Rekisteritutkimus uhattuna – toisiolakiin liittyvistä ongelmista kohti ratkaisuja

Takautuva asiakirjatutkimus on tärkeimpiä lääketieteellisen tutkimuksen muotoja, jolla selvitetään hoidon laatua ja vaikuttavuutta (1). Myös monet nykyhoidot, kuten elinsiirrot sekä teho- ja syöpähoidot, nojaavat kansalliseen ja ylikansalliseen rekisteritiedon keräämiseen ja analysointiin (2,3). Viimeistään koronaviruspandemia on osoittanut, kuinka tärkeää terveystietojen nopea ja kustannustehokas jakaminen on yhteiskunnille.

Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (jäljempänä ”toisiolaki”, 552/2019) on muuttanut lääketieteellisen rekisteritutkimuksen ja -toiminnan käytäntöjä maassamme. Terveydenhuollon palveluiden yhteydessä tapahtuva henkilötietojen käsittely on terveydenhuoltolain (1326/2010) mukaista ensisijaista käyttöä. Toisiolain tavoitteena oli mahdollistaa keskitetyllä viranomaispäätöksellä laajamittainen rekisteritietojen yhdistäminen toissijaiseen käyttöön eli tilastointiin, tieteelliseen tutkimukseen, kehittämis- ja innovaatiotoimintaan, viranomaisohjaukseen ja -valvontaan, viranomaisten suunnittelu- ja selvitystehtäviin, opetukseen sekä tietojohtamiseen.

Toisiolaki asettaa tietojen käsittelylle huomattavasti kireämpiä ja yksityiskohtaisempia edellytyksiä kuin EU:n yleinen tietosuoja-asetus (jäljempänä ”GDPR”, General Data Protection Regulation 2016/679). Eri rekisterinpitäjien tietoja hyödyntävä lääketieteellinen rekisteritutkimus ja -toiminta edellyttää kansallisen tietolupaviranomaisen (jäljempänä Findatan) lupaa ja käsittelyä Findatan omassa tai muussa hyväksytyssä käyttöympäristössä.

Toisiolain tultua voimaan useat tahot esittivät huolensa tutkimuksen ja hoitojen turvaamisesta (4,5,6). Tuoreen tutkimuksen perusteella laki onkin vaikeuttanut rekisteritutkimusta (7). Myös opetus- ja kulttuuriministeriön sekä sosiaali- ja terveysministeriön selvitykset toisiolain vaikutuksista ovat tuoneet esiin kokonaisuuteen liittyviä haasteita (8,9,10). Tässä katsauksessa kuvaamme toisiolakiin liittyviä ongelmia ja mahdollisia ratkaisuja rekisteriyhteistyön ja -tutkimuksen turvaamiseksi.

EU:n tietosuoja-asetuksen ja toisiolain tuomat muutokset

Tietosuoja ja henkilötietojen toisiokäyttö

Arkaluonteiset henkilö- ja terveystiedot kuuluvat perus- ja ihmisoikeuksien turvaaman yksityiselämän suojan piiriin. Niiden käsittelyä rajoittavat GDPR ja kansainväliset sopimukset. GDPR:n mukaan arkaluonteisten henkilö- ja terveystietojen käsittely on lähtökohtaisesti kielletty. Kiellosta voidaan poiketa muun muassa rekisteröidyn nimenomaisella suostumuksella ja tietyissä EU:n tai kansallisen lainsäädännön mukaisissa tilanteissa. GDPR:n 157. johdantolauseessa tunnistetaan rekisterien yhdistämisen arvo ja sen avulla sairauksista saatava korkeatasoinen tietämys, joka voi toimia tietojohtamisen pohjana ja parantaa ihmisten elämänlaatua.

