Toisiokäyttöympäristöjen rekisteri
Valvira ylläpitää julkista rekisteriä sille ilmoitetuista, tietoturva- ja tietosuojavaatimukset täyttävistä toisiokäyttöympäristöistä. Viranomaiset hyödyntävät rekisteriä muun muassa toisiokäyttöön liittyvien tietolupien käsittelyssä ja valvontatehtävissä. Toisiolain mukaista aineistojen analysointia tekevät organisaatiot voivat lisäksi tarkistaa rekisteristä, että heidän palveluntarjoajansa käyttöympäristöllä on voimassa oleva lakisääteinen tietoturvallisuuden vaatimustenmukaisuustodistus. Tietoturvallisuuden vaatimustenmukaisuustodistus edellytetään sellaisilta käyttöympäristöiltä, joissa analysoidaan aineistoja niissä toisiolain tarkoituksissa, joihin tarvitaan tietolupa. Tällaisia käyttötarkoituksia ovat tieteellinen tutkimus, tilastointi, viranomaisen suunnittelu- ja selvitystehtävä sekä opetusaineiston valmistaminen.
Toisiokäyttöympäristöjen julkinen rekisteri Toini
Toini-rekisteri (Excel, päivitetty 6.10.2022)
Rekisteriin ilmoittautuminen ja rekisteröintimaksut
Toisiokäyttöympäristö täytyy ilmoittaa Valviran ylläpitämään rekisteriin ennen käyttöympäristön käyttöönottoa siinä vaiheessa, kun se on saanut tietoturvallisuuden arviointilaitoksen vaatimustenmukaisuustodistuksen. Toisiolain nojalla tehdyt rekisteröinnit ovat maksullisia. Maksu määräytyy Valviran hinnaston mukaisesti. Käyttöympäristön tietoturvan arviointi edellyttää palveluntarjoajalta etukäteisvalmisteluja. Arvioinnissa käsitellään laaja-alaisesti organisaation tietoturvaa, joten arviointiin on hyvä varata riittävästi aikaa.
Palveluntarjoaja vastaa siitä, että se ilmoittaa tarjoamansa käyttöympäristöt Valviran rekisteriin. Toisiokäyttöympäristön rekisteröinti edellyttää aina tietoturvallisuuden arviointilaitoksen myöntämää vaatimustenmukaisuustodistusta. Käyttöympäristön palveluntarjoaja vastaa siitä, että käyttöympäristöllä on voimassa oleva tietoturvallisuuden arviointilaitoksen myöntämä todistus.
Palveluntarjoajalla tarkoitetaan toimijaa, joka tarjoaa asiakkailleen tietoturvalliseen käyttöympäristöön liittyviä palveluita. Mikäli käyttöympäristö koostuu useiden palveluntarjoajien kokonasuudesta, ilmoitetaan rekisteriin yksi kokonaisuutta edustava Y-tunnuksellinen tai VAT-tunnuksellinen palveluntarjoaja. Palveluntarjoajat vastaavat keskenään omista sopimus- ja vastuusuhteistaan. Valvira hoitaa ohjaus- ja valvontatoimet rekisteriin ilmoitetun palveluntarjoajan kanssa. Rekisteriin ilmoittautuva palveluntarjoaja ilmoittaa rekisteröinnin yhteydessä yhteyshenkilönsä.
Ilmoittamisvaihtoehdot
- Lähetä rekisteröinti-ilmoitus turvalomakepalvelussa
- Täytä rekisteröinti-ilmoituslomake (PDF-lomake) ja lähetä se sähköpostin liitteenä Valviran kirjaamoon kirjaamo(at)valvira.fi otsikolla Uuden toisiokäyttöympäristön rekisteröinti.
Rekisteröintiprosessi
Toisiokäyttöympäristöjen rekisteröintiprosessi (PDF)
1.A Tietoturvallisuuden arviointilaitos toimittaa käyttöympäristöä koskevan tietoturva-auditoinnin vaatimustenmukaisuustodistuksen Valviran kirjaamoon kirjaamo(at)valvira.fi.
