Teksti

Terveysteknologia ry:n lausunto asiakastietolakiin liittyvistä THL:n määräysluonnoksista (määräykset 4, 5 ja 6)

27.10.2021 klo 16.08
Terveysteknologia ry on 27.10.2021 antanut lausunnon asiakastietolakiin liittyvistä THL:n määräysluonnoksista liittyen tietojärjestelmien luokitteluun ja sertifiointiin (määräys 4), olennaisiin toiminnallisiin ja tietoturvavaatimuksiin (määräys 5) sekä omatietovarantoon liitettävien hyvinvointitietoja käsittelevien hyvinvointisovellusten olennaisiin vaatimuksiin ja sertifiointeihin (määräys 6).

Asiakastietolain tarkoituksena on mm. edistää ja mahdollistaa sosiaali- ja terveydenhuollon tuottamien asiakastietojen ja asiakkaan itsensä tuottamien hyvinvointitietojen tietoturvallista käsittelyä terveydenhuollon ja sosiaalipalveluiden järjestämisen ja tuottamisen käyttötarkoituksissa.

Yhteenveto

  • Kannatamme sosiaali- ja terveysministeriön (STM) sekä Terveyden ja hyvinvoinnin laitoksen (THL) tavoitteita edistää potilasturvallisuutta sekä henkilötietojen suojaa luomalla selkeät toiminnalliset ja tietoturvavaatimukset terveydenhuollon tietojärjestelmille ja hyvinvointisovelluksille.
  • Kiitämme terveysteknologia-alan toimivaltaisia viranomaisia hyvästä yhteistyöstä yhteisten tavoitteiden saavuttamiseksi.
  • Näemme vaarana, että Suomi on etääntymässä eurooppalaisista politiikkalinjauksista ja omaksumassa Euroopan sisämarkkinoita rajoittavia lokalisoituja ratkaisuja.
  • Korostamme potilasturvallisuutta sekä sääntelyä ja valvontaa osana vastuullista liiketoimintaa terveysteknologia-alalla.
  • EU:n datapolitiikan toimeenpanon yhteydessä on todettu, että päällekkäiset viranomaisvastuut voivat aiheuttaa toimivaltaa koskevia ristiriitoja ja epävarmuutta sääntelyn velvoittamille toimijoille. Toteamme, että sama riski on realisoitumassa kansallisessa sääntelyssämme.
  • Kansallinen terveysalan sääntelymme on jo pitkään ollut muodostumassa varsin monimutkaiseksi, raskaaksi ja kalliiksi.
  • Jäsenyrityksillemme on määräysluonnoksia lukiessaan ollut vaikea hahmottaa, mitkä lausunnoilla olevista määräyksistä koskevat heitä ja heidän tuotteitaan.
  • Suomessa STM:n hallinnonalan halu hyödyntää kaupallisia pilvipalveluita vaikuttaisi olevan vähäistä.
  • Määräykset eivät suoraan kiellä kansainvälisten pilvipalveluiden käyttöä, mutta niissä heijastuu huoltovarmuuteen viittavia huolia
  • Huolet ovat ymmärrettäviä ja tärkeitä.
  • Ilman vuoropuhelua voidaan päätyä tilanteeseen, jossa alan tarjonta ja palvelut sekä mahdollisuudet hyödyntää teknologista kehitystä potilashoidon tehostamisessa ja parantamisessa vähenevät merkittävästi.
  • Pidämme erittäin tärkeänä, että STM:n hallinnonalalla käydään avoin ja läpinäkyvä keskustelu siitä, mitä huoltovarmuudella tarkoitetaan ja tavoitellaan sekä miten sitä voidaan parhaiten turvata. Mitkä ovat kriittisiä järjestelmiä, kriittisiä potilastietoja ja mitä vaatimuksia niihin kohdistuu?
  • Modernia huoltovarmuutta tulisi rakentaa yhteistyössä luotettavien kotimaisten ja kansainvälisten kumppaneiden kanssa tukien innovatiivisen teknologian kehittämistä ja rakentaen yhteiseurooppalaista kilpailukykyä.
  • Pilviteknologian tehokas hyödyntäminen on Suomen kansantalouden ja erityisesti potilaiden terveyden näkökulmasta tärkeää. Jos esimerkiksi uusimpia teknologiainnovaatioita (mm. tekoälyyn liittyen) ei kyetä hyödyntämään, jää moni sairaus löytämättä ja oikea terapia määrittämättä.
  • Myös kotimaista IT-yrityskenttää tuetaan parhaiten mahdollistamalla niille kansainvälisen tason IT-ratkaisujen kehittäminen ja käyttöönotto Suomessa, jotta ne saavat tarvittavan referenssin ponnistaakseen ulkomaille. Vahva vientiteollisuus tuo vientituloja, työllisyyttä ja lisääntyvää hyvinvointia Suomeen.
  • EU-komission viesti on, että myös arkaluonteisia tietoja saa tallentaa ja säilyttää muuallakin kuin oman maan alueella ja teknologiaa tulisi vastaavasti kehittää ja hyödyntää vaativien datasettien turvaamiseksi.
  • Oleellista tietoturvan ratkaisuissa on se, että niiden ylläpitämisen ja kehittämisen taustalla on riittävät resurssit vastaamaan kehittyviin kyberuhkiin.
  • Hyvinvointisovelluksia kehittävien yritysten kokonaiskustannukset voivat nousta yli 50.000 euroon, mikäli ne haluavat liittyä Omatietovarantoon. Tämä on merkittävä kustannus, etenkin pienemmille yrityksille.
  • Taloudellisten vaikutusten arviointia ei määräysten luonnosvaiheessa ole tehty.
  • Tavoitetilaksi tulisi asettaa, että yhden kansallisen tietoturva-auditoinnin läpikäyminen (esim. toisiolain tai digiHTA:n vuoksi) hyväksyttäisiin sellaisenaan asiakastietolain tarkoituksiin, ja päinvastoin.
  • Määryksissä omaksuttuja ratkaisuja tulisi peilata tarkemmin vasten reilun datatalouden periaatteita sekä muita kehitteillä olevia STM:n hallinnonalan datahankkeita ja varmistaa, että ne ovat tavoitteiltaan keskenään linjassa.

