data act
Uutinen

EU:n uusi data-asetus (Data Act) on julkaistu ja astuu voimaan 12.1.2024

Data-asetus eli Data Act on julkaistu EU:n virallisessä lehdessä ja tulee voimaan 12.1.2024. Sen soveltaminen alkaa suurelta osin 12.9.2025. Mitä se tarkoittaa terveysteknologia-alalle?

22.12.2023 julkaistu data-asetus on uutta, horistontaalista EU-sääntelyä, joka tulee olemaan liiketoiminnan kannalta yhtä merkittävää kuin tietosuoja-asetus oli vuonna 2018. Data-asetuksen vaikutukset ulottuvat kaikille talouden ja yhteiskunnan osa-alueille, mukaan lukien terveysteknologia-alalle.

Asetuksen keskeisenä tarkoituksena on antaa verkkoon yhdistettyjen tuotteiden (Internet of Things, IOT) tai tuotteeseen liittyvän palvelun käyttäjille mahdollisuus saada tuotteen tai siihen liittyvän palvelun käytön tuloksena syntyvä data itselleen ja jakaa tuo data eteenpäin mille tahansa palveluntarjoajalle eli jopa laitteen valmistajan kilpailijalle lisäarvoa tuottavaa palvelua, kuten korjausta, huoltoa tai muuta oheispalvelua varten. Jos siis työskentelet organisaatiossa, jossa suunnitellaan ja/tai valmistetaan IoT-laitteita, tulee tuotearkkitehtuuriinne ihan varmasti muutoksia. Data-asetukseen liittyy myös pilvipalvelunäkökulma, sillä säädös asettaa uusia velvoitteita pilvipalveluiden tarjoajille.

Uusi sääntely lähtee siitä, että datan tuottaminen tapahtuu vähintään kahden toimijan tuloksena eli tuotteen suunnittelijan tai valmistajan ja kyseisen tuotteen käyttäjän toimesta. Tavoitteena on parantaa dataan pääsyä ja datan saatavuutta, helpottaa erityisesti käyttäjiä ja pienempiä yrityksiä, turvata oikeudenmukaisuus dataan perustuvissa arvoketjuissa ja yleisesti digitaalisessa toimintaympäristössä sekä edistää kilpailua datamarkkinoilla ja mahdollistaa datavetoisia innovaatioita. Näin on tarkoitus välttää datan keskittyminen pelkästään valmistajille ja luoda uusia datan käyttömahdollisuuksia.

Data-asetus kattaa mm. terveyteen ja elämäntapaan liittyvät laitteet sekä lääkinnälliset ja terveydenhoitolaitteet eli mm. älysängyt, hyvinvointia mittaavat älykellot sekä fyysiset esineet ja niihin liittyvät digitaaliset palvelut. Asetuksessa ei oteta kantaa datan omistajuuteen, vaan kyse on dataan liittyvästä kontrollista.

Nyt julkaistu data-asetus on soveltamisalaltaan alkuperäistä komission ehdottamaa versiota laajempi, sen keskeisimpiä määritelmiä on muutettu, käyttäjien asemaa ja oikeuksia on vahvistettu, datanjakosopimusten kiellettyjä ehtoja on täsmennetty ja liikesalaisuuksien suojasta on muodostunut monimutkaisempi. Sopimuksia ja sopimuksentekotilanteita on asetuksessa useita.

 

Datan määritelmä ja data-asetuksen suhde EU:n tietosuoja-asetukseen (GDPR)

Datan määritelmä on data-asetuksessa laaja. Datalla tarkoitetaan joko 'tuotedataa' tai 'liitännäispalveludataa'. Viimeksi mainittujen käsitteiden alakategoriaan kuuluu lisäksi 'helposti saatavilla oleva data'. 

Joskus datasetit voivat sisältää sekä teollista dataa että henkilötietoja (ns. mixed datasets). Mikäli laitteesta jaettava data sisältää 'henkilötietoja', on EU:n tietosuojasääntely GDPR (General Data Protection Regulation) huomioitava. Keskeinen data-asetuksen ja GDPR:n välinen ero on, että data-asetuksella nimenomaisesti pyritään lisäämään teollisen datan jakamista, kun taas tietosuojasääntely pyrkii minimoimaan henkilötietojen käsittelyä ja suojaamaan rekisteröityjen oikeuksia ja vapauksia. Erityisesti terveysalalla data on tyypillisesti arkaluonteiseksi terveystiedoksi luokiteltavaa henkilötietoa, jolloin tietosuojasääntelyn turvamekanismit korostuvat. Lisäksi mikä tahansa data voi elinkaarensa aikana muuttua terveysdataksi.

