och begäran om information till Tillståndsmyndigheten för social- och hälsovårdsuppgifter.
Utskottet föreslår att smärre språkliga ändringar görs i 1 mom. och att ”anonymiserade uppgifter” ändras till ”aggregerade statistiska uppgifter” så att bestämmelsen ligger i linje med ovan presenterade ändringar.  
Vidare föreslår utskottet att 2 mom. ändras på så sätt att paragrafen ger Tillståndsmyndigheten rätt att meddela föreskrifter om datainnehållet och datastrukturerna inte bara i ansökningar om användningstillstånd, utan också i begäran om information.  
47 §. Tidsfrister för behandling av användningstillstånd.
I 2 mom. görs en språklig ändring. 
I 4 mom. föreslår utskottet i överensstämmelse med den omskrivna 45 § att ”en sådan begäran om anonymiserade uppgifter som avses i 45 §” ändras till ”en sådan i 45 § avsedd begäran om information som gäller aggregerade statistiska uppgifter”.  
48 §. Tidsfrister för utlämnande av uppgifter.
Det föreslagna 1 mom. ändras så att det ligger i linje med det omskrivna 45 §. 
Dessutom preciseras tidsfristerna i 1 och 3 mom. så att de avser vardagar. 
49 §. Avgift för användningstillstånd och för beslut om begäran om information.
Enligt den föreslagna 49 § får en avgift tas ut för användningstillstånd. Utskottet föreslår att paragrafen kompletteras med att avgift också får tas ut för beslut som gäller en begäran om information. 
50 §. Ersättningar för tjänster.
Utskottet föreslår att 1 mom. ska kompletteras eftersom det inte avser alla levererade tjänster som Tillståndsmyndigheten måste kunna ta ut ersättning för eftersom de kräver resurser, know-how och tid. Enligt det föreslagna 1 mom. ska ersättning få tas ut för urval, tillhandahållande och samkörning av uppgifter enligt ett användningstillstånd och för användning av en informationssäker miljö. Utskottet föreslår att ersättning också ska få tas ut för förbehandling, pseudonymisering och anonymisering av data. 
Vidare föreslår utskottet att 4 mom. utgår eftersom dess innehåll framgår av det kompletterade 1 mom. 
Paragrafens 6 mom. föreslås bli 4 mom. eftersom det sakligt sett hör ihop med 1—3 mom.  
51 §. Behandling och utlämnande av datamaterial till tillståndshavaren sedan användningstillstånd beviljats.
Paragrafen föreskriver om de förfaranden och förutsättningar som gäller när Tillståndsmyndigheten lämnar ut uppgifter efter att ha beviljat användningstillstånd. Utskottet föreslår att paragrafen ändras i enlighet med de principer som presenteras ovan för att förbättra skyddet för de personuppgifter som används när anonymiserat datamaterial tas fram. Samtidigt görs paragrafstrukturen tydligare. 
I 1 mom. kvarstår de grundläggande bestämmelserna om hur Tillståndsmyndigheten ska behandla uppgifter efter att ha beviljat användningstillstånd. Innehållet kompletteras ändå för att motsvara de föreslagna ändringarna ovan på så sätt att den föreskriver om insamling, samkörning, förbehandling, pseudonymisering och anonymisering av uppgifter och om utlämnande av producerat datamaterial. Dessutom ändras 1 mom. också så, att det i fråga om bestämmelserna om informationsbehandling hänvisar till 3 mom., som föreslås innehålla de relevanta bestämmelserna i ändrad form. 
Utskottet fogar ett nytt 2 mom. till paragrafen. Det gäller behandlingen av uppgifter som lämnas ut med stöd av ett användningstillstånd som den personuppgiftsansvarige själv beviljar. Även det momentet innehåller en hänvisning till behandling enligt 3 mom. Det nya 2 mom. avses också innehålla bestämmelser om att det alltid är Tillståndsmyndigheten som svarar för anonymiseringen av uppgifter när de lämnas ut i sådan form. Den personuppgiftsansvarige ska ge in uppgifterna till myndigheten för anonymisering och utlämnande till tillståndshavaren.  
Utskottet anser det vara viktigt att uppgiften att anonymisera uppgifter som ska lämnas ut koncentreras till Tillståndsmyndigheten. På detta sätt sörjer man för att den som anonymiserar besitter information om vilka andra för dataskyddet relevanta anonymiserade datamaterial som har tagits fram om samma data. Då kan den som beviljar tillstånd bedöma huruvida ytterligare begränsningar måste uppställas för behandlingen av det anonymiserade datamaterialet för att skydda personuppgifter. Det kan exempelvis vara fråga om begränsa antalet förfrågningar som gäller materialet. Bestämmelsen ger således möjlighet att vid behov även kontrollera behandlingen av anonymt datamaterial i syfte att skydda känsliga personuppgifter. När anonymiseringen koncentreras till Tillståndsmyndigheten säkerställs det samtidigt att anonymiseringen utförs i enlighet med de principiella riktlinjerna från den expertgrupp som avses i 8 § 4 mom. 
Dataskyddet måste säkerställas och utskottet föreslår därför ett nytt 3 mom. I den föreskrivs det att datamaterial som lämnas ut med stöd av ett användningstillstånd, inklusive anonymiserat datamaterial, alltid ska lämnas ut för behandling i en sådan informationssäker driftmiljö som avses i 20 § via en sådan informationssäker drifttjänst som avses i 17 §. Undantag utgörs av situationer där uppgifterna lämnas ut i form av aggregerade statistiska uppgifter, varvid skyddet för de personuppgifter som ingår i källmaterialet inte äventyras även om resultatet lämnas ut till en person som får använda uppgifterna fritt och också lämna dem vidare eller publicera dem. Det innebär att inte heller anonymiserat datamaterial enligt det nya 3 mom. lämnas ut för att fritt få användas av mottagaren, utan för att behandlas i en informationssäker driftmiljö i enlighet med villkoren i användningstillståndet. 
Vidare föreslås 3 mom. innehålla en bestämmelse om att den primära behandlingen av utlämnade uppgifter ska ske i den informationssäkra driftmiljö som avses i 20 § 1 mom. och som Tillståndsmyndigheten förvaltar. Den personuppgiftsansvarige har ingen skyldighet att upprätthålla en informationssäker driftmiljö eller drifttjänst i detta syfte. Om det emellertid av planen för användning av uppgifterna eller användningstillståndet framgår ett viktigt skäl ska datamaterial kunna lämnas ut för behandling på motsvarande sätt i en annan informationssäker driftmiljö enligt 20 § 3 mom. Utskottet erfar att det är motiverat att införa ett undantag eftersom olika driftmiljöer kan specialiseras på ett sätt där de har olika egenskaper och olika analysredskap. Syftet är att göra förfarandet mer flexibelt på så sätt att kunderna har möjlighet att välja den driftmiljö som är bäst lämpad för deras behov. Alla informationssäkra driftmiljöer måste emellertid vara kvalitetsreviderade och certifierade så att de alla ligger på samma höga nivå i fråga om informationssäkerhet. 
I det föreslagna 2 mom. finns bestämmelser om lägen där Statistikcentralen och Institutet för hälsa och välfärd samkör uppgifter. Momentet blir nu 4 mom. och dess ordalydelse görs språkligt tydligare. Momentet kompletteras dessutom med ett omnämnande av förbehandling av uppgifter i enlighet med vissa ovan relaterade paragrafändringar. 
Det föreslagna 3 mom. blir 5 mom. 
Utskottet föreslår dessutom att rubriken ändras för att motsvara paragrafens innehåll. 
52 §. Publicering av resultat baserade på uppgifter utlämnade med stöd av ett användningstillstånd.
Utskottet föreslår en ny paragraf. Den gäller Tillståndsmyndighetens ansvar för att se till att publicerade uppgifter är anonyma. När uppgifter lämnats ut med stöd av ett användningstillstånd för behandling i en sådan informationssäker driftmiljö som avses i 20 § och någon vill publicera resultatet utifrån uppgifterna ska Tillståndsmyndigheten försäkra sig om att det publicerade resultatet är anonymt. Det kan göras att en forskare eller någon annan som meddelats användningstillstånd lägger fram ett förslag för Tillståndsmyndigheten om säkerställande av att data som bygger på personuppgifter anonymiseras. Myndigheten ska då bedöma om resultatet kan publiceras på föreslaget sätt och anonymitet garanteras för de registrerade. Om svaret är nej måste Tillståndsmyndigheten förhandla med den som meddelats tillstånd för att finna en lösning på hur publiceringen kan ske så att uppgifterna förblir anonyma.  
Myndigheten kan emellertid av grundad anledning i tillståndet ange att tillståndshavaren får anonymisera de uppgifter som skall publiceras, men att denne är skyldig att ge in uppgifterna till myndigheten i efterhand. Enligt utskottet behövs en sådan bestämmelse för de fall där tillståndet gäller sådant datamaterial som kräver uppbyggnad av en särskild driftmiljö för att kunna behandlas. I sådana fall kan den som svarar för en sådan driftmiljö med stöd av tillståndet också svara för anonymisering av resultatet när den har den särskilda kompetens som krävs för anonymisering av sådana uppgifter. 
I det föreslagna nya 2 mom. föreskrivs det att Tillståndsmyndigheten producerar anonymiserade resultat och överlämnar dem till tillståndshavaren som får publicera dem fritt enligt sin begäran och de bifogade förslagen oberoende av om användningstillståndet beviljats av en enskild personuppgiftsansvarig eller Tillståndsmyndigheten. På detta sätt koncentreras ansvaret för anonymisering av uppgifter som publiceras till Tillståndsmyndigheten. Sett till ansvarsfördelningen är det således den myndigheten som svarar för att resultat som bygger på personuppgifter anonymiseras. Den som publicerar resultaten ansvarar för att deras vetenskapliga validitet och för att kraven i dataskyddsdirektivet i övrigt är uppfyllda. Enligt 2 mom. är det dock tillståndshavaren som själv ska föreslå hur de vetenskapliga resultaten ska publiceras för att uppfylla dataskyddsvillkoren. 
Paragrafnumreringen.
Den nya 52 § innebär att numreringen av paragraferna måste ändras. Därmed blir 52–59 § i propositionen i stället 53–60 §. 
55 §. Rättigheter, skyldigheter och åtgärder på grund av betydande kliniska fynd.
Paragrafhänvisningen i 1 mom. måste ändras till följd av den nya paragrafnumreringen.  
58 §. Överklagande.
Det föreslagna 1 mom. ändras så att det överensstämmer med den ändrade 45 §. Dessutom görs ordalydelsen klarare. 
60 §. Övergångsbestämmelser.
I det föreslagna 1 mom. finns en bestämmelse som tillåter behandling av uppgifter i det gemensamma register som avses i 9 § 1 mom. i hälso- och sjukvårdslagen till dess att den i samband med den planerade vård- och landskapsreformen (RP 15/2017 rd) föreslagna lagen om ordnande av social- och hälsovården har trätt i kraft. Den lagen har emellertid ännu inte trätt i kraft och därför konstaterar utskottet att 1 mom. utgår och att en bestämmelse som tillåter den avsedda behandlingen av uppgifter fogas till 41 §. När 1 mom. utgår blir de föreslagna 2—10 mom. i stället 1—9 mom. De övergångstider som anges i 1, 2, 3, 6, 7, 8 och 9 mom. ändras i enlighet med utredning från social- och hälsovårdsministeriet på ett sätt som garanterar tillräckligt med tid för de åtgärder respektive bestämmelse gäller. 
Övergångstiden i 1 mom. (2 mom. i RP) ändras till följd av att lagen ikraftträdande skjutits fram. Dessutom ändras hänvisningarna i enlighet med ovan presenterade ändringar. 
Övergångstiden i 2 mom. (3 mom. i RP) ändras till följd av att lagen ikraftträdande skjutits fram. 
Övergångstiden i 3 mom. (4 mom. i RP) ändras till följd av att lagen ikraftträdande skjutits fram. 
Det nya 4 mom. (5 mom. i RP) avgränsas på så sätt att de uppgifter som avses i momentet får användas och lämnas ut bara för statistikföring och vetenskaplig forskning och för myndigheternas planerings- och utredningsuppgifter. Dessutom stryks orden ”i väsentlig mån”. Också hänvisningarna ändras till följd av ovan relaterade ändringar. 
Till momentet fogas en bestämmelse om att den myndighet som beslutar om användningstillstånd kan kräva att den som ansöker om tillstånd ska be om en etisk bedömning av den etiska kommittén vid Institutet för hälsa och välfärd till grund för tillståndsbeslutet. Den myndighet som beviljar tillståndet kan således i varje enskilt fall bestämma att ett sådant villkor ska fogas till ett tillstånd som gäller gammalt material som samlats in med stöd av samtycke. Samma villkor ställs också för att betydelsefullt forskningsmaterial enligt 5 f § 2 mom. i lagen om Institutet för hälsa och välfärd ska få föras över för förvaring på institutet. 
Övergångstiden i 6 mom. (7 mom. i RP) ändras till följd av att lagen ikraftträdande skjutits fram. 
Övergångstiden i 7 mom. (8 mom. i RP) ändras till följd av att lagen ikraftträdande skjutits fram. Dessutom ändras begreppet anonymiserad information ändras till aggregerade statistiska uppgifter, och vidare ändras hänvisningarna till relevanta delar till följd av ovan relaterade ändringar. Momentet ändras också språkligt, men detta påverkar inte innehållet. 
Det nya 8 mom. (9 mom. i RP) kompletteras till följd av de ändringar som föreslås i 14 §. Dessutom ändras övergångstiden till följd av det uppskjutna ikraftträdandet.  
I det nya 9 mom. (10 mom. i RP) ändras hänvisningen till följd av ovan relaterade ändring i 44 § och dessutom ändras övergångstiden till följd av lagen träder i kraft senare än avsett. Momentet preciseras genom tillägg av begäran om information utöver ansökan om användningstillstånd och en hänvisning till 16 §.  
Lag om ändring av lagen om Institutet för hälsa och välfärd (lagförslag 2)
5 f §. Överföring av betydelsefullt forskningsmaterial till Institutet för hälsa och välfärd.
Utskottet föreslår att 2 mom. kompletteras i enlighet med skäl 171 och artikel 5.1 b i dataskyddsförordningen och anvisningarna från EU:s artikel 29-grupp (WP 29). Tillägget innebär att uppgifter som samlats in med den berördes samtycke får överföras bara om det är uppenbart att sådan användning och överlåtelse av uppgifter inte i väsentlig mån avviker från de syften som uppgifterna lämnats för.  
Ikraftträdandebestämmelsen.
Enigt den föreslagna bestämmelsen ska där avsedda registeruppgifter lämnas till social- och hälsovårdsministeriet. Utskottet föreslår att den personuppgiftsansvarige i stället för att lämna ministeriet uppgifterna ska lämna uppgifterna om det berörda registret och dess registerbeskrivning samt andra nödvändiga uppgifter för att ärendet ska kunna bedömas till Institutet för hälsa och välfärd, eftersom institutet svarar för kvalitetsregistren och därmed enligt utskottets mening är den myndighet som ska ta emot uppgifterna och bedöma dem.  
Utskottet föreslår att uppgifterna ska lämnas senast den 30 november 2019. 
Lag om ändring av 30 e § i läkemedelslagen (lagförslag 3).
30 e §.
I 1 mom. föreslår utskottet en språklig ändring 
Utskottet noterar att vissa ändringar fattas i propositionen. De behövs eftersom lagen om riksomfattande personregister för hälsovården föreslås bli upphävd. Utskottet föreslår att 2 och 3 mom. i läkemedelslagens 30 e § om register över biverkningar ändras. 
I 2 mom. föreslås tillägg av en bestämmelse om att de som avses i lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994) trots bestämmelserna om sekretessplikt är skyldiga att avgiftsfritt i syfte att säkerställa läkemedels- och patientsäkerheten till Säkerhets- och utvecklingscentret för läkemedelsområdet lämna ut uppgifter i journalhandlingar, patienters personuppgifter, uppgifter om medicinering, indikationer för medicineringen och biverkningar hos läkemedel samt uppgift om vem som gjort anmälan. Bestämmelsen motsvarar i allt väsentligt 3 § i lagen om riksomfattande personregister för hälsovården, som ska upphävas. 
I 3 mom. föreslås tillägg av en hänvisning till de användningsändamål som avses i lagen om sekundär användning av personuppgifter inom social- och hälsovården. Samtidigt görs en språklig ändring i den finska lagtexten. 