Koko lausunto:

TERVEYDEN JA HYVINVOINNIN LAITOKSELLE

Asia: Lausunto määräysluonnoksista tietojärjestelmien luokittelusta ja sertifioinnista (määräys 4), olennaisista toiminnallisista ja tietoturvavaatimuksista (määräys 5) sekä omatietovarantoon liitettävien hyvinvointitietoja käsittelevien hyvinvointisovellusten olennaisista vaatimuksista ja sertifioinnista (määräys 6).

Terveyden ja hyvinvoinnin laitos (THL) on pyytänyt lausuntoja mm. otsikossa mainituista määräysluonnoksista. THL:n määräyksenantovaltuus perustuu lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (784/2021, jäljempänä asiakastietolaki). Asiakastietolain tarkoituksena on mm. edistää ja mahdollistaa sosiaali- ja terveydenhuollon tuottamien asiakastietojen ja asiakkaan itsensä tuottamien hyvinvointitietojen tietoturvallista käsittelyä terveydenhuollon ja sosiaalipalveluiden järjestämisen ja tuottamisen käyttötarkoituksissa.

Yhdistyksemme on terveysteknologian alan toimialayhteisö ja sen tarkoituksena on edustaa yhteisöönsä kuuluvia yrityksiä sekä valvoa niiden yhteisiä etuja. Jäsenistössämme on 158 yritystä, ml. lääkinnällisten laitteiden ja IVD-laitteiden valmistajia, terveydenhuollon tietojärjestelmiä, ohjelmistoja ja hyvinvointisovelluksia kehittäviä yrityksiä sekä näitä tukevia palveluyrityksiä ja vaatimustenmukaisuutta arvioivia sertifiointilaitoksia.

