Massadata-arkkitehtuuri sosiaali- ja terveydenhuollossa: Tiedonhallinnan yleislainsäädännöstä seuraavat vaatimukset henkilötietojen käsittelylle

Abstrakti

Suurten tietomassojen käyttöä kohtaan on merkittäviä odotuksia sosiaali- ja terveydenhuollossa. Tiedon jalostamisen kautta pyritään tuottamaan uudenlaista ymmärrystä palveluiden kehittämiseksi mm. tutkimuksen, innovaatiotoiminnan ja tietojohtamisen keinoin. Käsiteltäessä henkilötietoja on kuitenkin huomioitava rekisteröidyn oikeudet ja henkilötietojen käsittelyä koskevat säädökset. Tämä korostuu erityisesti tilanteissa, joissa käsittelyn kohteena on arkaluontoiset tiedot, kuten sosiaali- ja terveydenhuollossa syntyvät asiakastiedot.

Massadata-arkkitehtuureja suunniteltaessa on huomioitava sosiaali- ja terveydenhuollon tietojen käsittelyä ohjaavan lainsäädännön lisäksi tiedonhallintaa ohjaava yleislainsäädäntö eli EU:n yleinen tietosuoja-asetus, tiedonhallintalaki, julkisuuslaki, arkistolaki ja tietosuojalaki. Aiemmassa tutkimuksessa ei ole käsitelty näiden muodostamaa kokonaisuutta massadatatoteutusten näkökulmasta.

Tässä tutkimuksessa tavoitteena oli tunnistaa tiedonhallinnan yleislainsäädännöstä seuraavat vaatimukset massadata-arkkitehtuureille erityisesti henkilötietojen käsittelyn näkökulmasta. Tutkimuksen tuloksena lainsäädännöstä seuraavat vaatimukset ryhmiteltiin viiteen luokkaan: 1) hallinnolliset vaatimukset, 2) henkilötietojen suojaaminen, 3) tiedonhallinta ja tietoturva, 4) rekisteröidyn oikeudet ja läpinäkyvyys sekä 5) tiedonsiirrot. Lisäksi tunnistettiin lainsäädännön vaatimusten vaikutukset massadata-arkkitehtuurin toimijoihin.

Tyypillisten massadata-arkkitehtuurien ja lainsäädännön yhteensovittaminen ei ole ongelmatonta. Jännitteisyyttä liittyy erityisesti käyttötarkoitussidonnaisuuden huomiointiin, tietojen käsittelyn rajaamisen vain välttämättömään eli miniminointiperiaatteen toteutumiseen, tiedon oikeellisuuden varmistamiseen ja säilytyksen rajoittamiseen sekä tiedonkäsittelyn läpinäkyvyyden toteuttamiseen. Näissä kohdissa lainsäädännön soveltaminen vaatii erityistä huolellisuutta.

Sekä tietosuoja-asetus, että tiedonhallintalaki korostavat organisaatioiden johdon viime kätistä vastuuta rekisteröityjen oikeuksien suojaamisessa sekä hyvän hallinnon vaatimusten toteutumisessa viranomaisen tiedonhallinnassa. Riskien hallitsemiseksi, sisäänrakennetun ja oletusarvoisen tietosuojan sekä hyvän tiedonhallintatavan toteutumiseksi olennaisia välineitä ovat lakisääteiset tietosuojavaikutusten arvioinnit sekä tiedonhallinnan muutosvaikutusten arvioinnit sekä tiedonhallintayksikön antamat ohjeet, koulutus sekä sisäinen valvonta. Sovellettavan lainsäädännön kokonaisuuden monimutkaisuuden vuoksi aihetta käsittelevä viranomaisohjeistus tai viranomaisille suunnattu kansallinen massadataviitearkkitehtuuri olisi hyödyllinen. Aihepiriä koskevalle empiiriselle ja lainopilliselle lisätutkimukselle olisi tarvetta.