1.B Käyttöympäristön palveluntarjoaja toimittaa käyttöympäristön rekisteröinti-ilmoituksen Valviran kirjaamoon kirjaamo(at)Valvira.fi.
2. Sosiaali- ja terveydenhuollon lupa- ja valvontavirasto Valvira ottaa rekisteröinnin vireille ensimmäisenä tulleesta yhteydenotosta.
3A ja 3B. Valvira vertailee vaatimustenmukaisuustodistuksen ja rekisteröinti-ilmoituksen tietoja keskenään ja varmistaa, että ilmoitetut tiedot ovat rekisteröinnin kannalta asianmukaisia. Mikäli tiedot eivät ole rekisteröinnin kannalta asianmukaisia Valvira pyytää lisätietoja tai muutosta.
4. Valvira lisää käyttöympäristön julkiseen Valviran rekisteriin ja ilmoittaa lisäyksestä käyttöympäristön palveluntarjoajalle, kun tiedot ovat rekisteröinnin kannalta asianmukaiset.
5. Käyttöympäristön palveluntarjoaja ottaa vastaan ilmoituksen käyttöympäristön rekisteröinnistä.
6. Valvira laskuttaa palveluntarjoajalta rekisteröintimaksun.
7. Käyttöympäristön palveluntarjoaja maksaa rekisteröintimaksun laskun.
Rekisterin muutokset
Käyttöympäristön palveluntarjoaja vastaa siitä, että se ilmoittaa käyttöympäristöä, palveluntarjoajaa ja tietoturvallisuuden arviointilaitoksen vaatimustenmukaisuustodistusta koskevat oleelliset muutokset ajantasaisesti Valviralle.
Vaihtoehdot rekisteritietojen muutosten ilmoittamiseksi Valviralle
- Lähetä rekisteritietojen muutos turvalomakepalvelussa
- Täytä rekisteritietojen muutosilmoituslomake (PDF-lomake) ja lähetä se sähköpostin liitteenä Valviran kirjaamoon kirjaamo (at) valvira.fi otsikolla Toisiokäyttöympäristön rekisteritietojen muutos.
Oleellisia Valviran rekisteriin ilmoitettavia muutoksia ovat:
- Käyttöympäristön nimen muutos (nimen tulee olla yksilöllinen ja siinä muodossa, jossa käyttöympäristöä tarjotaan asiakkaalle)
- Palveluntarjoajan nimen muutos
- Palveluntarjoajan Y-tunnus tai VAT-tunnus
- Yhteyshenkilön muutos ja yhteystietojen muutokset
- Tietoturvallisuuden arviointilaitoksen todistuksen muutokset
- Muutokset todistuksen voimassaoloon
- Muutokset tietoturvallisuuden arviointilaitoksen rajoituksiin
- Muut oleelliset todistuksen muutokset
Rekisteritietojen muutokset ovat maksullisia silloin, kun rekisteröidään tietoturvallisuuden arviointilaitoksen todistusmuutoksia, peruutuksia ja epäämisiä sekä kehotuksia ja rajoituksia. Muut rekisteritietojen muutokset ovat ilmaisia.
Toisiokäyttöympäristöt - Valviran verkkoasiointi
- Rekisteröinti-ilmoitus (valvira.fi)
- Rekistetietojen muutosilmoitus (valvira.fi)
Rekisteriin ilmoittautuminen tai rekisterisisällön muutokset Valviran verkkoasioinnin kautta tai toimittamalla PDF-lomake osoitteeseen
kirjaamo(at)valvira.fi
Valvonta-asiat sähköpostitse osoitteeseen
kirjaamo(at)valvira.fi
Neuvontaa ja ohjeistusta koskevat yhteydenotot sähköpostitse osoitteeseen
toisiokaytonvalvonta(at)valvira.fi
Hyväksytyt tietoturvallisuuden arviointilaitokset (kyberturvallisuuskeskus.fi)
552/2019 Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (finlex.fi)
Sosiaali- ja terveysalan tietolupaviranomaisen tarjoama etäkäyttöympäristö (findata.fi)
Usein kysyttyä sote-tietojen toissijaisesta käytöstä (stm.fi)