Kiitämme mahdollisuudesta lausua THL:n määräysluonnoksista. Kannatamme sosiaali- ja terveysministeriön (STM) ja THL:n tavoitteita edistää potilasturvallisuutta sekä henkilötietojen suojaa luomalla selkeät toiminnalliset ja tietoturvavaatimukset terveydenhuollon tietojärjestelmille ja hyvinvointisovelluksille. Sääntelyn noudattaminen on keskeinen osa vastuullista liiketoimintaa terveysteknologia-alalla ja hyvin resursoitu viranomaisohjaus ja -valvonta tukevat yrityskenttää tässä toiminnassaan. Yhdistyksemme strateginen tavoite on tukea jäsenyrityksiämme käsillä olevien määräysten sekä muiden alaa normittavien säännösten omaksumisessa. Kiitämme terveysteknologia-alan toimivaltaisia viranomaisia hyvästä yhteistyöstä yhteisten tavoitteiden saavuttamiseksi.

Olemme kuitenkin huolissamme siitä, että STM:n hallinnonalalla mahdollistavien lainsäädäntöuudistusten tavoitellut hyödyt jäävät saavuttamatta innovaatioita rajoittavien tai niitä estävien lakia alemman asteisten viranomaismääräysten vuoksi. Näemme vaarana, että Suomi on etääntymässä eurooppalaisista politiikkalinjauksista ja omaksumassa Euroopan sisämarkkinoita rajoittavia lokalisoituja ratkaisuja. Ystävällisesti ehdotamme, että THL käsittelee määräysluonnosten lopulliset ratkaisut yhdessä STM:n kanssa ja varmistaa, että tavoiteltu suunta on linjassa eurooppalaisen teollisuuspolitiikan kanssa ja että vaikutustenarviointi suoritetaan huomioiden lausuntokierroksella saapunut palaute. Lausuntomme on osoitettu THL:lle, mutta sen viesti on suunnattu yhtä lailla STM:lle.

Toteamme lausuntonamme seuraavaa:

Alan sääntely ja valvonta

Terveysteknologia-ala on potilasturvallisuuteen nojautuva, vahvasti säännelty toimiala. Alaa normittaa suoraan velvoittavan EU-sääntelyn lisäksi sitä täydentävät kansalliset lait sekä sitovuudeltaan eri asteiset asetukset, määräykset ja suositukset. Sovellettava normiverkko voi liittyä esimerkiksi lääkinnällisten laitteiden suunnittelun, valmistuksen ja käytön koko elinkaareen, kliinisten tutkimusten, biopankkitutkimusten sekä rekisteritutkimusten tekemiseen, tietosuojaan, tietoturvallisuuteen ja kyberturvaan taikka (digi)HTA-arviointeihin.

Valvovia viranomaisia on yhtä monia kuin sovellettavia lakeja. Asiakastietolain myötä yritysten tulee asioida sekä Kelan, Valviran että Fimean kanssa ja jokaista kohtaan on useista eri laeista johtuvia raportointivelvoitteita. EU:n datapolitiikan toimeenpanon yhteydessä on todettu, että päällekkäiset viranomaisvastuut voivat aiheuttaa toimivaltaa koskevia ristiriitoja ja epävarmuutta sääntelyn velvoittamille toimijoille. Toteamme, että sama riski on realisoitumassa kansallisessa sääntelyssämme. Ehdotamme, että viranomaisten toimivaltasuhteista annettaisiin toimialalle erillistä ohjeistusta, jotta ne olisivat selkeitä yrityskentälle. Toimijoiden hallinnollista taakkaa oli tarkoitus keventää siirtämällä terveydenhuollon laitteiden valvonta- ja rekisteröintitehtävät Valviralta Fimealle, mutta digitaalisten terveysratkaisujen lisääntymisen myötä nuo toimivaltarajat tuntuvat jälleen hämärtyneen ja asiakastietolain voimaantulo tarjoaisi nyt mahdollisuuden niistä viestimiseen.

