MUISTIOSOSIAALI- JA TERVEYSMINISTERIÖ28.6.2022EU/2022/0140VALTIONEUVOSTON KIRJELMÄ EDUSKUNNALLE KOMISSION EHDOTUKSESTA EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUKSEKSI EUROOPPALAISESTA TERVEYSDATA-AVARUUDESTA
1
Tausta
Euroopan komissio antoi 3.5.2022 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi eurooppalaisesta terveysdata-avaruudesta (COM (2022) 197 final).
Eurooppalaisen data-avaruuden luominen on yksi Euroopan komission poliittisista painopisteistä vuosina 2019–2025, ja terveysala on osa sitä. Eurooppalainen terveysdata-avaruus parantaa erilaisten terveystietojen vaihtamista ja saatavuutta (sähköiset terveyskertomukset, genomidata, potilasrekisteritiedot jne.). Sillä ei tueta ainoastaan terveydenhuollon tarjoamista (tietojen ensiökäyttö) vaan myös terveysalan tutkimusta ja terveyspolitiikan laadintaa (toisiokäyttö).
Koko datajärjestelmä rakennetaan läpinäkyvälle alustalle, jolla taataan kansalaisten tietosuoja ja heidän oikeutensa siirtää terveystietonsa järjestelmästä toiseen EU:n yleisen tietosuoja-asetuksen (EU) 2016/679 20 artiklan mukaisesti.
Euroopan komissio ja EU-maat valmistelevat ja kehittävät eurooppalaista terveysdata-avaruutta yhdessä. EU-maita tullaan tukemaan uudella "eurooppalaista terveysdata-avaruutta koskevalla yhteisellä toimella", jonka tarkoituksena on auttaa EU-maita ja komissiota helpottamaan terveystietojen jakamista kansanterveyttä, hoitoa, tutkimusta ja innovointia varten Euroopassa.
Eurooppalainen terveysdata-avaruus tulee rakentumaan 3 pääpilarille:
vahva järjestelmä tiedonhallintaan ja tiedonvaihtosääntöjä varten
tiedon laatu
vahva infrastruktuuri ja terveystietojen yhteentoimivuus.
Valmistelutyötä edistettiin vuonna 2020 työpajoilla ja selvityksellä, joiden tarkoituksena oli luoda puitteet terveystietojen ensiö- ja toisiokäytölle EU-maissa. Erityisiä toimia olivat:
selonteko yleisen tietosuoja-asetuksen täytäntöönpanosta terveysalalla eri maissa, mukaan lukien katsaus terveystietojen jakamiseen sovellettaviin oikeudellisiin ja teknisiin menettelytapoihin tietojen ensisijaisessa ja toissijaisessa käytössä EU-maissa
katsaus olemassa oleviin hallintorakenteisiin terveystietojen toissijaisessa käytössä EU-maissa
suositukset EU-tason mahdollisiksi toimenpiteiksi (lainsäädännöllisiksi ja muiksi), joilla helpotetaan terveystietojen jakamista EU:ssa ensiö- ja toisiokäyttöä varten
Euroopan datastrategia COM/2020/66 julkaistiin 19.2.2020, ja siihen kuuluvan Euroopan data-avaruusstrategian pohjalta on määrä rakentaa tarvittava Euroopan tason infrastruktuuri. Samassa yhteydessä tehtiin perusteellinen analyysi terveysalan erityispiirteistä. Infrastruktuuri perustuu olemassa oleviin aloitteisiin, kuten sähköisten terveyspalvelujen digitaaliseen palveluinfrastruktuuriin, eurooppalaisiin osaamisverkostoihin ja ihmisen genomihankkeeseen.
Ehdotus on osa suurempaa eurooppalaista digitaalisesta tulevaisuutta ja Euroopan datastrategiaa sekä tekoälyä koskevaa sääntelyehdotuskokonaisuutta. Sääntely täydentää EU:n yleistä tietosuoja-asetusta ja osin perustuu ja täydentää Euroopan parlamentin ja neuvoston asetusta eurooppalaisesta datanhallinnasta (COM/2020/767). Sääntelyehdotuksessa on otettu huomioon EU:n verkko- ja tietoturvadirektiivi (NIS-direktiivi) ja ehdotus verkko- ja tietoturvadirektiiviksi (NIS2 ehdotus) (KOM(2020) 823 lopullinen), ehdotus kyberresilienssisäädökseksi, ehdotus tekoälysäädökseksi (KOM(2021) 206 lopullinen) sekä ehdotus EU:n datasäädökseksi (KOM(2022) 068 lopullinen).
Covid-19-pandemia on selkeästi osoittanut digitaalisten terveyspalveluiden ja digitaalisten välineiden tärkeyden. Euroopan parlamentin ja neuvoston asetus yhteentoimivien rokotus-, testaus- ja parantumistodistusten myöntämistä, todentamista ja hyväksymistä koskevasta kehyksestä vapaan liikkuvuuden helpottamiseksi covid-19-pandemian aikana on ollut osoitus, että EU voi olla maailman johtava terveysalan standardeja kehittävä toimija. Jäsenmailla on nyt hyvät valmiudet jatkaa tätä yhteistyötä.
2
Ehdotuksen tavoite
Ehdotuksen keskeisinä tavoitteina on:
voimaannuttaa yksilöitä mahdollistamalla paremman pääsyn heidän sähköisiin terveystietoihinsa samalla helpottaen vapaata liikkuvuutta siten, että myös terveystiedot kulkevat mukana;
vapauttaa datataloutta mahdollistamalla aidot sisämarkkinat digitaalisille terveyspalveluille ja tuotteille;
luoda tarkkarajaisia sääntöjä, miten ei-tunnisteellisia yksilön terveystietoja voitaisiin käyttää muun muassa tieteelliseen tutkimukseen, innovaatiotoimintaan, päätöksenteko- ja sääntelytehtäviä varten.
3
Ehdotuksen pääasiallinen sisältö
Euroopan datastrategia julkaistiin vuonna 2020, ja siihen kuuluvan Euroopan data-avaruusstrategian pohjalta on määrä rakentaa tarvittava Euroopan tason infrastruktuuri.
Asetusehdotus jakautuu sisällön osalta kahteen keskeiseen osaan. Ensimmäinen osa koskee jäsenmaiden välistä ensiökäytön yhteistyötä. Toinen osa koskee jäsenmaiden välistä toisiokäytön yhteistyötä.
Asetusehdotuksen I luvussa säädettäisiin sääntelyn tarkoituksesta, soveltamisalasta ja määritelmistä.
Asetusehdotuksen tarkoituksena on luoda eurooppalainen terveysdata-avaruus (EHDS) asettamalla sääntöjä, yhteisiä standardeja ja käytänteitä, rakenteita ja hallintamallin sähköisten terveystietojen ensiö- ja toisiokäytölle. Sääntely vahvistaisi luonnollisten henkilöiden oikeuksia saada ja määrätä heidän sähköisistä terveystiedoistaan, asettaisi markkinasääntöjä potilaskertomusjärjestelmille (EHR), asettaisi sääntöjä ja mekanismeja sähköisten terveystietojen toisiokäytölle ja loisi pakottavan rakenteen rajat ylittävään sähköisten terveystietojen välittämiseen jäsenmaiden välillä ensiö- ja toisiokäyttöä varten.
Sääntelyn esitetään koskevan potilaskertomusjärjestelmien (EHR) valmistajia ja tuottajia ja niitä hyvinvointisovelluksia, joita on saatettu Unionin markkinoille ja tarkoitettu unionin käyttäjille, Unionin sähköisiä terveystietoja käsitteleviä rekisterinpitäjiä ja käsittelijöitä ja jäsenvaltioiden henkilöitä ja kolmansien maiden jäsenvaltioissa laillisesti asuvia kansalaisia, kolmansien maiden rekisterinpitäjiä ja käsittelijöitä, jotka ovat liittyneet tai ovat yhteensopivia MinunTerveyteni@EU –palvelun kanssa siten kun siitä esitetään säädettäväksi 12 (5) artiklassa ja tietoaineiston käyttäjiä, joille Unionin tietoaineiston käyttö mahdollistaan. Lisäksi asetusehdotuksen 1 luvun 1 artiklan 4 ja 5 kohdassa säädetään ehdotuksen suhteesta yleiseen tietosuoja-asetukseen ja muuhun voimassa olevaan ja tuleviin EU-lainsäädäntöön (tekoälyasetus, datanhallintasäädös ja datasäädös). Sääntely ei koskisi oikeuksia ja velvollisuuksia, joista on säädetty unionin oikeudessa tai kansallisessa lainsäädännössä ja jotka koskevat raportointia, joka perustuisi yksilöityyn pyyntöön tai laissa säädettyyn velvoitteeseen.
Asetusehdotuksen II luvussa säädettäisiin terveystietojen ensiökäytöstä.
Asetusehdotuksen II luvun 3 artiklassa esitetään rekisteröidyille tietosuoja-asetusta täydentäviä oikeuksia heidän sähköisiin terveystietoihinsa. Näitä oikeuksia olisivat muun muassa oikeus päästä sähköisiin potilastietoihin ilmaiseksi ja helposti luettavassa muodossa ja saada kopio tiedoista yhteiseurooppalaisessa yhteensopivassa tiedonvaihtomuodossa. Potilailla olisi oikeus myös lisätä potilastietoihin omia potilastietojaan. Jäsenvaltioille esitetään velvollisuus mahdollistaa potilaille pääsy sähköisiin terveystietoihin vähintään yhden keskitetyn kansallisen tai paikallisen toimijan kautta. Pääsy terveystietoihin tulisi tapahtua maksutta. Samalla tulisi mahdollistaa myös ns. puolesta-asiointi. Potilailla tulisi olla oikeus käyttää myös tietosuoja-asetuksen 16 artiklan mukaista oikeutta henkilötietojen oikaisemiseen sähköisesti esitettävän 5 artiklan mukaisten tietojen osalta. Potilaalla olisi myös oikeus saada ja välittää 5 artiklan mukaisia terveystietojaan sosiaali- ja terveydenhuollon palvelunantajille, mukaan lukien eri jäsenmaissa sijaitseville palvelunantajille. Potilailla olisi oikeus rajoittaa terveydenhuollon ammattilaisilta pääsy kaikkeen tai vain erikseen valittuihin potilastietoihin. Lisäksi potilailla olisi oikeus saada maksutta tieto, miten heidän potilastietojaan on käsitelty. Potilaiden oikeuksien toteutumista valvoisi tietosuoja-asetuksen mukaiset valvontaviranomaiset ja jäsenmaiden terveysviranomaiset. Komissio voisi antaa tarkempia täytäntöönpanosäädöksiä näitä koskevien teknisten toteutusten vaatimuksista.
Asetusehdotuksen 4 artiklassa mahdollistettaisiin terveydenhuollon ammattihenkilöiden pääsy sähköisiin terveystietoihin potilaan hoitamiseksi jäsenvaltiosta ja kansalaisuudesta riippumatta. Jäsenvaltioilla olisi mahdollisuus määritellä käyttöoikeudet ammattihenkilöille erilaisiin terveystietoluokkiin. Ammattihenkilöillä olisi oikeus päästä 5 artiklan mukaisiin terveystietoihin jäsenmaasta riippumatta. Mikäli potilas olisi kieltänyt terveystietojen näkymisen, niin potilastiedot eivät olisi ammattihenkilön käytettävissä, ellei se olisi esimerkiksi hätätilanteessa välttämätöntä potilaan hoitamiseksi.
Ehdotuksen 6 artiklassa asetetaan velvoite välittää ensiökäyttötarkoituksiin jäsenmaasta toiseen seuraavia sähköisiä terveystietoja:
potilastietojen yhteenvedot;
sähköiset reseptit;
sähköiset lääketoimitukset;
lääketieteellisen kuvat ja niitä koskevat lausunnot;
laboratoriotulokset;
loppulausunnot.
Komissio voisi asetusehdotuksen mukaan antaa delegoituja säädöksiä edellä mainitun listan muuttamiseksi tai sen mukaisen etusijajärjestyksen muuttamiseksi ja listalla olevan kohdan lisäämiseksi, mikäli lisättävä kohta olisi relevantti terveyspalveluiden tuottamiseksi, merkittävä osa jäsenmaiden potilastietojärjestelmistä käsittelee ko. tietoja ja tietoaineistoluokkaa varten on olemassa kansainvälisiä standardeja.
Sääntelyllä samalla kumotaan Euroopan parlamentin ja neuvoston direktiivin 2011/24/EU, eli ns. potilasdirektiivin sähköisiä terveyspalveluita koskeva 14 artikla.
Ehdotuksen 6 artiklassa esitellään eurooppalainen sähköinen terveystietojen vaihtoa tukeva formaatti (European electronic health record exchange format).
EHDS -ehdotuksen 7 artiklassa asetetaan vaatimus, että 5 artiklan mukaisia tietoja käsiteltäessä on tallennettava asianmukaiset terveystiedot. Komissio voisi täytäntöönpanosäädöksessä määritellä kirjattavien tietojen sisällöt, palvelunantajia, joita velvoite koskisi, terveystietokokonaisuudet ja tietoaineiston laatua koskevia vaatimuksia.
Ehdotuksen 8 artiklan mukaan jäsenmaiden tulisi tunnustaa eri maiden palvelunantajien toteuttama telelääketiede. 9 artiklan mukaan tulisi mahdollistaa sähköinen tunnistautuminen telelääketieteen ja esitettävän asetuksen 3 (5) artiklan mukaisiin palveluihin. Komissiolla on mahdollisuus antaa täytäntöönpanosäädöksiä tunnistamisen ja todentamisen teknisistä yksityiskohdista siten kuin on säädetty sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta [COM (2021) 281 final]. Ehdotuksen mukaan verkkoapteekit katsottaisiin telelääketieteen sääntelyyn kuuluviksi.
10 artiklan perusteella jokaisen jäsenmaan olisi nimitettävä kansallinen digitaalinen terveysviranomainen sääntelyehdotuksen mukaisia tehtäviä varten. Terveysviranomainen voisi koostua monesta kansallisesta viranomaisesta, mutta vain yksi viranomainen nimitettäisiin ja se asioisi EU:n komission ja muiden jäsenvaltioiden kanssa. Terveysviranomaisen keskeisenä tehtävänä on toteuttaa ehdotuksen edellyttämät kansalliset, alueelliset tai paikalliset tekniset ratkaisut ja säännöt ja menettelytavat. Komissio voisi delegoiduilla säädöksillä antaa viranomaisilla lisätehtäviä. Jokaisella luonnollisella ja oikeushenkilöllä olisi mahdollista 11 artiklan perusteella valittaa digitaalisen terveysviranomaisen toiminnasta.
Asetusehdotuksen II luvun 2 osassa säädettäisiin rajat ylittävän ensiökäytön terveydenhuollon sähköisestä infrastruktuurista. 12 artiklassa säädettäisiin MinunTerveyteni@EU (MyHealth@EU) -palveluista. EU:n komissio tuottaisi, kuten nykyäänkin, keskitetyt sähköiset palvelut ja jäsenvaltioilla tulisi olla vähintään yksi nimetty kansallinen sähköinen yhteyspiste. Kansallisen sähköisen yhteyspisteen tulisi välittää 5 artiklan mukaisia tietoja yhteensopivassa eurooppalaisessa tiedonvaihtomuodossa kaikkien jäsenvaltioiden sähköisten kansallisten yhteispisteiden kautta. Komissio voisi asettaa täytäntöönpanosäädöksillä yhteistyötä määrittäviä teknisiä, yhteentoimivuutta jne. vaatimuksia. Jäsenvaltioiden tulisi taata terveydenhuollon ammattihenkilöiden pääsyn käsittelemään 5 artiklan mukaisia terveystietoja ja apteekkien käsitellä palvelun kautta välitettäviä lääkemääräys- ja toimitustietoja. Kansalliset yhteispisteet toimisivat EU:n tietosuoja-asetuksen mukaisina yhteisrekisterinpitäjinä ja komissio käsittelijänä. Komissio voisi antaa täytäntöönpanosäädöksiä yhteisrekisterinpitäjien vastuualueista. Liittyminen MinunTerveyteni@EU -palveluun edellyttäisi yhteisrekisterinpitäjäryhmän päätöstä. Jäsenmaat voisivat 13 artiklan perusteella mahdollistaa myös muita terveyttä tukevia palveluita MinunTerveyteni@EU -palvelun kautta ja jäsenvaltiot ja komissio potilastietojen välittämistä myös muiden rakenteiden, kuten esimerkiksi kliinisten potilashallintajärjestelmien, kanssa. Sääntelyn tavoitteena on mahdollistaa MinunTerveyteni@EU yhteistyö myös kolmansien maiden kanssa. Komissio voisi täytäntöönpanosäädöksillä asettaa yhteistyötä tukevia teknisiä vaatimuksia.