Lag om ändring av 15 § i lagen om elektroniska recept (lagförslag 6)
15 §.
Enligt propositionen ska en bestämmelse fogas till 4 mom. Enligt den har Folkpensionsanstalten rätt att utan tillstånd från Tillståndsmyndigheten använda uppgifter i receptcentret och receptarkivet i anstaltens vetenskapliga forskning. Utskottet anser att det vore mer logiskt att placera bestämmelsen i 5 mom. Vidare föreslår utskottet att 5 mom. för tydlighet skull kompletteras med en bestämmelse som innebär att Folkpensionsanstalten i så fall ska bevilja användningstillståndet själv i fråga om uppgifterna i receptcentret och receptarkivet. 
Dessutom ändras begreppen ”käyttölupaviranomainen” och ”käyttölupa” i överensstämmelse med lagförslag 1 till ”Tietolupaviranomainen” och ”tietolupa”. 
Lag om ändring av lagen om smittsamma sjukdomar (lagförslag 9)
Lagrubriken.
Lagrubriken ändras till följd av de paragrafändringar som föreslås nedan.  
25 §. Tillgång till information för att avvärja en allvarlig epidemi.
Hänvisningen i 1 mom. till lagen om riksomfattande personregister för hälsovården (556/1989), som ska upphävas, föreslås bli ändrad till en hänvisning till 5 § i lagen om Institutet för hälsa och välfärd (668/2008). 
34 §. Samkörning av uppgifterna i det sampelbaserade uppföljningsregistret.
Hänvisningen till lagen om riksomfattande personregister för hälsovården, som ska upphävas, föreslås bli ändrad till en hänvisning till 5 § i lagen om Institutet för hälsa och välfärd. 
36 §. Register över vårdrelaterade infektioner.
Hänvisningen i 2 mom. till lagen om riksomfattande personregister för hälsovården, som ska upphävas, föreslås bli ändrad till en hänvisning till 5 § i lagen om Institutet för hälsa och välfärd. 
51 §. Uppföljning av verkningarna av vaccinationer och utredning av biverkningar eller misstänkta fall av biverkningar.
Hänvisningen i 2 mom. till lagen om riksomfattande personregister för hälsovården, som ska upphävas, föreslås bli ändrad till en hänvisning till 5 § i lagen om Institutet för hälsa och välfärd. 
53 §. Dokumentation av anmälningar om biverkningar av vacciner och vaccinationer.
Hänvisningen i 2 mom. till lagen om riksomfattande personregister för hälsovården, som ska upphävas, stryks. 
Lag om upphävande av 14 g § 3 mom. i lagen om utkomststöd (lagförslag 12)
14 g §. Folkpensionsanstaltens skyldighet
att lämna uppgifter som är nödvändiga för framställande av statistik till Institutet för hälsa och välfärd Propositionen innehöll inget förslag om ändring av lagen om utkomststöd (815/2015). Utskottet föreslår att lagen med anledning av propositionen ändras på så sätt att 14 g § 3 mom. upphävs som onödigt. Paragrafen innehåller en hänvisning till lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården, som föreslås bli upphävd.  
FÖRSLAG TILL BESLUT
Social- och hälsovårdsutskottets förslag till beslut:
Riksdagen godkänner lagförslag 4, 5, 7, 8, 10 och 11 i proposition RP 159/2017 rd utan ändringar. 
Riksdagen godkänner lagförslag 1—3, 6 och 9 i proposition RP 159/2017 rd med ändringar. (Utskottets ändringsförslag) 
Riksdagen godkänner ett nytt lagförslag 12. (Utskottets nya lagförslag) 
Utskottets ändringsförslag
1. 
Lag 
om sekundär användning av personuppgifter inom social- och hälsovården 
I enlighet med riksdagens beslut föreskrivs: 
1 kap. 
Allmänna bestämmelser 
1 § 
Lagens syfte 
Lagens syfte är att möjliggöra en effektiv och informationssäker behandling av personuppgifter som har registrerats i social- och hälsovårdsverksamhet och för styrnings-, tillsyns-, forsknings- och statistikändamål inom social- och hälsovården samt en samkörning av dessa personuppgifter med Folkpensionsanstaltens, Befolkningsregistercentralens, Statistikcentralens och Pensionsskyddscentralens personuppgifter. 
Lagens syfte är dessutom att trygga skyddet för individens tillitsskydd samt rättigheter och friheter vid behandlingen av personuppgifter. 
2 § 
Tillämpningsområde 
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, när personuppgifter som avses i 1 §, trots att de inte ursprungligen har registrerats för ändamålen, behandlas för följande användningsändamål: 
1) statistikföring, 
2) vetenskaplig forskning, 
3) utvecklings- och innovationsverksamhet, 
4) undervisning, 
5) informationsledning, 
6) myndighetsstyrning och myndighetstillsyn inom social- och hälsovården, samt 
7) myndigheternas planerings- och utredningsuppgifter. 
Bestämmelser om organisationer vars uppgifter får behandlas i enlighet med 1 mom. samt om inskränkningar i behandlingen av uppgifter finns i 6 och 7 §. 
Bestämmelser om grunder för utlämnande personuppgifter och om mottagarens rätt att behandla de utlämnade personuppgifterna för sådana ändamål som avses i 1 mom. finns i 4 och 5 kap. 
3 § 
Definitioner 
I denna lag avses med 
1) kunduppgifter personuppgifter enligt artikel 4.1 i dataskyddsförordningen som enligt lag är sekretessbelagda och som har registrerats i ett kundregister i en kundrelation inom social- och hälsovården eller vid förmånshandläggning eller i ett administrativt register i anknytning till en kundrelation, 
2) primärt användningsändamål för personuppgifter det användningsändamål för vilket personuppgifterna ursprungligen har registrerats, 
3) sekundärt användningsändamål för personuppgifter behandling av personuppgifter för något annat användningsändamål än det primära användningsändamål som avses i 2 punkten, 
4) utvecklings- och innovationsverksamhet tillämpning och användning av tekniska uppgifter och affärsinformation och annan befintlig kunskap tillsammans med personuppgifter som avses i denna lag i syfte att utveckla nya eller avsevärt förbättrade produkter, processer eller tjänster, 
5) informationsledning behandling av information till stöd för tjänstetillhandahållare vid styrning, ledning och beslutsfattande i fråga om verksamhet, produktion och ekonomi i kund-, service- och produktionsprocesser, 
6) myndighetsstyrning inom social- och hälsovården de nationella social- och hälsovårdsmyndigheternas lagstadgade styrning av aktörer inom branschen baserad på person- och statistikuppgifter som samlats in för ändamålet eller på uppgifter som i ett enskilt fall har erhållits för styrnings- eller tillsynsuppgiften, 
7) myndighetstillsyn inom social- och hälsovården de nationella social- och hälsovårdsmyndigheternas lagstadgade tillsyn över yrkesutbildade personer och verksamhetsenheter inom social- och hälsovården, 
8) användningstillstånd tillstånd enligt denna lag att behandla de sekretessbelagda personuppgifter som anges i tillståndet för det användningsändamål som avses i tillståndet, 
9) begäran om information en begäran om att få aggregerade statistiska uppgifter som tagits fram utifrån personuppgifter som avses i denna lag för ett användningsändamål enligt denna lag, 
10) informationssäker drifttjänst en informationssäker lösning via vilken parterna kan lämna ut och ta emot uppgifter som omfattas av användningsbegränsningar, 
11) informationssäker driftmiljö en teknisk, organisatorisk och fysisk driftmiljö för behandling av uppgifter där informationssäkerhet har säkerställts genom lämpliga administrativa och tekniska åtgärder, 
12) hanteringssystem för begäranden om information ett system via vilket den som ansöker om användningstillstånd eller den som på annat sätt begär information med stöd av denna lag lämnar in en ansökan om användningstillstånd eller en begäran om information enligt denna lag med bilagor till myndigheten och i vilket ett beslut om användningstillstånd eller om begäran om information delges den sökande, 
13) tjänstetillhandahållare en myndighet som ordnar, producerar eller lämnar socialvård eller hälso- och sjukvård eller socialvårdstjänster eller hälso- och sjukvårdstjänster eller en sådan producent av privat service som avses i lagen om privat socialservice (922/2011) eller i lagen om privat hälso- och sjukvård (152/1990), 
14) serviceanordnare en tillhandahållare av social- och hälsovårdstjänster som
a) i egenskap av myndighet är skyldig att se till att kunden får sådana tjänster eller förmåner som kunden har rätt till enligt lag eller ett myndighetsbeslut, eller
b) i egenskap av privat tjänstetillhandahållare är skyldig att se till att en kund som köper en tjänst privat får sådana tjänster som kunden har rätt till enligt konsumentskyddsbestämmelserna,
 
15) tjänsteproducent en tjänstetillhandahållare som enligt ett avtal med en serviceanordnare eller annars för en serviceanordnares räkning producerar social- eller hälsovårdstjänster, 
16) tjänsteleverantör en aktör som tillhandahåller kunderna tjänster som syftar till en informationssäker driftmiljö, 
17) plan för användning av uppgifter en forskningsplan, projektplan eller motsvarande plan av vilken framgår användningsändamålet för de uppgifter som avses i tillståndsansökan, den registeransvarige och registerförarna, den rättsliga grunden för behandlingen samt väsentliga omständigheter som gäller dataskydd och informationssäkerhet vid behandlingen av uppgifterna och som omfattar uppgifternas hela livscykel inklusive bevaring och förstöring eller arkivering av uppgifterna, 
18) aggregerade statistiska uppgifter statistisk information som anonymiserats på ett tillförlitligt sätt, (Ny) 
19)färdigt datamaterial en materialhelhet som Tillståndsmyndigheten för social- och hälsovårdsuppgifter som avses i 4 § har sammanställt av uppgifter från en eller flera organisationer och samkört till ett enda material eller lagrat så att det finns en enhetlig kod för identifierarna för materialet, 
20)bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar och myndigheter som Kommunikationsverket med stöd av lagen om bedömningsorgan för informationssäkerhet (1405/2011) har godkänt att utföra bedömningar av om informationssystem överensstämmer med kraven i fråga om informationssäkerhet. 
2 kap. 
Myndigheter och organisationer 
4 § 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter 
Den i denna lag avsedda Tillståndsmyndigheten för social- och hälsovårdsuppgifter (Tillståndsmyndigheten) finns i anslutning till Institutet för hälsa och välfärd. För de uppgifter som föreskrivs för Tillståndsmyndigheten svarar vid institutet en självständig enhet som har avskilts från de uppgifter som anges i 2 § i lagen om Institutet för hälsa och välfärd (668/2008). 
Tillståndsmyndigheten omfattas av social- och hälsovårdsministeriets resultatstyrning och har en separat direktör utnämnd av social- och hälsovårdsministeriet och en av ministeriet tillsatt styrgrupp. 
5 § 
Uppgifter för Tillståndsmyndigheten för social- och hälsovårdsuppgifter 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter fattar beslut om användningstillstånd som gäller andra registeransvarigas material och beslutar om en begäran om information enligt 45 § överensstämmer med denna lag samt svarar för insamling, samkörning, förbehandling och utlämnande av uppgifter som lämnas ut med stöd av dess beslut för sekundär användning enligt denna lag. Tillståndsmyndigheten får även för ett användningsändamål enligt denna lag på begäran om information samla in personuppgifter från olika registeransvariga och genom att samköra dem producera anonym information åt den som framställt begäran. 
Tillståndsmyndigheten driver ett hanteringssystem för begäranden om information för förmedling och behandling av begäranden om information och tillståndsansökningar samt en informationssäker drifttjänst för mottagande och utlämnande av personuppgifter. Tillståndsmyndigheten förvaltar även en informationssäker driftmiljö där tillståndshavaren kan behandla de personuppgifter som lämnats ut med stöd av ett användningstillstånd. 
Tillståndsmyndigheten övervakar att villkoren för det beviljade tillståndet iakttas. Den får återkalla användningstillståndet, om tillståndshavaren inte iakttar lagen eller bryter mot villkoren i tillståndet. 
Tillståndsmyndigheten svarar på det sätt som anges i 52 § för anonymiseringen av de personuppgifter som de publicerade resultaten bygger på. (Nytt) 
6 § 
Myndigheter och organisationer som svarar för tjänster samt begränsningar i fråga om datamaterial 
Bestämmelser om tjänster som behövs för behandling av kunduppgifter inom social- och hälsovården samt av andra sådana personuppgifter som avses i denna lag och som ska samköras med kunduppgifterna för användningsändamål enligt 2 § finns i 3 kap. Ansvaret för produktionen av dessa tjänster innehas av Tillståndsmyndigheten för social- och hälsovårdsuppgifter och av följande myndigheter och organisationer: 
1) social- och hälsovårdsministeriet, 
2) Institutet för hälsa och välfärd, 
3) Folkpensionsanstalten till den del det för ändamål enligt denna lag behövs personuppgifter som registrerats i en kundrelation i samband med förmånsbehandling samt uppgifter om recept och anknytande receptexpedieringar vid det receptcenter som avses i 3 § 1 mom. 4 punkten i lagen om elektroniska recept (61/2007) och i det receptarkiv som avses i 3 § 1 mom. 5 punkten i den lagen, 
4) Tillstånds- och tillsynsverket för social- och hälsovården, 
5) regionförvaltningsverken till den del de behandlar ärenden som anknyter sig till social- och hälsovården, 
6) Arbetshälsoinstitutet till den del det för ändamål enligt denna lag behövs uppgifter ur registren över arbetsrelaterade sjukdomar och exponeringsmätningar och ur institutets patientregister, 
7) Säkerhets- och utvecklingscentret för läkemedelsområdet, 
8) offentliga serviceanordnare inom social- och hälsovården, 
9) Statistikcentralen till den del det för ändamål enligt denna lag behövs sådana uppgifter som avses i lagen om utredande av dödsorsak (459/1973), 
10) Pensionsskyddscentralen till den del det för ändamål enligt denna lag behövs nödvändiga personuppgifter ur Pensionsskyddscentralens register om de försäkrades arbets- och förvärvsuppgifter samt om beviljade förmåner och grunderna för dem, inbegripet diagnoser för invalidpensioner och sjukpensioner som registrerats vid verkställigheten av arbetspensionsskyddet, och 
11) Befolkningsregistercentralen till den del det för ändamål enligt denna lag behövs basuppgifter om personer, uppgifter om personers familjeförhållanden och bostadsort samt byggnadsuppgifter ur befolkningsdatasystemet. 
7 § 
Undantag som gäller behandling av statistikmyndigheters uppgifter 
Statistikcentralen samt Institutet för hälsa och välfärd i egenskap av statistikmyndighet (statistikmyndigheter) svarar för användningstillstånd för uppgifter som de i egenskap av statistikmyndigheter samlat in för vetenskaplig forskning och för att uppgifter som hänför sig till en och samma forskningsplan samkörs med deras egna uppgifter samt för pseudonymisering eller anonymisering av uppgifterna i enlighet med statistiklagen (280/2004). En tillståndsansökan som gäller andra sådana uppgifter som avses i denna lag och uppgifter som statistikmyndigheterna samlat in för statistiska ändamål lämnas till Statistikcentralen och Institutet för hälsa och välfärd via det hanteringssystem för begäranden om information som avses i 16 §. Kontakterna till den tillståndssökande vid behandlingen av en tillståndsansökan och delgivningen av beslutet sker via hanteringssystemet. 
Bestämmelser om utlämnande av uppgifter till uppgifter enligt denna lag som sammanslagits i enlighet med statistiklagen föreskrivs i 51 § 4 mom. 
8 § 
Styrning av verksamheten vid Tillståndsmyndigheten för social- och hälsovårdsuppgifter och utvecklande av samarbete mellan registeransvariga 
För styrning av verksamheten vid Tillståndsmyndigheten för social- och hälsovårdsuppgifter och utvecklande av den gemensamma verksamheten mellan organisationer som svarar för tjänster tillsätter social- och hälsovårdsministeriet för en treårsperiod en styrgrupp för tillståndsmyndigheten samt utser en ordförande för styrgruppen. Till ledamöter i styrgruppen utser Social- och hälsovårdsministeriet 
1) sex företrädare enligt förslag från de organisationer och myndigheter som anges i 6 §, 
2) en ledamot som företräder kommunerna som anordnare av social- och hälsovårdstjänster, 
3) utifrån Kommunförbundets förslag en ledamot som företräder kommunerna som anordnare av förebyggande social- och hälsovård, 
4) en ledamot som företräder privata anordnare av social- och hälsovårdstjänster. 