Huomioiden eri lakien kokonaisvaikutukset yksittäisten laitteiden, tietojärjestelmien ja sovellusten kehittämiseen ja käyttöönottoon suomalaisessa terveydenhuollossa toteamme, että kansallinen terveysalan sääntelymme on jo pitkään ollut muodostumassa varsin monimutkaiseksi, raskaaksi ja kalliiksi. Ehdotamme, että THL yhdessä STM:n, Findatan ja Fimean kanssa tekisi selvityksen lainsäädännön vaikutuksista terveysteknologia-alaan ja selvittäisi tiiviimmän yhteistyön mahdollisuuksia, jotta potilasturvallisuus ei vaarantuisi päällekkäisten lainsäädäntövaatimusten, toimivaltuuksien ja kustannusten aiheuttamien vaikeuksien vuoksi.

Toteamme huolenamme, että jäsenyrityksillemme on määräysluonnoksia lukiessaan ollut vaikea hahmottaa, mitkä lausunnoilla olevista määräyksistä koskevat heitä ja heidän tuotteitaan. Määräyksiä on yhtäaikaisesti lausuttavana yhteensä kuusi ja yksityiskohdat on lisäksi määritelty määräyksien liitteissä. Kokonaisuus on haastava. Yhteisen keskustelutilaisuuden järjestäminen oli tässä tilanteessa tarpeellinen ja kiitämme lämpimästi THL:ää osallistumisesta yhdistyksemme työryhmäkokoukseen määräysten yhteiseksi läpikäymiseksi. Ehdotamme, että THL pitäisi vielä erillisen oman tiedotustilaisuuden määräysten jatkovalmistelun yhteydessä.

Pilvipalvelut

Suomessa STM:n hallinnonalan halu hyödyntää kaupallisia pilvipalveluita vaikuttaisi olevan vähäistä ja tämä korreloi nähdäksemme suoraan sen kanssa, että maassamme on kriittisten terveydenhuoltopalvelujen saatavuuteen ja turvaamiseen luotua kansallista, esim. Kelan ja Findatan ylläpitämää infrastruktuuria. Niiden tietoturvavaatimukset infrastruktuuriin kytkeytyville yrityksille määräytyvät usein lakia alemman asteisiin määräyksiin perustuen. Määräyksistä tulee käytännössä oikeudellisesti sitovia, kun ne on annettu lakiin kirjatulla määräyksenantovaltuudella. Näin on myös mm. käsillä olevien THL:n määräysluonnosten osalta.

Määräykset eivät suoraan kiellä kansainvälisten pilvipalveluiden käyttöä, mutta niissä heijastuu huoltovarmuuteen viittavia huolia, joiden johdosta monet tietojärjestelmät, ml. kansainväliset pilvipalvelut arvioidaan suomalaisia, mm. huoltovarmuutta korostavia vaatimuksia vasten. Käsityksemme mukaan tämä hidastaa tai rajoittaa terveydenhuollolle tärkeiden kansainvälisten pilvipalveluiden käyttämistä. Olemme huolissamme esimerkiksi siitä, että määräyksen 5 liitteen 2 AKYM 11-12 vaikuttaisivat edellyttävän kaikkien potilas- ja lääketietojen säilyttämistä aina Suomessa. Ne myös mahdollistaisivat vain sellaiset pilvipalvelut, joiden datakeskukset, hallinto-, varmuuskopiointi- ja ylläpitoratkaisut sijaitsevat Suomessa. Näiden ehdotusten taustalla on ymmärtääksemme huoli siitä, että tiedot ovat varmasti saatavilla myös tilanteessa, jossa Suomen yhteydet ulkomaailmaan katkeaisivat. Huoli on ymmärrettävä ja tärkeä. Ehdotamme kuitenkin, että tältä osin käytäisiin laajempi keskustelu eri vaihtoehdoista huoltovarmuuden turvaamiseksi. Ilman vuoropuhelua päädytään käsittääksemme tilanteeseen, jossa alan tarjonta ja palvelut sekä mahdollisuudet hyödyntää teknologista kehitystä potilashoidon tehostamisessa ja parantamisessa vähenisivät merkittävästi. Monet Suomen merkittävimmistä julkisista ja yksityisistä terveydenhuollon toimintayksiköistä ovat jo tehneet siirtymän pilvipalveluihin. Näistä luopuminen johtaisi käsityksemme mukaan huomattavaan kustannusten nousuun ja digitalisointimahdollisuuksien vähentymiseen. Lisäksi sote-tietojen toissijainen käsittely vaikeutuisi entisestään.

