Terveysteknologia ry:n lausunto toisiolain muutosehdotuksesta
Terveysteknologia ry otti kesän aikana kantaa useampaan terveysdatan käsittelyä koskevaan sääntelyhankkeeseen. Lausuimme mm. sote-tietojen toissijaista käyttöä koskevan lain (552/2019, toisiolaki) muutosta tarkoittavasta hallituksen esityksestä sekä komission ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi eurooppalaisesta terveysdata-avaruudesta (COM (2022) 197 final).
Toisiolain muutosesityksessä ehdotetaan muutettavaksi toisiolain tietoturvallisia käyttöympäristöjä koskevia vaatimuksia niin, että vaatimukset mahdollistaisivat toisiolaissa tarkoitettujen tietojen luovuttamisen muihin kuin Suomessa sijaitseviin tietoturvallisiin käyttöympäristöihin.
Eurooppalaisen terveystietoavaruuden tarkoituksena on puolestaan parantaa erilaisten terveystietojen vaihtamista ja saatavuutta (sähköiset terveyskertomukset, genomidata, potilasrekisteritiedot jne.). Sillä ei tueta ainoastaan terveydenhuollon tarjoamista (tietojen ensisijainen käyttö) vaan myös terveysalan tutkimusta (ml. tuotekehitystä) ja terveyspolitiikan laadintaa (toissijainen käyttö).
Terveystietoavaruutta koskeva ehdotus sisältää käytännössä terveystietojen toissijaisen käytön osalta eurooppalaisen toisiolain, mutta kuitenkin vain sähköisten terveystietojen osalta. Ehdotuksessa on runsaasti vastaavaa sääntelyä kuin toisiolaissa ja siinä onkin hyödynnetty kokemuksia Suomen toisiolaista. Siksi Terveysteknologia ry pitää tärkeänä, että toisiolain muutoksia tarkastellaan laajemmassa EU-kontekstissa, sillä hankkeet ovat kiinteässä yhteydessä toisiinsa ja etenevät melko lailla samantahtisesti.
Lausunnoilla olleen toisiolain muutosta koskevassa ehdotuksessa kiinnitimme huomiota erityisesti seuraaviin kokonaisuuksiin:
- kansainvälisen terveysalan TKI-toiminnan turvaaminen
- datan erilaisten jakamistapojen huomiointi
- yhteiseurooppalaiset vaatimukset ja kansainväliset standardit
- kansainvälisin standardein akkreditoitujen sertifiointielinten hyödyntäminen
- tietosuoja-asetuksen soveltaminen
- Findatan määräyksenantovaltuudet
- eurooppalaisen terveystietoavaruuden valmistelu
Lausuntomme vastasi sitä, mitä esitimme STM:lle 11.2.2002 saatuamme kutsun tulla kuultavaksi ministeriön asettaman tietosuojan korkean tason asiantuntijaryhmän (STM103:00/2019) kokoukseen.
Terveysteknologia ry:n lausunto kokonaisuudessaan
SOSIAALI- JA TERVEYSMINISTERIÖLLE
Asia: Terveysteknologia ry – Healthtech Finlandin lausunto hallituksen esityksestä laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain muuttamisesta
Sosiaali- ja terveysministeriö (STM) on pyytänyt Terveysteknologia ry:n lausuntoa sote-tietojen toissijaista käyttöä koskeva lain (552/2019, jatkossa toisiolain) muuttamista tarkoittavasta hallituksen esityksestä. Esityksessä ehdotetaan muutettavaksi toisiolain tietoturvallisia käyttöympäristöjä koskevia vaatimuksia niin, että vaatimukset mahdollistaisivat toisiolaissa tarkoitettujen tietojen luovuttamisen muihin kuin Suomessa sijaitseviin tietoturvallisiin käyttöympäristöihin. Muutoksen tarkoituksena on mahdollistaa suomalaisten rekisteritietojen käyttö kansainvälisessä tutkimusyhteistyössä, samalla kuitenkin varmistaen tietoturvan ja tietosuojan korkean tason.