Styrgruppen har till uppgift att behandla och hos Institutet för hälsa och välfärd och social- och hälsovårdsministeriet göra en framställning om 
1) Tillståndsmyndighetens årliga verksamhetsplan och anknytande budget, 
2) verksamhetsberättelsen och bokslutet till den del de gäller Tillståndsmyndigheten, 
3) det gemensamma utvecklandet av de registeransvarigas verksamhet och de resurser som ska anvisas för den, 
4) resurser som ska anvisas varje aktör för utvecklande av informationssystem och samarbete. 
Styrgruppen ger akt på hur Tillståndsmyndighetens verksamhet och tjänster fungerar och på hur tidsfristerna enligt 47 och 48 § följs när det gäller tillståndsbehandling respektive utlämnande av uppgifter som avses i 48 §. Styrgruppen kan dessutom 
1) ställa målmätare för Tillståndsmyndighetens verksamhetsprocesser och starta externa revisioner av dem, 
2) vid behov lägga fram förslag till utveckling av Tillståndsmyndighetens verksamhet för Institutet för hälsa och välfärd och social- och hälsovårdsministeriet, 
3) tillsätta expertgrupper som stöder Tillståndsmyndighetens verksamhet. 
Social- och hälsovårdsministeriet ska utse en expertgrupp på hög nivå för Tillståndsmyndigheten för social- och hälsovårdsuppgifter. Gruppen har i uppgift att ta fram principiella riktlinjer för anonymisering, dataskydd och informationssäkerhet för myndighetens verksamhet. Expertgruppen ska ha en expert på artificiell intelligens, dataanalys, informationssäkerhet, dataskydd, sektorsforskning, statistik respektive statistikväsendet och en företrädare för Tillståndsmyndigheten. Närmare bestämmelser om expertgruppens uppgifter, antalet medlemmar och behörighetsvillkoren får utfärdas genom förordning av social- och hälsovårdsministeriet. (Nytt) 
9 § 
Möjlighet att bilda aktiebolag 
Social- och hälsovårdsministeriet får ensamt eller tillsammans med en eller flera organisationer som avses i 6 §, undervisnings- och kulturministeriet, arbets- och näringsministeriet eller finansministeriet bilda ett aktiebolag som lyder under Tillståndsmyndigheten för social- och hälsovårdsuppgifter. Bolaget ägs och förvaltas av staten. För ägarstyrningen av bolaget och förvaltningen av dess aktier svarar social- och hälsovårdsministeriet. Syftet med bolagets verksamhet är inte att uppnå vinst. 
Bolaget kan ges uppgifter i anknytning till de tjänster som avses i 10 § 3—7 punkten. Närmare bestämmelser om bolagets uppgifter får utfärdas av statsrådet. 
Institutet för hälsa och välfärd eller Tillståndsmyndigheten för social- och hälsovårdsuppgifter kan producera administrativa tjänster och andra stödtjänster för aktiebolaget mot ersättning till marknadspris. 
Bolaget ska på begäran lämna social- och hälsovårdsministeriet de uppgifter som behövs för att bolaget ska kunna styras och övervakas. På bolagets handlingar tillämpas vad som i lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, föreskrivs om myndighetshandlingar. Beslut om att en bolagshandling inte lämnas ut till den som begär det ska fattas av Tillståndsmyndigheten för social- och hälsovårdsuppgifter i enlighet med 4 kap. i offentlighetslagen. 
För bolagets verksamhet kan det beviljas statsunderstöd inom ramen för de anslag som tas in i statsbudgeten. Bestämmelser om statsunderstöd finns i statsunderstödslagen (688/2001). 
På personer som är anställda hos bolaget och på ledamöter i bolagets styrelse tillämpas bestämmelserna om straffrättsligt tjänsteansvar. 
3 kap. 
Tjänster som möjliggör sekundär användning 
Informationstjänster 
10 § 
Tjänster som organisationer producerar för sekundär användning 
För sekundär användning av registeruppgifter tillhandahålls följande tjänster producerade av de organisationer som avses i 6 §: 
1) beskrivningar av datamaterial, 
2) rådgivningstjänst, 
3) tjänst för insamling, samkörning och förbehandling av uppgifter, 
4) tjänst för administrering av identifierare, 
5) hanteringssystem för begäranden om information, 
6) informationssäker drifttjänst, 
7) informationssäker driftmiljö. 
11 § 
Organisationernas ansvar för tjänsterna 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter svarar alltid för de tjänster som avses i 10 § 3—7 punkten när det är fråga om en begäran om information enligt 45 § eller när en ansökan om användningstillstånd gäller 
personregister som förs av flera registeransvariga enligt 6 §, 
eller uppgifter som registrerats i de riksomfattande informationssystemtjänster (Kanta-tjänster) som avses i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/200, klientuppgiftslagen), eller 
— registeruppgifter hos en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter svarar dock för tjänster som gäller uppgifter hos Pensionsskyddscentralen, Befolkningsregistercentralen och Statistikcentralen endast om uppgifterna samkörs med uppgifter som innehas av de organisationer som avses i 6 § 1—8 punkten, uppgifter som är registrerade i Kanta-tjänsterna eller registeruppgifter hos en privat serviceanordnare inom socialvården eller hälso- och sjukvården. (Nytt 2 mom.) 
Om en begäran om information eller en ansökan om användningstillstånd gäller uppgifter i personregister hos endast en av de organisationer som avses i 6 § 1—8 punkten, svarar organisationen själv för alla de tjänster som avses i 10 § 1—4 punkten. De organisationerna kan emellertid underrätta Tillståndsmyndigheten för social- och hälsovårdsuppgifter att de avstår från att tillhandahålla andra tjänster än de som avses i 10 § 1 och 2 punkten. I så fall svarar Tillståndsmyndigheten för den anmälande organisationens tjänster avseende personuppgifter enligt 10 § 3—7 punkten. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter svarar alltid för de tjänster som avses i 10 § 3—7 punkten om en ansökan om användningstillstånd eller en begäran om information enligt denna lag gäller registeruppgifter hos en eller flera privata serviceanordnare inom social- eller hälsovården. 
12 § 
Beskrivningar av datamaterial 
De organisationer som avses i 6 § ska som registeransvariga göra upp materialbeskrivningar av datainnehållet i sina datalager så att det på basis av dem är möjligt att bedöma om registeruppgifterna lämpar sig för de ändamål som anges i 2 §. Tillståndsmyndigheten för social- och hälsovårdsuppgifter ska göra upp materialbeskrivningar över sina i 14 § 5 mom. avsedda färdiga datamaterial. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter utfärdar närmare föreskrifter om materialbeskrivningarnas datainnehåll, begrepp och datastrukturer. Innan föreskrifterna meddelas ska Tillståndsmyndigheten höra organisationerna i fråga. 
Bestämmelser om när de skyldigheter som föreskrivs i 1 mom. börjar tillämpas utfärdas genom förordning av statsrådet. 
13 § 
Rådgivningstjänster 
En registeransvarig enligt 6 § ska ordna en rådgivningstjänst för sina egna registeruppgifter som avses i den paragrafen så att de som behöver uppgifterna för ändamål som avses i 2 § får tillräcklig information om de tillgängliga registrens datainnehåll och huruvida registeruppgifterna lämpar sig för det aktuella informationsbehovet. 
Utöver vad som föreskrivs i 1 mom. ska Tillståndsmyndigheten för social- och hälsovårdsuppgifter ordna en rådgivningstjänst som avser förutsättningarna för beviljande av användningstillstånd, förutsättningarna för godkännande av begäran om information, innehållet i och betydelsen av de tjänster som avses i 10 § samt de färdiga datamaterial som avses i 14 § 5 mom. 
14 § 
Tjänst för insamling, samkörning och förbehandling av uppgifter 
När Tillståndsmyndigheten för social- och hälsovårdsuppgifter har beviljat ett användningstillstånd enligt 44 § eller beslutat bifalla en begäran om information enligt 45 § ska den samla in, samköra och förbehandla och vid behov pseudonymisera eller anonymisera materialet för behandling av tillståndshavaren eller producera de aggregerade statistiska uppgifter som avses i begäran om information i enighet med beslutet. 
När användningstillståndet har beviljats av en enskild personuppgiftsansvarig enligt 6 § 1—8 punkten i fråga om uppgifter i dennes egna register ska den producera materialet enligt tillståndet för behandling av tillståndshavaren. Om materialet emellertid enligt tillståndet lämnas ut i anonymiserad form ska den personuppgiftsansvarige ge in tillståndet och det tillhörande datamaterialet till Tillståndsmyndigheten för samkörning, förbehandling eller anonymisering. (Nytt 2 mom.) 
Tillståndsmyndigheten ska bevara en beskrivning av hur datamaterial och aggregerade statistiska uppgifter som den lämnat ut bildats, av de pseudonymiserings- och anonymiseringsmetoder den använt och av det utlämnade slutresultatet. 
Om personuppgifter med stöd av flera olika planer för användning av uppgifter lämnas ut i pseudonymiserad form, ska uppgifterna pseudonymiseras med olika identifierare för varje utlämnande. 
Tillståndsmyndigheten får utforma färdiga datamaterial av uppgifter hos de myndigheter och organisationer som avses i 6 §. Tillståndsmyndigheten får senare plocka ut de uppgifter som behövs för beviljande av användningstillstånd och som avses i ett beviljat användningstillstånd ur de färdiga datamaterialen. (3 mom i RP) 
15 § 
Tjänst för administrering av identifierare 
Den myndighet som beviljat användningstillstånd förvarar identifierarna för pseudonymiserat material på ett informationssäkert sätt så att materialet vid behov kan göras identifierbart och att detta samma material med hjälp av identifierarna kan produceras på nytt. 
Myndigheten ska förvara identifierarna så länge de behövs för forskning och för säkerställande av ändamålsenliga forskningsresultat. 
Informationssystemtjänster som verksamheten förutsätter och garanterande av deras säkerhet 
16 § 
Hanteringssystem för begäranden om information 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter driver ensam eller tillsammans med andra myndigheter ett system för hantering av begäranden om information, via vilket en ansökan om användningstillstånd eller en begäran om information enligt denna lag ska lämnas till tillståndsmyndigheten. 
Utredningar och kompletteringar som Tillståndsmyndigheten begär för att kunna behandla ansökan samt de utredningar, kompletteringar och ändringar i ansökan som sökanden lämnar in till tillståndsmyndigheten förmedlas via hanteringssystemet. Tillståndsbeslutet delges sökanden via hanteringsystemet. 
Om användningsändamålet enligt lag förutsätter en etisk förhandsgranskning av planen för användning av uppgifterna, inleds även en etisk granskning och ett utlåtande lämnas via hanteringssystemet. 
17 § 
Informationssäker drifttjänst 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter driver en informationssäker drifttjänst att användas vid utlämnande av de uppgifter som behövs vid behandlingen av en ansökan om användningstillstånd eller i begäran om information samt av uppgifter som avses i ett beviljat användningstillstånd. Via drifttjänsten får personuppgifter under de förutsättningar som anges i denna lag lämnas mellan Tillståndsmyndigheten och övriga myndigheter som anges i 6 §, mellan tillståndsmyndigheten och privata tillhandahållare av social- och hälsovårdstjänster samt mellan den som ansöker om tillstånd och Tillståndsmyndigheten
När personuppgifter förmedlas via den informationssäkra drifttjänsten ska deras integritet och ursprung säkerställas med en elektronisk underskrift. Integritet och ursprung hos uppgifter som sänds av en organisation med informationsteknisk utrustning ska säkerställas genom användning av teknik med motsvarande tillförlitlighet som vid elektronisk signering som görs av en fysisk person. Användare av den informationssäkra drifttjänsten måste vara starkt identifierade när personuppgifter lämnas ut till dem. Bestämmelser om avancerad elektronisk underskrift och stark elektronisk identifiering finns i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG och i lagen om stark autentisering och elektroniska signaturer (617/2009). 
Tillståndsmyndigheten ska skapa de gränssnitt som behövs för drifttjänstens interoperabilitet och sörja för att dataöverföringen kan göras med hjälp av allmänt använda tekniker. 
18 § 
Allmänna informationssäkerhetskrav 
När personuppgifter behandlas med stöd av denna lag ska en tillräcklig informationssäkerhet för behandlingen säkerställas genom riskhantering, åtkomsthantering, aktiv övervakning och genom iakttagande av föreskrifter och anvisningar från den myndighet som svarar för förverkligandet och övervakningen av informationssäkerhet och dataskydd. Särskild uppmärksamhet ska ägnas åt vid att användningsbegränsningar och sekretessplikten iakttas. 
19 § 
Logguppgifter 
När personuppgifter behandlas för tillståndsprövning, beslutsfattande eller utlämnande av uppgifter enligt denna lag ska logguppgifter samlas in som följer: 
1) Tillståndsmyndigheten för social- och hälsovårdsuppgifter och en organisation som avses i 6 § ska i användningslogguppgifterna registrera uppgifter om den organisation vars uppgifter används, den som har använt uppgifterna, de uppgifter och uppgiftsgrupper som har behandlats, användningsändamålet för uppgifterna, identifierare för en ansökan om användningstillstånd eller begäran om information och användningstidpunkten, och 
2) Tillståndsmyndigheten, en privat tillhandahållare av social- och hälsovårdstjänster och en organisation som avses i 6 § ska i utlämningslogguppgifterna registrera uppgifter om den utlämnande organisationen, den som lämnat ut uppgifterna, utlämningsändamålet enligt 2 §, identifierare för en ansökan om användningstillstånd eller begäran om information, mottagaren och utlämningstidpunkten. 
Den som behandlar personuppgifter med stöd av ett användningstillstånd enligt denna lag ska i användningslogguppgifterna registrera information om den registeransvarige som fått användningstillstånd, användningsändamålet enligt 2 §, användningstillstånd som ger rätt till behandling, användare som är berättigad att behandla uppgifterna enligt användningstillståndet, de uppgifter och uppgiftsgrupper som har behandlats samt användningstidpunkten. 
När en tjänstetillhandahållare behandlar personuppgifter i sina personregister och informationsledning är användningsändamålet ska denne i användningslogguppgifterna registrera information om vilka personuppgifter som använts, vem som har använt uppgifterna, användningsändamålet och användningstidpunkten. 
Logguppgifter ska förstöras eller arkiveras tolv år efter det an användningstillståndet upphört att gälla eller den behandling som avses i 3 mom. har upphört
Tillståndsmyndigheten kan meddela närmare föreskrifter om de uppgifter som ska registreras i loggregistren och om deras datainnehåll. 
20 § 
Informationssäker driftmiljö 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter ska ensam eller tillsammans med andra myndigheter förvalta en informationssäker driftmiljö som gör det möjligt att garantera en informationssäker, tillståndsenlig behandling av uppgifter som Tillståndsmyndigheten eller någon annan myndighet som avses i denna lag lämnar ut med stöd av denna lag. 
Behandlingen ska vara tekniskt möjlig att genomföra på olika sätt och driftmiljön ska vara tillgänglig från olika platser. Tillståndsmyndigheten ska bedöma hur känsliga de uppgifter som lämnas ut är och beakta detta i de krav som i beslutet om användningstillstånd ska ställas på användning av den informationssäkra driftmiljön. 
Om ansökan om användningstillstånd innehåller en begäran om att datamaterial ska behandlas i en annan miljö än den som avses i 1 mom., ska det i ansökan särskilt motiveras varför detta är nödvändigt. Tillståndsmyndigheten eller någon annan myndighet som avses i denna lag får då lämna ut uppgifter till sökanden endast om driftmiljön uppfyller villkoren i 20 § 2 mom. och 21—29 §. 
21 § 
Identifiering av användare i informationssäkra driftmiljöer 
Användarna i en informationssäker driftmiljö ska identifieras på ett tillförlitligt sätt och verifieras. 
Närmare bestämmelser om de tekniska identifierings- och verifieringsmedlen får utfärdas genom förordning av social- och hälsovårdsministeriet. 
22 § 
Åtkomsträttigheter för användare i informationssäkra driftmiljöer 
Tjänsteleverantören ska specificera åtkomsträttigheterna till personuppgifter för tillståndshavaren och andra personer som behandlar personuppgifter i driftmiljön. Tillståndshavaren ges åtkomsträttighet till personuppgifter enligt användningstillståndet. Andra personer som behandlar personuppgifter i en driftmiljö beviljas åtkomsträttigheter till sådana nödvändiga personuppgifter som de behöver i sina arbetsuppgifter. 