Pitäisimme erittäin tärkeänä, että STM:n hallinnonalalla käytäisiin avoin ja läpinäkyvä keskustelu siitä, mitä huoltovarmuudella tarkoitetaan ja tavoitellaan sekä miten sitä voidaan parhaiten turvata. Mitkä ovat kriittisiä järjestelmiä, kriittisiä potilastietoja ja mitä vaatimuksia niihin kohdistuu?

Näkemyksemme mukaan modernia huoltovarmuutta tulisi rakentaa yhteistyössä luotettavien kotimaisten ja kansainvälisten kumppaneiden kanssa tukien innovatiivisen teknologian kehittämistä ja rakentaen yhteiseurooppalaista kilpailukykyä. Kun palvelut suunnitellaan oikein, saadaan kriittiset toiminnot esimerkiksi sairaaloissa turvattua myös kriisitilanteissa, kuten kyberhyökkäyksissä tai hybridi- ja kybersodankäynnissä.

Kansallisilla suljetuilla pilviratkaisuilla ei käsityksemme mukaan ole mahdollisuuksia johtaa globaaleja pilvimarkkinoita, jotka kasvavat räjähdysmäisesti. Viranomaisten suljetuissa tietoturvaympäristöissä ei ole myöskään tarjolla kilpailukykyisiä työkaluja ja palveluja, joita terveydenhuoltomme tarvitsee. Uusimmat teknologiat, esimerkiksi tekoälyyn liittyen, ovat saatavissa usein ainoastaan kansainvälisissä julkisissa pilvipalveluissa, joista ne pystytään tuottamaan, ylläpitämään ja päivittämään mahdollisimman nopeasti sekä kustannustehokkaasti. Suomen kilpailukyvyn edellytys on pysyä mukana tässä kansainvälisessä kehityssuunnassa.

Innovaatiomyönteinen politiikka ei ole vain mahdollistavaa sääntelyä, vaan myös mahdollistavia viranomaispäätöksiä. Pilviteknologian tehokas hyödyntäminen on Suomen kansantalouden ja erityisesti potilaiden terveyden näkökulmasta tärkeää. Jos esimerkiksi uusimpia teknologiainnovaatioita (mm. tekoälyyn liittyen) ei kyetä hyödyntämään, jää moni sairaus löytämättä ja oikea terapia määrittämättä. Myös kotimaista IT-yrityskenttää tuetaan parhaiten mahdollistamalla niille kansainvälisen tason IT-ratkaisujen kehittäminen ja käyttöönotto Suomessa, jotta ne saavat tarvittavan referenssin ponnistaakseen ulkomaille. Vahva vientiteollisuus tuo vientituloja, työllisyyttä ja lisääntyvää hyvinvointia Suomeen.