Asetusehdotuksen III luku koskisi potilaskertomusjärjestelmiä (EHR) ja hyvinvointisovelluksia. Kolmannen luvun ensimmäisessä osassa asetettaisiin yleisiä vaatimuksia potilaskertomusjärjestelmille (EHR) ja 14 artiklassa niiden suhteesta lääkinnällisiä laitteita ja tekoälyä koskevaan lainsäädäntöön. 15 artiklassa niiden markkinoille saattamisesta, saataville asettamisesta ja käyttöön otosta ja 16 artiklassa niitä koskevia terveysväittämiä. Kolmannen luvun 2 osassa säädettäisiin potilaskertomusjärjestelmien valmistajille asetettavista vaatimuksista, valtuutetusta edustajasta, maahantuojan velvollisuuksista, jakelijoiden velvollisuudesta, tilanteista, joissa valmistajan vastuu koskee myös maahantuojia ja jakelijoita. Kolmannessa osassa säädettäisiin yleisistä potilaskertomusjärjestelmille asetettavissa yhteentoimivuutta koskevista vaatimuksista: yleiset vaatimukset, tekninen dokumentaatio, tiedotuslomake, ilmoitus EU vaatimustenmukaisuudesta ja CE –merkintä. Neljännessä osassa säädettäisiin potilaskertomusjärjestelmien markkinavalvonnasta, markkinavalvontaviranomaisista, riskien ja vakavien poikkeamien hallinnasta ja vaatimustenvastaisuuden käsittelystä). Viidennessä osassa säädettäisiin yhteentoimivuutta koskevista muista vaatimuksista. 31 artiklassa säädettäisiin terveyttä ja hyvinvointia edistävien potilaskertomusjärjestelmien kanssa yhteensopivien hyvinvointisovellusten vapaaehtoisesta leimoista ja 32 artiklassa potilaskertomusjärjestelmien ja hyvinvointisovellusten rekisteröinnistä.
IV luvussa esitetään säädettäväksi sähköisten terveystietojen toisiokäytöstä.
Sääntely muistuttaa olennaisilta osiltaan Suomen sosiaali- ja terveystietojen toissijaisesta käytöstä annettua lakia (jäljempänä toisiolaki, 552/2019). Luvun 1 osiossa säädettäisiin yleisistä sähköisten terveystietojen käyttöä koskevista edellytyksistä.
33 artiklassa säädettäisiin sähköisten tietojen luokista, jotka vähintään on asetettava saataville toissijaista käyttöä varten.
Potilaskertomusjärjestelmän (EHR) tietosisällön lisäksi 12 eri tyyppistä terveyteen liittyvää tietotyyppiä on sääntelyn piirissä. Sääntelyn piirissä on kattavammin eri tyyppisiä terveyteen liittyviä tietosisältöjä, mutta osin myös suppeammin sosioekonomisten tietotyyppien osalta, kuin toisiolaissa on säädetty. Vaatimus koskisi sekä yksityisiä että julkisia toimijoita, mutta ei ns. mikroyrityksiä. Edellä mainittujen tietotyyppien tulisi sisältää tietoaineistoja, joita tarvitaan julkisten ja yksityisten terveyspalveluiden tuottamiseen, tieteelliseen tutkimukseen, innovaatiotoimintaan, päätöksentukea varten, virallisiin tilastoihin, potilasturvallisuuden edistämiseen tai lainvalmistelutarkoituksiin ja tutkijayhteisöjen ja unionin instituutioiden, elinten, virastojen ja laitosten tarpeisiin. Tietoaineistojen luovutuksessa tulisi ottaa huomioon immateriaalioikeudet. Komissiolla olisi mahdollisuus antaa delegoituja säädöksiä 33 artiklan 1 kohdan mukaisista tietojoukoista. Kansallisilla tietolupaviranomaisilla (Health data access bodies) olisi mahdollista myöntää tietolupa myös muihin tietoaineistoihin, joista olisi kansallisesti säädetty tai perustuen jäsenmaan sisäiseen vapaaehtoiseen yhteistyöhön.
34 artiklassa säädettäisiin kahdeksasta eri toisiokäyttötarkoituksista.
Sääntely vastaa olennaisilta osiltaan toisiolain mukaisia tietosuoja-asetuksen mukaisia yleisen edun mukaisia käyttötarkoituksia (tieteellinen tutkimus, tilastointi, opetus, mukaan lukien toisiolaissa todettu kehittämis- ja innovaatiotoiminta), mutta sisältää lisäksi uusia käyttötarkoituksia, kuten esimerkiksi algoritmien opettaminen, testaaminen ja arviointi, mukaan lukien lääkinnälliset laitteet terveyttä tukevien tekoälyjärjestelmien ja digitaalisten terveyspalveluiden kehittämiseksi. Lisäksi sääntely helpottaisi yksilöllistä lääketiedettä käyttämällä hyödyksi muiden potilaiden hoidosta saatua tietoa. Sääntely mahdollistaisi EU-instituutioiden, julkisten viranomaisten, laitosten, instituutioiden, mukaan lukien valvontaviranomaisten, oikeutta päästä heidän kansallisessa tai unionin lainsäädännössä todettujen tehtävien hoitamiseksi tarvittaviin terveystietoihin. Pääsy yksityisomistuksessa olevaan dataan julkisten hätätilanteiden estämiseksi, niihin reagoimiseksi tai niistä elpymisen tukemiseksi olisi varmistettava ns. datasäädöksen (Data Act) 15 artiklan mukaisesti.
34 artikla mahdollistaisi myös terveys- ja hyvinvointialan kuluttajatuotteiden ja -palveluiden kehittämisen eli soveltamisala laajemmaksi kuin vain lääkinnällisten laitteiden ja digitaalisten terveyspalveluiden kehittäminen.
Kuten toisiolaissa, niin myös tässä ehdotuksessa, 46 artiklassa on sääntelyehdotus kielletyistä toisiotarkoituksista: tarkoitukset, joilla tehdään yksilöä koskevia vaikutukseltaan negatiivisia päätöksiä, joilla rajataan yksiköiden tai ryhmien oikeuksia saada vakuutuksia, potilaisiin ja ammattihenkilöihin kohdistuvat markkinointitarkoitukset, antamalla kolmansille tahoille pääsyn terveystietoihin ja tuotteiden ja palveluiden kehittäminen, joista yksilöille ja yhteisölle haitallisia terveyttä, käyttäytymistä koskevia ja moraalin vastaisia vaikutuksia.
IV luvun toisessa osassa esitetään säädettäväksi toisiokäytön hallinnosta ja mekanismeista.
Sääntelyssä keskeistä olisi keskitettyjä terveystietolupaviranomaisia koskeva sääntely.
Sääntely vastaa hyvinkin paljon toisiolain Tietolupaviranomaista eli Findataa koskevaa sääntelyä ja menettelytapoja. Viranomaisia voisi olla yksi tai enemmän per jäsenmaa ja viranomainen myöntäisi tietoluvan ehdotuksessa todettuihin toisiokäyttötarkoituksiin. Mikäli viranomaisia olisi enemmän kuin yksi, vain yksi viranomainen kuitenkin edustaisi jäsenmaat suhteessa komissioon ja muihin jäsenmaihin. Tietolupaviranomainen tulisi olla asianmukaisesti resursoitu ja tehdä yhteistyötä eri sidosryhmien mukaan lukien potilasjärjestöjen kanssa. Jäsenmaan tulisi ilmoittaa komissiolle lupaviranomaisen nimen ja lupaviranomaisen tulisi tiedottaa toiminnastaan.
37 artiklassa säädettäisiin tietolupaviranomaisen lukuisista tehtävistä. Tehtävät muistuttavat olennaisesti toisiolain tietolupaviranomaisten ja Findatan tehtäviä. Komissiolla olisi oikeus muuttaa tietolupaviranomaisten tehtäviä delegoiduilla säädöksillä. 38 artiklassa säädettäisiin tietolupaviranomaisten luonnollisia henkilöitä koskevista lähinnä läpinäkyvyyttä ja rekisteröityjen oikeuksien toteuttamista koskevista velvoitteista. 39 artiklassa säädettäisiin tietolupaviranomaisen kattavasta raportointivelvoitteista.
40 artiklassa olisi viittaus eurooppalaiseen datanhallinta-asetuksen (COM(2020) 767 final) data altruismia koskevaan sääntelyyn. Ehdotuksen mukaisia tietoja voitaisiin käyttää myös tämän ehdotuksen mukaisiin käyttötarkoituksiin ottaen huomioon tämän ehdotuksen tietoturvaa koskevat vaatimukset ja vaatimus tukea datanhallintasäännöksen mukaisia viranomaisia.
41 artiklan mukaan jäsenvaltioiden tai unionin oikeudessa todetut tämän ehdotuksen 33 artiklan mukaisten yksittäisten rekisterinpitäjien tulisi tehdä yhteistyötä tietolupaviranomaisten kanssa.
41 artiklan mukaan rekisterinpitäjien olisi asetettava tietoaineistot tietolupaviranomaisten saataville kahden (2) kuukauden sisällä tietolupahakemuksen vastaanottamisesta. Poikkeuksellisissa tilanteissa tuota kahden (2) kuukauden mukaista määräaikaa voitaisiin kahdella (2) kuukaudella pidentää. Komissio voisi delegoiduilla säädöksillä asettaa rekisterinpitäjille lisää tehtäviä.
Ehdotuksen 42 artiklassa säädettäisiin tietolupia ja tiedon toimittamista aiheutuvista maksuista, joiden osalta viitataan datanhallintasäädöksen mukaiseen sääntelyyn, joka olennaisilta osin muistuttaa toisiolain ja maksuperustelain mukaisia periaatteita. Mikäli maksuista on erimielisyyttä, muutoksenhaku tapahtuisi datanhallintasäännöksen mukaisen menettelyn mukaisesti. Komissio voisi kuitenkin antaa täytäntöönpanosäädöksiä maksuja koskevista periaatteista ja säännöistä ja politiikasta ja maksurakenteista. Esitettävässä 43 artiklassa säädettäisiin tietolupaviranomaisten oikeudesta peruttaa myönnetty tietolupa ja kieltää käsittely enintään viideksi vuodeksi. Lisäksi tietolupaviranomainen voi asettaa hallinnollisia seuraamusmaksuja tai kieltää jopa viideksi vuodeksi osallistuminen Euroopan terveysdata-avaruuteen. Komissiolla olisi oikeus täytäntöönpanosäädöksellä päättää IT-arkkitehtuurista, jolla edellä mainituista sanktioista voisi tiedottaa. Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä, johon terveystietoihin pääsystä vastaavan elimen päätös vaikuttaa, olisi oltava oikeus tehokkaisiin oikeussuojakeinoihin tällaista päätöstä vastaan. Komissio voisi antaa suuntaviivaohjeita sanktioista.
IV luvun 3 osassa säädettäisiin toisiokäyttöä koskevista tietoluvista.
44 artiklassa säädettäisiin, kuten toisiolaissa ja tietosuoja-asetuksessa, minimisointi- ja käyttötarkoitussidonnaisuudesta ja 45 artiklassa tietolupahakemuksesta ja sen tietosisällöstä. Sääntelyehdotuksessa olisi keskeistä, että tietolupahakemuksen voisi jättää yhden jäsenvaltion tietolupaviranomaiselle, jonka velvollisuutena olisi ilmoittaa toisten maiden tietolupaviranomaisille, mikäli tietoaineisto sijaitsisi toisen tietolupaviranomaisen jäsenmaassa. Tietolupaviranomaisen tulisi 15 päivän sisällä ilmoittaa toiselle tietolupaviranomaiselle hakemuksesta. Pseudonymisoidun tietoaineiston käyttö edellyttäisi, että menettely täyttäisi tietosuoja-asetuksen mukaiset vaatimukset ja kansallisen lainsäädännön mahdollisesti edellyttämän eettisen toimikunnan käsittelyn. Jäsenmaiden ja unionin instituutioita koskisi pääsääntöisesti samat vaatimukset kuin luonnollisia ja juridisia oikeushenkilöitä. Komissio voisi ehdotuksen mukaan täytäntöönpanosäädöksillä asettaa saataville tietolupahakemusmalleja. Komissio voisi antaa myös delegoituja säädöksiä 45 artiklan 2, 4, 5 ja 6 kohdan mukaisista asioista.
46 artiklassa säädettäisiin tietoluvan myöntämisen edellytyksistä. Edellytykset muistuttavat toisiolain sääntelyä. Sen sijaan käsittelyaika olisi pääsääntöisesti vain kaksi kuukautta ja erityistilanteissa 4 kuukautta. Mikäli tietolupaviranomainen ei pystyisi tekemään päätöstä ehdotuksen mukaisessa määräajassa, niin tietolupa myönnetään automaattisesti. Tietolupaviranomaisen tulisi toimittaa tietoaineisto tietoluvan hakijalle viimeistään kahden kuukauden kuluessa tietoaineiston saamisesta. Kielteisistä päätöksistä tulisi sääntelyehdotuksen mukaan olla perustelut. Komissiolla olisi oikeus antaa delegoituja säädöksiä 46 artiklan 7 kohdan mukaisista asioista.
Tietoluvat myönnettäisiin määräajaksi, kuitenkin enintään viideksi vuodeksi. Viimeistään kuukautta ennen määräajan päättymistä tietolupaa voisi jatkaa enintään ajaksi, joka ei voisi olla viittä vuotta pidempi. Tietolupaviranomaisella olisi oikeus periä säilyttämisestä aiheutuvia kasvavia kustannuksia vastaava määrä tai tarjota vastaavasti vähäisempiä käsittelymahdollisuuksia. Tietoaineistot tulisi tuhota kuuden kuukauden kuluessa tietoluvan päättymisestä.
Kuvaus, miten tietoaineisto olisi muodostettu, olisi kuitenkin hakijan pyynnöstä mahdollista säilyttää. Sääntely vastaa toisiolain sääntelyä kuitenkin siten, että toisiolaissa tietolupaviranomainen voisi omasta aloitteesta säilyttää tietoaineistokuvauksen sekä luoda myös valmisaineistoja.
Tietoaineistojen perusteella tuotetut anonyymit tulokset olisi 18 kuukauden kuluttua käsittelytoimenpiteiden päättymisestä julkaistava ja tieto siitä julkaistava tietolupaviranomaisen sivuilla.
Tietoluvan saajien olisi ilmoitettava merkittävistä kliinisistä löydöistä. Toisin kuin toisiolaissa, sääntelyä ei ole kirjoitettu mahdollistavaan muotoon ja sääntelyssä ei ole otettu huomioon eettisiä näkökohtia ja yksilöiden tiedollista itsemääräämisoikeutta.
Tietolupaviranomaisten yhteisrekisterinpitäjyyttä koskeva vastuu rajoittuisi vain luvan myöntämiseen ja käsittelytoimenpiteisiin.
Kuten toisiolaissa, tietolupaa voisi hakea kuka tahansa ja tietopyynnön perusteella voisi saada vain aggregoitua tilastoaineistoa samoilla 2+2 kuukauden määräajoilla.
Erityistä tietolupahakemusta ei kuitenkaan tarvittaisi, mikäli tietoaineistoa luovutettaisiin Unionin instituutioille, toimistoille, laitoksille ja viranomaisille ja kansallisille viranomaisille niiden lakisääteisten tehtävien hoitamiseen. Määräaika myös niitä varten olisi kaksi+kaksi kuukautta. Sääntely on tältä osin poikkeuksellisen avointa.