Data-asetus itsessään ei sisällä henkilötietojen käsittelylle oikeusperustaa eikä voi siten sellaista luoda, mikäli henkilötietojen käsittelylle ei löydy tietosuojasääntelystä laillista perustetta.

Tietosuoja-asetuksen rajoitteet on huomioitava myös kansainvälisissä datansiirroissa eli jaettaessa henkilötietoja EU-/ETA-alueen ulkopuolisiin maihin. Kansainvälisillä datansiirroilla tarkoitetaan myös datan jakamista kolmansissa maissa oleville servereille sekä teknisen yhteyden avaamista dataan, joka sijaitsee EU-/ETA-alueella.

Datan jakaminen kolmansiin maihin ei ole kiellettyä, mutta jakaminen edellyttää siirtoperusteen olemassa oloa. Tällainen voi olla EU-komission vastaavuuspäätös (kuten Yhdysvaltoja koskeva uusi Data Privacy Framework -järjestely), asianmukaisten suojakeinojen käyttö (kuten vakiolausekkeet) tai harvemmin kyseeseen tuleva erityistilanteita koskeva poikkeus.

 

Datan jakamista koskevat velvoitteet

Data-asetus sisältää datan haltijalle (esim. laitevalmistaja) velvollisuuksia datan avaamiseen ja jakamiseen. Datan haltijan pitää esimerkiksi jakaa dataa (esim. omistukseen tai käyttöoikeuteen perustuvan) käyttäjän pyynnöstä eli asettaa data kolmannen osapuolen saataville, jos käyttäjä tai sen edustaja sitä pyytää. Data täytyy lisäksi antaa viivytyksettä ja samanlaatuisena kuin se on datan haltijalla, jatkuvasti ja reaaliaikaisesti - mikäli se on soveltuvaa ja teknisesti mahdollista. Jakovelvoite kolmannelle osapuolelle kohdistuu vain data-asetuksen tarkoittamaan 'helposti saatavilla olevaan' dataan. 

Esimerkiksi jos käyttäjä haluaa viedä älykellonsa huoltoon tai korjaukseen, datan haltijan on annettava huolto- tai korjausliikkeelle pääsy kellon dataan. Näissä tilanteissa kolmannen osapuolen oikeus on kuitenkin rajattua. Käyttäjä ja kolmas osapuoli tekevät ensin keskenään palvelusopimuksen ja sen jälkeen käyttäjä on yhteydessä datan haltijaan pyytääkseen datan jakamista. Jos kyse on B2B -suhteesta, tekevät myös datan haltija ja kolmas osapuoli välilleen luottamuksellisuuden säilyttämiseksi datanjakosopimuksen, joka samalla asettaa rajat kolmannen osapuolen datan käytölle. Kun tietoja ei enää tarvita sovittuun tarkoitukseen, kolmannella osapuolella on lähtökohtaisesti velvollisuus poistaa tiedot. Dataa ei myöskään saa antaa muiden saataville tai käyttää kilpailevan tuotteen kehittämiseksi. Asetuksessa on säännöt teknisistä suojatoimenpiteistä, joilla turvataan data mm. luvattomalta käytöltä tai luovuttamiselta.

 

Liikesalaisuudet

Data-asetuksella ei rajoiteta immateriaalioikeuksien eikä liikesalaisuuksien suojaa. Datanjakamiseen liittyy kuitenkin liikesalaisuusnäkökohtia, sillä jaettava data voi sisältää liikesalaisuuksia. Koska laitevalmistajat pyrkivät suojaamaan omia liikesalaisuuksiaan ja varmistamaan, etteivät ne päädy kilpailijoille, on liikesalaisuudet pyrittävä poistamaan laitteen tuottamasta datasta. Mikäli liikesalaisuuksia ei pystytä poistamaan datasta, on liikesalaisuuden haltijan yksilöitävä se osa, joka muodostaa liikesalaisuuden. Tämän jälkeen suojaus on varmistettava sopimuksellisin keinoin. Lisäksi on käytettävä erilaisia teknisiä ja organisatorisia suojatoimia liikesalaisuuksien turvaamiseksi. 