Kotimaisten ratkaisujen (ml. tietojärjestelmien) tulisi olla yhdenmukaisia ja yhteensopivia muiden pilviratkaisujen kanssa. Tämä on myös EU komission vahva kanta: kaiken pitäisi olla integroitua EU-tasolla. Komission toistuva viesti on, että EU taistelee lokalisaatiotrendiä vastaan. Myös arkaluonteisia tietoja saa tallentaa ja säilyttää muuallakin kuin oman maan alueella ja teknologiaa tulisi vastaavasti kehittää ja hyödyntää vaativien datasettien turvaamiseksi, kuten edellä esitämme. Oleellista tietoturvan ratkaisuissa on se, että niiden ylläpitämisen ja kehittämisen taustalla on riittävät resurssit vastaamaan kehittyviin kyberuhkiin.

Pyydämme harkitsemaan niin tässä kuin muissakin STM:n hallinnonalan hankkeissa, että olisiko EU/ETA-alueen rajaus riittävä, jolloin Suomi ei tekisi paikallisia vaan yhteiseurooppalaisia tietosuoja- ja tietoturvalinjauksia. Covid19-pandemia on osoittanut pilvipalveluiden tehokkuuden ja hyödyt kriisiolosuhteissa.

Hyvinvointisovellukset

Hyvinvointisovellukset kuuluvat määräysluonnosten perusteella luokkaan A ja näin ollen niiden vaatimustenmukaisuus on osoitettava sertifioinnilla. Sertifiointiprosessi alkaa yhteistestauksella Kelan kanssa, minkä jälkeen suoritetaan tietoturva-auditointi tietoturvallisuuden arviointilaitoksen kanssa. Lopuksi tehdään ilmoitus Valviraan ennen sovelluksen ottamista tuotantokäyttöön. Kun sovellus on merkitty Valviran rekisteriin, sovelluksen käyttöönotto voidaan aloittaa ja se voidaan liittää osaksi valtakunnallisia tietojärjestelmäpalveluja. Sertifiointi on toteutettava 31.5.2022 mennessä ja se on voimassa 6 kuukauden ajan.

Toteamme, että Suomessa on tällä hetkellä kaksi tietoturvallisuuden arviointilaitosta, jotka on hyväksytty asiakastietolain tarkoittamiksi arviointilaitoksiksi. Kyseiset arviointilaitokset tekevät parhaillaan myös sote-tietojen toissijaisesta käytöstä annetun lain (552/2019, jäljempänä toisiolaki) tarkoittamia tietoturvallisten käyttöympäristöjen auditointeja. Toisiolain auditointeihin liittyy omat haasteensa ja kustannusvaikutukset mahdollisesti samoille yrityksille, jotka tulevat nyt käsillä olevien THL:n määräysten velvoittamiksi. Pelkästään asiakastietolain nojalla suoritettavaan prosessiin kuluisi arvioidusti noin puoli vuotta aikaa. Mikäli sertifiointi on toteutettava 31.5.2022 mennessä, tulisi prosessi aloittaa käytännössä välittömästi.

Arviointilaitoksilta jäsenyrityksellemme toimitetun kustannusarvion mukaan asiakastietolakiin perustuva sertifiointi maksaisi yritykselle noin 25.000 euroa, minkä lisäksi yritysten on resursoitava oma työnsä sekä alihankintana toteutettava saavutettavuustestaus. Kokonaiskustannukset nousevat yli 50.000 euroon, mikä on merkittävä kustannus, etenkin pienemmille yrityksille. Käsittääksemme omatietovaranto luotiin, jotta kansalaisten tuottama terveys- ja hyvinvointitieto saataisiin sosiaali- ja terveydenhuollon käyttöön kevyemmällä menettelyllä kuin raskaamman Kanta-integraation kautta. Kustannusten puolesta insentiivit kääntyvät nyt toisin päin. THL:ltä saamamme tiedon mukaan mitään taloudellisten vaikutusten arviointia ei määräysten luonnosvaiheessa ole tehty. Pidämme erittäin tärkeänä, että näin tehdään ennen lopullisten määräysten antamista.