Mikäli tietoaineistoa tarvitaan vain yhden jäsenmaan yhdeltä rekisterinpitäjältä, tietoluvan myöntäisi kyseinen viranomainen tiedottamalla tästä tietolupaviranomaista. Sääntely vastaisi perusperiaatteeltaan toisiolakia.
Tietoaineistot tulisi luovuttaa, kuten tosiolaissakin, vain tietoturvallisiin käsittely-ympäristöihin. Kuten tietolupaviranomaisten kohdalla, niin myös yksittäinen rekisterinpitäjä ja tietoluvan hakija olisivat yhteisrekisterinpitäjiä. Kuten toisiolaissa, tietoturvallisista käsittely-ympäristöistä saisi ulos vain anonyymejä tuloksia. Komissio voisi antaa täytäntöönpanosäädöksillä teknisiä, tietoturvaa ja yhteensopivuutta koskevia vaatimuksia. 51 artiklassa säädettäisiin, että tietolupaviranomaiset mukaan lukien unionin instituutiot olisivat luvan saajien kanssa yhteisrekisterinpitäjiä. Komissio voisi antaa täytäntöönpanosäädöksen yhteisrekisterinpitäjyyttä koskevasta mallisopimuksesta.
IV luvun 4 osassa säädettäisiin, osittain vastaavasta toisiokäytön kansallisiin sähköisiin yhteispisteisiin rakentuvasta arkkitehtuurista, nimeltään MinunTerveysTietoni@EU, kuten on esitetty säädettävän MinunTerveyteni@EU -palveluiden osalta.
Yhteistyöhön voisivat jäsenvaltioiden ja EU instituutioiden lisäksi osallistua organisaatiot, jotka tukisivat lainsäädännössä esitettyjä tavoitteita. Myös kolmannet maat voisivat osallistua, mikäli ne täyttäisivät esitettävän sääntelyn IV luvussa asetetut vaatimukset. Komissio voisi lisäksi antaa yhteistyötä helpottavia täydentäviä täytäntöönpanosäädöksiä koskien kolmansien maiden kansallisia yhteispisteitä ja teknisiä, organisatorisia, semanttisia, juridisia ja tietoturvavaatimuksia. Komissiolla olisi delegoitua säädösvaltaa poistaa tai lisätä MinunTerveysTietoni@EU –palveluun kuuluvien tahojen joukkoa. Kuten MinunTerveyteni@EU -palveluiden osalta, niin komissio tuottaisi MinunTerveysTietoni@EU –palveluun kuuluvat keskitetyt palvelut ja tietolupaviranomaisten väliset tekniset yhteydet. Komissio voisi tuottaa myös tietoturvallisen käsittely-ympäristön, mikäli enemmän kuin kaksi tietolupaviranomaista sellaista vaatisi.
Mikäli enemmän kuin kaksi tietolupaviranomaista asettaisi tietoaineiston tietoturvalliseen käsittely-ympäristöön, heitä olisi pidettävä yhteisrekisterinpitäjiänä. MinunTerveysTietoni@EU -palveluihin osallistuvat jäsenvaltioiden viranomaiset olisivat yhteisrekisterinpitäjiä ja komissio käsittelijä. Komissio voisi täytäntöönpanosäädöksillä asettaa minimivaatimuksia MinunTerveysTietoni@EU yhteistyölle.
Yhteistyöhön osallistuminen edellyttäisi yhteisrekisterinpitäjien päätöstä. Komissio voisi antaa täytäntöönpanosäädöksiä tietolupahakemusten sisällöstä, sopimusmalleja sekä yleisiä menettelysäännöksiä rajat ylittävään hakemiseen. Yhtenäiset lupahakemukset ja sopimusmalit helpottaisivat osaltaan rajat ylittävää toimintaa.
IV luvun 5 jaksossa säädettäisiin kuten toisiolaissa tietoaineistokuvauksista, tiedon laatua ja hyödynnettävyyttä koskevista leimoista, EU-tasoisesta tietoaineistokatalogista ja tietoaineistokohtaisista minimisisällöistä.
V luvussa säädettäisiin valmiuksien kehittämisestä, prokura-menettelystä ja unionin rahoituksesta, ei-henkilötietojen siirrosta kolmansiin maihin, kansainvälisestä pääsystä ja ei-henkilötietojen siirrosta ja myös siitä, että jäsenvaltiot voisivat asettaa tietosuoja-asetuksen 9 artiklan 4 alakohdan mukaisia lisäehtoja kansainväliseen henkilötietojen pääsyyn.
VI kappaleessa säädettäisiin hallintamallista ja yhteistyöstä, jota varten luotaisiin uusi eurooppalainen terveysdata-avaruusneuvosto (EHDS Board), joka koostuisi jäsenvaltioiden terveysviranomaisten ja tietolupaviranomaisten edustajista.
Muut kansalliset viranomaiset, mukaan lukien ehdotuksen mukainen EHR -markkinavalvontaviranomainen ja EDPB ja EDPS kutsuttaisiin käsiteltävien asioiden luonteen perusteella.
Terveysdata-avaruusneuvosto voisi kutsua asiantuntijoita ja tarkkailijoita ja voisi tehdä yhteistyötä ulkopuolisten asiantuntijoiden kanssa. Muilla unionin instituutioilla, laitoksilla, toimistoilla ja tutkijayhteisöillä olisi myös tarkkailijan rooli.
Terveysdata-avaruusneuvoston tukena voisi olla alaryhmiä, joita edustaisivat jäsenvaltioiden terveysviranomaiset ja tietolupaviranomaisten asiantuntijat.
Komissio voisi asettaa alatyöryhmien yhteistyötä ja menettelytapoja koskevia sääntöjä. Relevantit eri sidosryhmät, mukaan lukien potilasryhmien edustajat, kutsuttaisiin tarvittaessa terveysdata-avaruusneuvoston kokouksiin.
Komissio toimisi kokousten puheenjohtajana ja tuottaisi sihteeristön palvelut.
Komissio voisi lisäksi antaa täytäntöönpanosäädöksiä koskien terveysdata-avaruusneuvoston perustamista, hallinnointia ja toimintaa varten.
Johtokunnan tehtävistä auttaa jäsenvaltioita tehtävissään, parhaiden käytäntöjen kehittämisestä, yhteistyön ja valmiuksien kehittämisestä, raportoinnista, riskien jakamisesta ja ensiökäytön tietojen käytöstä tiedottamisesta eri eturyhmien kesken, säädettäisiin 65 artiklasta.
Toisiokäytön osalta terveysdata-avaruusneuvoston tehtävät olisivat samanlaisia kuin ensiökäytön osalta. Ensiökäytön tehtävien lisäksi olisi kuitenkin velvollisuus osallistua datanhallintasäännöksen mukaiseen innovaatiolautakunnan toimintaan. VI kappaleen 66 artiklassa säädettäisiin jäsenmaiden edustajista koostuvista yhteisrekisterinpitäjien ryhmistä MinunTerveyteni@EU -palveluita ja erikseen MinunTerveystietoni@EU -palveluita varten. Jäsenvaltiot itse päättäisivät puheenjohtajista, mutta komissio tarjoisi sihteeristön. Yhteisrekisterinpitäjien ryhmien tehtävänä olisi kehittää palveluita ja hallita edellä mainittuja palveluita ja päättää palveluun osallistumisesta tai yhteistyön lopettamisesta.
VII luvussa säädettäisiin delegoidusta päätösvallasta ja komiteamenettelystä.
VIII luvussa säädettäisiin jäsenvaltioiden velvollisuudesta asettaa sääntelyn noudattamatta jättämisestä aiheutuvia seuraamuksia.
Komissio tulee tekemään kohdistetun arvioinnin 5 vuoden kuluttua sääntelyn voimaantulosta keskittyen erityisesti III lukuun ja mahdollisin muutosehdotuksin. Arviointiin kuuluun potilastietojärjestelmien itsearviointimenettelyn arviointi ja tarve asettaa vaatimuksenmukaisuuden arviointimenettely notifioiduille tahoille.
Sääntelyä arvioidaan sen lisäksi 7 vuoden kuluttua voimaantulosta ja jäsenvaltioilla olisi velvoite auttaa komissioita tämän velvoitteen täyttämisessä.
IX kappaleessa säädettäisiin voimaatulosta.
Sääntely astuisi pääsääntöisesti voimaan 12 kuukauden kuluessa. Nykyisten MinunTerveyteni@EU -palveluiden siirtymäaika olisi vuosi voimaantulosta. Uusien käyttötapausten osalta siirtymäaika olisi kolme vuotta ja sama siirtymäaika koskisi kyseistä käyttöä varten tarkoitettuja potilastietojärjestelmiä (EHR). III luvun mukaisia potilastietojärjestelmiä koskisi kolmen vuoden siirtymäaika.
4
Ehdotuksen oikeusperusta ja suhde suhteellisuus- ja toissijaisuusperiaatteisiin
Ehdotuksen oikeusperustana ovat Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artikla ja 114 artikla. 16 artikla koskee henkilötietojen suojaa. 114 artikla koskee sisämarkkinoiden toteuttamiseen ja toimintaan liittyviä toimenpiteitä ja sen tavoitteena on lähentää jäsenvaltioiden lainsäädäntöä ja varmistaa lainsäädännön yhtenäinen ja syrjimätön soveltaminen unionissa.
Nämä kaksi oikeusperustaa ovat mahdollisia, koska ehdotuksen tavoitteet liittyvät keskeisesti toisiinsa ja on mahdotonta määritellä, mikä oikeusperustasta on ensisijainen, ja mikä toissijainen. Näitä kahta oikeusperustaa varten vahvistetut menettelyt eivät ole ristiriidassa keskenään.
Jotkin jäsenvaltiot ovat toteuttaneet lainsäädäntötoimia edellä kuvattujen ongelmien ratkaisemiseksi perustamalla kansallisia sertifiointijärjestelmiä sähköisille potilaskertomusjärjestelmille, mutta toiset taas eivät. Tämä voi johtaa lainsäädännön hajanaisuuteen sisämarkkinoilla ja erilaisiin sääntöihin ja käytäntöihin eri puolilla EU:ta. Siitä voisi myös aiheutua kustannuksia yrityksille, kun niiden olisi noudatettava erilaisia järjestelmiä.
Ehdotuksen Euroopan unionin toiminnasta tehdyn sopimuksen 114 artikla on asianmukainen oikeusperusta, sillä suurin osa ehdotuksen säännöksistä on tarkoitettu parantamaan sisämarkkinoiden toimintaa sekä tavaroiden ja palvelujen vapaata liikkuvuutta. Tältä osin Euroopan unionin toiminnasta tehdyn sopimuksen 114 artiklan 3 kohdassa nimenomaisesti vaaditaan, että yhdenmukaistamiseen pyrittäessä ihmisten terveyden suojelun korkea taso taataan ottaen erityisesti huomioon kaikki tieteelliseen tietoon perustuva uusi kehitys. Tämä oikeusperusta on näin ollen asianmukainen myös silloin, kun toimi liittyy kansanterveyden suojeluun. Ehdotus vastaa myös sopimuksen 168 artiklaa, jonka mukaan ihmisten terveyden suojelun korkea taso on saavutettava kaikissa unionin politiikoissa kunnioittaen samalla jäsenvaltioiden vastuuta oman terveyspolitiikkansa määrittelystä sekä terveyspalvelujen ja sairaanhoidon järjestämisestä ja tarjoamisesta.
Komissio katsoo sääntelyehdotuksen hyödyttävän sisämarkkinoita, sillä terveystietoihin perustuvia tuotteita ja palveluja kehitetään usein eri jäsenvaltioista peräisin olevien sähköisten terveystietojen avulla ja niitä pidetään myöhemmin kaupan koko EU:ssa.
Ehdotus on osa laajempaa Euroopan datastrategiaa ja datan sisämarkkinoita (single market for data flow). Komissio aikoo edistää yhteisten eurooppalaisten data-avaruuksien kehittämistä strategisilla taloussektoreilla ja yleishyödyllisillä toimialoilla. Yhteinen eurooppalainen terveysdata-avaruus on ensimmäinen niistä. SEUT 114 artikla yleinen oikeusperusta näille ehdotuksille.
SEUT 16 artiklan mukaan jokaisella on oikeus henkilötietojensa suojaan. Euroopan parlamentti ja neuvosto antavat tavallista lainsäätämisjärjestystä noudattaen luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat unionin toimielinten, elinten ja laitosten sekä jäsenvaltioiden, silloin kun viimeksi mainitut toteuttavat unionin oikeuden soveltamisalaan kuuluvaa toimintaa, suorittamaa henkilötietojen käsittelyä, sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta. Näiden sääntöjen noudattamista valvoo riippumaton viranomainen.
Komission näkemyksen mukaan EU:n tietosuoja-asetus mahdollistaa luonnollisille henkilöille tärkeitä terveystietoja koskevia suojatoimia, mutta, että näitä oikeuksia ei ole voitu täysimääräisesti toteuttaa, koska jäsenmaat ovat soveltaneet tietosuoja-asetusta eri tavoin, koska järjestelmät eivät ole yhteensopivia ja niitä koskevat vaatimukset ja tekniset standardit vaihtelevat eri jäsenmaissa. Lisäksi komission näkemyksen mukaan tietosuoja-asetuksen mukainen oikeus siirtää tiedot järjestelmästä toiseen ei ole terveyssektorilla täysimääräisesti toteutuva oikeus, koska suurta osa terveystiedoista ei kyseinen oikeus koske. Tämän takia on välttämätöntä asettaa uusia oikeuksia ja suojatoimia ja vaatimuksia ja standardeja, joilla terveystietoja voisi yhteiskunnassa hyödyntää. Sääntelyn tavoitteena on laajentaa sähköisten terveystietojen hyödyntämistä, mutta samalla vahvistaa tietosuoja-asetuksen 16 artiklan mukaisia oikeuksia.
Sääntely perustuu monin osin myös tietosuoja-asetuksen mahdollistamaan unionin oikeuden liikkumavaraan.
Komissio toteaa, että ehdotus on toissijaisuusperiaatteen mukainen.
Valtioneuvosto katsoo alustavasti, että komission ehdotuksen tarkoituksen valossa esitetty oikeusperusta vaikuttaa mahdolliselta Oikeusperustan sekä toissijaisuus- ja suhteellisuusperiaatteiden noudattamisen perusteellinen arviointi on kuitenkin haastavaa tehdä tyhjentävästi tässä varhaisessa vaiheessa, koska asetusehdotus sisältää paljon uutta sääntelyä ja koska muutamat jäsenmaat ovat jo nyt nostaneet esille sääntelyn oikeusperustan asianmukaisuuden. Muutamat jäsenvaltiot ovat esittäneet oikeusperustaksi SEUT 168 artiklaa ja neuvoston oikeuspalvelut tulevat antamaan asiasta lausunnon. Esille on noussut kysymys SEUT 168 artiklan käytöstä säädöksen oikeusperustana. On todennäköistä, että neuvoston oikeuspalvelu tulee antamaan asiasta arvionsa Valtioneuvosto arvioi asiaa tarkemmin vielä neuvottelujen edetessä. On tärkeää arvioida sääntelyn toissijaisuutta ja suhteellisuutta myös osana laajempaa datatalouden sääntelyä koskevaa kokonaisuutta, joka voi täydentyä myöhemmillä muilla data-avaruuksia koskevilla ehdotuksilla.
5
Ehdotuksen vaikutukset
5.1
Komission vaikutustenarviointi
Komissio on tehnyt ehdotuksesta vaikutusten arvioinnin. Arvioinnissaan komissio on tarkastellut erilaisia vaihtoehtoja esityksen yleisten tavoitteiden saavuttamiseksi. Näillä tavoitteilla varmistetaan, että eurooppalaiset voivat hallinnoida omia sähköisiä terveystietojaan ja he voivat hyötyä monista terveyteen liittyvistä tuotteista ja palveluista. Tutkijat, kehittäjät, päätöksentekijät ja lainsäätäjät voivat hyödyntää mahdollisimman hyvin sähköistä terveystietoa.