Yhdistyksemme on terveysteknologian alan toimialayhteisö ja sen tarkoituksena on edustaa yhteisöönsä kuuluvia yrityksiä sekä valvoa niiden yhteisiä etuja. Jäsenistössämme on 165 yritystä, ml. lääkinnällisten laitteiden ja IVD-laitteiden valmistajia, maahantuojia ja jakelijoita, terveydenhuollon tietojärjestelmiä, ohjelmistoja ja hyvinvointisovelluksia kehittäviä yrityksiä sekä näitä tukevia palveluyrityksiä ja vaatimustenmukaisuutta arvioivia sertifiointilaitoksia. Yhdistyksessämme on lisäksi genomialan palveluyrityksiä edustava genomiteollisuusjaosto.
Sääntelyn ja eettisten periaatteiden noudattaminen on keskeinen osa vastuullista liiketoimintaa terveysteknologia-alalla ja hyvin resursoitu viranomaisohjaus ja -valvonta tukevat yrityskenttää tässä toiminnassaan. Yhdistyksemme strateginen tavoite on tukea jäsenyrityksiämme alaa normittavien säännösten omaksumisessa sekä vaikuttaa kotimaan ja Euroopan markkinoiden innovaatiomyönteiseen kehittymiseen yritysten kasvun ja kansainvälistymisen edistämiseksi.
Kiitämme mahdollisuudesta lausua STM:n muutosesityksestä, jonka tavoitteita kannatamme. Samalla kiitämme aiemmasta mahdollisuudesta tulla henkilökohtaisesti kuulluksi STM:n asettaman tietosuojan korkean tason asiantuntijaryhmän (STM103:00/2019) kokouksessa 11.2.2022.
Toteamme lausuntonamme:
Kansainvälisen TKI-toiminnan turvaaminen
- Toisiolaissa tarkoitettujen sote-tietojen luovuttamisen TKI-tarkoituksissa muihin kuin Suomessa sijaitseviin tietoturvallisiin käyttöympäristöihin tulisi olla mahdollista ja toteutuksen tulisi olla lisäksi hallinnollisesti kevyehköä.
- Kansainvälinen TKI-toiminta on turvattava ja on löydettävä ratkaisu ongelmaan, miten pystytään turvaamaan ne sote-tiedot, joita ei käsitellä suomalaisissa käyttöympäristöissä. Maakohtaisiin sijoituksiin nähden Suomi ei ole pärjännyt kansainvälisessä tutkimusrajapinnan kehityksessä bio- ja lääketeollisuuden kanssa lainkaan hyvin eikä meillä ole syytä olla tyytyväinen siihen, mikä Suomen tilanne on nyt. Mutta potentiaali on suuri.
- Esimerkiksi RWE (Real World Evidence) -datan käyttö on lisääntymässä hurjasti maailmassa. Erinäisten arvioiden mukaan Euroopassa tällaisen RWE-datan käyttö jopa 50-kertaistuu seuraavien 5–10 vuoden aikana. Yhdysvalloissa FDA (Yhdysvaltain elintarvike- ja lääkevirasto) on hyväksynyt tiettyjä RWE-datan käyttötapoja lääkkeiden hyväksyntäprosessissa ja EMA:n (Euroopan lääkevirasto) oletetaan seuraavan tässä perässä. RWE-dataa käyttävät erityisesti lääkeyhtiöt ja ne tarvitsevat dataa lääkekehityksen kaikissa vaiheissa.
Datan jakamisen eri tavat
Datan kansainväliselle, rajat-ylittävälle jakamiselle on nykyisin monia tapoja, joista tässä muutama esimerkki:
Joissakin tapauksissa tutkimusdataa on tarve kopioida oman yksikön ulkopuolelle, koska usein halutaan yhdistellä ja käsitellä samanaikaisesti samantyyppistä kohorttia useasta eri maasta. Menettely on hyvinkin aktiivisessa käytössä kansainvälisissä tutkimuksissa.
- Esimerkiksi isot kansainväliset lääkeyhtiöt saattavat olla kiinnostuneita tietystä taudista tai sairaudesta, jonka osalta on vain vähän RWE-dataa olemassa. Silloin datalähteitä täytyy erikseen etsiä ja mm. suomalaiset yritykset toimivat näissä yhteistyökumppaneina.