Toisiolain mukaan henkilötietojen toisiokäyttö perustuu Findatan tietolupahakemuksesta tai -pyynnöstä tekemään päätökseen, kun tarvitaan tietoja vähintään kahdelta eri rekisterinpitäjältä, Kanta-palveluihin tallennettuja tietoja tai yksityisen sosiaali- ja terveydenhuollon palvelunjärjestäjän rekisteritietoja. Kukin rekisterinpitäjä voi siis edelleen antaa tietoluvan oman rekisterinsä tietoja koskevaan toisiokäyttöön, jos tietoihin ei yhdistetä muiden rekisterinpitäjien tietoja.

Findatan toisiokäyttöön myöntämät luvat ovat määräaikaisia. Findata toteuttaa luovutettavien tietojen esikäsittelyn ja yhdistämisen, anonymisoinnin tai pseudonymisoinnin, sekä tuottaa rekistereistä hakijalle aggregaattitason tilastotietoa. Vain Findata voi anonymisoida aineistot.

Tietoluvassa myönnettyjä tietoja on käsiteltävä Findatan tietoturvallisessa, maksullisessa etäkäyttöympäristössä, jossa tietoja säilytetään tietoluvan voimassaolon ajan ja rajoitetun ajan tämän jälkeen. Perustellusta välttämättömästä syystä Findata voi luovuttaa aineiston muuhunkin tietoturvalliseen ympäristöön (toisiolain 20 §). Auditoitavia käyttöympäristöjä on suunnitteilla tai toteutuksessa useita (11) ja esimerkiksi Husin käyttöympäristö (Hus Acamedic) on hyväksytty tietoturvalliseksi käyttöympäristöksi (12).

Henkilön antaman suostumuksen tulkinta

Henkilö voi antaa terveydenhuollon toiminnassa useita suostumuksia eri tarkoituksiin, joita koskevat eri säädökset ja eettiset käytänteet, muun muassa Helsingin julistus (13). Potilaana hän voi suostua hoitotoimenpiteisiin, tutkittavana osallistumaan lääketieteelliseen tutkimukseen ja muutoin tietojen käsittelyyn eri tarkoituksia varten. Suostumus kliiniseen lääketutkimukseen osallistumiseen ei kuitenkaan ole suostumus henkilötietojen käsittelyyn, vaan tutkimuseettinen periaate. Tietojen käsittelyperuste sen sijaan tulee pääosin suoraan laista. Myös potilasasiakirjatietojen käsittely potilaan hoitoa varten perustuu lakiin (niin sanottu ensiökäyttö).

GDPR:n mukaisen henkilön tietojen käsittelyyn antaman suostumuksen tulee olla vapaaehtoinen, tietoinen, yksilöity ja yksiselitteinen tahdonilmaisu; terveystietojen kohdalla myös nimenomainen yhtä tai useampaa tiettyä tarkoitusta varten. Suostumuksen pätevyyttä voi rajoittaa se, että henkilön katsotaan olevan jollain tavoin alisteinen suhteessa rekisterinpitäjään, kuten esimerkiksi lääkäri-potilassuhteessa. Tällöin voi syntyä GDPR:n tarkoittama epäsuhta, kun potilaan hoito on riippuvainen lääkäristä.

Henkilön antamalla suostumuksella on merkitystä toisiolain 43 §:n 3 momentin mukaisissa tilanteissa. Jos luvituksen kohteena olevat tiedot on alun perin koottu hänen suostumuksellaan, tietolupa voidaan myöntää, mikäli käyttötarkoitus ei poikkea suostumuksen ehdoista. Henkilö voi myös antaa suostumuksen osallistua johonkin yksittäiseen tutkimukseen, jossa hyödynnetään toisiolain alaisia tietoja. Suostumuksen tulee tällöin kattaa rekisteritietojen käyttö.