Vaikutusten arvioinnissa keskityttiin seuraaviin vaihtoehtoihin:
Vaihtoehdossa 1 nojataan lisääntyneeseen yhteistyöhön ja vapaaehtoisuuteen. Se kattaisi digitaaliset terveystuotteet ja –palvelut sekä sähköisten terveystietojen toissijaisen käytön. Tätä vaihtoehtoa tuettaisiin paremmalla yhteistyön hallinnolla sekä digitaalisella infrastruktuurilla. Se muuttaisi nykyistä järjestelmää vähiten – ja sitä kuvataan vähäintensiteettisenä puuttumisena.
Vaihtoehdossa 2 vahvistettaisiin henkilöiden oikeuksia hallita sähköisiä terveystietojaan ja muodostettaisiin EU-tasoinen viitekehys sähköisten terveystietojen toisiokäytölle. Hallinto nojaisi jäsenmaiden kansallisiin elimiin. Kansalliset elimet toimeenpanisivat EU-politiikkaa kansallisesti ja tukisivat EU-tasoisten vaatimusten kehittämistä. Kaksi digitaalista infrastruktuuria tukisi rajat ylittävää terveystiedon jakamista ja tiedon toissijaista hyödyntämistä. Toimeenpanoa tukisi EHR-järjestelmien pakollinen sertifiointi ja hyvinvointisovellusten vapaaehtoinen merkintä, mikä varmistaisi läpinäkyvyyden viranomaisille, hankkijoille ja käyttäjille. Tätä vaihtoehtoa kuvataan keskitasoisen intensiteetin puuttumisena.
Vaihtoehdossa 3 nykyiseen järjestelmään puututtaisiin voimakkaimmin. Tässä vaihtoehdossa annettaisiin jo olemassa olevalle tai uudelle EU:n toimielimelle oikeus EU-tason vaatimusten määrittelylle ja pääsy rajat ylittäviin sähköisiin terveystietoihin. Se laajentaisi myös sertifioinnin kattavuutta.
Vaikutusten arvioinnissa todetaan, että näistä hyväksyttävin vaihtoehto on 2, koska se olisi arvion mukaan vaikuttavin ja tehokkain vaihtoehto tavoitteiden saavuttamiseksi. Vaihtoehto 1 parantaisi nykytilannetta marginaalisesti, koska se perustuu vapaaehtoisuuteen. Vaihtoehto 3 olisi myös tehokas, mutta kustannuksiltaan suurempi ja poliittisesti vähemmän toteuttamiskelpoinen. Se myös vaikuttaisi yrityksiin enemmän.
Esitetyistä vaihtoehdoista parhaaksi arvioidussa vaihtoehdossa EU-kansalaiset voivat saada ja välittää sähköisiä terveystietojaan sähköisesti ja päästä tietoihinsa käsiksi terveydenhuollon tarjoajasta ja tietolähteestä riippumatta. MinunTerveyteni@EU muuttuisi pakolliseksi ja eurooppalaiset voisivat vaihtaa omia sähköisiä terveystietojaan rajan yli vieraalla kielellä. Pakolliset vaatimukset ja sertifiointi (potilastietojärjestelmille ja lääkinnällisille laitteille, jotka vaativat yhteentoimivuutta EHR-järjestelmien kanssa) sekä vapaaehtoinen merkintä hyvinvointisovelluksille varmistaisivat läpinäkyvyyden käyttäjille ja hankkijoille sekä vähentäisivät valmistajien rajat ylittäviä markkinaesteitä.
Sertifioinnin osalta on päädytty vaiheittaiseen lähestymistapaan, joka antaisi vähemmän valmistautuneille jäsenvaltioille ja valmistajille lisäaikaa sertifiointijärjestelmän käyttöönottoon ja kapasiteetin rakentamiseen. Toisaalta pidemmälle kehittyneet jäsenvaltiot voisivat edellyttää erityistarkastuksia kansallisella tasolla EHR-järjestelmien hankinnoissa, rahoituksessa ja korvaamisessa. Arvioinnissa todetaan myös, että potilastietojärjestelmän yksittäisen valmistajan sertifiointikustannukset pienenisivät, mikä johtaisi järjestelmien valmistajien kokonaiskustannusten pienenemiseen. Arvioinnin mukaan sertifiointijärjestelmä vaikuttaa olevan valmistajien kannalta suhteellisin verrattuna hallinnolliseen taakkaan ja kapasiteettiin. Sen jäsenvaltioille, potilaille ja hankkijoille tuottamat todelliset hyödyt on kuitenkin analysoitava huolellisesti viiden vuoden kuluttua lainsäädäntökehikon arvioinnissa.
Sähköisten terveystietojen toisiokäytön myötä tutkijoilla, kehittäjillä, päätöksentekijöillä ja lainsäätäjillä olisi mahdollisuus saada laadukasta tietoa työhönsä tietoturvallisesti, hallinnollisesti luotettavalla tavalla ja edullisemmin kuin luottamalla suostumukseen. Yhteiset puitteet toisiokäytön mahdollistamiseksi vähentäisivät hajanaisuutta ja esteitä terveystiedon käytölle toissijaisessa käyttötarkoituksessa. Jäsenvaltiot perustaisivat yhden tai useamman toimielimen tähän työhön. Osa kustannuksista kompensoitaisiin terveystietojen käyttöelinten perimillä maksuilla. Terveystietojen käyttöelinten perustamisen arvioidaan alentavan sääntelyviranomaisille ja päätöksentekijöille aiheutuvia kustannuksia sähköisten terveystietojen saatavuudesta, mikä johtuu lääkkeiden vaikuttavuuden läpinäkyvyyden lisäämisestä ja sitä kautta sääntelyprosessien ja julkisten terveyshankintojen kustannusten vähenemisestä. Digitalisaatiolla voidaan myös vähentää turhia kokeiluja ja varmistaa menojen läpinäkyvyys, mikä säästää terveysbudjettia. EU-rahoituksella tuetaan digitalisaatiota.
Tavoitteena on tietoaineistoja koskevan tiedon läpinäkyvyys tiedon käyttäjille. Vaatimuksen toteuttamista lähestyttäisiin myös vaiheittain. Tällöin tietoaineistokuvaus olisi pakollinen kaikille tietoaineistoille mikroyrityksiä lukuun ottamatta, kun taas itse ilmoitettu laatumerkki olisi pakollinen vain julkisesti rahoitettujen tietoaineistojen haltijoille ja vapaaehtoinen muille.
Ympäristövaikutukset
Ympäristövaikutusten arviointi Euroopan ilmastolain 34 mukaisesti osoittaa, että ehdotus johtaisi vähäisiin ilmasto- ja ympäristövaikutuksiin. Uudet digitaaliset infrastruktuurit sekä lisääntyvä tietoliikenne- ja varastointivolyymi voivat lisätä IT-järjestelmien ja tiedonsiirron hiilijalanjälkeä, mutta suurempi yhteentoimivuus terveydenhuollossa korvaisi suurelta osin näitä kielteisiä vaikutuksia vähentämällä matkustamiseen liittyvää saastumista sekä energian ja paperin käyttöä.
Taloudelliset vaikutukset
Kokonaistaloudellisten hyötyjen arvioidaan olevan 10 vuoden aikana yli 11 miljardia euroa. Summa jakautuisi lähes tasaisesti ensisijaisten (5,6 miljardia) ja toissijaisten (5,4 miljardia) toimenpiteiden hyötyjen kesken. Ensisijaisen käytön osalta taloudellista hyötyä arvioidaan syntyvän terveyspalvelujen säästöistä etälääketieteen ja terveystietojen vaihdon tehostaessa palvelujen toteuttamista. Toissijaisen käytön osalta taloudellista hyötyä arvioidaan syntyvän etenkin innovatiivisemmasta lääkevalmisteiden saatavuuden varmistamisesta sekä paremmasta päätöksenteosta.
Kokonaiskustannuksiksi on arvioitu 0,7-2,0 miljardia euroa seuraavalle 10 vuoden ajalle. Suurin osa kustannuksista syntyisi tiedon ensisijaisesta käytöstä (0,3 -1,3 miljardia euroa). Eniten kustannuksia syntyisi potilastietojärjestelmien valmistajille sekä näihin järjestelmiin liitettävien tuotteiden kehittäjille. Alle 0,1 miljardia euroa arvioidaan kansallisten viranomaisten kustannuksia. Toisiokäytön osalta viranomaiset vastaisivat kansallisten yhteyspisteiden luomisesta ja toiminnasta, EU-toimielimistä sekä yhteentoimivuuden ja tiedon laadun edistämisestä aiheutuvista kustannuksista.
5.2
Kansallinen vaikutusarviointi
5.2.1
Yleiset vaikutukset
Sääntely olisi kokonaisuudessaan velvoittavaa ja jäsenmaissa suoraan sovellettavaa lainsäädäntöä. Se ei korvaisi toisiolakia tai asiakastietolakia, vaan tulisi sovellettavaksi niiden rinnalla ja edellyttäisi myös niiden yhteensovittamista asetusehdotuksen kanssa. Lisäksi osa asetuksen velvoitteista tulisi erikseen vielä kansallisessa lainsäädännössä asettaa eri oikeussubjekteille.
Valtioneuvoston EU-politiikkaa koskevan selonteon 28.1.2021 mukaan EU:n on panostettava erityisesti innovaatiopolitiikan keinoin digitalisaatioon ja uusiin teknologioihin keskeisimpinä talouden uudistajina ja eurooppalaisen teollisuuden kilpailukykytekijöinä. Kaikessa toiminnassa tulee huolehtia digitaalisesta turvallisuudesta, tietoturvasta ja henkilötietojen suojasta, samoin kuin digitaalisen osallisuuden vahvistamisesta ja digiköyhyyden vähentämisestä muun muassa rakennerahastoja hyödyntäen. Digitaalisten ratkaisujen, tekoälyn ja algoritmien kehittämisessä on tärkeää kiinnittää huomiota yhdenvertaisuuteen, tasa-arvoon ja syrjimättömyyteen.
EU:n toimiva yhteistyö on Suomen etu. Erityisen hyödyllistä on yhteistyö hybridi- ja kyberkysymyksissä, digitalisaatioon ja murrosteknologioihin, kuten tekoälyyn, liittyvissä kysymyksissä. On kannatettavaa, että EU pyrkii vahvistamaan toimintakykyään myös terveyssektorilla, sillä yhdentyneessä Euroopassa yksikään jäsenmaa ei ole suojassa laajamittaisilta terveysuhkilta ilman yhteistä ja tehokasta strategiaa.
Hallitusohjelman mukaan Suomi edistää EU:n digitalisaatiopolitiikkaa, joka sääntelee kestävästi ylikansallisia alustapalveluja, vahvistaa EU:n digitaalisia sisämarkkinoita ja kilpailukykyä sekä edistää kansalaisten ja yritysten tietosuojaa ja digitaalisia toimintaedellytyksiä. Suomi edistää eettisesti, taloudellisesti ja sosiaalisesti kestävän datapolitiikan ja tekoälypoliittisen sääntelykehikon laatimista.
Ehdotus on merkittävä EU:n tulevaan terveyspolitiikkaan laaja-alaisesti vaikuttava kokonaisuus. Se vaikuttaa siihen, miten terveydenhuoltoa tulevaisuudessa tarjotaan ihmisille Euroopassa. Ehdotuksen tavoitteena on luoda sisämarkkinat digitaalisille terveyspalveluille sekä tietojen käyttämistä koskevia sääntöjä sekä ensiökäyttöä että toisiokäyttöä varten. Ehdotus on osa laajempaa Euroopan datastrategiaa ja datan sisämarkkinoita (single market for data flow). EU:n komissio aikoo edistää yhteisten eurooppalaisten data-avaruuksien kehittämistä strategisilla taloussektoreilla ja yleishyödyllisillä toimialoilla. Yhteinen eurooppalainen terveysdata-avaruus on niistä ensimmäinen, josta on tehty lainsäädäntöehdotus. Joiltain osin se saattaa toimia tiennäyttäjänä muutenkin
Sääntely luo kansalaisille lisää oikeuksia hallita ja määrätä terveystiedoistaan ja vastaavasti ammattihenkilöille lisää oikeuksia ja velvollisuuksia terveystietojen käsittelyyn. Jäsenvaltioiden kansalaiset saavat mahdollisuuden hallita ja käyttää terveystietojaan kotimaassaan ja koko EU:ssa. Ammattilaiset voivat nähdä hoitamansa potilaan tietoja riippumatta potilaan kotimaasta. Se edistää ihmisten terveydenhoitoa ja liikkuvuutta sekä digitaalisten terveyspalvelujen ja –tuotteiden todellisia sisämarkkinoita.
Asetusehdotus mahdollistaisi, että terveystietoja voitaisiin tietoturvallisesti välittää maiden välillä sekä hoidon jatkuvuuden että kansainvälisen tieteellisen tutkimuksen, innovoinnin ja tietoon perustuvan päätöksenteon mahdollistamiseksi. Tällaisen mallin puuttuminen uhkaa jo mahdollisuutta tehdä kansainvälistä tutkimusyhteistyötä, kun tietoturva on pystyttävä varmistamaan.
Suomessa aiemmin tehdyssä Isacuus-markkinatutkimuksessa Suomelle mahdolliseksi dataperustaisen tutkimuksen ja asiantuntijapalveluiden markkinoiden arvoksi arvioitiin 60 miljoonaa euroa. Käytännössä nykymarkkinat lienevät merkittävästi pienemmät. Mikäli arvioidaan, että 2/3 tästä jää toteutumatta siitä syystä, että tietoa ei voida luovuttaa muille maille on menetys suomalaiselle tutkimukselle ja yrityksille 40 miljoonaa euroa vuodessa.
Jotta suomalaisten tietoturvallisten käyttöympäristöjen kehittäminen vastaisi eurooppalaisia vaatimuksia, arvioidaan sen edellyttävän yhteensä muutamien miljoonien eurojen investointeja. Mikäli ehdotuksen mukaiset Suomen nykyistä toimintaa huomattavasti tiukemmat vaatimukset tietojen luovutuksesta jäävät voimaan, joutuvat rekisterinpitäjät tehostamaan huomattavasti omia tietojärjestelmiään, prosessejaan ja lisäämään resursseja tähän toimintaan. Tämä voi merkitä useiden kymmenien miljoonien eurojen investointeja rekisterinpitäjien tietojärjestelmiin sekä tietotuotantokustannusten nousua useilla miljoonilla vuosittain. Tämä kustannusten nousu heijastuisi väistämättä asiakkailta kuten tutkijoilta, perittäviin maksuihin.
Esitettävän sääntelyn tavoitteet ovat kannatettavat.
5.2.2
Taloudelliset vaikutukset ja hallinnolliset vaikutukset
Komissio suunnittelee rahoittavansa EHDS:n rakentamista usealla eri rahoitusinstrumentilla yhteensä 800 miljoonalla eurolla. Näistä suurin rahoitus ohjautuu EU4HEALTH-ohjelman kautta, josta käynnistyy komission kilpailtavia suorahakuja vuosittain (280 miljoonaa euroa). Lisäksi rahoitusta voi hakea Digital Europe –ohjelmasta, CEF-ohjelmasta sekä Horizon Europe –ohjelmasta. Jo nyt monet jäsenvaltiot ovat rahoittaneet digitalisaation ja tiedonhallinnan kehittämistä elpymis- ja palautumistukivälineestä (Recovery and Resilience Fund).
EU–rahoituksen hakeminen edellyttäisi Suomessa vaadittavan omarahoitusosuuden järjestämistä, joka voi olla enimmillään 50% haettavasta summasta.
Lisäksi resurssipula osaavista tekijöistä on haaste, sillä moni resurssi on sidottu kansalliseen kehittämistyöhön sote-uudistuksessa.