Tjänsteleverantören ska föra register över användarna i den informationssäkra driftmiljön och deras åtkomsträttigheter. Uppgifter om åtkomsträttigheter för användarna i driftmiljön ska förstöras eller arkiveras tolv år efter det att åtkomsträtten upphört att gälla
Tillståndsmyndigheten för social- och hälsovårdsuppgifter meddelar föreskrifter om de grunder enligt vilka tjänsteleverantören ska specificera tillståndshavarens åtkomsträttigheter till kunduppgifterna. 
23 § 
Skydd för informationssäkra driftmiljöer 
En informationssäker driftmiljö ska skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet enligt vad som föreskrivs i 36 § i offentlighetslagen och i den statsrådsförordning som utfärdats med stöd av 1 mom. i den paragrafen. 
Driftmiljön ska i enlighet med 19 § möjliggöra insamling av logguppgifter om användningen av utlämnade uppgifter för uppföljning och tillsyn. 
24 § 
Minimikrav på informationssäkra driftmiljöer 
Informationssäkra driftmiljöer ska uppfylla kraven på informationssäkerhet och interoperabel informationsöverföring som bygger på myndigheternas föreskrifter, rekommendationer och de standarder som enligt dessa lämpar sig för en informationssäker driftmiljö. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter meddelar närmare föreskrifter om de krav som ska ställas på andra tjänsteleverantörers informationssäkra driftmiljöer. Kraven ska förutsätta informationssäkerhet och basfunktioner på motsvarande nivå som i Tillståndsmyndighetens egen driftmiljö. 
25 § 
Påvisande av informationssäkerhet i en informationssäker driftmiljö 
Informationssäkerheten i driftmiljön ska påvisas genom ett i 26 § avsett intyg från ett bedömningsorgan för informationssäkerhet. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter får meddela närmare föreskrifter om de förfaranden som ska iakttas vid påvisande av informationssäkerhet. 
26 § 
Bedömning av informationssäkerhet 
Ett bedömningsorgan för informationssäkerhet bedömer i enlighet med denna lag och lagen om bedömningsorgan för informationssäkerhet på ansökan av tjänsteleverantören om driftmiljön uppfyller kraven på informationssäkerhet. Som bedömningskriterier ska användas föreskrifter om kraven på en säker driftmiljö från Tillståndsmyndigheten för social- och hälsovårdsuppgifter. 
Om driftmiljön uppfyller informationssäkerhetskraven enligt denna lag, ska bedömningsorganet för informationssäkerhet ge tjänsteleverantören ett intyg över sin bedömning och en anknytande kontrollrapport. Om bedömningen eller en förnyad bedömning gäller endast en del av driftmiljön, ska det antecknas tydligt i bedömningsorganets intyg vilken del av driftmiljön som har bedömts. 
Bedömningsorganets intyg är i kraft högst fem år. Bedömningsorganet för informationssäkerhet kan av tjänsteleverantören kräva alla de uppgifter som förutsätts för bedömningen och för uppgörandet och upprätthållandet av intyget. På utfärdande av intyget tillämpas i övrigt 9 § 3 mom. i lagen om bedömningsorgan för informationssäkerhet. 
27 § 
Återkallande av bedömningsorganets intyg 
Om ett bedömningsorgan för informationssäkerhet konstaterar att en driftmiljö inte har uppfyllt eller inte längre uppfyller kraven i denna lag eller att ett intyg av någon annan orsak inte borde ha beviljats, ska organet uppmana tjänsteleverantören att avhjälpa bristerna. Bedömningsorganet får återkalla intyget för viss tid eller helt och hållet eller bevilja intyget med begränsningar, om inte tjänsteleverantören avhjälper bristerna inom den tid som organet satt ut. När tidsfristens längd bestäms ska det beaktas att en skälig tid behövs för att korrigera driftmiljön. 
28 § 
Anmälningsskyldighet för bedömningsorgan för informationssäkerhet 
Bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården om alla intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats för viss tid eller helt och hållet eller förvägrats samt om de uppmaningar och begränsningar som avses i 27 §. Dessutom ska bedömningsorgan för informationssäkerhet på begäran ge Tillstånds- och tillsynsverket för social- och hälsovården all behövlig ytterligare information i ärendet. 
29 § 
Uppföljning efter ibruktagande av informationssäker driftmiljö 
Tjänsteleverantören ska genom ett uppdaterat och systematiskt förfarande följa upp och utvärdera erfarenheterna av den informationssäkra driftmiljön under den tid den används för produktion. Tjänsteleverantören ska ge akt på ändringar i denna lag och justera driftmiljön i enlighet med ändringarna. Väsentliga förändringar i driftmiljön ska anmälas till bedömningsorganet för informationssäkerhet. Bedömningsorganets intyg ska förnyas, om betydande förändringar görs i driftmiljön eller om minimikraven på driftmiljön har ändrats på ett sätt som förutsätter en förnyad bedömning. 
Tjänsteleverantören ska bevara uppgifterna om överensstämmelse med kraven och övriga uppgifter som tillsynen kräver i minst fem år efter det att den informationssäkra driftmiljön inte längre används för produktion. 
30 § 
Övervakning och inspektioner av informationssystem 
Tillstånds- och tillsynsverket för social- och hälsovården ska övervaka och främja att informationssäkra driftmiljöer uppfyller kraven på dataskydd och informationssäkerhet. Tillstånds- och tillsynsverket för social- och hälsovården för ett offentligt register över driftmiljöer som uppfyller kraven och som anmälts till verket. 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner som krävs för tillsynen. För att utföra en inspektion har en inspektör rätt att få tillträde till alla lokaler där det bedrivs verksamhet som avses i denna lag eller där det förvaras uppgifter som är viktiga för tillsynen över efterlevnaden av denna lag. Inspektioner får dock inte utföras i utrymmen som används för boende av permanent natur. 
Vid en inspektion ska alla handlingar som inspektören ber om och som behövs för inspektionen läggas fram. På inspektörens begäran ska dessutom kopior av de handlingar som behövs för inspektionen överlämnas till inspektören utan avgift. 
Tillstånds- och tillsynsverket för social- och hälsovården ska bevara inspektionsprotokollet i tio år efter att inspektionen utförts. 
31 § 
Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att anlita utomstående experter 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att anlita utomstående experter för bedömning av informationssäkra driftmiljöers överensstämmelse med kraven. Utomstående experter får delta i inspektioner som avses i denna lag samt undersöka och testa driftmiljöer. Utomstående sakkunniga ska ha den sakkunskap och kompetens som uppgifterna kräver. 
På utomstående sakkunniga som utför uppgifter enligt denna lag tillämpas förvaltningslagens (434/2003) bestämmelser om tjänstemannajäv och bestämmelserna om straffrättsligt tjänsteansvar. 
32 § 
Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att få information 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att avgiftsfritt och trots sekretessbestämmelserna för tillsynen över driftmiljöer få nödvändiga uppgifter av statliga och kommunala myndigheter samt av fysiska och juridiska personer som omfattas av denna lag eller av bestämmelser som utfärdats med stöd av den. 
33 § 
Tillstånds- och tillsynsverket för social- och hälsovårdens åläggande att avhjälpa brister samt vite 
Tillstånds- och tillsynsverket för social- och hälsovården får med anledning av en inspektion som gjorts med stöd av 30 § ålägga tjänsteleverantören att avhjälpa brister i driftmiljöer som används för produktion. 
Om en informationssäker driftmiljö kan äventyra dataskyddet, eller om systemet inte uppfyller de väsentliga krav som ställs på det i denna lag, och bristerna inte har avhjälpts inom den tidsfrist som Tillstånds- och tillsynsverket för social- och hälsovården har satt ut, får verket förbjuda användningen av driftmiljön till dess att bristerna har avhjälpts. Vidare får Tillståndsmyndigheten för social- och hälsovårdsuppgifter eller någon annan myndighet som avses i 6 § stänga av förbindelsen till sina informationssystem, om den som använder dem äventyrar eller ett utomstående system som anslutits till dem kan äventyra en ändamålsenlig användning av informationssystemet. 
Tillstånds- och tillsynsverket för social- och hälsovården får ålägga tjänsteleverantören eller en befullmäktigad representant att inom den tid och på det sätt som verket bestämmer informera om beslut som gäller användningen av driftmiljön för produktion. 
Tillstånds- och tillsynsverket för social- och hälsovården kan förena beslut som fattats med stöd av 1 mom. med vite eller med hot om att verksamheten helt eller delvis avbryts eller att den försummade åtgärden vidtas på den försumliges bekostnad. Tillstånds- och tillsynsverket ska underrätta Tillståndsmyndigheten för social- och hälsovårdsuppgifter om sitt beslut. 
34 § 
Föreläggande att fullgöra skyldigheter 
Om en tjänsteleverantör, en myndighet som avses i 6 § eller den som annars behandlar personuppgifter i enlighet med denna lag har underlåtit att fullgöra sin skyldighet enligt denna lag när det gäller informationssystem eller deras användning, får Tillstånds- och tillsynsverket för social- och hälsovården meddela ett föreläggande om att skyldigheten ska uppfyllas inom utsatt tid. 
Dessutom får Tillståndsmyndigheten för social- och hälsovårdsuppgifter eller någon annan myndighet som avses i 6 § stänga av förbindelsen till informationssystem som den förvaltar, om tjänsteleverantören, en myndighet enligt 6 § eller någon annan som behandlar personuppgifter enligt denna lag, trots den tid som Tillstånds- och tillsynsverket för social- och hälsovården satt ut, underlåtit att fullgöra sin skyldighet enligt denna lag när det gäller informationssystem eller deras användning. (Nytt) 
Tillstånds- och tillsynsverket för social- och hälsovården får förena ett föreläggande som det meddelat enligt 1 mom. med vite eller med hot om att verksamheten helt eller delvis avbryts eller att den försummade åtgärden vidtas på den försumliges bekostnad. Verket ska underrätta Tillståndsmyndigheten om sitt beslut. (Nytt) 
4 kap. 
Grunder och förutsättningar för sekundär användning av personuppgifter 
Allmänna grunder för sekundär användning 
35 § 
Grunder för behandling av personuppgifter 
Registeruppgifter hos de registeransvariga som avses i 6 § och registeruppgifter hos en privat serviceanordnare inom social- och hälsovården får behandlas för ett sekundärt användningsändamål med ett tidsbundet användningstillstånd från den registeransvarige eller Tillståndsmyndigheten för social- och hälsovårdsuppgifter eller direkt med stöd av lagens bestämmelser eller med stöd av en begäran om information samkörda och anonymiserade av tillståndsmyndigheten enligt vad som föreskrivs nedan. 
36 § 
Rätt för Tillståndsmyndigheten för social- och hälsovårdsuppgifter att få och behandla uppgifter trots sekretessplikten 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter har oberoende av sekretessplikten och andra begränsningar som gäller användningen av uppgifterna rätt att från de registeransvariga som avses i 6 § och från privata tillhandahållare av social- och hälsovårdstjänster samt från Folkpensionsanstalten av de uppgifter i Kanta-tjänsterna som avses i klientuppgiftslagen få de uppgifter som är nödvändiga för att den ska kunna utföra sina uppdrag enligt denna lag, såsom 
1) uppgifter som behövs för att ett användningstillstånd ska kunna beviljas, 
2) uppgifter som avses i det beviljade användningstillståndet för insamling, samkörning och förbehandling enligt 14 § och för utlämnande till tillståndshavaren för behandling i enlighet med 14 §, 
3) uppgifter för att bedöma om det är möjligt att anonymisera de uppgifter som avses i ansökan om användningstillstånd eller om det är möjligt att producera aggregerade statistiska uppgifter av de uppgifter som avses i 45 § kan anonymiseras, 
4) uppgifter som behövs för produktion av aggregerade statistiska uppgifter, och 
5) uppgifter som behövs för att sammanställa det färdiga datamaterial som avses i 14 § 3 mom. 
De uppgifter som avses i 1 mom. kan lämnas ut till Tillståndsmyndigheten via den informationssäkra drifttjänst som avses i 17 §. 
Tillståndsmyndigheten kan oberoende av sekretessplikten och andra begränsningar i användningen av uppgifter via den informationssäkra drifttjänst som avses i 17 § plocka ut uppgifter enligt användningstillståndet ur uppgifter och datalager som innehas av de registeransvariga som avses i 1 mom., om det är möjligt och ändamålsenligt med hänsyn till dessa uppgifters och datalagers innehåll och tekniska utförande. 
Tillståndsmyndigheten är registeransvarig på det sätt som avses i denna paragraf för de uppgifter den har erhållit. 
Användning av uppgifter i form av aggregerade statistiska uppgifter 
37 (38) § 
Utvecklings- och innovationsverksamhet 
Trots skyldigheterna att iaktta sekretess får Tillståndsmyndigheten för social- och hälsovårdsuppgifter får trots skyldigheten att iaktta sekretess i enskilda fall med stöd av en begäran om information enligt 3 § 9 punkten producera aggregerade statistiska uppgifter som bygger på kunduppgifter och andra personuppgifter från organisationer som avses i 6 § för sådan utvecklings- och innovationsverksamheten som genomförs på annat sätt än som vetenskaplig forskning som avses i 38 §, och den registrerade har gett sitt samtycke till behandling av uppgifterna för ändamålet i fråga. Tillstånd får ges så att det uppfyller villkoren i den registrerades samtycke
Uppgifterna enligt 1 mom. får lämnas i enlighet med 45 § förutsatt att avsikten med verksamheten, enligt begäran om information och den bifogade planen för användning av uppgifter, är att 
1) främja folkhälsan och den sociala tryggheten, 
2) utveckla social- och hälsovårdstjänsterna och servicesystemet, eller 
3) skydda individers hälsa och välfärd eller garantera deras fri- och rättigheter i anknytning till dessa. (Ny) 
Om uppgifterna begärs i anonymiserad form, kan de lämnas ut utan den registrerades samtycke i enlighet med 45 §. 
38 (37) § 
Användningstillstånd för vetenskaplig forskning och statistikföring 
För vetenskaplig forskning och statistikföring får trots sekretessplikten i enskilda fall ges användningstillstånd för kunduppgifter och andra personuppgifter från organisationer som avses i 6 §. 
Prövningen av om användningstillstånd ska beviljas eller inte ska utgå från att den vetenskapliga forskningens frihet tryggas. 
Bestämmelser om behandling av uppgifter för vetenskaplig forskning och statistikföring finns dessutom i dataskyddslagen (1050/2018)
39 § 
Undervisning 
Kunduppgifter från en tillhandahållare av social- och hälsovårdstjänster får trots sekretessplikten och med stöd av artikel 9.2 g i dataskyddsförordningen behandlas för att framställa undervisningsmaterial för undervisning av personal som behandlar kunduppgifter inom social- och hälsovården och av personer som studerar till en yrkesexamen inom social- och hälsovården, om det är nödvändigt för att syftet med undervisningen ska uppnås. En förutsättning för detta är dessutom att användningstillstånd enligt denna lag har beviljats för behandlingen. 
Identifierbara uppgifter får dock användas i undervisningssituationer endast om undervisningen inte kan hållas anonym på grund av att fallet i fråga är sällsynt, på grund av undervisningens natur eller av något annat motsvarande skäl. Undervisningspersonalen ska informera dem som följer undervisningen om den lagstadgade sekretessplikten och om sanktioner för brott mot den. 
Den registrerade har inte i artikel 21 i dataskyddsförordningen avsedd rätt att göra invändningar mot behandling av personuppgifter om honom eller henne i undervisningssyfte, om behandlingen av uppgifter är nödvändig på grund av att fallet i fråga är sällsynt. 
Tillståndshavaren ska förstöra ett separat material som samlats in för undervisningsändamål när det inte längre är nödvändigt för det ändamålet. 
40 § 
Myndighetens planerings- och utredningsuppgifter 
Kunduppgifter som är nödvändiga för en myndighets planerings- och utredningsuppgifter samt andra personuppgifter från organisationer som avses i 6 § får behandlas med stöd av artikel 9.2 g i dataskyddsförordningen, om 
1) för behandlingen har beviljats ett i denna lag avsett användningstillstånd, 
2) behandlingen grundar sig på en ändamålsenlig plan för användning av uppgifter, och 
3) planerings- och utredningsuppgiften eller det informationsbehov som är syftet med den kan inte förverkligas utan behandling av personuppgifter. 
