Informationssäkra driftsmiljöer i enlighet med lagen om sekundär användning av personuppgifter inom social- och hälsovården

Att främja och övervaka informationssäkerheten och dataskyddet i sekundära driftsmiljöer

Valvira övervakar och främjar kravenligheten i dataskyddet och informationssäkerheten i sekundära driftsmiljöer för personuppgifter inom social- och hälsovården. Kraven på driftsmiljöer grundar sig på en föreskrift av tillståndsmyndigheten för social- och hälsovårdsdata Findata. Valvira övervakar både den informationssäkra driftsmiljön som Findata tillhandahåller och övriga tjänsteleverantörers datasäkra driftsmiljöer. Dessutom har Valvira ett offentligt register över anmälda driftsmiljöer som uppfyller kraven.

Sekundär användning av enskilda personers personuppgifter inom social- och hälsovården i syften som anknyter till vetenskaplig forskning, statistikföring, beredning av undervisningsmaterial samt i myndighetens planerings- och utredningsuppgifter förutsätter från 1.5.2022 utöver tillstånd även en informationssäker driftsmiljö som uppfyller kraven i Findatas föreskrift. Materialet överlåts i regel till Findatas driftsmiljö. Lagen om sekundär användning gör det möjligt att överlåta uppgifter även till andra driftsmiljöer, ifall det är nödvändigt och om driftsmiljön har ett kravenlighetsintyg utfärdat av ett bedömningsorgan för informationssäkerhet och om driftsmiljön är registrerad i Valviras register över sekundära driftsmiljöer.

Driftsmiljöernas informationssäkerhet kan bedömas av ett bedömningsorgan för informationssäkerhet som godkänts av Transport- och kommunikationsverket Traficom. Traficom har även fastställt under vilka förutsättningar bedömningsorganet kan göra en lagenlig bedömning av en driftsmiljö och utfärda ett intyg över kravenligheten. Vilka bedömningsorgan som har den behörighet som behövs kan man se på Cybersäkerhetsverkets webbplats.

Före den 1 maj 2022 kan man med stöd av lagen dock lämna ut uppgifter till de som har tillstånd att behandla uppgifterna, även om det i ansökan om dataanvändningstillstånd inte anvisas en i lagen avsedd informationssäker driftmiljö för behandlingen av uppgifter. I detta fall krävs det ett dataanvändningstillstånd för viss tid för att få uppgifter. Tillståndet får inte gälla längre än till den 30 april 2022.

Kraven på sekundära driftsmiljöer grundas på

• lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019) samt på
• en föreskrift av tillståndsmyndigheten för social- och hälsovårdsdata Findata.

Driftsmiljön måste anmälas till Valviras register över driftsmiljöer för sekundär användning, men måste uppfylla kraven för dataskydd och informationssäkerhet innan registrering och ibruktagande. Miljöns tjänsteleverantör är skyldig att bevisa att driftsmiljön är kravenlig. Kraven på dataskydd och informationssäkerhet måste uppfyllas även efter ibruktagandet hela den tid som driftsmiljön är i produktionsanvändning och i Valviras register. Informationssäkerheten och dataskyddet ska beaktas bland annat gällande åtgärder för riskkontroll, vid ändringar i driftsmiljöerna och i kontrollmodellen för informationssäkerhet. Driftsmiljöns tjänsteleverantör är även skyldig att på ett systematiskt sätt följa upp och bedöma erfarenheterna under produktionsanvändningen.

Tjänsteleverantören är skyldig att med ett gällande intyg från ett bedömningsorgan för informationssäkerhet, med uppdaterad dokumentation och vid behov i den tekniska driftsmiljön bevisa att driftsmiljön uppfyller kraven.

Valvira övervakar de driftsmiljöer som avses i lagen om sekundära driftsmiljöer bland annat med kontroll- och styrningsbesök, med rapporter och granskningar.