Asetuksella on taloudellisia vaikutuksia ja sen toimeenpanoon on turvattava riittävä resurssi. Kustannuksia aiheutuu muun muassa sosiaali- ja terveysministeriölle sosiaali- ja terveydenhuollon tiedonhallintaan liittyvien useiden lakien ja asetusten päivittämisestä sekä muutosten toimeenpanon yleisestä ohjauksesta. Terveyden ja hyvinvoinnin laitokselle aiheutuu kustannuksia asiakastietolain mukaisten määräysten sekä toimintaohjeiden ja vastaavien dokumenttien päivittämisestä. Koska asiaan liittyviä säädöksiä on useita, on resurssitarpeeksi arvioitava useita henkilötyövuosia, jopa 6 - 8 henkilötyövuotta ja niiden kustannuksiksi arvioidaan noin 600 0000 - 800 000 euroa.
Asetus edellyttäisi muutoksia myös Kanta-palveluihin. Suomi on jo toteuttamassa EU-tiedonvaihtoa, mutta mahdollinen välitettävien tietosisältöjen laajentaminen aiheuttaa kustannuksia myös tulevina vuosina, samoin toteutuksen laajentaminen uusiin maihin edellyttää kattavaa testaamista ja myös ylläpitokustannusten kattamista. Laajentamisvaiheessa kustannusarvio on arviolta 650 000 euroa vuodessa. Lisäksi asetus voi aiheuttaa muutostarpeita sekä Omakantaan, Omatietovarantoon että asiakastiedon tietovarantoihin. Muutostarpeet johtuvat esimerkiksi Omakanta -tietosisältöjen laajentamisesta ja puolesta-asioinnin muutoksista sekä potilaiden potilastietojensa hallinnointia koskevien oikeuksien muutoksista. Kertakustannukset ovat arviolta 3-5 miljoonaa euroa.
Potilaiden potilastietojensa hallinnointiin liittyvät oikeudet aiheuttavat muutostarpeita myös terveydenhuollon palvelunantajille ja niiden käyttämille potilastietojärjestelmille. Tietojärjestelmämuutosten lisäksi resurssia tarvitaan toimintamallien päivittämiseen ja henkilöstön kouluttamiseen. Koska Suomessa on asiakastietolain mukaisesti olemassa tietojärjestelmien tietoturvallisuutta ja toiminnallisia vaatimuksia koskevat määräykset ja menettelyt vaatimustenmukaisuuden todentamiseen, asetus ei tältä osin aiheuttane lisäkustannuksia tietojärjestelmien kehittäjille.
Terveystietojen toissijaisen käytön osalta asetuksella olisi taloudellisia vaikutuksia kansallisten terveyslupaviranomaisten, rekisterin pitäjien ja tietoturvallisten käyttöympäristöjen kustannuksiin. Toisiokäytön suhteen Suomi on moniin muihin maihin verrattuna hyvässä asemassa. Tämän tyyppisiä rakenteita on jo olemassa ja kehitteillä. Tarvittavat lisäpanostukset riippuvat kuitenkin asetuksen lopullisesta sisällöstä. Findatan, muiden terveystietolupaviranomaisten määräysten ja ohjeiden sekä rekisterinpitäjien omien ohjeiden ja toimintamallien muuttamisen arvioidaan aiheuttavan noin 10-12 miljoonan euron kertaluontoiset kulut. Lisäksi vuotuisten kustannusten arvioidaan lisääntyneen työmäärän vuoksi kasvavan 5-6 miljoonaan euroon vuodessa. Kertainvestointitarpeiden rekisterinpitäjien tietojen luovutukseen, tietolupaviranomaisten tietojen käsittelyyn ja tietoturvallisten käyttöympäristöjen tietojärjestelmiin arvioidaan olevan 9-10 miljoonaa euroa. Vuotuisten käyttökustannusten arvioidaan kasvavan noin 0,3 – 0,5 miljoonaa euro vuodessa.
Asetus vaikuttaisi myös tutkijoilta ja muilta tietoja tarvitsevilta asiakkailta perittäviin maksuihin. Ainakin osa investointikustannuksista sekä käyttökustannusten kasvusta tulisi asiakkaiden maksettavaksi kasvaneina lupa- ja palvelumaksuina.
Hallintamallin muutoksessa voisi valtioneuvoston näkemyksen mukaan mahdollisesti hyödyntää nykyisten eri viranomaisten ja laitosten välistä (mm. STM, THL, Kela, Fimea,Valvira ja Findata) yhteistyötä muun muassa mietittäessä uuden digiterveysviranomaisen tehtävien järjestämistä. Toisaalta on mahdollista, että uusia tehtäviä varten voitaisiin perustaa uusia viranomaisia, jotka asetusehdotuksen mukaan jäsenvaltioiden tulee ilmoittaa komissiolle. Suomessa on jo olemassa kansallinen sähköinen yhteyspiste ensikäytön tietojen vaihdon osalta Kelassa ja Suomessa on jo toisiolain mukainen tietolupaviranomainen. Valtioneuvoston alustavan arvion mukaan sääntelyehdotus asettaa kuitenkin kyseisille viranomaisille lisää tehtäviä ilman erillistä EU-rahoitusta.
Tietosuojavaltuutetun toimistolle lisätyötä aiheuttavina vaikutuksina ovat muun muassa nimenomaiset yhteistyövelvollisuudet kansallisten digitaalisesta terveydenhuollosta vastaavien viranomaisten sekä terveystietoihin pääsystä vastaavien elinten kanssa, ja potilaille säädettävät uudet oikeudet. Niiden valvonta on hyvin työllistävää, ja se tulisi ehdotuksen mukaan tietosuoja-asetuksen mukaisten valvontaviranomaisten tehtäväksi. Vaikutusta todennäköisesti syntyy mm. lisääntyvien kanteluiden kautta (huomioiden varsin laajat tiedonluovutusmahdollisuudet). Uusien tehtävien vaatima rahoitustarve on merkittävä.
Uusien tehtävien vaatimat rahoitustarpeet voivat olla merkittävä ja niissä olisi hyvä hyödyntää mahdollisimman tehokkaasti olemassa olevia EU-rahoitusohjelmia.
5.2.3
Lainsäädäntövaikutukset
Asetus on suoraan sovellettavaa oikeutta unionin jäsenvaltioissa, eikä sitä vastaavaa sääntelyä ole unionissa aiemmin ollut. Euroopan komissio on vuoden 2021 aikana antanut muita lainsäädäntöehdotuksia, muun muassa datasäädös, datanhallinta-asetus ja tekoälyasetus, jotka vaikuttavat esillä olevaan ehdotukseen. Näin ollen selkeää kokonaisuutta uuden lainsäädännön osalta on vaikea tässä vaiheessa vielä muodostaa.
Viranomaisten hallussa olevien tietojen julkisuudesta ja sen rajoituksista säädetään viranomaisten toiminnan julkiuudesta annetussa laissa (621/1999, julkisuuslaki). Erityislaeissa on lisäksi säädetty julkisuuslain soveltamisesta kokonaan tai tiettyihin toimijoihin tai asiakirjoihin. Julkisen asiakirjan käyttöä saattavat rajoittaa muut asiakirjaan kohdistuvat oikeudet ja velvollisuudet, joista on säädetty muualla laissa. Julkisen hallinnon tiedonhallinnasta annettu laki (906/2018, tiedonhallintalaki) täydentää julkisuuslakia tiedonhallinnan, tietoturvallisuuden ja tietojärjestelmien ja tietovarantojen yhteen toimivuuden osalta ja varmistaa osaltaan julkisuusperiaatteen ja hyvän hallinnon toteutumista.
Asetusehdotuksessa on runsaasti yksityiskohtia, joita tullaan neuvotteluprosessissa tarkastelemaan ja jotka vaativat täsmennystä. Keskeisintä juridisesti on sääntelyn yhdenmukaisuus muuhun jo voimassa olevaan EU-sääntelyyn (erityisesti tietosuoja-asetus) ja kotimaisiin lakeihin (muun muassa tietosuojalaki, julkisuuslaki, tiedonhallintalaki, valtion maksuperustelaki, arkistointilainsäädäntö ja jäljempänä todetut sosiaali- ja terveydenhuollon asiakastietoja ja toisiokäyttöä koskevat lait) ja samaan aikaan valmistelussa oleviin ja EU-säädöksiin (kuten esimerkiksi datanhallinta-asetus sekä ehdotukset tekoälysäädökseksi, datasäädökseksi ja verkko- ja tietoturvadirektiiviksi).
Vaikka ehdotuksen johdanto-osan kohdassa 37 luetellaan lukuisia tietosuoja-asetuksen 6 ja 9 artiklan alakohtia käsittelyn oikeusperustaksi, sääntelyehdotuksessa ei kaikilta osin kuitenkaan ole selvää, miltä osin käsittelyn oikeusperusta on johdettu tietosuoja-asetuksen 6 ja 9 artiklan mukaisista käsittelyn oikeusperustaa koskevista kohdista täsmällisesti, mikä on yhteensopivaa käsittelyä alkuperäisen käyttötarkoituksen kanssa ja mikä on henkilötietojen jatkokäsittelyä. Vaikka tietosuoja-asetuksen 6 ja 9 artiklan useiden alakohtien soveltuminen ja soveltaminen on sinällään mahdollista, sääntelystä muodostuu rekisteröidyille ja viranomaisille epäselvä oikeustila.
Suoraan sovellettavan säädöksen kansallisesta sääntelystä poikkeava sääntelylogiikka ja ehdotettu ehto- ja menettelysääntely todennäköisesti lisää tarvetta yhteensovittaa kansallista lainsäädäntöä asetusehdotukseen nähden. Esitettävä lainsäädäntö vaikuttaa olevan osin päällekkäistä sosiaali- ja terveydenhuollon asiakastietojen käsittelyä koskevia keskeisten lakien, kuten esimerkiksi asiakastietolain, sähköisen lääkemääräyslain, asiakas- ja potilaslain, toisiolain, biopankkilain, lääketutkimusta- ja kliinistä lääketutkimusta koskevien lakien, valmistelussa olevan genomikeskuslain ja mahdollisesti myös edellä mainittuja hallinnon yleislakien ja eri toisiokäytön tietoaineistojen osalta asianomaisia laitoksia ja viranomaisia (kuten esimerkiksi THL, Valvira, Kela, Fimea) koskevien lakien kanssa. Lisäksi päällekkäisyyksiä voi aiheutua velvollisuudesta nimetä sääntelyehdotuksessa mainitut eri viranomaiset, kuten esimerkiksi uusi digiterveysviranomainen, kansalliset yhteyspisteet, tietolupaviranomainen uusien sääntelyssä esitettävien tehtävien hoitamista varten.
Edellä mainittujen lakien lisäksi esitettävät muutokset edellyttävät muutoksia em. lakien perusteella annettuihin asetuksiin, määräyksiin, toimintamalleihin ja ohjeistuksiin.
6
Ehdotuksen suhde perustuslakiin sekä perus- ja ihmisoikeuksiin
6.1
Henkilötietojen suoja
Eurooppalaista terveystietoavaruutta koskeva ehdotus on merkityksellinen perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Ehdotettu sääntely on merkityksellistä myös EU:n perusoikeuskirjan kannalta. EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa jokaisen oikeus henkilötietojensa suojaan.
Sosiaali- ja terveydenhuollossa käsitellään arkaluonteisina pidettäviä henkilötietoja, jotka koskevat esimerkiksi henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia ja henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia.
Sääntelyehdotus muistuttaa sisällöltään olennaisilta osin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettua lakia (asiakastietolaki, 784/2021), sähköistä lääkemääräyksestä annettua lakia (61/2007) ja sosiaali- ja terveystietojen toissijaisesta käytöstä annettua lakia (toisiolaki, 552/2019). Seuraavaksi käydään läpi muun muassa niitä koskevaa perustuslakivaliokunnan keskeistä lausuntokäytäntöä.
Perustuslakivaliokunnan lausuntokäytännön mukaan on lähtökohtaisesti riittävää perustuslain 10 §:n 1 momentin kannalta, että sääntely täyttää EU:n yleisessä tietosuoja-asetuksessa asetetut vaatimukset. Valiokunnan mukaan henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata sellainen vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa (ks. PeVL 14/2018 vp, s. 4—5).
Nyt esitettävässä sääntelyssä annettaisiin tietosuoja-asetusta täydentäviä ja tarkempia säännöksiä rajat ylittävään terveydenhuoltoon sekä rajat ylittävään terveyteen liittyvien henkilötietojen toisiokäyttöön ja osin tietosuoja-asetuksesta poikkeavia oikeuksia rekisteröidyille.
Perustuslakivaliokunnan lausuntokäytännön mukaan erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta (ks. PeVL 14/2018 vp, s. 5).
Nyt esitettävässä sääntelyssä tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin on kiinnitetty huomiota vain muutamilla suojatoimilla, joista keskeisinä ovat potilastietojärjestelmiä koskevat vaatimukset ja käsittely tietoturvallisissa käsittely-ympäristöissä. Asiakastietolaki ja toisiolakiin eduskuntakäsittelyssä tehdyt muutokset osoittavat, että on mahdollista säätää paljon kattavammin eri tyyppisiä suojatoimia henkilötietojen käsittelyn aiheuttamiin uhkiin ja riskeihin.
Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 42/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Lainsäätäjän liikkumavaraa rajoittaa erityisesti arkaluonteisten henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (ks. PeVL 29/2016 vp, s. 4—5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp, s. 3).
Ehdotus on vielä sen sisällön ja perustelujen perusteella sillä tavoin täsmentymätön, että sen hyväksyttävyyttä kansallisen perusoikeusjärjestelmän kokonaisuuden kannalta on vaikea arvioida. Terveyttä koskevat tiedot ovat tietosuoja-asetuksen 9 artiklassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia tietoja, joiden käsittely on 9 artiklan 1 kohdan ilmaiseman pääsäännön mukaan kiellettyä. Artiklan 2 kohdan mukaan 1 kohdan käsittelykieltoa ei kuitenkaan sovelleta, jos jokin 9 artiklan 2 kohdan a—j alakohdissa oleva edellytys täyttyy. Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saadaan tämän perusteella käsitellä muun muassa asianomaisen henkilön nimenomaisella suostumuksella (a alakohta).
Asetusehdotuksessa henkilötietojen rajat ylittävä käsittely perustuisi olennaisilta osiltaan ehdotettavaan regulaatioon. Poikkeuksena olisi ns. data-altruismia koskeva sääntely, joka perustuisi suostumukseen. Henkilötietojen käsittely, mukaan lukien tietojen saaminen ja rajat ylittävä luovuttaminen, perustuisi esitettävään EU-lainsäädäntöön. Vaikuttaisi, että henkilötietojen käsittely olisi mahdollista, vaikka henkilötietojen käsittelylle ei olisi kansallista lakiperustaa. Rekisteröidyillä olisi kuitenkin edelleenkin tietosuoja-asetuksen mukaiset oikeudet käytettävissään, mutta sääntelyn suhde tietosuoja-asetuksen mukaisiin oikeuksiin on epäselvä, koska ehdotuksessa on oikeuksia osin esitetty lisättävän, vaikka käsittelyn oikeusperusta ei tällä hetkellä tietosuoja-asetuksen mukaan kyseisiä esitettäviä uusia rekisteröidyn oikeuksia mahdollistaisi.
Valtiosääntö turvaa perustuslain 1 §:n 2 momentin mukaan ihmisarvon loukkaamattomuuden ja yksilön vapauden ja oikeudet sekä edistää oikeudenmukaisuutta yhteiskunnassa. Yksilön oikeuksien ja vapauksien turvaamista koskevan maininnan piiriin kuuluu myös monien muiden oikeuksien käytön perustana oleva yksilön itsemääräämisoikeus eli vapaus määrätä itsestään ja toimistaan (HE 309/1993 vp, s. 42/I). Perustuslain 1 §:n 2 momentin säännös ilmaisee perustuslain keskeisen arvoperustan, ja se tulee ottaa huomioon perustuslain muita säännöksiä tulkittaessa (HE 1/1998 vp, s. 73/I).
