Driftmiljöer i enlighet med lagen om sekundär användning av personuppgifter inom social- och hälsovården

Valvira övervakar och främjar kravenligheten i dataskyddet och informationssäkerheten i sekundära driftsmiljöer för personuppgifter inom social- och hälsovården. Kraven på driftmiljöer grundar sig på lagen om sekundär användning av social- och hälsovårdsuppgifter (lagen om sekundär användning) samt på föreskrift 1/2022 av tillståndsmyndigheten för social- och hälsovårdsdata Findata. Valvira upprätthåller det offentliga Astori-registret över anmälda driftmiljöer som uppfyller kraven.

Sekundär användning av enskilda personers social- och hälsovårdsuppgifter inom vetenskaplig forskning och statistikföring, vid framställning av undervisningsmaterial samt i myndigheternas planerings- och utredningsuppgifter förutsätter ett dataanvändningsstillstånd i enlighet med lagen om sekundär användning. Användning av material i enlighet med ett dataanvändningstillstånd ska ske i en informationssäker driftmiljö som uppfyller kraven i Findatas föreskrift 1/2022. På basis av lagen om sekundär användning lämnas material i enlighet med ett dataanvändningstillstånd i första hand ut till driftsmiljöer som upprätthålls av Findata. Av motiverade skäl är det också möjligt att överlåta materialet till en annan driftmiljö som uppfyller kraven.

Innan de tas i bruk ska de driftmiljöer som uppfyller kraven registreras i det offentliga Astori-registret som upprätthålls av Valvira. Ett datasäkerhetsintyg i enlighet med Findatas föreskrift 1/2022 är en förutsättning för registrering. Datasäkerhetsintyg utfärdas av bedömningsorgan som har godkänts av Trafik- och kommunikationsverket Traficom. Läs mer om registrering på sidan Registrering av driftmiljö. Tjänsteleverantören för driftmiljön är skyldig att med ett gällande intyg från ett bedömningsorgan för datasäkerhet, med uppdaterad dokumentation och vid behov i den tekniska driftmiljön bevisa att driftmiljön uppfyller de krav som ställs på den.

Dataskydds- och informationssäkerhetskraven ska uppfyllas under driftmiljöns hela produktionsanvändningstid, och driftmiljön ska vara registrerad i Astori-registret. Informationssäkerheten och dataskyddet ska beaktas bland annat vid riskhanteringsåtgärder, i händelse av ändringar i driftmiljön och i modellen för dataskyddshantering. Driftmiljöns tjänsteleverantör är även skyldig att på ett systematiskt sätt följa upp och bedöma erfarenheterna under produktionsanvändningen.

Valvira övervakar de driftmiljöer som avses i lagen om sekundära driftmiljöer bland annat genom kontroll- och styrningsbesök, rapporter och granskningar.

Vanliga frågor om driftmiljöer