- Asiakas voi haluta käsitellä dataa Euroopassa tietoturvallisessa pilvessä siten, että vahvasti pseudonymisoidut kohortit ovat kaikki samassa käyttöympäristössä, jotta aineisto on riittävän suuri tutkimuksen toteuttamiseksi. Usein datan täytyy olla myös EMA:n saatavilla.
- Edellä kuvatuissa tilanteissa ns. data copy -malli on ainoa mahdollinen keino osallistua kansainväliseen tutkimukseen. Emme pidä realistisena ajatella, että lääkeyhtiöt siirtyisivät tekemään esim. 10 eri maata kattavaa tutkimusta Suomeen tietoturvallisia käyttöympäristöjä koskevien vaatimusten vuoksi. Koska lääkeyhtiöt ottavat sääntelyä koskevat kysymykset erittäin vakavasti, jättävät ne ennemminkin epäselvän sääntely-ympäristön vuoksi Suomen pois hankkeistaan.
- Lisäksi toisiolain vaatimus siitä, että ainoastaan anonymisoitu aineisto voidaan viedä ulos Suomen tietoturvallisista käyttöympäristöistä, on haastava silloin, kun asiakkaat tarvitsevat aineiston pseudonymisoituna.
- Näkemyksemme mukaan toisiolain valmistelussa ja soveltamisessa on painotetusti noussut esille pseudonymisoidun datan käsittelyyn liittyvät riskit. Riskit, joita kansainvälisessä TKI-toiminnassa käytännössä kohdataan tietoturvallisuuden osalta, liittyvät kuitenkin vähemmän pseudonymisoituihin tutkimusaineistoihin ja enemmän muihin tietosuojaa ja tietoturvallisuutta uhkaaviin seikkoihin. Riskit ja toiminnasta saatavat hyödyt tulisi punnita sopivassa suhteessa toisiaan vasten.
Datan federointi on datan jakamisen malli, jota nykyisin halutaan vallitsevissa keskusteluissa nostaa ja on mielestämme tärkeää, että malli näkyy myös toisiolaissa koskien kansainvälisiä datansiirtoja.
- Federoidussa mallissa datan ei tarvitse liikkua ollenkaan, vaan dataan voidaan avata yhteyksiä datalähteen päästä, jossa analyysi suoritetaan. Ainoastaan aggregaattitulokset tai kryptatut tiedostot liikkuvat pois datalähteestä.
- Mallin etuna se, että datan liike on minimoitu. Datan minimisointiperiaate toteutuu erittäin hyvin, kun dataa ei aidosti tarvitse jakaa missään muodossa nähtäville, kunnes on tuloksia.
- Suomen kansallisissa infrastruktuuriratkaisuissa on koettu hämmentäväksi se, että eri lainsäädäntöhankkeissa on pyritty keskitetyn datan infrastruktuuriratkaisuihin, kun vallitsevat tietoturvalliset ratkaisut tuntuvat lähtevän siitä, että data on federoidusti saatavilla, jolloin esimerkiksi tietomurto ei pysty saavuttamaan kaikkea dataa yhtäaikaisesti.
Yhteiseurooppalaiset vaatimukset ja kansainväliset standardit
- Pidämme tärkeänä, että Suomessa toimitaan EU:n yhteisten linjausten, vaatimusten ja standardien mukaisesti. Samalla toteamme, että kaiken kattavaa standardia tai ratkaisua, jota yhteisesti noudattaa, ei toistaiseksi ole. Lisäksi haasteena on, että standardit laaditaan suhteellisen yleisellä tasolla ja niitä muutetaan ja myös uusia standardeja luodaan säännöllisesti. Näkemyksemme mukaan useita standardeja yhdistelemällä on kuitenkin mahdollista päästä toivottuun lopputulokseen. Sovellettavien standardien tulisi olla selkeästi määriteltyjä ja samalla helppoja akkreditoiduille laitoksille auditoida.