Perustuslain 10 §:n mukaan jokaisen yksityiselämä on turvattu. Yksityiselämän käsite voidaan ymmärtää henkilön yksityistä piiriä koskevaksi yleiskäsitteeksi. Yksityiselämän suojan lähtökohtana on, että yksilöllä on oikeus elää omaa elämäänsä ilman viranomaisten tai muiden ulkopuolisten tahojen mielivaltaista tai aiheetonta puuttumista hänen yksityiselämäänsä. Siihen kuuluu muun muassa yksilön oikeus määrätä itsestään ja ruumiistaan (HE 309/1993 vp, s. 52—53). Myös oikeus yksityisyyteen toteuttaa siten henkilön itsemääräämisoikeutta.
Perustuslakivaliokunta on pitänyt henkilötietojen suojan kannalta keskeisenä tiedollista itsemääräämisoikeutta (ks. esim. PeVL 23/2020 vp, s. 9, PeVL 2/2018 vp, s. 8). Valiokunnan käytännössä itsemääräämisoikeuden on katsottu kiinnittyvän useisiin perusoikeuksiin, erityisesti perustuslain 7 §:n säännöksiin henkilökohtaisesta vapaudesta ja koskemattomuudesta sekä perustuslain 10 §:n säännöksiin yksityiselämän suojasta (ks. PeVL 48/2014 vp, s. 2/II).
Potilaslain 6 §:ssä säädetään potilaan itsemääräämisoikeudesta. Tiedollisen itsemääräämisoikeuden kannalta merkityksellistä on, että lain 13 §:n 2 momentin mukaan potilasasiakirjoihin sisältyviä salassa pidettäviä tietoja ei ilman potilaan kirjallista suostumusta saa luovuttaa. Vastaava sääntely sisältyy sosiaalihuollon asiakaslakiin. Molempiin lakeihin sisältyvät myös säännökset tilanteista, joissa itsemääräämisoikeutta voidaan rajoittaa esimerkiksi luovuttamalla potilaan hoidon toteuttamiseksi välttämättömiä tietoja toiselle terveydenhuollon toimintayksikölle, jos suostumusta ei voida saada potilaan tajuttomuuden tai muun siihen verrattavan syyn vuoksi.
EU:n perusoikeuskirjan 8 artiklan mukaan henkilötietojen käsittelyn on tapahduttava asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Lisäksi tietosuoja-asetuksen 6 artiklan mukaan henkilötietojen käsittely on lainmukaista muun ohella silloin, kun rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten. Tietosuoja-asetuksen 9 artiklan mukaan erityisten henkilötieto-ryhmien käsittely on mahdollista niin ikään nimenomaisen suostumuksen perusteella, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että erityisten henkilötietoryhmien lähtökohtaista käsittelykieltoa ei voida kumota rekisteröidyn suostumuksella. EU:n yleisen tietosuoja-asetuksen johdantokappaleessa 43 todetaan, että suostumuksen ei kuitenkaan pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen ja jossa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa.
Perustuslakivaliokunnan mukaan sanotun johdosta myös arkaluonteisten henkilötietojen käsittely voi tietyin edellytyksin perustua myös viranomaistoiminnassa perustuslain estämättä suostumukseen. Tämä ei kuitenkaan poista tarvetta varmistaa varsinkin käsillä olevan kaltaisessa arkaluontoisia henkilötietoja koskevassa perusoikeus- ja ihmisoikeusherkässä sääntely-yhteydessä, että sääntely kokonaisuutena arvioiden luo riittävät edellytykset arkaluontoisten henkilötietojen suojan tosiasialliselle toteutumiselle (PeVL 20/2020 vp, s. 5—6).
Perustuslakivaliokunta on ilmaissut huolensa suostumuksesta irtaantuvan sääntelyratkaisun päämääristä itsemääräämisoikeuden rajoituksen hyväksyttävyyden kannalta. Perustuslakivaliokunta on pitänyt mahdollisena tietojen luovutuksen salassapitosäännösten estämättä sitomista myös välttämättömyyteen jonkin tarkoituksen kannalta, mikäli luovutettavia tietosisältöjä ei ole sääntelyssä yksilöity. Tässä asetusehdotuksessa luovutettavia tietosisältöjä ei ole yksilöity, eikä toisaalta sidottu välttämättömyyteen.
Perustuslakivaliokunta on uutta asiakastietolakia koskevassa lausunnossaan (PeVL 4/2021) itsemääräämisoikeutta paremmin turvaavaksi sääntelyksi voidaan tehdä eduskuntakäsittelyssä luopumalla ehdotetusta itsemääräämisoikeuden rajoituksen pääsääntöisyydestä säätämällä 20 ja 21 §:ssä tarkoitetun luovutuksen edellytykseksi suostumus. Perustuslakivaliokunnan mielestä suostumuksesta voidaan perustuslain estämättä säätää voimassa olevan lain mukainen laaja suostumus, jos siihen kytketään mahdollisuus rajata suostumusta 18 §:ssä ehdotetun kaltaisin kielloin (ks. myös PeVL 10/2012 vp, s. 2—4). Suostumuksen sääntelyn on täytettävä valiokunnan käytännössä mainitut edellytykset. Suostumuksen on perustuttava esimerkiksi 15 §:n mukaisessa menettelyssä annettavaan riittävään tietoon (ks. myös esim. PeVL 23/2020 vp, s. 4—5), sen oltava vapaaehtoisesti annettu ja oltava myös peruutettavissa. Suostumuksen antamisen tavasta on säädettävä esimerkiksi voimassa olevan lain mukaisella sääntelyllä. Valiokunnan mielestä tällainen sääntely luo nyt käsillä olevassa sääntelykontekstissa riittävät edellytykset itsemääräämisoikeuden tosiasialliselle toteutumiselle (ks. myös PeVL 20/2020 vp, s. 5—6). Valiokunta painottaa, että sanottu ei estä säätämästä suostumusedellytykseen esimerkiksi potilaslain 13 §:ssä säädetyn kaltaisia poikkeuksia ja muita tiedonsaantioikeuksia. Olennaista tällöin on, että käsittelystä säädetään tietosuoja-asetuksen edellyttämällä tavalla asetuksen mukaiset edellytykset täyttävässä laissa, joka toimii käsittelyn asetuksen 6 ja 9 artiklassa tarkoitettuna perusteena.
Kansallisen valtiosääntöisen käytännön valossa ehdotuksen arvioinnissa on keskeistä ottaa huomioon, miten rekisteröityjen tiedollinen itsemääräämisoikeus voidaan toteuttaa siltä osin, kun käsittely ei perustu suostumukseen ja kun rekisteröidyllä ei ole esimerkiksi toisiokäytön osalta kielto-oikeutta.
Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille. Valiokunnan mielestä esimerkiksi arkaluonteisina tietoina pidettävien biometristen tunnisteiden rekisteröinti merkitsee erityistä tarvetta huolehtia järjestelmään talletettavien henkilötietojen suojaamisesta väärinkäytön vaaroilta ja kaikenlaiselta tietojen laittomalta saannilta ja käytöltä (ks. PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myös EU:n yleisen tietosuoja-asetuksen 51 johdantokappaleen mukaan asetuksen 9 artiklassa tarkoitettuja erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on rajattava täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään ja sääntelyn on oltava tietosuoja-asetuksen mahdollistamissa puitteissa yksityiskohtaista ja kattavaa (PeVL 65/2018 vp, s. 45, PeVL 15/2018 vp, s. 40).
Esitettävään sääntelyratkaisuehdotukseen liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille. Kuten jo aiemmin on todettu, sääntelyehdotuksen neuvotteluissa voitaisiin hyötyä suojatoimista, joita esimerkiksi kotimaisessa lainsäädännössä on jo aiemmin käytetty edellä mainittujen riskien hallintaan. Neuvotteluissa tulisi kiinnittää huomiota myös sääntelyn täsmällisyyteen ja tarkkarajaisuuteen.
Perustuslakivaliokunta on arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen (PeVL 15/2018 vp). Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 17/2016 vp, s. 2—3). Valiokunta on antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Mikäli ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen selostetun perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (PeVL 38/2016 vp, s. 3). Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (ks. esim. PeVL 71/2014 vp, s. 3/I, PeVL 62/2010 vp, s. 4/I ja PeVL 59/2010 vp, s. 4/I).
Perustuslakivaliokunnan lausuntokäytäntöön perustuen kansallisten viranomaisten ja EU-instituutioiden tiedonsaantioikeutta tulisi sääntelyehdotusta olennaisesti täsmentää ja tarkentaa.
Yleistä tietosuoja-asetusta yksityiskohtaisemman sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti. Tällöin on syytä kiinnittää huomiota myös asetuksessa omaksuttuun riskiperusteiseen lähestymistapaan. Näin ei kaikin osin vaikuta olevan tehty tässä ehdotuksessa
Valiokunta on painottanut, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp, s. 6).
Esitettävää asetusta ei voi pitää selkeänä tai helposti ymmärrettävänä.
Valiokunnan henkilötietojen suojaa koskevassa käytännössä on sinänsä korostettu lailla säätämisen tarvetta erityisesti silloin, kun henkilötietoja käsittelee viranomainen (ks. esim. PeVL 14/2018 vp, s. 4). Valiokunta on kiinnittänyt aiemmin huomiota kuitenkin myös siihen, että perustuslakivaliokunnan myötävaikutuksella (PeVL 25/1998 vp) säädetyn, sittemmin kumotun henkilötietolain 8 §:ssä mahdollistettiin henkilötietojen käsittely ensisijaisesti suostumuksen perusteella. Myös arkaluonteisten henkilötietojen käsittely oli lain 12 §:n nojalla poikkeuksellisesti mahdollista, mikäli rekisteröity on antanut siihen nimenomaisen suostumuksensa (PeVL 1/2018 vp, s. 9). Valiokunnan mukaan vastaavaa voidaan todeta perustuslakivaliokunnan myötävaikutuksella säädetystä julkisuuslaista, jonka 26 §:n mukaan viranomainen voi antaa salassa pidettävästä viranomaisen asiakirjasta tiedon muun ohella, jos se, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty, antaa siihen suostumuksensa. Tällainen asiakirja voi sisältää myös arkaluonteisia henkilötietoja (PeVL 43/1998 vp, ks. myös PeVL 42/2016 vp, s. 3).
Perustuslakivaliokunta on korostanut erityisesti arkaluonteisten tietojen käsittelyn käyttötarkoitussidonnaisuuden vaatimusta. Tietojen käyttämiseen varsinaisen keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on perustuslakivaliokunnan mukaan ollut syytä suhtautua kielteisesti esimerkiksi laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä (PeVL 14/2009 vp, s. 4/II). Käyttötarkoitussidonnaisuudesta on voitu tällöin tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei ole saanut johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (ks. myös esim. PeVL 14/2017 vp, s. 5—6).
On kuitenkin epäselvää, voisiko asetusehdotus johtaa siihen, että henkilötietojen toisiokäytöstä muodostuisi pääasiallinen tai merkittävä käyttötarkoitus suhteessa niiden ensisijaisiin käyttötarkoituksiin. Perustuslakivaliokunta on ns. koronavilkkua koskevassaan lausunnossaan (PeVL 42/2020 vp/HE 225/2020 vp) todennut, että silloin arvioitavasta hallituksen esityksestä ei kuitenkaan riittävällä tavalla ilmennyt, millä tavalla järjestelyssä varmistetaan, että tartuntatautilaissa käyttötarkoitukselle säädettyjä rajoituksia noudatetaan myös sen jälkeen, kun tiedot luovutetaan ulkomaisille viranomaisille. Valiokunnan mielestä on varmistettava, ettei toisessa valtiossa käytössä olevassa tietojärjestelmässä tallenneta sijaintitietoja ja kohtaamistietoja taikka käytetä tietoja tartuntatautilain 43 c §:n 1 momentin vastaisiin tarkoituksiin, kuten poliisitutkintaan, esitutkintaan tai oikeudenkäyntiin. Sosiaali- ja terveysvaliokunnan on syytä tarkastella lakiehdotusta tältä osin myös EU:n tietosuoja-asetuksen kannalta. Sääntelyä on tarvittaessa täsmennettävä, mikäli toimeenpantava EU-sääntely sen mahdollistaa.
Vaikka nyt esitettävässä EHDS-regulaatiossa on esitetty ns. kiellettyjä käyttötarkoituksia, niin siinä ei ole kielletty käyttämässä sääntelyalaan kuuluvia tietoja esimerkiksi poliisitutkintaan, esitutkintaan tai oikeudenkäyntiin. Tähän tulisi kiinnittää huomiota sääntelyehdotusta koskevissa neuvotteluissa.
Perustuslakivaliokunta on toisiolaista antamassaan lausunnossaan (PeVL 1/2018 vp) kiinnittänyt huomiota tietojen luovuttamisesta kehittämis- ja innovaatiotoimintaan.
Myös EHDS -ehdotuksessa esitetään hyvinkin vastaavaa kehittämis- ja innovaatiotoimintaan koskevaa sääntelyä kuin on voimassa olevassa toisiolaissa. Perustuslakivaliokunnan mukaan kehittämis- ja innovaatiotoiminta koskee kuitenkin yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I). Valiokunta kiinnitti tämän johdosta erityistä huomiota ehdotettuihin käsittelyn edellytyksiin, tietojen anonymisointiin ja käsittelyyn suostumuksen perusteella.Perustuslakivaliokunnan toisiolaista antaman lausunnon (PeVL 1/2018 vp) lakiehdotus merkitsi eräiltä osiltaan varsin olennaista arkaluonteisten tietojen käyttötarkoituksen muutosta, joka kohdistuu erittäin laajaan tietojoukkoon. Valiokunnan mielestä lakiehdotuksen sääntelyt toissijaisesta käytöstä opetuksen, tietojohtamisen sekä viranomaisen suunnittelu- ja selvitystehtävän tarpeisiin ovat perusteiltaan hyväksyttäviä perustuslain 10 §:n 1 momentin näkökulmasta.
Nyt terveysdata-avaruutta koskevassa sääntelyssä on kyse vielä laajemmasta tietojoukosta ja osin laajemmista käyttötarkoituksista ja sääntely mahdollistaisi tietoaineistojen luovuttamisen jäsenmaiden välillä ja myös jäsenmaiden muille viranomaisille ja EU instituutioille ja joissakin tilanteissa myös kolmansiin maihin. Ehdotuksen resitaali 37 tarjoaa lukuisia samanaikaisia tietosuoja-asetuksen mukaisia käsittelyn oikeusperustoja, mutta ei täsmennä, mikä niistä on ensisijainen. Asetusehdotuksen oikeusperustan moninaisuus ei muodosta rekisteröidyille selkeää oikeustilaa, koska tietosuoja-asetuksen mukaiset oikeudet riippuvat käsittelyn oikeusperustasta. Sääntelyä tulisi olennaisesti tarkentaa ja täsmentää sen suhdetta tietosuoja-asetukseen.
Tietosuoja-asetuksen 5 artiklan 1 b kohdan mukaan henkilötiedot on sinänsä kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten eikä näin kerättyjä henkilötietoja saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Artiklan mukaan myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei kuitenkaan katsota yhteensopimattomaksi alkuperäisten tarkoitusten kanssa.
Asetusehdotuksen mukaiset käyttötarkoitukset ovat osittain, esimerkiksi tieteellisen tutkimuksen osalta, yhteensopivia alkuperäisten käyttötarkoitusten kanssa. Vaikka asetusehdotuksen johdanto-osan kohdassa 37 luetellaan lukuisia eri tietosuoja-asetuksen 6 ja 9 artiklan kohtia, kaikilta osin ei kuitenkaan ole selvää, miltä osin käsittelyn oikeusperusta on johdettu tietosuoja-asetuksen 6 ja 9 artiklan mukaisista käsittelyn oikeusperustaa koskevista kohdista täsmällisesti, mikä on yhteensopivaa alkuperäisen käyttötarkoituksen kanssa ja mikä on henkilötietojen jatkokäsittelyä. Vaikka tietosuoja-asetuksen 6 ja 9 artiklan useiden kohtien soveltuminen ja soveltaminen on sinällään mahdollista, sääntelystä muodostuu rekisteröidyille ja viranomaisille epäselvä oikeustila.