Behandling av uppgifter med stöd av lag utan användningstillstånd 
41 § 
Informationsledning 
Tillhandahållare av social- och hälsovårdstjänster har trots sekretessplikten och med stöd av artikel 9.2 h i dataskyddsförordningen rätt att på ett identifierbart sätt behandla och samköra kunduppgifter som har uppstått i tillhandahållarens egen verksamhet eller är införda i tillhandahållarens egna register, om detta är nödvändigt för att den serviceverksamhet som tjänstetillhandahållaren är ansvarig för ska kunna produceras, följas, utvärderas, planeras, utvecklas, ledas och övervakas. 
Om en tjänstetillhandahållare för utvärdering, planering eller utveckling av serviceverksamhet som denna ansvarar för eller av servicekedjor måste jämföra sin egen verksamhet med andra tjänstetillhandahållares verksamhet, kan Tillståndsmyndigheten för social- och hälsovårdsuppgifter under de förutsättningar som anges i 45 § producera behövligt jämförelsematerial i form av aggregerade statistiska uppgifter i enlighet med 45 § på grundval av en begäran om information enligt 3 § 9 punkten
Utöver vad som föreskrivs i 1 och 2 mom. har kommuner och samkommuner rätt att för informationsledning på ett identifierbart sätt behandla och samköra också sådana kunduppgifter som lagrats i ett sådant gemensamt register som avses i 9 § 1 mom. i hälso- och sjukvårdslagen (1326/2010). (Nytt) 
42 § 
Myndighetsstyrning och myndighetstillsyn inom social- och hälsovården 
Om en styrnings- och tillsynsmyndighet inom social- och hälsovården för utförande av sina lagstadgade styrnings- eller tillsynsuppgifter behöver samkörda uppgifter som är baserade på personuppgifter lagrade i register inom social- och hälsovården eller på andra identifierbara registeruppgifter hos i 6 § avsedda personuppgiftsansvariga kan Tillståndsmyndigheten för social- och hälsovårdsuppgifter producera de behövliga aggregerade statistiska uppgifterna i enlighet med 45 § på grundval av en begäran om information enligt 3 § 9 punkten
Sådana uppgifter enligt 1 mom. som en tillsynsmyndighet som avses i momentet enligt någon annan lag har rätt att få trots sekretessplikten kan på motiverad begäran lämnas ut också som identifierbara. 
De uppgifter som avses i 2 mom. kan lämnas ut till tillsynsmyndigheten via den informationssäkra drifttjänst som avses i 17 §. 
5 kap. 
Behandling av ansökan om användningstillstånd, begäran om information och uppgifter som utlämnas 
43 § 
Allmänna grunder för beviljande av användningstillstånd 
Ett användningstillstånd för personuppgifter får beviljas, om användningsändamålet för uppgifterna enligt ansökan och planen för användning av uppgifterna överensstämmer med dataskyddsförordningen, dataskyddslagen samt denna och någon annan lag som gäller uppgifterna och om användningsändamålet mest ändamålsenligt förverkligas genom användning av i ansökan avsedda uppgifterna. 
1) överensstämmer med den allmänna dataskyddsförordningen, personuppgiftslagen samt denna och någon annan lag som gäller uppgifterna, 
2) förverkligas ändamålsenligast genom användning av i ansökan avsedda uppgifterna. 
Om ansökan om användningstillstånd hänför sig till ett sådant användningsändamål för vilket det föreskrivs separat om tillståndsförfarande och grunder för beviljande av tillstånd, ska samtliga förutsättningar för tillståndet i fråga uppfyllas. 
Om de uppgifter som lämnas ut har sammanställts med den registrerades samtycke, kan användningstillstånd för registeruppgifter som gäller den registrerade beviljas endast om det är förenligt med samtycket och med villkoren för användningen och utlämnandet av informationen. Om uppgifterna om ansökan om användningstillstånd hänför sig till ett användningsändamål som baserar sig på den registrerades samtycke, kan användningstillstånd beviljas endast för sådana uppgifter som omfattas av den registrerades samtycke. 
Ett användningstillstånd kan beviljas för viss tid, om det är uppenbart att de intressen som sekretessen är avsedd att skydda inte kränks om uppgifterna lämnas ut. Tillståndet ska utifrån riskerna förenas med krav på åtgärder till skydd för behandlingen av uppgifter samt andra föreskrifter som behövs för att skydda enskilda intressen. Ett tillstånd kan återkallas om prövas föreligga skäl för återkallandet. 
Om Tillståndsmyndigheten för social- och hälsovårdsuppgifter utifrån ansökan om användningstillstånd konstaterar att ärendet kan behandlas som en begäran om information enligt 45 § och inte som en tillståndsansökan, ska Tillståndsmyndigheten ta kontakt med den tillståndssökande och föreslå att ärendet behandlas som en begäran om information. Om den tillståndssökande kräver att ärendet behandlas som en tillståndsansökan, ska Tillståndsmyndigheten fatta beslut i ärendet. 
44 § 
Behörighet för behandling av användningstillstånd 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter svarar alltid för att besluta om användningstillstånd, om ansökan om användningstillstånd gäller personregister som förs av flera registeransvariga enligt 6 § eller uppgifter som registrerats i Kanta-tjänsterna. Tillståndsmyndigheten svarar dessutom alltid för att besluta om användningstillstånd, om uppgifter ska lämnas ut för sådan utvecklings- och innovationsverksamhet som avses i 38 §. Tillståndsmyndigheten svarar dock för att besluta om användningstillstånd för Pensionsskyddscentralens, Befolkningsregistercentralens och Statistikcentralens uppgifter endast om uppgifterna samkörs med uppgifter som innehas av de organisationer som avses i 6 § 1—8 punkten. 
1) uppgifter hos flera av de personuppgiftsansvariga som avses i 6 § 1 —8 punkten,  
2) uppgifter som registrerats i Kanta-tjänsterna, eller 
3) registeruppgifter hos en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården. 
Tillståndsmyndigheten svarar dessutom för att besluta om användningstillstånd för Pensionsskyddscentralens, Befolkningsregistercentralens och Statistikcentralens uppgifter enligt 6 § 9—11 punkten, om de uppgifterna samkörs med de uppgifter som avses i 1—3 punkten. 
Om en ansökan om användningstillstånd gäller uppgifter i personregister hos endast en av de organisationer som avses i 6 § 1—8 punkten, svarar organisationen själv för beslutet om användningstillstånd. Om organisationen emellertid i enlighet med 11 § 3 mom. har underrättat Tillståndsmyndigheten om att den avstår från att tillhandahålla andra tjänster än de som avses i 10 § 1 och 2 punkten, svarar Tillståndsmyndigheten för att besluta om användningstillstånd för den i fråga om personuppgifter enligt denna lag
Den myndighet som svarar för att besluta om användningstillstånd har rätt att begära utlåtande från dataombudsmannen om en ansökan om användningstillstånd, om den beslutande myndigheten bedömer att det behövs. 
45 § 
Behandling av en begäran om information 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter beslutar om en begäran om information enligt 3 § 9 punkten överensstämmer med användningsändamålen enligt 2 § 1 mom. och övriga krav som ställs på en sådan begäran. 
Tillståndsmyndigheten ska när den fattar sådana beslut, med stöd av artiklarna 9.2 g och 86 i dataskyddsförordningen och med beaktande av den i 8 § 4 mom. avsedda expertgruppens principiella riktlinjer, bedöma om det är möjligt att av de begärda registeruppgifterna utforma aggregerade statistiska uppgifter enligt begäran. 
Om användningsändamålet för den information som begärs är forskning och begäran också gäller uppgifter som en statistikmyndighet samlat in för statistiska ändamål, ska förfarandet ske enligt 7 § och 51 § 4 mom. (Nytt) 
46 § 
Lämnande av ansökan om användningstillstånd och begäran om information till Tillståndsmyndigheten för social- och hälsovårdsuppgifter 
Begäranden om information och ansökningar om användningstillstånd och begäranden om information ska lämnas till Tillståndsmyndigheten för social- och hälsovårdsuppgifter ska lämnas via det system för hantering av begäranden om information som avses i 16 §. Om sökanden kompletterar sin ansökan, ska även kompletteringen lämnas till Tillståndsmyndigheten via hanteringssystemet för begäranden av information. Till en tillståndsansökan och en informationsbegäran om aggregerade statistiska uppgifter ska det fogas en plan för användning av uppgifterna. 
Tillståndsmyndigheten utfärdar meddelar föreskrifter om datainnehållet och datastrukturerna i ansökan om användningstillstånd, planen för användning av uppgifterna och begäran om information
47 § 
Tidsfrister för behandling av användningstillstånd 
Beslut om ansökan om användningstillstånd ska meddelas utan dröjsmål, dock senast tre månader från det att tillståndsansökan har inkommit i fullständig form till myndigheten. 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter kan av vägande skäl besluta att behandlingstiden för ansökningar om användningstillstånd ska förlängas med högst tre månader, om behandlingen av ansökan om användningstillstånd och den anknytande planen för användning av uppgifterna förutsätter en exceptionellt omfattande behandling som även omfattar flera olika registeransvarigas uppgifter eller särskilt krävande prövning. Tillståndsmyndigheten ska underrätta den som ansöker om tillstånd om förlängning av tidsfristen och om grunden för förlängningen samt om den nya tidsfrist inom vilken tillståndsbeslutet meddelas. 
Om den myndighet som svarar för beslutet om användningstillstånd begär ett utlåtande enligt 44 § 4 mom. från dataombudsmannen, avbryts den ansvariga myndighetens tidsfrist för behandling av ansökan tills utlåtandet har kommit in. 
En registeransvarig som avses i 6 § och en privat tillhandahållare av social- och hälsovårdstjänster ska utan dröjsmål lämna Tillståndsmyndigheten de uppgifter som behövs för behandlingen av en ansökan om användningstillstånd eller av en sådan informationsbegäran om aggregerade statistiska uppgifter som avses i 45 §, dock senast 15 vardagar från det att begäran inkom. 
48 § 
Tidsfrister för utlämnande av uppgifter 
En registeransvarig som avses i 6 § och en privat tillhandahållare av social- eller hälsovårdstjänster ska på begäran av Tillståndsmyndigheten utan dröjsmål lämna ut registeruppgifter enligt ett beviljat användningstillstånd eller uppgifter som behövs för behandlingen av en sådan begäran om aggregerade statistiska uppgifter som avses i 45 §, dock senast 30 vardagar från det att Tillståndsmyndigheten har fattat beslut om att uppgifterna får lämnas ut till sökanden. Om den utredning som den sökande anför till stöd för utlämnande av uppgifter är otillräcklig, ska Tillståndsmyndigheten utan dröjsmål underrätta sökanden om vilka tilläggsutredningar som krävs. De begärda uppgifterna ska då lämnas till sökanden inom 30 vardagar från det att tilläggsutredning togs emot, om säkerhet om förutsättningarna för utlämnandet kan nås med stöd av den inlämnade tilläggsutredningen. 
Om uppgifterna inte kan lämnas ut till Tillståndsmyndigheten inom den tid som avses i 1 mom., ska den registeransvarige före tidsfristens utgång informera om dröjsmålet, om orsaken till dröjsmålet och om den förlängning av tidsfristen som behövs för utlämnande av uppgifter. Tillståndsmyndigheten ska av grundad anledning ställa en ny tidsfrist för utlämnandet. 
Tillståndsmyndigheten ska lämna ut de uppgifter som den med stöd av ett användningstillstånd samlat in och samkört till tillståndshavaren utan dröjsmål, dock senast 60 vardagar från det att tillståndet beviljades. 
Tillståndsmyndigheten kan av vägande skäl förlänga tidsfristen för utlämnandet, om uppgifternas användningsändamål förutsätter en exceptionellt omfattande behandling som berör uppgifter hos flera olika registeransvariga eller en särskilt krävande samkörning. Tillståndsmyndigheten ska informera tillståndshavaren om förlängningen av tidsfristen och om grunden för förlängningen samt om den nya tidsfrist inom vilken uppgifterna ska lämnas ut. 
49 § 
Avgift för användningstillstånd och för beslut om begäran av information 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter eller någon annan myndighet som beviljat tillstånd får ta ut en avgift för användningstillståndet och för beslut som gäller en begäran om information. Bestämmelser om grunderna för fastställande av avgifter finns i lagen om grunder för avgifter till staten (150/1992). 
50 § 
Ersättningar för tjänster 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter får ta ut ersättning för urval, tillhandahållande, samkörning, förbehandling, pseudonymisering och anonymisering av uppgifter enligt ett användningstillstånd som avses i denna lag, samt för användning av en informationssäker miljö. 
Ersättningar som gäller uppgifter som med stöd av användningstillstånd plockas ut och tillhandahålls från andra datalager än Tillståndsmyndighetens egna bestäms i enlighet med vad som föreskrivs om varje registeransvarig som tillhandahållit uppgifterna. Den registeransvarige eller registerföraren som lämnar ut uppgifter till Tillståndsmyndigheten med stöd av ett användningstillstånd enligt denna lag har rätt att av tillståndsmyndigheten som ersättning få en på föreskrivet sätt bestämd andel av de kostnadsersättningar som påförts tillståndshavaren. 
Den som har rätt till ersättning i enlighet med denna paragraf ska på begäran tillhandahålla Tillståndsmyndigheten en uppskattning av vilka kostnader den som har rätt till ersättning för behandlingen av uppgifter orsakas. Tillståndsmyndigheten gör utifrån de uppgifter den erhållit upp ett kostnadsförslag för tillmötesgående av en begäran om information och lämnar den till den som ansöker om tillstånd. Tillståndsmyndigheten tar ut de ersättningar som avses i 2 mom. hos tillståndshavaren och redovisar dem för de registeransvariga som lämnat uppgifter. 
Tillståndsmyndigheten kan ta ut ersättning för urval av uppgifter ur sina egna datalager, för samkörning och tillhandahållande av uppgifter samt för användning av den informationssäkra miljön. 
Bestämmelser om grunderna för bestämmande av ersättningar till Tillståndsmyndigheten finns i lagen om grunderna för avgifter till staten. Bestämmelser om avgifter som gäller godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet. (4 mom. som 6 mom. i RP) 
Registrering och införande av en i 30 § 1 mom. i denna lag avsedd anmälan i offentligt register hos Tillstånds- och tillsynsverket för social- och hälsovården är avgiftsbelagd. 
51 § 
Behandling och utlämnande av datamaterial till tillståndshavaren sedan användningstillstånd beviljats 
Om Tillståndsmyndigheten för social- och hälsovårdsuppgifter har beviljat användningstillstånd i en situation där detta förutsätts enligt 44 §, ska den samla in och vid behov samköra samt pseudonymisera eller anonymisera de uppgifter som specificeras i användningstillståndet samt lämna ut datamaterialet till tillståndshavaren för behandling enligt 3 mom. 
1) om de uppgifter som ska lämnas ut är identifierbara eller pseudonymiserade, lämnas de ut via en informationssäker drifttjänst som avses i 17 § för behandling i en informationssäker driftmiljö som avses i 20 § 1 mom., 
2) om det av skäl som framgår särskilt av planen för användning av uppgifterna och användningstillståndet är nödvändigt, lämnas uppgifterna ut pseudonymiserade eller försedda med personbeteckningar via en informationssäker drifttjänst som avses i 17 § för behandling i en informationssäker driftmiljö som avses i 20 § 3 mom. 
Om en enskild personuppgiftsansvarig som avses i 44 § 3 mom. har fattat ett beslut om användningstillstånd i fråga om uppgifter i dess egna register, ska den samla in uppgifterna ut registren, vid behov samköra, förbehandla och pseudonymisera dem och överlämna datamaterialet till tillståndshavaren för behandling i enlighet med 3 mom. Om datamaterialet ändå överlämnas till tillståndshavaren i anonymiserad form ska den personuppgiftsansvarige ge in tillståndsbeslutet samt uppgifterna enligt tillståndet till Tillståndsmyndigheten, vid behov för samkörning och förbehandling samt anonymisering. Tillståndsmyndigheten svarar alltid för anonymiseringen av uppgifter som lämnas ut för behandling och för att de lämnas ut till tillståndshavaren för behandling. (Nytt 2 mom.) 
Utlämning av datamaterial enligt ett användningstillstånd för behandling av tillståndshavaren ska alltid ske i en sådan informationssäker driftmiljö som avses i 20 § via en sådan informationssäker drifttjänst som avses i 17 §, såvida det inte har bildats aggregerade statistiska uppgifter av datamaterialet. För primär behandling ska det datamaterial som avses i 1 och 2 mom. lämnas ut i den informationssäkra driftmiljö som avses i 20 § 1 mom. och som Tillståndsmyndigheten förvaltar. Om det emellertid av ett särskilt skäl som framgår av planen för användning av uppgifterna eller användningstillståndet är viktigt kan datamaterial lämnas ut för behandling på motsvarande sätt i en annan informationssäker driftmiljö som avses 20 § 3 mom. (Nytt 3 mom.) 
