Centrala begrepp som gäller sekundär användning och tilläggsuppgifter
Centrala begrepp
En informationssäker driftsmiljö
En informationssäker driftsmiljö innebär en teknisk, organisatorisk och fysisk miljö för databehandling där informationssäkerheten har säkrats med behöriga administrativa åtgärder. Med behöriga åtgärder avses de åtgärder som beskrivs i lagen om sekundär användning och åtgärder som uppfyller kraven i en föreskrift av tillståndsmyndigheten för social- och hälsovårdsdata Findata.
Driftsmiljöns tjänsteleverantör
Med driftsmiljöns tjänsteleverantör avses en aktör som erbjuder sina kunder tjänster som anknyter till en informationssäker driftsmiljö. Om driftsmiljön omfattar en helhet där flera olika tjänsteleverantörer är delaktiga, anmäls till Valviras register över sekundära driftsmiljöer en tjänsteleverantör som representerar helheten. Tjänsteleverantörernas organisationer ansvarar sinsemellan för sina egna avtals- och ansvarsförhållanden. Valvira sköter styrnings- och kontrollåtgärder med den tjänsteleverantör som anmälts till registret.
FAQ - Vanliga frågor
Registrering
1A. Fråga
Varför ska sekundära driftmiljöer registreras i Valvira-registret?
1A. Svar
Registreringen av sekundära driftmiljöer krävs enligt sekundärlagen. Registrering är en del av demonstrationen av överensstämmelse med driftsmiljön. Driftmiljöns tjänsteleverantör är ansvarig för de juridiska skyldigheter som ålagts den och för kraven på en säker driftsmiljö, som måste uppfyllas vid registrering och därefter. Förutom att upprätthålla registret är Valviras uppgift att övervaka och främja efterlevnad av dataskydd och datasäkerhetskrav för säkra driftsmiljöer. Vid behov kan Valvira till exempel utföra inspektioner av registrerade driftmiljöer.
Registrering är också relevant för överföring av uppgifter som avses i sekundärlagen. Material som kräver datatillstånd får endast släppas till kompatibla och registrerade sekundära miljöer.
2A. Fråga
När en sekundär driftsmiljö för sjukvårdsdistriktets vetenskapliga forskning utförs av en IT-tjänsteleverantör, vilken part, sjukvårdsdistriktet eller IT-tjänsteleverantören anmäler den sekundära driftsmiljön till Valviras register?
2A. Svar
Sjukvårdsdistriktet och IT-tjänsteleverantören beslutar sinsemellan, vilken organisation som anges som tjänsteleverantör, och som bär det totala ansvaret för de förpliktelser som åläggs tjänsteleverantören och för de krav som gäller en sekundär driftsmiljö. Det är viktigt att ett kravenlighetsintyg utfärdat av ett bedömningsorgan för informationssäkerhet skrivs ut på den organisation som bär det totala ansvaret som driftsmiljöns tjänsteleverantör och att samma part anmäler driftsmiljön till Valviras register. Tjänsteleverantören ska ha FO-nummer eller VAT-kod. Den organisation som bär det totala ansvaret kan med avtal dela det faktiska ansvaret med ett partnernätverk. Organisationerna ansvarar sinsemellan för sina egna avtals- och ansvarsrelationer. Valvira sköter styrnings- och kontrollåtgärder med den tjänsteleverantör som anmälts till registret. En tjänsteleverantör som anmäler sig till registret meddelar en kontaktperson vid registreringen.
Anmälan till registret eller ändringar i registerinnehållet via den digitala tjänsten turvalomake eller genom att sända PDF-blanketten till
kirjaamo(at)valvira.fi
Övervakningsärenden per e-post till
kirjaamo(at)valvira.fi
Kontakt som gäller vägledning och anvisningar per e-post till
toisiokaytonvalvonta(at)valvira.fi
En anmälan och en ändring till Toini-registret (valvira.fi)
Godkända bedömningsorgan för informationssäkerhet (kyberturvallisuuskeskus.fi)
552/2019 Lagen om sekundär användning av personuppgifter inom social- och hälsovården (finlex.fi)
Föreskrift av tillstånds- och tillsynsmyndigheten för social- och hälsovården, Krav på informationssäkerheten i övriga tjänsteleverantörers driftsmiljöer (findata.fi, på finska)
Distansdriftsmiljö som tillhandahålls av tillståndsmyndigheten för social- och hälsovårdsdata (findata.fi)
Vanliga frågor om sekundär användning av personuppgifter inom social- och hälsovården (stm.fi)
Valviras prislista (valvira.fi )