Tietojen jatkokäsittelystä voidaan 6 artiklan 4 kohdan mukaan säätää jäsenvaltion tai Unionin lainsäädännössä, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen asetuksen 23 artiklassa tarkoitettujen tavoitteiden turvaamiseksi. Näitä 23 artiklassa säädettyjä tavoitteita ovat muun muassa yleiseen etuun liittyvät tärkeät tavoitteet, kuten kansanterveys ja sosiaaliturva sekä rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet. Lisäksi käsittelylle on oltava 6 artiklan 1 kohdan mukainen peruste ja arkaluonteisten tietojen käsittelyyn 9 artiklan 2 kohdan mukainen peruste. Tietosuoja-asetuksen 9 artiklan mukaan muun muassa henkilön terveyteen ja geneettiseen perimään liittyvät arkaluonteisina pidettävät tiedot ovat nk. erityisiin henkilötietoryhmiin kuuluvia tietoja. Asetuksen johdantokappaleen 51 mukaan tällaisia perusoikeuksien ja -vapauksien kannalta arkaluonteisia henkilötietoja on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille.
EHDS-ehdotuksesta on vaikeaa päätellä, muodostaako se demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen asetuksen 23 artiklassa tarkoitettujen tavoitteiden turvaamiseksi.
Sääntelyn suhdetta tietosuoja-asetukseen ja muuhun voimassa olevaan ja samanaikaisesti valmistelussa olevaan EU lainsäädäntöön ja kansainväliseen sääntelyyn tulisi jatkovalmistelussa ja neuvotteluissa olennaisesti selventää ja varmistaa, että sääntely on välttämätöntä ja oikeasuhteista suhteessa perusoikeuksiin.
6.2
Säädöstaso
Komissiolle ehdotetaan annettavaksi laaja oikeus antaa delegoituja säädöksiä. Sääntelyehdotus vaikuttaa olevan SEUT 290 artiklan mukainen, mutta valtioneuvosto kiinnittää huomiota, että kun delegoiduissa säädöksissä vaikuttaisi olevan kyse säädöksen keskeisistä osista (esimerkiksi 6 artiklassa tarkoitettujen ensiökäytössä siirrettävien tietojen lista) jota voitaneen pitää keskeiseksi osaksi säädöstä, kun määrittävät sen soveltamisalaa), niin niistä tulee säätää lainsäätämisjärjestyksessä hyväksyttävän unionin säädöksen tasolla. Esimerkiksi perustuslakivaliokunta on muistuttanut, että säädösvallan delegoinnit tulisi rajoittaa SEUT 290 artiklan mukaan yleisiin säädöksiin, joilla täydennetään tai muutetaan lainsäätämisjärjestyksessä hyväksytyn säädöksen tiettyjä, muita kuin sen keskeisiä osia. (PeVL 35/2004 vp, PeVL 12/2012 vp).
Asetusehdotus antaisi lisäksi runsaasti komissiolle valtaa säätää jopa lainsäädännön alaan kuuluvista asioista täytäntöönpanosäädöksillä
6.3
Julkisuusperiaate ja hyvä hallinto
Viranomaisen tieto-aineistot kuuluvat julkisuusperiaatteen piiriin. Julkisuus on pääsääntö, josta toisaalta joudutaan poikkeamaan erilaisten tärkeiden intressien vuoksi. Tällaisia voivat olla esimerkiksi yksityisyyden suoja ja liikesalaisuudet. Hyvän hallinnon vaatimuksiin kuuluu, että viranomainen on järjestänyt tiedonhallintansa niin, etteivät nämä muut intressit vaarannu.
Asetusehdotus ei suoraan vaikuta asiakirjajulkisuutta koskevaan sääntelyyn eikä salassapitoperusteisiin. Asetuksella sen sijaan pyritään luomaan sellaiset hallinnolliset rakenteet ja menettelytavat, joilla salassa pidettäviä terveystietoja tai olennaisesti niihin liittyviä salassa pidettäviä tietoaineistoja voitaisiin nykyistä laajemmin luovuttaa rajat ylittävän terveydenhuollon lisäksi toisiokäyttötarkoituksiin tai viranomaisten lakisääteisten tehtävien hoitamiseen.
Asetusehdotuksessa on kuitenkin myös säännöksiä, jotka poikkeavat julkisuusperiaatteen toteuttamisen peruslähtökohdista. Julkisuusperiaate sisältää lähtökohtaisesti sen, että tiedot ovat tietyillä antotavoilla maksuttomasti saatavilla. Asetusehdotuksessa kuitenkin mahdollistetaan maksujen periminen tiedon toisiokäytöstä. Kyseen ollessa jäsenvaltioille annetusta mahdollisuudesta periä maksu ja maksun perustuessa aiheutuneisiin kustannuksiin, voi asetusehdotusta tältä osin pitää julkisuusperiaatteen mukaisena.
Asetusehdotuksen viranomaistoimintaa koskevia säännöksiä on tärkeä tarkastella kokonaisuutena hyvän hallinnon ja oikeusturvan toteutumisen näkökulmasta. Asetusehdotuksen kansainvälistä pääsyä koskevilla säännöksillä voidaan katsoa olevan liittymäkohtia perustuslain 124 §:ään liittyviin kysymyksenasetteluihin vaikkakin haasteena on se, että kyse on kansallisesta doktriinista
7
Ahvenanmaan toimivalta
Ahvenanmaan maakunta vastaa Euroopan unionin säädösten täytäntöönpanosta siltä osin kuin asia itsehallintolain mukaan kuuluu sen toimivaltaan. Lainsäädäntövallan jaosta valtakunnan ja maakunnan kesken säädetään Ahvenanmaan itsehallintolaissa (1144/1991). Maakunnan lainsäädäntövallasta säädetään lain 18 §:ssä ja valtakunnan lainsäädäntövallasta 27 ja 29 §:ssä.
Ahvenanmaan itsehallintolain 18 pykälän 1 kohdan mukaan maakunnalla on lainsäädäntövalta asioissa, jotka koskevat maakunnan hallitusta sekä sen alaisia viranomaisia ja laitoksia sekä 4 kohdan mukaan asioissa, jotka koskevat kuntien hallintoa. Lainsäädäntövalvonnassa on katsottu, että viranomaisten hallussa olevien asiakirjojen julkisuus ja niiden hallussa olevien henkilötietojen suoja ovat maakunnan lainsäädäntövaltaan kuuluvia asioita. Näin ollen ehdotettu sääntely kuuluu edellä mainituin osin Ahvenanmaan maakunnan toimivaltaan. Ahvenanmaan itsehallintolain 27 pykälän 3 kohdan mukaan valtakunnalla on puolestaan lainsäädäntövalta asioissa, jotka koskevat valtion viranomaisten järjestysmuotoa ja toimintaa.
Asetusehdotuksen mukaan viranomaiset voivat periä toisiokäytöstä maksuja. Ahvenanmaan itsehallintolain 18 pykälän 5 kohdan mukaan maakunnalla on lainsäädäntövalta asioissa, jotka koskevat maakunnalle perittävien maksujen perusteita. Muutoin lain 27 pykälän 36 kohdan mukaan valtakunnalla on lainsäädäntövalta asioissa, jotka koskevat maksuja 18 pykälän 5 kohdassa säädetyin poikkeuksin.
Lisäksi ehdotuksen mukainen sääntely velvoittaa jäsenvaltioita perustamaan asetuksen mukaisen toimivaltaisen tietolupaviranomaisen, terveystietoviranomaisen sekä perustamaan keskitetyn yhteyspisteen tukemaan toisiokäyttöä. Viranomaisia voi olla yksi tai useampi, ja jäsenvaltioin on ilmoitettava ne komissiolle.
Koska EU-oikeus mahdollistaa usean viranomaisen, ei tilanteeseen sovellu Ahvenanmaan itsehallintolain 59 b pykälän säännös, jossa viranomaisen nimeäminen kuuluu valtakunnalle, jos jäsenvaltio yhteisön oikeuden mukaan voi nimetä vain yhden hallintoviranomaisen sellaisessa tilanteessa, jossa sekä maakunnalla että valtakunnalla olisi toimivaltaa. Sen sijaan olennainen on pykälän säännös siitä, että maakunnan ja valtakunnan viranomaisten tulee neuvotella keskenään, jos niiden toimenpiteet ovat toisistaan riippuvaisia. Tällaisen riippuvuuden voidaan katsoa olevan, koska asetuksen tavoite yhdenmukaistaa datahallintoa voidaan saavuttaa vain yhdenmukaisilla toimenpiteillä maakunnan ja valtakunnan kesken. Neuvotteluissa on mahdollista myös kartoittaa tarvetta Ahvenanmaan itsehallintolain 32 pykälän mukaiselle sopimusasetukselle, jolla maakuntahallintoon kuuluvia tehtäviä siirtää valtakunnan viranomaiselle.
Ahvenanmaan itsehallintolain (1144/1991) 27 §:n 30 kohdan mukaan valtakunnalla on lainsäädäntövaltaa asioissa jotka koskevat terveyden- ja sairaanhoidon piirissä toimivien kelpoisuusvaatimuksia, apteekkilaitosta, lääkkeitä ja lääkkeenomaisia tuotteita, huumaavia aineita sekä myrkkyjen valmistamista ja niiden käyttötarkoituksen vahvistamista. Vaikuttaisi että suurimalta osin lainsäädäntövalta olisi Ahvenanmaalla. Osa sääntelyn piirissä olevista palveluista on valtakunnan lainsäädännössä toteutettu sekä asiakastietolain että toisiolain perusteella. Myös Ahvenanmaan maakunnan sosiaali- ja terveydenhuollon palvelunantaja saa liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Jos Ahvenanmaan maakunnan sosiaali- ja terveydenhuollon palvelunantaja haluaisi liittyä tietojärjestelmäpalvelujen käyttäjäksi, sen on tietojärjestelmäpalveluja käyttäessään noudatettava asiakastietolain säännöksiä.
Itsehallintolain sanamuodon tulkinnassa on huomattava, että tietoverkkoja ei ole voitu ottaa huomioon itsehallintolakia säädettäessä (ks. PeVL 22/2001 vp). Näin ollen valtakunnan toimivaltaan kuuluvat myös asetuksen säännökset, jotka velvoittavat tietolupaviranomaista data-altruismiin siten kuin datanhallintasäännöksessä on esitetty säädettäväksi.
8
Ehdotuksen käsittely Euroopan unionin toimielimissä ja muiden jäsenvaltioiden kannat
Ehdotuksen käsittely neuvoston kansanterveystyöryhmässä on alkanut toukokuussa 2022 ehdotuksen esittelyllä ja jäsenmaiden puheenvuoroilla. Jäsenvaltioiden alustavat kommentit olivat pääosin hyvin myönteisiä.
Ehdotuksen käsittely alkoi Ranskan puheenjohtajakauden aikana kesäkuussa ja jatkuu heinäkuussa Tšekin puheenjohtajakaudella. Ehdotuksesta käytiin poliittinen keskustelu TSTK-neuvostossa 14.6.2022. Tšekki on ilmoittanut priorisoivansa ehdotuksen käsittelyn hyvin korkealle kautensa aikana.
Sääntelyehdotuksesta on pyydetty Euroopan tietosuojaneuvoston (EDPB) ja Euroopan tietosuojavaltuutetun (EDPS) lausunnot.
9
Ehdotuksen kansallinen käsittely
Ehdotus on käsitelty 27.6.2022 kirjallisessa menettelyssä EU19-viestintäjaostossa ja EU8-kilpailukykyjaostossa, 28.6.2022 EU33-terveysjaostossa ja 30.6.2022 EU-ministerivaliokunnan kirjallisessa käsittelyssä.
Suuri valiokunta
10
Valtioneuvoston kanta
Valtioneuvosto katsoo, että säädösehdotus on merkittävä osa laajempaa komission datastrategiaa ja työkalu sisämarkkinoiden edistämiselle datan avulla. Ehdotus on tulevaisuudessa merkittävä EU:n terveyspolitiikkaan laaja-alaisesti vaikuttava kokonaisuus ja askel kohti laajempaa terveysunionia. Terveystietojen käytön edistäminen on Suomelle kansallisesti tärkeä asia ja valtioneuvosto katsoo ehdotuksella olevan eurooppalaista lisäarvoa.
Valtioneuvosto pitää ehdotettua säädöstä tavoitteiltaan kannatettavana. Valtioneuvosto korostaa kuitenkin, että yhteiseurooppalaisen tietopohjan luomisen edellytyksiä ja sen vaatimaa työmäärää selvitetään jatkokäsittelyssä tarkemmin ottaen huomioon muun muassa jäsenmaiden erilaiset tilanteet ja hankkeeseen liittyvät kustannukset.
Valtioneuvosto tukee tavoitetta MinunTerveyteni@EU-hankkeen yhteistyön nopeuttamisesta sekä terveystietojen välittämisen ja toisiokäytön edistämisestä. Samalla tulisi varmistaa säännösten yhdenmukaisuus perusoikeuksien ja henkilötietojen suojaa koskevien vaatimusten kanssa.
Valtioneuvosto pitää hyvänä, että ehdotuksessa on hyödynnetty Suomen vastaavaa kansallista sääntelyä ja kokemuksia sekä katsoo sen hyödyttävän ehdotuksen käsittelyä eurooppalaisella tasolla.
Potilaiden ja ammattilaisten oikeudet ja velvollisuudet
Valtioneuvoston arvion mukaan ehdotus lisäisi potilaille ja terveydenhuollon ammattilaisille uusia ja tietosuoja-asetusta laajempia oikeuksia terveystietoihin. Ehdotusta olisi syytä täsmentää neuvottelujen aikana siltä osin, onko uusissa oikeuksissa ja velvollisuuksissa kyse tietosuoja-asetuksen mukaisen liikkumavaran käytöstä vai asetuksen täydentämisestä, ja millaiset vaikutukset uusilla oikeuksilla ja velvollisuuksilla olisi rekisteröidyn oikeuksiin.
Terveystietojen rajat ylittävä ensiökäyttö
Valtioneuvosto pitää hyvänä, että terveystietojen ensiökäytössä hyödynnetään rajat ylittävää jäsenvaltioiden välisestä MinunTerveyteni@EU–yhteistyötä sekä esimerkiksi Suomen ja Viron kokemuksia sähköisten lääkemääräyksien välittämisestä.
Valtioneuvoston alustavan arvion mukaan EU-kansalaiset hyötyisivät siitä, että nykyiseen potilasdirektiiviin ja sopimukseen perustuvissa palveluissa olisi mukana enemmän maita, jotta liikkuvuus ja hoidon jatkuvuus helpottuisivat. Valtioneuvosto katsoo ehdotuksen hyödyntävän esimerkiksi raja-alueiden asukkaita. Valtioneuvosto katsoo, että ehdotuksessa esitetyn MinunTerveyteni@EU–palveluiden tulisi voimaantullessaan hyödyntää laajasti jäsenmaita, eikä vain niitä jäsenmaita, joissa kansalaiset usein matkustavat jäsenvaltioiden välillä. Valtioneuvosto katsoo, että uudet palvelut toisaalta välillisesti edistäisivät myös terveysunionin syventymistä. Vaikka yhteistyöllä tähdätään organisatoriseen, tekniseen, semanttiseen ja juridiseen yhteentoimivuuteen, niin siirrettäviä tietoja ei kuitenkaan käännettäisi eri kielille. Tämä hankaloittaa esitettyjä tavoitteita ja hyötyjä ja tähän tulisi kiinnittää huomiota.
Valtioneuvosto pitää erityisen tärkeänä, että ehdotuksen sisältämien rajat ylittävien verkkoapteekkipalveluiden vaikutuksiin kiinnitettäisiin huomioita. Ehdotetuilla muutoksilla voi olla merkittäviä vaikutuksia lääkkeiden saatavuuteen ja jakeluun sekä lääkekorvausten toimeenpanoon Suomessa. Valtioneuvosto katsoo, että Suomen kannalta on välttämätöntä varmistaa, että asetus ei heikennä kotimaista lääketurvallisuutta ja apteekkivalvontaa.