Lisäksi toisiolain siirtymäsäännöksen 60 §:n 3 momentin mukaan ennen toisiolain voimaantuloa henkilöltä vapaaehtoisesti kerättyjä tietoja voidaan käyttää toisiolain mukaisiin tarkoituksiin, jos tietojen käyttö ja luvitus ei olennaisesti poikkea alkuperäisestä tarkoituksesta. Tämä koskee esimerkiksi vanhoja tutkimusaineistoja, joiden kohdalla suostumukset eivät vastaa nykyvaatimuksia tai niiden tulkinta on vaikeaa (HE 159/2017, s. 150). Tietoluvasta päättävä viranomainen voi tällöin edellyttää, että luvanhakija pyytää eettisen arvion lupapäätöksen perusteeksi Terveyden ja hyvinvoinnin laitoksen (THL) eettiseltä toimikunnalta.

Epäselvyydet laeissa ja niiden tulkinnassa

Perustuslakivaliokunta on kiinnittänyt huomiota henkilötietojen käsittelyä koskevan sääntelyn raskauteen ja monimutkaisuuteen ja todennut, että GDPR:n vuoksi on vastaisuudessa syytä välttää yksityiskohtaista erityislainsäädäntöä (muun muassa PeVL 14/2018 vp, s. 3–4). GDPR:n 41. johdantolauseen mukaan siinä edellytetty käsittelyperuste tai lainsäädäntötoimi ei välttämättä edellytä parlamentin hyväksymää säädöstä, eikä 45. johdantolauseen mukaan kaikkia yksittäisiä toimia varten tarvita erityislakia. GDPR ja perustuslakivaliokunta eivät siis edellytä yksityiskohtaista erityissäätelyä jokaisesta asiasta.

Kesällä 2021 perustuslakivaliokunta totesi toisiolain muutoksia käsitellessään, että ”toisiolaki on osoittautunut käytännössä vaikeasti sovellettavaksi ja aiheuttanut usein epäselvyyttä suhteessa muuhun lainsäädäntöön” (PeVL 25/2021 vp., kohdat 11 ja 12). Valiokunta edellytti, että lain uudistamistarvetta pitää tarkastella erityisesti tieteellisen tutkimuksen kannalta:

”Perustuslakivaliokunnan saaman selvityksen mukaan toisiolain sääntely on merkinnyt tietosuoja-asetuksen sääntelyä huomattavasti pidemmälle meneviä tieteelliseen tutkimukseen kohdistuvia vaikutuksia. Ottaen huomioon tietosuoja-asetuksen suoraan soveltuva riskiperustainen sääntely valiokunnan mielestä perustuslaista ei johdu lähtökohtaisesti velvollisuutta säädellä tietosuoja-asetuksen 9 artiklan tarkoittamia erityisiä henkilötietoryhmiä koskevaa käsittelyä tieteellisessä tutkimuksessa tietosuoja-asetuksen edellyttämää sisällöllisesti enemmän rajoittavin säännöksin.”

Sosiaali- ja terveysvaliokunta yhtyi näkemykseen ja painotti lainsäädännön päivittämisen tarvetta ilman aiheetonta viivästystä todeten, että ”asiakas- ja potilastietojen käsittelyä koskevien lakien suhde toisiinsa on epäselvä ja erityisesti toisiolain suhde muuhun sääntelyyn on osoittautunut haasteelliseksi”. Valiokunta totesi, että mahdolliset epäselvyydet tulee viipymättä selvittää ja tehdä tarvittavat lainsäädännölliset muutokset (StVM 17/2021 vp).

GDPR:n mukaan suostumus on yksi laillisista tietojen käsittelyperusteista. Toisiolaista ei ilmene, onko suostumusta mahdollista käyttää suoraan toisiolain mukaisen viranomaisluvituksen vaihtoehtona tai edes poiketa toisiolain säännöksistä edellä mainittujen vaatimusten suhteen, jos henkilö siihen suostuu. Toisiolain säännöksistä ei näy voitavan poiketa tutkittavan suostumuksella esimerkiksi käyttöympäristön, käyttötarkoituksen tai rajoitetun määräajan suhteen. Näin ollen kansainväliset tutkimusyhteistyöt tai muut kuin THL:n ylläpitämät kansalliset laaturekisterit eivät ole mahdollisia. Tämä ei ole GDPR:n tarkoitus, joka mahdollistaa monenlaisen tarkoituksenmukaisen tietojenkäsittelyn ja riskiperustaisen lähestymistavan.