- Suuri osa kansainvälisistä standardeista on riskipohjaisia ja niitä olisi käsityksemme mukaan mahdollista käyttää hyödyksi joko yksin tai keskenään yhdistelemällä tietosuojan ja tietoturvallisuuden arvioinnissa ja auditoinnissa. Esimerkiksi rekisterinpitäjät ja henkilötietojen käsittelijät voidaan velvoittaa tekemään tietyn/tiettyjen standardi(e)n mukainen tilannearviointi sekä sen kuvaus, minkä jälkeen riskit huomioiden olisi mahdollista toteuttaa tekniset ja muut ratkaisut tehdyn arvioinnin pohjalle tietosuojaan ja tietoturvallisuuteen liittyvät vaatimukset huomioiden. Näitä tilanteita varten voisi laatia myös tarkistuslistoja. Käsityksemme mukaan ratkaisut ovat olleet riittäviä ja pitkälti myös vastaavat suurimmalta osin toisiolain sekä Findatan vaatimuksia tietoturvallisille käyttöympäristöille. Lisäksi suomalaiset yritykset hyötyisivät, että heillä on kansainvälisiä standardeja työkalupakeissaan, kun ne lähtevät ulkomaille.
- Nopeus on kansainvälisissä tutkimuksissa erittäin keskeinen kilpailutekijä. Yksinkertaiset standardinomaiset kysymykset on mahdollista automatisoida ja sillä tavoin nopeuttaa luovutusprosessia. Tällä hetkellä Findatan käsittelyajat (sis. lupa + pääsy dataan) mitataan kuukausissa. Nopeimmillaan lupaprosessi voisi standardisoituna ja automatisoituna tapahtua viikoissa, päivissä ja minuuteissa.
- Tietojen kansainvälinen luovutus tulisi rakentaa lisäksi siten, että luovuttajalla säilytetään luovutustilanteessa tiettyjä oikeuksia ja kontrolli esimerkiksi erimielisyystilanteissa. Tällaisia oikeuksia olisivat mm. oikeus olla luovuttamatta tietoja tai oikeus keskeyttää luovutus.
- Näkemyksemme mukaan Suomen etuna olisi aktiivisesti osallistua EU-tason sekä kansainvälisten standardien valmisteluun eli olla proaktiivinen siellä, missä tulevaisuuden ratkaisuihin vaikutetaan. Erityisesti suomalaisilla yrityksillä olisi korkeatasoista osaamista, asiantuntemusta ja kansainvälistä kokemusta tarjottavana.
- Muissa maanosissa, kuten Afrikassa ja Aasiassa, on maakohtaisia ja tilannekohtaisia tietosuojavaatimuksia, jotka vastaavat pitkälti EU:n tietosuoja-asetusta. Yhdysvalloissa HIPAA-sääntely on lisäksi huomattavan yksinkertainen sisältäen selkeät ohjeet, miten data tulisi pseudonymisoida ja de-identifioida, jotta vaatimukset tulisivat täytetyiksi. Kun kyseisiä vaatimuksia noudatetaan, olisi toisiolainkin mukainen sote-data saatavilla tutkimuskäyttöön.
Akkreditoidut sertifiointielimet
- Tietosuojan varmistamista sekä tietoturvallisia käyttöympäristöjä ulkomailla voisivat näkemyksemme mukaan jatkossa arvioida sellaiset akkreditoidut sertifiointielimet, joilla on kansainvälisissä standardeissa määritelty pätevyys. Tällä tavoin olisi mahdollista saada myös ulkomaiset käyttöympäristöt arvioitua kansainvälisten standardien vaatimusten mukaisesti.
- Käsityksemme mukaan EU:n alueella jokaisessa jäsenvaltiossa on akkreditointielin, joka hyväksyy sertifiointielimet. Myös Euroopan ulkopuolella sertifiointitoiminta on niin yleistä, että jokaisessa kansainvälisen lääketieteellisen tutkimuksen kannalta merkityksellisessä maassa on akkreditointi- ja sertifiointielimiä.
- Kyse on näkemyksemme mukaan ennemminkin siitä, millaisia pätevyysvaatimuksia niille asetetaan ja että onko ulkomailla riittävästi sertifioituja tietoturvallisia käyttöympäristöjä ja niitä tukevia sertifiointilaitoksia.
