Toisiolain mukaiset käyttöympäristöt
Valvira valvoo ja edistää, että sosiaali- ja terveystietojen toisiokäyttöympäristöt täyttävät tietosuojaa ja tietoturvaa koskevat vaatimukset. Käyttöympäristöjen vaatimukset perustuvat lakiin sosiaali- ja terveystietojen toissijaisesta käytöstä (toisiolaki) sekä sosiaali- ja terveysalan tietolupaviranomaisen Findatan antamaan määräykseen 1/2022. Valvira ylläpitää julkista Astori-rekisteriä sille ilmoitetuista vaatimukset täyttävistä käyttöympäristöistä.
Yksittäisten henkilöiden sosiaali- ja terveystietojen toissijainen käyttö tieteellisessä tutkimuksessa ja tilastoinnissa, opetusaineiston valmistamisessa sekä viranomaisen suunnittelu- ja selvitystehtävissä edellyttää toisiolain mukaista tietolupaa. Tietoluvan mukaisten aineistojen käyttö pitää tapahtua Findatan määräyksessä 1/2022 kuvattujen vaatimusten mukaisessa tietoturvallisessa käyttöympäristössä. Toisiolain perusteella tietoluvan mukaiset aineistot luovutetaan ensisijaisesti Findatan ylläpitämään käyttöympäristöön. Perustellusta syystä aineistot on myös mahdollista luovuttaa muuhun vaatimukset täyttävään käyttöympäristöön.
Vaatimukset täyttävät käyttöympäristöt pitää rekisteröidä Valviran ylläpitämään, julkiseen Astori-rekisteriin ennen niiden käyttöönottoa. Rekisteröinnin edellytyksenä on Findatan määräyksen 1/2022 mukainen tietoturvallisuustodistus. Tietoturvallisuustodistuksen myöntää Liikenne- ja viestintävirasto Traficomin hyväksymä arviointilaitos. Lue lisää rekisteröinnistä Käyttöympäristön rekisteröinti -sivulta. Käyttöympäristön palveluntarjoaja on velvollinen osoittamaan voimassa olevalla tietoturvallisuuden arviointilaitoksen todistuksella, ajantasaisella dokumentaatiolla ja tarvittaessa teknisestä käyttöympäristöstä, että käyttöympäristö täyttää sille asetetut vaatimukset.
Tietosuoja- ja tietoturvavaatimusten pitää täyttyä koko käyttöympäristön tuotantokäyttöajan, ja käyttöympäristön pitää olla rekisteröitynä Astori-rekisterissä. Tietoturva ja tietosuoja pitää huomioida muun muassa riskienhallinnan toimenpiteissä, käyttöympäristön muutostilanteissa ja tietoturvan hallintamallissa. Käyttöympäristön palveluntarjoaja on myös velvollinen seuraamaan ja arvioimaan järjestelmällisesti tuotantokäytön aikana saatavia kokemuksia.
Valvira valvoo toisiolain mukaisia käyttöympäristöjä muun muassa arviointi- ja ohjauskäynneillä, selvityksillä ja tarkastuksilla.
Usein kysyttyä käyttöympäristöistä
Tietoturvallinen käyttöympäristö tarkoittaa teknistä, organisatorista ja fyysistä tietojen käsittelyn toimintaympäristöä, jossa tietoturvallisuus on varmistettu asianmukaisin hallinnollisin ja teknisin toimin. Asianmukaisilla toimilla tarkoitetaan toisiolaissa kuvattuja ja sosiaali- ja terveysalan tietolupaviranomaisen Findatan määräyksen 1/2022 vaatimukset täyttäviä toimia.