Lääketieteellisestä tutkimuksesta annettua lakia (488/1999) on muutettu 24.11.2021 alkaen siten, että potilasasiakirjoja saa käyttää kyseessä olevan lain mukaisiin tarkoituksiin tutkittavan suostumuksella toisiolain estämättä (uusi 21 c §, 984/2021). Juridisesti tilanne on kuitenkin edelleen epäselvä, kun suostumuksella saatuihin potilasasiakirjoihin halutaan yhdistää muita toisiolain alaisia aineistoja. Jos toisiolaki tulee näissä yhdistämistilanteissa sovellettavaksi, tarkoittanee se käytännössä, että suostumuksesta huolimatta toisiolain säännökset tulevat täysimääräisesti sovellettaviksi.

Näkemys tutkittavan alisteisuudesta suhteessa rekisterinpitäjään on terveydenhuollossa yksinkertaistava. Potilaan suostumusta pyydetään arjessa toimenpiteisiin ja tietojen liittämiseen esimerkiksi Kanta-järjestelmään rutiininomaisesti. Olisikin erikoista, jos potilas ei voisi tietoisesti suostua terveystietojensa käsittelyyn erikoisalojen kansallisissa ja kansainvälisissä laaturekistereissä, joilla seurataan hänen sairautensa kulkua ja kehitetään diagnostiikkaa ja hoitoja. Sairaaloiden tiedoista itse poimittujen aineistojen kohdalla tulisi mahdollistaa potilasta hyödyttävä tietojen toisiokäyttö paikallisissa ja kansainvälisissä tietoturvallisissa käyttöympäristöissä ilman monikerroksista luvitukseen ja datahallintaan liittyvää byrokratiaa.

Lopuksi

EU:ssa on valmisteilla useita datan hallintaan, hallinnointiin ja liikkumiseen liittyviä säätelyehdotuksia, kuten Data Governance Act sekä Data Act. Nämä liittyvät EU:n vuonna 2020 julkaisemaan datastrategiaan ja sen toimeenpanoon. Myös EU:n tietosuoja-asetuksen soveltamiseen liittyy yhä lukuisia isojakin kysymyksiä, joita ei EU-tasoisesti ole vielä ratkaistu. Euroopan tietosuojaneuvostolta odotetaan parhaillaan tieteellistä tutkimusta koskevia linjauksia.

Erityisen merkittävä EU:n uusi lainsäädäntöehdotus European Health Data Space (EHDS) koskee terveystietojen ensiö- ja toisiokäyttöä koko unionin alueella (14). Sillä tavoitellaan henkilöiden omien terveystietojen hallinnan merkittävää parantamista (MyHealth@EU) ja tietojen laajempaa käyttöä rajojen yli eri tarkoituksiin.

Kansalliset erillissääntelyt voivat viedä pohjaa yhtenäiseltä EU-tasoiselta kehitykseltä ja uhata EU:n sisämarkkinoiden toimintaa. Ehdotuksessa EU:n Data Governance -säädökseksi todetaan seuraavaa: ”vaarana on, että jäsenvaltiot antavat yhä enemmän lainsäädäntöä dataan liittyvistä kysymyksistä koordinoimattomalla tavalla, mikä lisää sisämarkkinoiden hajanaisuutta” (15). 

Kansallisen erillissääntelyn sijaan tulisikin keskittyä vaikuttamaan kaikin tavoin EU-sääntelyyn ja sen tulevaan sisältöön. Jos kansallista erillissääntelyä halutaan jatkaa, olisi suotavaa uuden sääntelyn (mukaan lukien uusi biopankkilaki, genomilaki) sijaan keskittyä pikaisesti korjaamaan toisiolain ilmeisiä valuvikoja sekä yhdistämään kansallinen nykyinen erillissääntely ristiriidattomaksi, helposti ymmärrettäväksi kokonaisuudeksi.