Tietosuoja-asetuksen soveltaminen
- Edellä taustoitettuja seikkoja vasten, kansainvälisen yhteistyön kannalta olisi tärkeää, ettei tehdä puhtaasti kansallisia ratkaisuja. EU:n tietosuoja-asetus on käsityksemme mukaan jo monella tapaa riittävä ja dynaamisesti kehittyvä siten, että ohjeistuksilla voidaan antaa tarkennuksia käytännön soveltamista varten.
- Yhteiseurooppalaiset ratkaisut myös selkeyttävät sitä, miten voidaan toteuttaa esimerkiksi datan pseudonymisointi ja anonymisointi. Esimerkiksi kysymys siitä, onko pseudonymisoitu tieto edelleen henkilötietoa sellaiselle luovutuksensaajalle, jolla ei ole tosiasiallisia tai laillisia keinoja tunnistaa rekisteröityä lisätietoja käyttämällä tai muutoin yksilöimällä rekisteröityä tiedoista, on aihe, johon tarvitaan yhteiseurooppalaista ohjeistusta.
- Tietosuoja-asetukseen kuuluu olennaisesti, että standardien ja ohjeistusten avulla osoitetaan vaatimustenmukaisuus, mikäli esimerkiksi tarjotaan pilvipalveluja. Lisäksi on muita yritystoimintaa laajemmin koskevia ohjeita, liittyen tietosuojaan ja tietoturvallisuuteen. Kansainvälisessä toiminnassa ja vientimarkkinoilla suomalaiset yritykset joutuvat lähtemään ns. takamatkalta, mikäli Suomessa on tiukemmat tietoturvallisuuteen liittyvät vaatimukset kuin muissa maissa.
Määräyksenantovaltuus
- Pidämme huolestuttavana sitä, että muutosehdotus mahdollistaa tarkempien määräysten antamisen Findatalle, jolle tehtävä ei näkemyksemme mukaan tule olemaan helppo. Toisiolaki on laadussaan maailmassa ensimmäinen ja sen osalta Findata on edelleen uuden äärellä. Muutosehdotus ei vaikuta asettavan täsmällisiä (jos mitään) edellytyksiä esitetylle määräyksenantovaltuudelle. Toteutus on sidottu tietolupaviranomaisen osaamiseen, asiantuntemukseen, kokemukseen ja myös asenteisiin.
- Edellä sanottuun liittyy mm. se, miten tulkitaan tiedonhallintalain (906/2019) 4 luvun säännöksiä koskien esimerkiksi julkipilvessä olevia käyttöympäristöjä (esim. 13 §: ”Tiedonhallintayksikön on…varmistettava tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko niiden elinkaaren ajan” ja 15 §: ”Tietoaineistoja on käsiteltävä ja säilytettävä toimitiloissa, jotka ovat tietoaineiston luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien vaatimusten toteuttamiseksi riittävän turvallisia.” Näitä olisi syytä pohtia ja/tai selvittää sitä vasten, että mitä ”kansainvälisiä standardeja ja menettelyitä” on ennakoitu määräykseen sisällytettäväksi. Kysymys palautuu lopulta siihen, että ovatko ja voivatko ulkomailla olevat tietoturvalliset käyttöympäristöt tulla kohtuullisin toimin hyväksytyiksi.
EHDS-asetus
- Lopuksi toteamme, että tulevaisuudessa merkittävän muutoksen koko toisiolain soveltamisen kannalta tuo EHDS (European Health Data Space) -asetus, joka on toistaiseksi vielä luonnosvaiheessa, mutta tulevaisuudessa suoraan sovellettavaa oikeutta Suomessakin. Asetuksessa on monia yhteisiä piirteitä toisiolain kanssa, mutta erojakin löytyy. Osittain nämä kaksi säädöskokonaisuutta eivät sovi keskenään yhteen. Huomioiden toisiolain muutosesityksen soveltamisen arvioidun aloitusajankohdan, on hyvin mahdollista, että molemmat tulevat sovellettavaksi samoihin aikoihin. Pidämme siten tärkeänä, että kansallista jatkovalmistelua tehdään huomioiden myös EHDS-valmistelusta saatu lausuntopalaute.