Om användningsändamålet kräver uppgifter som Statistikcentralen eller Institutet för hälsa och välfärd i egenskap av statistikmyndighet samlat in för statistiska ändamål, samkör statistikmyndigheten och vid behov förbehandlar och pseudonymiserar eller anonymiserar den de uppgifter som ska lämnas ut. Om användningsändamålet kräver uppgifter av båda statistikmyndigheterna, ska de sinsemellan komma överens om vilken myndighet som samkör och pseudonymiserar eller anonymiserar uppgifterna. Uppgifterna kan därefter beroende på art och omfattning lämnas ut via den informationssäkra drifttjänst som avses i 17 § 3 mom. till tillståndshavaren för behandling i en informationssäker driftmiljö som förvaltas av Statistikcentralen eller Tillståndsmyndigheten för social- och hälsovårdsuppgifter eller i någon annan driftmiljö enligt 20 §. 
Leverantören av en driftmiljö ska innan en anslutning till tillståndshavaren öppnas säkerställa att tillståndshavaren uppfyller kraven i användningstillståndet. 
52 § (Ny) 
Publicering av resultat baserade på uppgifter utlämnade med stöd av ett användningstillstånd 
När uppgifter lämnats ut med stöd av ett användningstillstånd för behandling i en sådan informationssäker driftmiljö som avses i 20 § och någon vill publicera resultatet utifrån uppgifterna ska Tillståndsmyndigheten försäkra sig om att de publicerade uppgifterna är anonymiserade. Myndigheten kan emellertid av grundad anledning i tillståndsbeslutet bevilja tillståndshavaren rätt att själv anonymisera de uppgifter som ska publiceras förutsatt att uppgifterna ges in till myndigheten i efterhand. 
Tillståndsmyndigheten producerar anonymiserade resultat och överlämnar dem till tillståndshavaren som får publicera dem fritt enligt sin begäran och de bifogade förslagen oberoende av om användningstillståndet beviljats av en enskild personuppgiftsansvarig eller Tillståndsmyndigheten. 
53 (52) § 
Redogörelseskyldighet för myndigheter som ansvarar för behandlingen av användningstillstånd 
Myndigheter som ansvarar för behandlingen av användningstillstånd ska minst en gång om året lämna dataombudsmannen en detaljerad redogörelse för behandlingen av uppgifter med stöd av denna lag och för behandlingen av uppgifter som registrerats i loggregistret. 
54 (53) § 
Sekretessplikt 
Även på andra uppgifter som erhållits med stöd av denna lag än uppgifter från myndigheter tillämpas offentlighetslagens 
1) 22 § om handlingssekretess, 
2) 23 § om tystnadsplikt och förbud mot utnyttjande, 
3) 24 § om sekretessbelagda uppgifter, 
4) 31 § om upphörande av sekretess i fråga om en handling, 
5) 32 § om undantag i fråga om och upphörande av tystnadsplikt. 
Om sekretessbelagda uppgifter med stöd av denna lag lämnas ut till någon annan än en myndighet, ska mottagaren i samband med utlämnandet informeras om sekretessplikten så som föreskrivs i 25 § i offentlighetslagen. 
Trots vad som någon annanstans i lag föreskrivs om rätten eller skyldigheten att lämna ut sekretessbelagda uppgifter, får uppgifter som samlats in med stöd av denna lag inte lämnas ut för administrativt beslutsfattande eller någon annan motsvarande behandling av ärenden som gäller en enskild person utan hans eller hennes uttryckliga samtycke. Tillståndsmyndigheten för social- och hälsovårdsuppgifter får dock i en tillsynsuppgift som gäller någon annan än den registrerade använda uppgifter som den erhållit med stöd av 42 §, när lagenligheten eller den professionella lämpligheten bedöms i verksamhet som bedrivs av verksamhetsenheter eller yrkesutbildade personer inom social- och hälsovården. 
6 kap. 
Särskilda bestämmelser 
55 (54) § 
Rättigheter, skyldigheter och åtgärder på grund av betydande kliniska fynd 
Trots vad som föreskrivs i 54 § 3 mom. har en innehavare av användningstillstånd rätt att till den ansvariga person som Tillståndsmyndigheten för social- och hälsovårdsuppgifter utsett anmäla betydande kliniska fynd på grundval av vilka hälsorisker för en viss patient kan förebyggas eller vårdens kvalitet betydligt förbättras. 
Om de uppgifter som är grunden för den anmälan som avses i 1 mom. är pseudonymiserade, ska den ansvariga personen utreda vem eller vilka informationen gäller. När Tillståndsmyndighetens ansvariga person känner till vilken eller vilka personer som en anmälan enligt 1 mom. gäller, ska den ansvariga personen utan obefogat dröjsmål lämna uppgifterna till en expert som utsetts av Institutet för hälsa och välfärd. 
Den expert som avses i 2 mom. ska i samarbete med övriga experter som utsetts av institutet bedöma betydelsen av informationen och den förväntade nyttan med de åtgärder som kan vidtas med stöd av den. Om nyttan bedöms vara så uppenbar att det skulle vara viktigt att den som ska undersökas får vård, ska den expert vid Institutet för hälsa och välfärd som avses i 2 mom. anmäla fyndet till den verksamhetsenhet som med stöd av hälso- och sjukvårdslagen (1326/2010) är regionalt ansvarig för den aktuella personens hälso- och sjukvård. 
Den verksamhetsenhet som avses i 3 mom. ska kontakta patienten och klarlägga om han eller hon vill ha information om det betydande kliniska fyndet och de undersöknings- och vårdåtgärder som eventuellt ska vidtas på grundval av det samt om den förväntade nyttan med åtgärderna. 
Patienten har rätt att förbjuda kontakt som tas på basis av ett kliniskt betydande fynd. Förbudet antecknas i patientens informationshanteringstjänst som avses i 14 a § i klientuppgiftslagen. Patienten kan meddela förbudet skriftligt hos en valfri verksamhetsenhet som producerar offentlig hälso- och sjukvård eller elektroniskt via det medborgargränssnitt som avses i 19 § i klientuppgiftslagen. 
56 (55) § 
Styrning, övervakning och uppföljning 
För den allmänna planeringen, styrningen och övervakningen av behandling av kunduppgifter enligt denna lag och av anknytande informationsförvaltning svarar social- och hälsovårdsministeriet. 
Dataombudsmannen, Tillstånds- och tillsynsverket för social- och hälsovården samt Tillståndsmyndigheten för social- och hälsovårdsuppgifter styr och övervakar inom sitt verksamhetsområde i enlighet med sin behörighet efterlevnaden av denna lag. 
Tillståndsmyndigheten och övriga myndigheter som beviljar användningstillstånd i enlighet med denna lag samt Tillstånds- och tillsynsverket för social- och hälsovården ska för sin del följa och övervaka att det dataskydd och den datasäkerhet som hänför sig till deras tjänster förverkligas och att villkoren för tillstånd som de beviljar iakttas. Om någon har behandlat patientuppgifter i strid med lag, ska den behöriga myndigheten på eget initiativ vidta behövliga åtgärder. Om uppgifter med stöd av 20 § 3 mom. behandlas i någon annan driftmiljö än Tillståndsmyndighetens informationssäkra driftmiljö ska logguppgifter enligt 19 § och uppgifter i ett användarregister enligt 22 § 2 mom. på Tillståndsmyndighetens begäran lämnas till den utan obefogat dröjsmål. 
Om Tillståndsmyndigheten eller en myndighet som beviljar användningstillstånd i enlighet med denna lag har grundad anledning att misstänka att den som behandlar uppgifter med stöd av ett användningstillstånd från myndigheten inte behandlar personuppgifter i enlighet med lag, ska myndigheten underrätta dataombudsmannen om saken snarast möjligt. 
57 (56) § 
Skyldighet för Tillståndsmyndigheten för social- och hälsovårdsuppgifter att rapportera till styrgruppen 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter ska rapportera till styrgruppen om avvikelser från de tidsfrister som avses i 47 och 48 § och publicera uppgifter om dem. 
58 (57) § 
Överklagande 
I ett beslut enligt denna lag som Tillståndsmyndigheten för social- och hälsovårdsuppgifter eller en registeransvarig som avses i 6 § meddelat om en begäran om information enligt 45 § samt om en ansökan om användningstillstånd eller återkallelse av tillstånd samt i ett beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med stöd av denna lag får omprövning begäras på det sätt som anges i förvaltningslagen hos den myndighet som fattat beslutet. 
I ett beslut som har fattats med anledning av en begäran om omprövning får ändring sökas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). Förvaltningsdomstolens beslut får överklagas genom besvär bara om högsta förvaltningsdomstolen beviljar besvärstillstånd. 
59 (58) § 
Ikraftträdande 
Denna lag träder i kraft den 20 . 
60 (59) § 
Övergångsbestämmelser 
Utöver vad som föreskrivs i 41 § har kommunen eller samkommunen i enlighet med den bestämmelsen rätt att på ett identifierbart sätt behandla och samköra kunduppgifter som har lagrats i det gemensamma register som avses i 9 § 1 mom. i hälso- och sjukvårdslagen till dess att lagen om ordnande av social- och hälsovården ( / ) träder i kraft. 
Bestämmelserna om logguppgifter i 19 § och om kraven på informationssäkra driftmiljöer i 20 § 3 mom. och 21—29 § samt om kliniska fynd i 55 § 5 mom. tillämpas från och med den 1 maj 2021. Före denna tidpunkt får uppgifter lämnas ut för behandling till tillståndstagaren med stöd av 51 § 1 och 2 mom. 2 punkten, även om det i ansökan om användningstillstånd inte anvisas en i 51 § 3 mom. avsedd informationssäker driftmiljö för behandlingen av uppgifter. 
Tidsfristerna för utlämnande av uppgifter enligt 47 § 4 mom. och 48 § tillämpas på Folkpensionsanstalten och tjänsteanordnare inom socialvården från och med den 1 januari 2024 samt på uppgifter om recept och anknytande receptexpedieringar som registrerats i det receptcenter som avses i 3 § 1 mom. 4 punkten och i det receptarkiv som avses i 3 § 1 mom. 5 punkten i lagen om elektroniska recept från och med den 1 januari 2021
Denna lag tillämpas på de Kanta-tjänster som avses i klientuppgiftslagen från och med den 1 januari 2021
Uppgifter som före lagens ikraftträdande samlats in med den berördas samtycke får i enlighet med denna lag användas och lämnas ut för användningsändamål enligt 2 § 1 mom. 1, 2 och 7 punkten trots vad som föreskrivs i 43 § 2 mom., om det är uppenbart att användningen och utlämnandet inte i väsentlig mån avviker från de syften för vilka uppgifterna har lämnats. Den myndighet som fattar beslut om användningstillståndet kan förutsätta att den som ansöker om tillstånd till grund för tillståndsbeslutet ska be om en etisk bedömning av den etiska kommittén vid Institutet för hälsa och välfärd. 
Behandlingen av en ansökan som har gjorts innan denna lag trätt i kraft slutförs i enlighet med de bestämmelser som gällde vid ikraftträdandet. På en ansökan som gäller utlämnande av personuppgifter enligt 4 § i lagen om riksomfattande personregister för hälsovården (556/1989) tillämpas dock inte skyldigheten enligt 1 mom. i den paragrafen att ge dataombudsmannen möjlighet att bli hörd, utan rätten enligt 44 § 4 mom. i denna lag att begära utlåtande från dataombudsmannen om en ansökan om användningstillstånd. 
Bestämmelserna om en rådgivningstjänst i 13 § i denna lag ska tillämpas från och med den 1 november 2019
Bestämmelserna om behandling av begäranden om aggregerade statistiska uppgifter i 41 § 2 mom., 42 § 1 mom. och 45 § i denna lag ska tillämpas från och med den 1 januari 2020
Bestämmelserna om en tjänst för insamling, samkörning och förbehandling av uppgifter och om pseudonymisering och anonymisering av uppgifter i 14 § 1 och 2 mom., ett hanteringssystem för begäranden om information i 16 § och informationssäker driftmiljö i 20 § 1 mom. tillämpas från och med den 1 januari 2020
Behörighet för behandling av användningstillstånd bestäms i enlighet med 44 § 1—3 mom. i denna lag från och med den 1 april 2020. Ansökan om användningstillstånd och begäran om information ska via det i 16 § avsedda hanteringssystemet för begäranden om information lämnas till Tillståndsmyndigheten från och med den 1 april 2020
2. 
Lag 
om ändring av lagen om Institutet för hälsa och välfärd 
I enlighet med riksdagens beslut 
ändras i lagen om Institutet för hälsa och välfärd (668/2008) 2 § 1 mom. 3 och 4 punkten och 5 §, av dem 5 § sådan den lyder delvis ändrad i lag 1067/2009, samt 
fogas till 2 § 1 mom., sådant det lyder delvis ändrat i lagarna 1067/2009 och 1231/2010, nya 3 a-, 3 b-, 4 c- och 4 d-punkter samt till lagen nya 5 a—5 i § som följer: 
2 § 
Uppgifter 
Institutet ska 
3) bedriva forskning inom branschen, 
3 a) främja utveckling och innovationer, 
3 b) ta initiativ och göra framställningar som behövs för att utveckla social- och hälsovården och dess service och främja befolkningens hälsa och välfärd, 
4) upprätthålla datafiler samt föra register inom området och sörja för kunskapsunderlaget inom sitt uppgiftsområde och för nyttiggörandet av det, 
4 c) vara en statistikmyndighet som avses i 2 § 2 mom. i statistiklagen (280/2004), 
4 d) föra kvalitetsregister inom branschen, 
5 § 
Rätt att få och att behandla uppgifter 
För skötseln av de uppgifter som Institutet för hälsa och välfärd har enligt 2 § 1—3 och 4 punkten samt 4 d-punkten har institutet rätt att avgiftsfritt och trots sekretessplikten och andra begränsningar i fråga om användningen av uppgifter få nödvändiga uppgifter om befolkningen tillsammans med identifieringsuppgifter enligt följande: 
1) av myndigheter som ordnar social- och hälsovård enligt 4 § i lagen om offentlighet i myndigheternas verksamhet (621/1999) samt privata aktörer som ordnar och producerar social- och hälsovårdstjänster uppgifter som gäller institutionsvård och öppenvård samt prehospital akutsjukvård inom social- och hälsovården i fråga om
a) kunder och patienter,
b) foster, barn som fötts levande och barn som fötts döda samt uppgifter om modern och om fadern, om han är känd,
c) serviceanordnare och serviceproducenter,
d) tidpunkt för inledande och avslutande av servicen,
e) kundens hemkommun och boendeform,
f) grunden för tillhandahållande av servicen och tillgången till den,
g) behovet, arten och omfattningen av servicen,
h) sjukdom, skada, handikapp, social situation eller medicinskt tillstånd samt till dessa anknytande åtgärder och beslut, tjänster och vård, undersökningsresultat, medicinering och rehabilitering,
i) vaccineringar samt annat förebyggande av sjukdomar och servicebehov,
j) kvaliteten på åtgärder och tjänster och deras verkningsfullhet,
k) produktsäkerheten i fråga om produkter och utrustning för hälso- och sjukvård,
l) kund- och patientsäkerheten,
m) personal och andra resurser som använts för tjänsterna och kostnaderna för dessa resurser,
n) avgifter som tagits ut för tjänsterna.
 
2) av Folkpensionsanstalten
a) uppgifter om de förmåner som Folkpensionsanstalten ålagts att verkställa och uppgifter om hur förmånerna använts samt uppgifter om recept och anknytande receptexpedieringar ur det receptarkiv och den receptdatabas som avses i lagen om elektroniska recept,
b) uppgifter ur de riksomfattande informationssystemstjänster (Kanta-tjänster) som avses i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007),
 
3) av Tillstånds- och tillsynsverket för social- och hälsovården
a) uppgifter om avbrytande av havandeskap och om sterilisering enligt lagen om avbrytande av havandeskap (239/1970) och steriliseringslagen (283/1970),
b) uppgifter om yrkesutbildade personer inom socialvården och hälso- och sjukvården ur det centralregister över yrkesutbildade personer inom hälso- och sjukvården som avses i 24 a § i lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994) och ur det centralregister över yrkesutbildade personer inom socialvården som avses i 16 § i lagen om yrkesutbildade personer inom socialvården (817/2015),
 
4) av Befolkningsregistercentralen grundläggande personuppgifter, uppgifter om personers familjeförhållanden och bostadsort samt byggnadsuppgifter ur befolkningsdatasystemet som avses i 3 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009), samt 
5) av Statistikcentralen uppgifter som avses i lagen om utredande av dödsorsak (459/1973). 