Hyvinvointisovelluksia ja tietojärjestelmiä koskevat vaatimukset
Valtioneuvoston näkemyksen mukaan jatkovalmistelussa on tärkeä varmistaa henkilötietojen suojaa ja tietoturvallisuutta koskevien vaatimusten ja todentamisen menettelyjen korkea vaatimustaso. Valtioneuvosto katsoo, että itsearviointi ei ole riittävä keino varmistaa potilastietojärjestelmien tietoturvaa, ja että siltä on perusteltua edellyttää jatkossakin korkeaa tasoa. Lainsäädäntötoimien yhteydessä on aina arvioitava niiden välttämättömyyttä ja oikeasuhtaisuutta perusoikeuksien ja henkilötietojen suojan kannalta. Henkilötietojen käsittelyn yhteydessä on huomioitava henkilötietoihin liittyvä käyttösidonnaisuusperiaate ja kiinnitettävä huomiota siihen, että muuhun kuin alkuperäiseen käyttötarkoitukseen liittyvän henkilötietojen käsittelyn ei tule muodostua rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi. Sääntelyn tulisi olla täsmällistä ja tarkkarajaista tältä osin. Jatkovalmistelussa tulee varmistaa henkilötietojen suojan korkea vaatimustaso kuitenkin huomioiden asetuksella tavoiteltava eurooppalaisen tietoavaruuden edistäminen, joka on Euroopalle keskeinen kilpailukykytekijä.
Asetuksessa säädettäisiin myös hyvinvointisovelluksista, joille olisi mahdollista antaa ”leima” osoituksena vaatimusten täyttämisestä. Valtioneuvoston näkemyksen mukaan hyvinvointisovellusten vaatimusten ja niiden todentamisen vaatimustaso tulee olla jatkossakin korkealla tasolla, mutta asetuksessa ehdotetut vaatimukset eivät ole suoraan sovellettavissa hyvinvointisovelluksiin, vaan koskevat ennen kaikkea sähköisiä potilastietojärjestelmiä.
Valtioneuvosto kiinnittää huomiota, että potilastietojärjestelmille ja hyvinvointisovelluksille asetettavien uusien ja osittain uusien vaatimusten ja eurooppalainen sähköisten terveystietojen vaihtoformaatti ei tule aiheuttaa sosiaali-ja terveyshuollon palvelunantajille merkittäviä lisäkustannuksia.
Terveystietojen rajat ylittävä toisiokäyttö
Valtioneuvoston näkemyksen mukaan yhteiseurooppalainen sääntely on välttämätöntä terveystietojen ja niihin olennaisesti liittyvien arkaluontoisten henkilötietojen tutkimuksen, toisiokäyttöön liittyvän kansainvälisen tiedon saatavuuden ja vaihdon mahdollistamiseksi tulevaisuudessa, millä on puolestaan ratkaiseva merkitys sille, että voidaan tehokkaasti kehittää uusia lääkkeitä, hoitoja, toimintamalleja ja terveysteknologian ratkaisuja.
Valtioneuvosto pitää kannatettavana, että asetuksessa on mukana rekisteritiedon lisäksi koko tietokokonaisuus laajasti, mukaan lukien genomidata, biopankkidata ja kliiniset lääketutkimukset. Tämä samalla asettaa kuitenkin uusia vaatimuksia toimintamallien joustavuudelle eri käyttötapausten mahdollistamiseksi.
Valtioneuvoston näkemyksen mukaan jatkovalmistelussa tulee kiinnittää huomiota siihen, että sääntelyehdotus ei rajoita perusteettomasti tutkimuksen vapautta.
Ehdotusluonnos asettaa merkittäviä vaatimuksia hallinta- ja verkostorakenteelle. Valtioneuvosto katsoo eri maihin perustettavien yhteyspisteiden olevan hyödyllisiä ja edistävän rajat ylittävää tiedonvaihtoa. Valtioneuvosto pitää tärkeänä, että esitetty eurooppalaisen terveysdata-avaruuden neuvosto (European Digital and Health Data Board) edistäisi jäsenmaiden keskinäistä yhteistyötä.
Valtioneuvoston näkemyksen mukaan neuvotteluissa tulisi kiinnittää huomiota, ettei terveystietoihin pääsystä vastaava elin voisi luovuttaa asetusehdotuksen mukaisia tietoaineistoja ilman lupaharkintaa, jos kyseinen elin ei ole tehnyt tietolupapäätöstä määräajassa. Opetuksen käyttötarkoitusta sekä kehittämis- ja innovaatiotoimintaa tulisi, ottaen huomioon perustuslakivaliokunnan lausuntokäytäntö, täsmentää oikeusperustan ja sisällön osalta, jotta se mahdollistaisi myös terveysteknologian kehittämisen. Valtioneuvosto katsoo, että tutkimusprosesseihin tulee kiinnittää huomiota kokonaisuutena, ja että tarkastelussa on otettava huomioon myös julkisten varojen käyttö ja FAIR –periaatteet uudelleenkäytettävyyden näkökulmasta.
Valtioneuvosto tukee asetuksen tavoitetta määritellä toimintamalli, jolla terveystietoja ja terveyteen olennaisesti liittyviä tietoja voidaan tietoturvallisesti välittää eri maiden välillä unionin sisällä ja myös kansainvälisesti toisiokäyttötarkoituksissa ja kansallisten ja EU-viranomaistahojen lakisääteisten tehtävien mahdollistamiseksi. Valtioneuvoston näkemyksen mukaan rajat ylittävää tiedonvaihtoa koskevien tietoturvajärjestelyjen tulisi olla toimivia heti alusta alkaen, kun tietoja aletaan jäsenvaltioiden välillä vaihtaa. Ottaen huomioon käsiteltävien tietojoukkojen ja käyttötarkoitusten laajuus, on valtioneuvoston näkemyksen mukaan perusteltua, että sääntelyyn tulisi lisätä esitettyä enemmän erilaisia tietoturvaa lisääviä suojatoimia.
Valtioneuvosto pitää kannatettavaa, että ehdotuksessa säädettäisiin kielletyistä toisiokäyttötarkoituksista, mutta kiinnittää huomiota siihen, että ensiökäytön osalta ei ole esitetty säädettäväksi vastaavia kiellettyjä käyttötarkoituksia. Valtioneuvoston näkemyksen mukaan jatkovalmistelussa on varmistettava, ettei toisessa valtiossa käytössä olevassa tietojärjestelmässä tallenneta ehdotuksen mukaisia arkaluontoisia henkilötietoja ehdotuksen vastaisiin tarkoituksiin, kuten esimerkiksi poliisitutkintaan, esitutkintaan tai oikeudenkäyntiin.
Vaikka ehdotuksen mukaisia tietolupaviranomaisia on mahdollista perustaa ja saada toimimaan uusien toimintamallien mukaisesti suhteellisen nopeastikin, koko muun kentän tutkijoiden ja rekisterinpitäjien muutos vie aikaa ja vaatii suuria panostuksia muutoksen hallintaan. Rajat ylittävän toisiokäytön täytäntöönpanossa kannattaa valtioneuvoston näkemyksen mukaan hyödyntää olemassa olevia kokemuksia ja eurooppalaisia yhteistoimintahankkeita sekä pilotteja.
Valtioneuvoston näkemyksen mukaan vuonna 2016 julkaistut FAIR Data periaatteet toimivat erinomaisena pohjana myös EHDS-sääntelyehdotuksen toisiokäytön sääntelylle.
Suhde muuhun lainsäädäntöön
Sääntelyn suhdetta, tietosuoja-asetukseen ja muuhun voimassa olevaan ja samanaikaisesti valmistelussa olevaan EU lainsäädäntöön ja kansainväliseen sääntelyyn tulisi jatkovalmistelussa ja neuvotteluissa olennaisesti selventää ja varmistaa, että sääntely on välttämätöntä ja oikeasuhteista suhteessa perusoikeuksiin. Valtioneuvoston alustavan arvion mukaan asetusehdotuksessa on runsaasti yksityiskohtia, joita tullaan lainsäädäntöprosessissa tarkastelemaan ja jotka vaativat täsmennystä. Keskeisintä juridisesti on sääntelyn yhdenmukaisuus muuhun jo voimassa olevaan EU-sääntelyyn (erityisesti tietosuoja-asetus) ja kansallisiin lakeihin ja samaan aikaan valmistelussa oleviin ja EU lakeihin. Valtioneuvosto katsoo, että eri säädösten ja säädösehdotusten keskinäisriippuvuuden vuoksi sääntelyä tulisi arvioida kokonaisuutena EU-lainsäädännön laadun, selkeyden ja toimivuuden kannalta. Valtioneuvosto kiinnittää huomiota myös U-kirjelmän kohdassa ehdotuksen oikeusperusta esitettyihin huomioihin.
Ehdotuksen muutoksenhakua ja seuraamusmaksuja koskevien säännösten oikeasuhtaisuutta ja yhteensopivuutta kansallisen järjestelmän kanssa tulee arvioida tarkemmin neuvottelujen edetessä.
Sääntelyn suhdetta, tietosuoja-asetukseen ja muuhun voimassa olevaan ja samanaikaisesti valmistelussa olevaan EU lainsäädäntöön ja kansainväliseen sääntelyyn tulisi jatkovalmistelussa ja neuvotteluissa olennaisesti selventää ja varmistaa, että sääntely on välttämätöntä ja oikeasuhteista suhteessa perusoikeuksiin.
Lainsäädäntövallan siirto
Valtioneuvosto kiinnittää huomiota, että jos delegoiduissa säädöksissä on kyse yksilön oikeuksien ja velvollisuuksien perusteista, niistä tulee säätää lainsäätämisjärjestyksessä hyväksyttävän unionin säädöksen tasolla. Säädösvallan delegointi voi koskea säädöksen muita kuin keskeisiä osia. Tältä osin esimerkiksi ehdotuksen 6 artiklan mukaisen listan muuttaminen tai lisääminen delegoidulla säädöksellä tai komissiolle ehdotettu toimivalta poistaa tai lisätä MinunTerveysTietoni@EU -palveluun kuuluvien tahojen joukkoa vaikuttavat olevan ongelmallisia, koska niillä puututaan keskeisesti asetuksen soveltamisalaan. Valtioneuvosto suhtautuu varauksellisesti tämän kaltaiseen toimivallan siirtoon ja arvioi komissiolle ehdotetun säädösvallan siirron laajuutta ja asianmukaisuutta tarkemmin neuvottelujen edetessä.
Ottaen huomioon, että asetusehdotus koskee keskeisiltä osiltaan valtiosääntöoikeudellisten arkaluonteisten henkilötietojen rajat ylittävää käsittelyä ja perustuslain mukaan henkilötietojen käsittelystä tulee säätää lailla, neuvotteluissa tulisi valtioneuvoston arvion mukaan varmistaa, että täytäntöönpanosäädöksillä ei päätetä lainsäädännön alaan kuuluvasta henkilötietojen käsittelystä. Valtioneuvoston näkemyksen mukaan kansallisilla viranomaisilla tulisi jatkossakin olla toimivalta päättää asiakirjojen julkisuudesta ja myös salassa pidettävien asiakirjojen luovuttamisesta kansallisen sääntelyn mukaisesti. Lisäksi jäsenmaille tulisi, ottaen huomioon jäsenmaiden erilaiset tekniset ja taloudelliset valmiudet, turvata mahdollisuus vaikuttaa, mitkä palvelut ja minkälaisella aikataululla jatkossa tulevat sääntelyyn piiriin. Kolmansien maiden osalta olisi syytä kiinnittää erityistä huomiota tietosuojan riittävyyttä koskeviin vaatimuksiin, jotka seuraavat suoraan tietosuoja-asetuksesta. Kolmannen maan tietosuojassa on kyse riittävyydestä, joka arvioidaan erikseen, ei täydellisestä vastaavuudesta tietosuoja-asetuksen kanssa.
Hallintomallin muutoksen vaikutukset
Ehdotus tekisi nykyisen rajat ylittävän MinunTerveyteni@EU-palveluiden kautta tapahtuvan terveystietojen välittämisen pakolliseksi.
Vaikka komissio arvioi, että yhteistyön velvoittaminen EU-regulaatiolla nopeuttaisi nykyistä ja tulevaa terveystietojen välittämistä, valtioneuvoston alustavan arvion mukaan sääntelyehdotus ei kuitenkaan tarjoa välineitä tuon yhteistyön nopeuttamiselle. Sen sijaan nykyiset ja uudet palvelut olisi toteutettava epärealistisilla lyhyillä voimaantuloajoilla: nykyiset käyttötapaukset vuoden ja uudet käyttötapaukset kolmen vuoden kuluttua ehdotuksen voimaantulosta. Komission vaikutusarviointikin keskittyy yleisen mallin mukaan tavoitteisiin, toteutustapaan ja odotettuihin tuloksiin, mikä ei huomioi riittävästi toimeenpanon mittakaavaa, monimutkaisuutta, iteratiivisuutta ja riskejä. Valtioneuvosto katsoo tämän takia, että ehdotuksen tavoitteiden toteutuminen edellyttää jatkovalmistelua ja että siinä tulee huomioida muun muassa realistiset voimaantuloajat, toteutettavuus, toistuvuus ja riskienhallinta.
Valtioneuvosto pitää tärkeänä hyödyntää eri viranomaisten ja laitosten yhteistyötä. Lisääntyvien viranomaistehtävien resursointiin on tärkeä kiinnittää huomiota.
Valtioneuvosto suhtautuu varauksellisesti ajatukseen, että yhteistyötä tekevät jäsenmaat olisivat tässä yhteistyössä tietosuoja-asetuksen mukaisia yhteisrekisterinpitäjiä, vaikka sinällään pandemian aikaisessa yhteistyössä (EFGS ja DCC) yhteisrekisterinpitäjien välistä yhteistyötä on jo jäsenmaiden kanssa tullut harjoitettua menestyksellisesti.
Valtioneuvosto arvioi toimintaa tukevat rakenteet, kun tiedetään varmemmin hallintamallin ja yhteistyömallin lopullinen muoto. Ennakoitavissa on kuitenkin nykyisen potilasdirektiivin 14 artiklan mukaisen sähköisten terveyspalvelujen verkoston yhteistyöhön perustuvan valmistelun lopettaminen. Ehdotuksen jatkovalmistelussa on tärkeää varmistaa, että sääntelyehdotus mahdollistaa jo olemassa olevien infrastruktuurien ja niiden palvelujen hyödyntämisen eikä johda julkisin varoin rahoitettaviin päällekkäisiin toimintoihin. Keskeistä uudessa yhteistyömallissa on varmistaa jäsenmaiden näkemysten huomioon ottaminen ja että lainsäädännön alaan kuuluvia asioita ei voisi siirtää komissiolle täytäntöönpanosäädöksillä. Lisäksi hallintomallissa tulee alusta alkaen mahdollistaa eri sidosryhmien osallistuminen.
Siirtymäajat ja täytäntöönpano
Ehdotuksen mukaan asetus tulisi sovellettavaksi 12 kuukauden kuluttua sen voimaantulosta.
Asetusehdotuksessa on vain muutamia siirtymäaikoja ja nekin ovat kovin lyhyitä. Valtioneuvoston katsoo tämän takia, että täytäntöönpanolle tulee varmistaa riittävä aika.
Valtioneuvosto kiinnittää huomiota, että sääntelyehdotuksen täytäntöönpano tulee turvata realistisilla siirtymäajoilla, resursseilla, rahoituksella, alusta alkaen toimivilla tietoturvaratkaisuilla ja kuulemalla alusta alkaen kaikkia keskeisiä sidosryhmiä, kuten esimerkiksi potilasjärjestöjä ja tutkimusyhteisöjä, keskeisiä hallinnonaloja ja toisiokäyttäjiä, kuten esimerkiksi korkeakouluja ja tutkimuslaitoksia. Tämä on myös hallitusohjelman mukaisen TKI-tiekartan mukaista.
Valtioneuvosto varaa mahdollisuuden syventää ja tarkentaa kantaansa valmistelun edessä.