Koemme ongelmalliseksi sen, että päällekkäisyyksiä tietoturva-auditoinneissa ei pystytä yhdistämään muihin kansallisiin tai kansainvälisiin auditointeihin. Terveysteknologia-ala on vahvasti vientivetoinen ala ja Suomen markkina edustaa usein vain pientä osuutta yritysten liiketoiminnasta. Tuotteet tulee sertifioida ja auditoida kansainvälisillä markkinoilla usein erikseen. Silti juuri kotimarkkinoilla yrityksiin kohdistuu valtavia kustannuspaineita, sillä kotimarkkinoillakin on useita toimijoita, jotka selvittävät usein samoja asioita olematta keskenään missään tiedonvaihtoyhteydessä. Esimerkiksi DigiHTA on yrityksille erillinen kokonaisuus, jonka läpikäymistä ei voi hyödyntää osana asiakastietolain edellyttämää prosessia. Tavoitetilaksi tulisikin asettaa, että yhden kansallisen tietoturva-auditoinnin läpikäyminen hyväksyttäisiin sellaisenaan toisessa vastaavassa prosessissa.

Määräysluonnosten mukaan hyvinvointitietojen lähettäminen edelleen kansalaisen käyttämillä laitteilla on sallittua, mutta se ei saa olla automaattista, vaan käyttäjän on erikseen lähetettävä tiedot ja sovelluksen tulee informoida käyttäjää tietojen lähettämisestä sekä siihen liittyvistä vastuista ennen tietojen lähettämistä. Pidämme tätä vaatimusta epäselvänä, mikäli sillä tarkoitetaan tietojen lähettämistä omatietovarantoon. Markkinoilla on jo esimerkiksi lääkinnällisiä laitteita, jotka tuottavat diabeetikosta tietoa muutaman minuutin välein automaattista tiedonsiirtoa hyödyntäen. Kyse on merkittävästä määrästä tietoa. Näissä automaattinen siirto on ainoa vaihtoehto. Sovellukset visualisoivat dataa diabeetikoiden itsensä sekä heitä hoitavien terveydenhuollon ammattihenkilöiden tarpeisiin.

Useita muitakin vastaavia terveysalan sovelluksia on kehitetty reilun datatalouden periaatteita kunnioittaen ilman, että automaattista eteenpäin lähettämistä on erikseen kielletty, mikäli henkilö on siirtoon tietoisesti etukäteen suostunut ja haluaa määrätä datan käytöstä. Hyvinvointisovellus voisi lähettää tietoa eteenpäin esimerkiksi hyvinvointivalmentajalle tai vertaistukiryhmälle, jos pelisäännöt on etukäteen määritelty ja tiedon käsittelyssä huomioidaan käyttötarkoitussidonnaisuus, tietojen minimointiperiaate, tietojen säilytysajat sekä muut henkilötietojen suojaa koskevat lakisääteiset säännöt ja ehdot.

Ehdotamme, että edellä mainittua THL:n määräyksen kohtaa peilataan tarkemmin vasten reilun datatalouden periaatteita sekä muita kehitteillä olevia STM:n hallinnonalan datahankkeita ja varmistetaan, että ne ovat tavoitteiltaan keskenään linjassa. THL:n tulisi myös huolellisesti ohjeistaa yrityksiä, että miten markkinoilla jo oleville tuotteille (ml. CE-merkityt lääkinnälliset laitteet) käy määräysten voimaantulon myötä.  

Lopuksi alan kansainvälinen luonne huomioiden toivomme, että THL:n määräyksistä tehtäisiin niiden voimaan tullessa virallinen englanninkielinen käännös.

 

Terveysteknologia ry – Healthtech Finlandin puolesta,                        

Sandra Liede, Säädösasiantuntija                                

Saara Hassinen, Toimitusjohtaja