Som identifieringsuppgift enligt 1 mom. insamlas för en person personbeteckningen och för en annan dataenhet en identifieringskod. 
De uppgifter som avses i 1 och 2 mom. får inhämtas med hjälp av en elektronisk anslutning. 
5 a § 
Utlämnande av uppgifter 
Uppgifter som samlats in med stöd av 5 § 1 mom. 1 punkten i denna lag får lämnas ut med iakttagande av vad som föreskrivs i lagen om sekundär användning av personuppgifter inom social- och hälsovården ( / ). 
Trots vad som föreskrivs någon annanstans i lag om rätten eller skyldigheten att lämna ut sekretessbelagda uppgifter, får uppgifter som samlats in med stöd av denna lag inte lämnas ut för att användas vid administrativt beslutsfattande som gäller enskilda personer eller familjer eller vid någon annan motsvarande behandling av ärenden. 
Vad som föreskrivs i 2 mom. eller i någon annan lag utgör inget hinder för att uppgifterna lämnas tillbaka till den myndighet eller den tjänstetillhandahållare som har lämnat datamaterialet till institutet. 
5 b § 
Bevaringstid för uppgifter 
Institutet för hälsa och välfärd får bevara uppgifterna så länge det är nödvändigt för att fullgöra de uppdrag där uppgifterna behandlas, om det inte föreskrivs något annat om bevaring av uppgifter i någon annan lag som gäller institutet. Efter detta ska uppgifterna förstöras inom ett år, om inte Arkivverket med stöd av arkivlagen (831/1994) bestämmer att uppgifterna ska bevaras varaktigt. 
Uppgifter som avses i artikel 9.1 i dataskyddsförordningen ska dock utplånas ur registret så snart den i 1 mom. avsedda grunden för behandling inte längre finns. Grunden och behovet av behandling ska bedömas minst vart femte år, om inte något annat följer av lag. 
5 c § 
Uppgiftsskyldighet och beslut om uppgiftsinsamling 
En registeransvarig, vars registeruppgifter omfattas av den rätt att få information som Institutet för hälsa och välfärd har enligt 5 § 1 mom., är skyldig att lämna institutet de uppgifter som avses i 5 § i enlighet med institutets beslut. 
Institutet för hälsa och välfärd beslutar vilka nya insamlingar av uppgifter som ska genomföras på basis av den uppgiftsskyldighet som avses i 1 mom. samt om utvidgning av insamlingar av uppgifter, vilka tidsfrister och förfaranden som ska iakttas när uppgifterna lämnas samt om återrapportering till uppgiftslämnarna. 
Omprövning av institutets beslut enligt 2 mom. får begäras på det sätt som anges i förvaltningslagen (434/2003). Vidare har Dataombudsmannen rätt att begära omprövning och söka ändring i ett beslut som avses i 2 mom. 
I ett beslut som har fattats med anledning av en begäran om omprövning får ändring sökas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (568/1996). Förvaltningsdomstolens beslut får överklagas genom besvär bara om högsta förvaltningsdomstolen beviljar besvärstillstånd. Ett beslut kan verkställas omedelbart, om inte besvärsmyndigheten förbjuder verkställigheten. 
5 d § 
Samrådsskyldighet och bedömning av behovet av information 
Om det är fråga om en ny insamling av uppgifter, en betydande ändring av informationsinnehållet i uppgifter som redan samlas in eller en utvidgning av insamlingar av uppgifter, ska Institutet för hälsa och välfärd samråda med organisationer som företräder de uppgiftslämnare som avses i 5 c § 1 mom. samt höra Dataombudsmannen om i 5 § 2 mom. avsedd insamling av uppgifter innan institutet fattar beslut om uppgiftskyldigheten. 
Vid samråd enligt 1 mom. bedöms behovet av de uppgifter som ska samlas in, innehållet och förändringar i det, bevaringstiden för uppgifterna och sättet att samla in dem samt behovet av identifieringsuppgifter. 
Samråd och hörande enligt 1 mom. ska ordnas i så god tid att synpunkterna hos de instanser som företräder uppgiftslämnarna och dataombudsmannens synpunkter kan beaktas. Samråd ska ordnas också om en instans som företräder uppgiftslämnarna begär det. 
5 e § 
Rätt att få och att hantera prov 
För fullgörande av sina forsknings- och utredningsuppgifter enligt 2 § eller någon annan lag får Institutet för hälsa och välfärd samla in och behandla blod- och vävnadsprov om det är nödvändigt för skötseln av uppgifterna. 
Institutet får i enlighet med biobankslagen (688/2012) överföra blod- och vävnadsprov som det innehar samt tillhörande uppgifter till en biobank. 
På förvaring av blod- och vävnadsprov tillämpas 5 b § om bevaringstid för uppgifter. 
5 f § 
Överföring av betydelsefullt forskningsmaterial till Institutet för hälsa och välfärd 
Om forskning och material från forskning som bedrivs av universitet, andra forskningsinstitut, enskilda forskare, forskargrupper eller verksamhetsenheter inom social- och hälsovården är speciellt betydelsefulla för befolkningens välfärd eller hälsa och för forskning som gäller dem, får materialet oberoende av sekretessbestämmelserna överföras till Institutet för hälsa och välfärd genom ett avtal för att användas inom forskningsverksamhet. 
För överföring av forskningsmaterial som avses i 1 mom. förutsätts det att den etiska kommittén vid Institutet för hälsa och välfärd ger ett positivt utlåtande om överlåtelsen. Uppgifter som samlats in med den berördes samtycke får dock överföras bara om det är uppenbart att sådan användning och överlåtelse av uppgifter inte i väsentlig mån avviker från de syften som uppgifterna lämnats för. 
5 g § 
Rätt för Institutet för hälsa och välfärd att få uppgifter för att utföra sinnesundersökningar 
Institutet för hälsa och välfärd och den som på förordnande av Institutet för hälsa och välfärd med stöd av mentalvårdslagen (1116/1990) utför sinnesundersökningar har rätt att avgiftsfritt och trots bestämmelserna om sekretess få uppgifter som behövs för utförande av sinnesundersökningar från statliga och kommunala myndigheter och andra offentligrättsliga sammanslutningar, Folkpensionsanstalten, Pensionsskyddscentralen, patientskadenämnden, pensionsstiftelser och andra pensionsanstalter, försäkringsanstalter, serviceproducenter enligt 2 § 2 mom. om privat hälso- och sjukvård (152/1990), och självständiga yrkesutövare enligt 2 § 3 mom. i den lagen, verksamhetsenheter enligt 3 § 2 mom. i lagen om privat socialservice (922/2011) samt apotek. Nämnden för rättspsykiatriska ärenden har rätt till motsvarande uppgifter för fullgörande av uppgifter enligt 3 a § 2 mom. i denna lag. 
5 h § 
Behandling av uppgifter som statistikmyndighet 
När Institutet för hälsa och välfärd verkar som statistikmyndighet som avses i 2 § 4 c punkten är kommuner, samkommuner, statliga myndigheter samt offentliga och privata tjänsteproducenter inom social- och hälsovården skyldiga att på begäran förse institutet med sådana uppgifter om social- och hälsovårdsverksamhet som är nödvändiga för att upprätta statistik och som inte innehåller identifieringsuppgifter. På motsvarande sätt är Folkpensionsanstalten skyldig att lämna forsknings- och utvecklingscentralen uppgifter om betalda förmånsbelopp och antalet förmånstagare. 
Uppgifter som tagits emot med stöd av denna paragraf får behandlas endast i enlighet med statistiklagen. 
Institutet för hälsa och välfärd får vidare använda uppgifter som det inhämtat med stöd av 5 § även för statistikmyndighetsuppgifter. 
5 i § 
Kvalitetsregister 
Med kvalitetsregister avses ett register vars uppgifter används för utvärdering av behandlingen av en viss sjukdom eller en viss behandlingsmetod eller för utvärdering av socialservice. I registret lagras nödvändiga personuppgifter i anknytning till sjukdomen och behandlingsmetoden eller tillhandahållandet av socialservice. För att behandlingens eller servicens kvalitet ska kunna utvärderas får det i registret dessutom lagras uppgifter om vilken verksamhetsenhet som svarat för behandlingen eller servicen och vilka personer som gett behandlingen eller servicen. 
Ett kvalitetsregister som omfattas av Institutet för hälsa och välfärds registeransvar får användas för användningsändamål som avses i lagen om sekundär användning av personuppgifter inom social- och hälsovården. 
Bestämmelser om vilka kvalitetsregister Institutet för hälsa och välfärd är registeransvarig för utfärdas genom förordning av social- och hälsovårdsministeriet. Institutet för hälsa och välfärd meddelar föreskrifter om datastrukturer och datainnehåll i sina kvalitetsregister. 
Denna lag träder i kraft den 20 . 
Om personuppgifter före denna lags ikraftträdande har samlats in i ett kvalitetsregister och den registeransvarige för personuppgifterna inte är en myndighet eller en verksamhetsenhet inom social- och hälsovården, ska den registeransvarige senast den 30 november 2019 lämna uppgifter till Institutet för hälsa och välfärd om registret och dess registerbeskrivning samt andra nödvändiga uppgifter för att ärendet ska kunna bedömas. 
3. 
Lag 
om ändring av 30 e § i läkemedelslagen 
I enlighet med riksdagens beslut 
upphävs i läkemedelslagen (395/1987) 30 e § 4 mom., sådant det lyder i lag 330/2013, samt 
ändras 30 e § 2, 3 och 6 mom., sådana de lyder i lag 330/2013, som följer: 
30 e § 
Säkerhets- och utvecklingscentret för läkemedelsområdet registrerar de i 1 mom. angivna uppgifterna i det riksomfattande registret över biverkningar som centret för i syfte att säkerställa läkemedels- och patientsäkerheten. Säkerhets- och utvecklingscentret för läkemedelsområdet får dessutom när som helst begära uppgifter om förhållandet risk/nytta hos ett läkemedelspreparat. Dessutom är de som avses i lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994) trots bestämmelserna om sekretessplikt skyldiga att avgiftsfritt i syfte att säkerställa läkemedels- och patientsäkerheten till Säkerhets- och utvecklingscentret för läkemedelsområdet lämna ut följande uppgifter i journalhandlingar: patienters personuppgifter, uppgifter om medicinering, indikationer för medicineringen och biverkningar hos läkemedel samt uppgift om vem som gjort anmälan. (Nytt) 
Uppgifterna i ett register över biverkningar som förs av den som innehar försäljningstillstånd för läkemedelspreparat, försäljningstillstånd för läkemedelspreparat i parallellimport eller registrering av ett traditionellt växtbaserat preparat och uppgifterna i registret över biverkningar som förs av Säkerhets- och utvecklingscentret för läkemedelsområdet får användas endast för uppföljning och rapportering som gäller biverkningar av läkemedel, de användningsändamål som avses i lagen om sekundär användning av personuppgifter inom social- och hälsovården och bedömning av säkerheten hos läkemedel och förhållandet risk/nytta i fråga om läkemedel. Uppgifter får dock inte lämnas ut eller användas för beslut som gäller den registrerade. Säkerhets- och utvecklingscentret för läkemedelsområdet ska till Institutet för hälsa och välfärd lämna ut uppgifter som centret har fått i fråga om vaccin. Uppgifter från registret över biverkningar som Säkerhets- och utvecklingscentret för läkemedelsområdet förvaltar får lämnas ut via en teknisk anslutning. Innan den tekniska anslutningen öppnas ska den som begär uppgifter lägga fram en utredning om att uppgifterna skyddas på behörigt sätt. (Nytt) 
Säkerhets- och utvecklingscentret för läkemedelsområdet meddelar närmare föreskrifter om förande av register över biverkningar och om rapportering av uppgifter till Säkerhets- och utvecklingscentret för läkemedelsområdet. Centret får vid behov meddela föreskrifter om rapporteringen av biverkningar av läkemedelspreparat till dem som har rätt att förskriva och expediera läkemedel. 
Denna lag träder i kraft den 20 . 
4. 
Lag 
om upphävande av 18 § 5 mom. i lagen om klientens ställning och rättigheter inom socialvården 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs i lagen om klientens ställning och rättigheter inom socialvården (812/2000) 18 § 5 mom., sådant det lyder i lag 796/2010. 
2 § 
Denna lag träder i kraft den 20 . 
5. 
Lag 
om upphävande av 13 § 5 mom. i lagen om patientens ställning och rättigheter 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs i lagen om patientens ställning och rättigheter (785/1992) 13 § 5 mom., sådant det lyder i lag 795/2010. 
2 § 
Denna lag träder i kraft den 20 . 
6. 
Lag 
om ändring av 15 § i lagen om elektroniska recept 
I enlighet med riksdagens beslut 
ändras i lagen om elektroniska recept (61/2007) 15 § 4 och 5 mom., 
av dem 15 § 4 mom. sådant det lyder i lag 251/2014, som följer: 
15 § 
Tillståndsmyndigheten för social- och hälsovårdsuppgifter har rätt att behandla och lämna ut uppgifter ur receptcentret och receptarkivet i enlighet med lagen om sekundär användning av personuppgifter inom social- och hälsovården ( / ). Folkpensionsanstalten har rätt att utan tillstånd från tillståndsmyndigheten använda uppgifter i receptcentret och receptarkivet i anstaltens vetenskapliga forskning. 
Folkpensionsanstalten får upprätta och överlåta sammanställningar över sådana uppgifter i receptcentret och receptarkivet som kan vara av betydelse för utredning av läkemedelssäkerheten och nyttan av och kostnaderna för läkemedelsbehandlingar samt för utvecklandet av Folkpensionsanstaltens verksamhet och tjänster. Folkpensionsanstalten har rätt att utan tillstånd från tillståndsmyndigheten använda uppgifter i receptcentret och receptarkivet i anstaltens vetenskapliga forskning. Den ska i så fall själv bevilja tillståndet att använda uppgifter i receptcentret och receptarkivet. 
Denna lag träder i kraft den 20 . 
7. 
Lag 
om upphävande av 10 § 3 mom. i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs 10 § 3 mom. i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007). 
2 § 
Denna lag träder i kraft den 20 . 
8. 
Lag 
om upphävande av 15 § 3 mom. i lagen om utredande av dödsorsak 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs i lagen om utredande av dödsorsak (459/1973) 15 § 3 mom., sådant det lyder i lag 684/1999. 
2 § 
Denna lag träder i kraft den 20 . 
9. 
Lag 
om ändring av lagen om smittsamma sjukdomar 
I enlighet med riksdagens beslut föreskrivs
upphävs i lagen om smittsamma sjukdomar (1227/2016) 42 § och 
ändras 25 § 1 mom., 34 §, 36 § 2 mom., 51 § 2 mom. och 53 § 2 mom. som följer: 
1 § 
Genom denna lag upphävs 42 § i lagen om smittsamma sjukdomar (1227/2016). 
2 § 
Denna lag träder i kraft den 20 . 
25 § (Ny) 
Tillgång till information för att avvärja en allvarlig epidemi 
Om skyndsamma åtgärder är nödvändiga för att skydda befolkningens hälsa när en allvarlig epidemi hotar eller under epidemin för att avvärja epidemin eller utreda orsakerna till den och förhindra att den sprids, har Institutet för hälsa och välfärd oberoende av sekretessbestämmelserna och kostnadsfritt rätt att få tillgång till uppgifter i journalhandlingar och i Folkpensionsanstaltens förmånsregister samt till uppgifter det fått med stöd av 5 § i lagen om Institutet för hälsa och välfärd (668/2008) och att samköra uppgifterna i registren. Institutet har också rätt att slumpmässigt plocka ut jämförelsepersoner eller ett befolkningssampel från det befolkningsdatasystem som avses i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009). Sådana uppgifter är uppgifter om sjukdomsalstrare och deras egenskaper, diagnoser, riskfaktorer, faktorer som påverkat sjukdomsförloppet och om den insjuknades vårdplats, vården och resultatet av vården. Uppgifterna får samköras om det är nödvändigt för att fastställa en allvarlig epidemis ursprung eller konsekvenserna av epidemin. 