 

Pilvipalvelusopimuksissa enemmän neuvotteluvaraa

Data-asetuksen tavoitteena on datanjakamisen lisäksi helpottaa pilvipalveluntarjoajan vaihtamista ja digitaalisen omaisuuden siirtoa eri palveluntarjoajalta toiselle ja lisätä sen myötä yritysten välistä kilpailua. Odotusarvo on, että kolmessa vuodessa data-asetuksen voimaantulon jälkeen pilvipalvelutarjoajan vaihdon pitäisi olla sulavaa ja ilmaista.

Asiasta on katsottu olleen tarpeellista säätää, sillä pilvipalveluntarjoajilla ei aiemmin ole lähtökohtaisesti ollut intressiä helpottaa tietojen siirtämistä kilpailijoille. Uusien sääntöjen mukaan pilvipalveluntarjoajille tuleekin uusia velvoitteita, mikä ehkäisee mm. sitä, etteivät yksittäiset pilvipalveluntarjoajat voi jatkossa määrätä markkinoita. Aiemmin on ollut hyvin harvinaista, että pilvipalvelusopimuksista on päässyt neuvottelemaan. Jatkossa kohtuuttomia ja epäedullisia ehtoja vähennetään sääntelyllä ja lisäksi palveluntarjoajille on tiedossa lisääntyvää sopimustyötä. Käyttäjille puolestaan avautuu uusia mahdollisuuksia ja oikeuksia pilvipalvelujen käyttäjinä.

Oikeuksien ja velvollisuuksien toteutumisen turvaamiseksi data-asetuksessa on säädetty läpinäkyvyysvelvoitteesta, jonka mukaan pilvipalveluntarjoajan täytyy ilmoittaa julkisesti verkkosivuillaan millä oikeudenalueella sen IT-infrastruktuuri sijaitsee.

 

Datan haltijoiden ja pilvipalveluntarjoajien on jatkossa huomioitava data-asetuksen velvoitteet jo tuotteiden ja palvelujen suunnitteluvaiheessa, jotta mm. datan avaaminen ja palveluntarjoajan vaihtaminen on myöhemmin mahdollista laitteen ja/tai palvelun käytön ja sen koko elinkaaren ajan!

 

Vuonna 2024 on odotettavissa myös terveysdata-avaruuksia koskevan asetusehdotuksen (ns. European Health Data Space, EHDS) hyväksyminen, jolloin terveysalalle tulee yksityiskohtaisempia toimialakohtaisia datan liikkuvuutta koskevia sääntöjä. Toimialalle on tärkeää, että data-asetus ja tuleva EHDS-asetus ovat keskenään linjassa. 

Lisäksi, datanjakamista koskevilla velvoitteilla on liityntä lääkinnällisten laitteiden turvallisuutta koskeviin näkökohtiin ja siksi data-asetuksen ja MD- sekä IVD-asetusten välinen suhde on kirkastettava vuoden 2024 aikana.

Terveysteknologia-alalla on myös herännyt huoli, että kansainvälisiä datansiirtoja koskevat vaatimukset korostavat datalokalisaatiota ja johtavat kilpailukykyä heikentävään datan fragmentoitumiseen sekä vastareaktioihin kolmansissa maissa.

Dittmar & Indreniuksen asiantuntija vierailivat 28.11.2023 Terveysteknologia ry:n ohjelmistot ja data -työryhmässä kertomassa data-asetuksen vaikutuksista terveysteknologia-alalle. He pitivät jäsenistöllemme myös data-asetukseen liittyvän workshopin jo alkuvuodesta 3.2.2023.

Lisäksi Teknologiateollisuus ry järjestää 9.1.2024 kaikille avoimen ja maksuttoman tietoiskun: Miten EU:n data-asetus vaikuttaa teknologiateollisuuden yrityksiin?

Kannattaa tulla kuulolle ja nappaamaan tuoreimmat opit data-asetuksen sisällöstä ja vaikutuksista omaan toimintaan!

 

Lisätietoja:

Sandra Liede, johtava lakiasiantuntija, Terveysteknologia ry, sandra.liede@teknologiateollisuus.fi