34 § (Ny) 
Samkörning av uppgifterna i det sampelbaserade uppföljningsregistret 
Institutet för hälsa och välfärd får komplettera uppgifterna i det sampelbaserade uppföljningsregistret med uppgifter om klientens och patientens boendekommun, boningsort, födelseland, nationalitet och eventuella dödsfall ur det befolkningsdatasystem som avses i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster och samköra dessa uppgifter med uppgifterna i registret över smittsamma sjukdomar och Folkpensionsanstaltens förmånsregister samt med uppgifter det fått med stöd av 5 § i lagen om Institutet för för hälsa och välfärd
36 § (Ny) 
Register över vårdrelaterade infektioner 
Institutet kan komplettera uppgifterna med befolkningsdatasystemets uppgifter om patientens och klientens boendekommun och boningsort och om eventuella dödsfall. Följande nödvändiga uppgifter får samlas in och sparas i registret: sjukdomsalstrare och deras egenskaper, diagnoser, riskfaktorer, faktorer som påverkat smittförloppet och uppgifter om den insjuknades vårdplats, vården och resultatet av vården från vårdanmälningsregistret för socialvården och hälso- och sjukvården eller registret över smittsamma sjukdomar, eller uppgifter som erhållits med stöd av 5 § i lagen om Institutet för hälsa och välfärd
51 § (Ny) 
Uppföljning av verkningarna av vaccinationer och utredning av biverkningar eller misstänkta fall av biverkningar 
Institutet för hälsa och välfärd har oberoende av sekretessbestämmelserna och kostnadsfritt rätt att få tillgång till nödvändiga journaluppgifter för att utföra de uppgifter som avses i 1 mom. och samköra dessa med uppgifterna i registret över smittsamma sjukdomar och Folkpensionsanstaltens förmånsregister samt med uppgifter det fått med stöd av 5 § i lagen om Institutet för hälsa och välfärd
53 § (Ny) 
Dokumentation av anmälningar om biverkningar av vacciner och vaccinationer 
Bestämmelser om registret finns i läkemedelslagen (395/1987) och lagen om riksomfattande personregister för hälsovården
 
Denna lag träder i kraft den20. 
10. 
Lag 
om upphävande av lagen om riksomfattande personregister för hälsovården 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs lagen om riksomfattande personregister för hälsovården (556/1989). 
2 § 
Denna lag träder i kraft den 20 . 
11. 
Lag 
om upphävande av lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården (409/2001). 
2 § 
Denna lag träder i kraft den 20 . 
Utskottets nya lagförslag
12. 
Lag 
om upphävande av 14 g § 3 mom. i lagen om utkomststöd 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs 14 g § 3 mom. i lagen om utkomststöd (1412/1997), sådant det lyder i lag 815/2015. 
2 § 
Denna lag träder i kraft den 20. 
Helsingfors 1.3.2019 
I den avgörande behandlingen deltog
ordförande
Krista
Kiuru
sd
vice ordförande
Hannakaisa
Heikkinen
cent
medlem
Outi
Alanko-Kahiluoto
gröna
medlem
Arja
Juvonen
saf
medlem
Niilo
Keränen
cent
medlem
Anneli
Kiljunen
sd
medlem
Jaana
Laitinen-Pesola
saml
medlem
Anne
Louhelainen
blå
medlem
Ulla
Parviainen
cent
medlem
Aino-Kaisa
Pekonen
vänst
medlem
Pekka
Puska
cent
medlem
Sari
Raassina
saml
medlem
Veronica
Rehn-Kivi
sv
medlem
Vesa-Matti
Saarakkala
blå
medlem
Kristiina
Salonen
sd
medlem
Sari
Sarkomaa
saml
medlem
Martti
Talja
cent.
Sekreterare var
utskottsråd
Päivi
Salo.
RESERVATION 1
Motivering
Lagförslaget om sekundär användning av social- och hälsovårdsuppgifter innebär en stor förändring i användningen av känsliga personuppgifter. Dessutom gäller bestämmelserna en mycket stor och omfattande datamängd. Känsliga personuppgifter måste behandlas på ett informationssäkert sätt för att de inte ska avslöjas för utomstående. Denna sekundära användning kräver stor expertis i informationssäkerhet och dataskydd samt den nyaste kunskapen och kompetensen inom anonymiseringsteknik. 
Propositionen tar helt riktigt sikte på att samordna den gällande lagstiftningen och de nuvarande förfarandena och på att förbättra skyddet för personuppgifter när de behandlas. Samtidigt skapar propositionen nya möjligheter för forskningen när det blir tillåtet att nyttiggöra hälsodata i stor omfattning. Den vetenskapliga forskningen i Finland är högtstående och vi har mycket omfattande databaser om människors hälsa. I takt med att vetenskaplig forskning får bättre förutsättningar kan man utgå från att det uppstår kunskapskluster, konkurrenskraft, hälsopartnerskap, ny unik information om människors hälsa och nationellt sett intressanta verksamhetsmodeller. 
Bristerna i lagstiftningen har lappats i ett och ett halvt år
Trots dessa positiva mål har lagstiftningen beretts mycket bristfälligt. Regeringen lämnade propositionen till riksdagen i oktober 2017 med stor brådska. Ursprungligen hörde den ihop med budgeten för 2018, men den lyftes senare ut och behandlingen gavs mer tid. Efter grundlagsutskottets utlåtande i början av 2018 stod det klart att problemen är alltför stora för att kunna avgöras i riksdagen utan extra beredning i ministeriet. Utfrågningarna i utskottet vårvintern 2018 visade att varken dataskyddet eller informationssäkerheten var på den nivå de borde ha varit. Men det föll på utskottet att korrigera problemen med propositionen. I slutet av fjolåret fick utskottet ett svar från regeringen med korrigeringar och utskottet måste ändra tiotals paragrafer under behandlingens gång. Den nyaste versionen ligger långt från den ursprungliga propositionen, som lämnades till riksdagen i stor hast som en budgetlag. 
Det bör framhållas här att utskottet har behandlat ärendet mycket grundligt och har gjort viktiga ändringar för att garantera dataskyddet för människor. Dataskyddskraven har ändrats avsevärt och den snabbt föränderliga tekniska miljön har beaktats bättre i bestämmelserna. De största ändringarna har utan vidare gjorts i att utvecklings- och innovationsverksamhet inte längre kan vara användningsändamål trots samtycke och anonymisering av uppgifterna. Det beror på det nationella handlingsutrymme som dataskyddsförordningen tillåter. Till följd av utlåtandet från grundlagsutskottet ändades grundkonstellationen i propositionen, eftersom också social- och hälsovårdsministeriet medgav i sitt kompletterande svar att den nationella lagstiftaren inte har vare sig handlingsutrymme eller möjlighet att tolka reglerna så att utvecklings- och innovationsverksamhet kan betraktas som vetenskaplig forskning i den mening som dataskyddsförordningen avser. Det finns heller inget nationellt utrymme för att införa mer ingående samtyckesbestämmelser. Följaktligen kan bara aggregerade statistiska uppgifter lämnas ut för utvecklings- och innovationsverksamhet efter utskottets ändringar. Till följd av restriktionen i det nya förslaget kan uppgifter lämnas ut bara för ett mycket snävare syfte som främjar en större nytta för den enskilde och samhället. 
Utskottet upptäckte också att anonymiserade data inte kan lämnas ut på det sätt som propositionen tillåter eftersom de kan innehålla en så kallad kvarstående risk. När tekniken utvecklas och artificiell intelligens blir vanligare kan det hända att anonymiserade data kan identifieras och knäckas. Därför får anonymiserade känsliga uppgifter bara ges ut för vetenskaplig forskning i informationssäker miljö eller alternativt som färdigt analyserade data i form av aggregerade statistiska uppgifter. Ursprungligen föreslog regeringen mycket mer omfattande användningsmöjligheter. Av samma skäl har man också varit tvungen att konstatera att anonymiteten för utlämnade uppgifter måste garanteras när resultaten publiceras, men bara så att tillståndsmyndigheten kontrollerar att uppgifterna är anonymiserade. Detta för att det inte ska gå att häva anonymiteten genom att aggregera känsliga uppgifter. Något sådant ingick inte alls i de tidigare propositionerna. 
Propositionen borde skrivas om i stället för att man pressar på att den ska införas.
De tidigare ändringarna har varit nödvändiga, men inte tillräckliga. Efter ändringarna här och där är lagförslaget om sekundär användning av personuppgifter söndertrasad, osammanhängande och otydlig. Ett och ett halvt år har lagts ner på ny beredning och nya bestämmelser, men arbetet borde ha gjorts ordentlig med ett nytt och mer flytande lagförslag. Brådskan och stressen i slutet av valperioden genererar dålig lagstiftning bara för att lagen ska hinna godkännas under regeringen Sipilä. Den kommande regeringen måste sannolikt korrigera lagen. Detta kan inte kallas rationell och god lagberedning. 
I propositionen avsätts verkligt lite tid för verkställigheten. Lagarna ska träda i kraft den 1 april trots att riksdagen kan behandla förslagen i plenum först i mars. Det finns nästan ingen tid för att stadfästa lagen heller. Det betyder att lagarna kanske träder i kraft nästan genast efter att de har blivit stadfästa. 
Regelverket för sekundär användning av personuppgifter införs alltför snabbt och utan att verkställas ordentligt. Det finns risk för att social- och hälsovården inte hinner hålla jämna steg med de nya bestämmelserna när fristerna är fruktansvärt korta. När vägledning och utbildning ska ges under tidspress är risken stor att de är bristfälliga. Lagen om sekundär användning av personuppgifter stiftas i slutet av valperioden i ett läge när det inte finns några anslag för lagstiftningen i vare sig budgeten eller en tilläggsbudget. Ändå ska lagen börja gälla med en gång. 
Skyldigheterna och fristerna
Kommunerna och samkommunerna som är de som ordnar social- och hälsovård och andra personuppgiftsansvariga i lagförslag 1 får alltför lite tid på sig att uppfylla sina skyldigheter. En registeransvarig och en privat tillhandahållare av social- och hälsovård ska enligt lagförslaget utan dröjsmål till tillståndsmyndigheten lämna de uppgifter som behövs för behandlingen av en ansökan om användningstillstånd eller av en begäran om anonymiserade uppgifter som avses i 45 §. det ska de göra senast 15 vardagar från det att begäran inkom. Fristen är mycket kort för kommunerna och samkommunerna och de resurser som går åt kan inte användas på social- och hälsovårdsinsatser. När personuppgifter inom den offentliga social- och hälsovården används för sekundära ändamål, bör också det system som genererar uppgifterna ha någon nytta av systemet, åtminstone få relevant kompensation. Som det är nu finns det bara bestämmelser om att tillståndsmyndigheten har rätt att ta ut en avgift för sin tjänst. 
Som regeringen säger om de ekonomiska konsekvenserna kommer också de personuppgiftsansvariga att få ökade kostnader. Det har ingen garderat sig för trots att skyldigheterna träder i kraft med mycket kort förvarning. Utan ordentliga resurser och vettiga behandlingstider är det lätt hänt att de registeransvariga tvingas in i en ofördelaktig resurs- och arbetsfördelning. Resurserna inom vårdsektorn är knappa redan nu, men de personuppgiftsansvariga som avses i 6 § måste inom ramen för övergångsperioderna ordna med exempelvis rådgivning i mycket snabb takt, redan i november. 
Trots allt detta ska tillståndsmyndigheten efter en övergångsperiod inleda verksamheten först den 1 januari 2020. Lagen innehåller en massa övergångsperioder som enligt social- och hälsovårdsministeriet är nödvändiga för att vissa verksamheter ska kunna starta senare. 
Hög expertis måste centraliseras och säkerställas via lag
Vi välkomnar att tillståndsmyndigheten inrättas och att verksamheten centraliseras för att hög expertis inom dataskydd och informationssäkerhet ska garanteras. Det gör verksamheten smidigare och minskar den administrativa bördan. Därför är det oroväckande att det samtidigt föreslås ett mycket komplicerat system som betyder att både tillståndsmyndigheten och de personuppgiftsansvariga fortsatt ska få lämna ut känsliga uppgifter, trots att det är tillståndsmyndigheten som till följd av den centraliserade höga kompetensen har anonymiserat informationen. Samtidigt föreslås det också att de personuppgiftsansvariga ska kunna ge avkall på denna rätt och överlåta den till tillståndsmyndigheten. Informationssäkerheten och dataskyddet för känsliga uppgifter måste garanteras på ett sätt som bara tillåter att de får lämnas ut av tillståndsmyndigheten som är den som har anonymiserat informationen. Dessutom krävs det att de personuppgiftsansvarigas rådgivning ska ordnas hos tillståndsmyndigheten för att all information ska finnas på samma ställe. 
Expertgruppens sammansättning och resurser säkerställs inte eftersom den rättsliga grunden är otillräcklig. Gruppen ska enligt utskottet ha aktuella och högkvalitativa kunskaper och visioner om dataskydds- och informationssäkerhetsfrågor och anonymiseringsteknik inom social- och hälsovårdsområdet. Närmare bestämmelser saknas. Tillståndsmyndigheten borde dessutom ha sin egen etiska kommitté som ger riktlinjerna för den sekundära behandlingen. 
Propositionen garanterar inte relevant skydd för personuppgifter
Efter allt detta måste man konstatera att det hade varit klokt att först testa systemet i liten skala och förbättra lagstiftningen utifrån erfarenheterna. Exemplen på god praxis hade då kunnat införas gradvis efter tillräckligt långa övergångsperioder. Det hade gjort att den sekundära användningen blir smidigare och mer kontrollerad och garanterat högkvalitativ informationssäkerhet i takt med att tekniken utvecklas. Nu får hela Finland bli försökslaboratorium utan tillräckligt skydd eller tillräckligt stora erfarenheter av att personuppgifter är skyddade under alla förhållanden. Ett storskaligt system med stora mängder känsliga personuppgifter i flera olika register är dessutom ett mottagligt för hackning. Också detta talar för ett försiktigare tillvägagångssätt via försök. Man kan bara en gång förlora skyddet för konfidentiell behandling av känsliga personuppgifter. Sedan går det inte att få tillbaka skyddet. 
Följaktligen måste vi konstatera att varken propositionen eller de många materiella ändringarna ger tillräckligt säkert skydd för personuppgifter eller för berättigade förväntningar. Därför måste propositionen förkastas. 
Förslag
Vi föreslår
att riksdagen förkastar lagförslagen. 
Helsingfors 1.3.2019
Anneli
Kiljunen
sd
Krista
Kiuru
sd
Kristiina
Salonen
sd
RESERVATION 2
Motivering
Det största problemet med proposition RP 159/2017 rd är att riskhanteringen i fråga om personuppgifter inom hälso- och sjukvården är höljd i dunkel. Utskottet har inte fått adekvata svar på sina frågor om riskhanteringen, såsom hurdana riskanalyser som gjorts om det kommande läget och hur man skapar beredskap för riskerna. Vi har heller inte fått något svar på frågan om vilka de faktiska resurser och den faktiska kompetens är som myndigheterna får för att sörja för en informationssäker miljö. 
Man har heller inte i tillräcklig utsträckning insett hur allvarliga problemen med anonymisering av data är. Även om det bara är en myndighet som förvaltar uppgifter är detta ingen garanti för att informationen faktiskt är anonym eller för att det inte skulle gå att häva anonymiteten genom samkörning med andra data. 
Det får inte finnas oklara punkter i lagstiftning som gäller medborgarnas informationssäkerhet. Vi måste komma ihåg att lagförslaget gäller behandling av personuppgifter inom hälso- och sjukvården, dvs. mycket känsliga uppgifter för medborgarnas del. Det behövs en noggrannare granskning av hur an förebygger eller förhindrar vidareutlämning av personuppgifter och hur sådan utlämning ska regleras. 
Också lagstiftningsprocessen lämnar övrigt att önska. Propositionen har kompletterats i flera repriser och det var först i början av detta år som man insåg att utlämnande av uppgifter för utvecklings-.och innovationsverksamhet står i strid med EU:s dataskyddsförordning. När lagar stiftas om behandling av alla finländares känsliga personuppgifter måste lagberedningen vara ytterst exakt.  
Förslag
Vi föreslår
att riksdagen förkastar lagförslagen. 
Helsingfors 1.3.2019
Outi
Alanko-Kahiluoto
gröna
Aino-Kaisa
Pekonen
vänst
Arja
Juvonen
saf
Veronica
Rehn-Kivi
sv
Senast publicerat 6.3.2019 12:36