Rekisteritutkimukset

Rekisteritutkimuksella tarkoitetaan tieteellistä tutkimusta, jossa tutkimusaineisto muodostuu osittain tai kokonaan erilaisiin rekistereihin kuuluvista henkilötunnisteellisista tiedoista, kuten sosiaali- ja terveydenhuollon asiakas- ja potilasrekistereistä. Henkilötietojen käyttöön tieteellisessä tutkimuksessa tarvitaan tilanteesta riippuen rekisteröidyn kirjallinen suostumus, rekisterinpitäjän tietolupa, sosiaali- ja terveysalan tietolupaviranomaisen Findatan tietolupa tai erityistapauksissa Terveyden ja hyvinvoinnin laitoksen (THL) lupa. Rekisteriaineistojen erityispiirteenä on se, että rekistereihin kerättyä tietoa ei ole alun perin kerätty tutkimuskäyttöä varten (toisiokäyttö).

Potilastietojen käyttäminen rekisteritutkimukseen

Yhden rekisterinpitäjän rekisteristä

Jos tutkimuksen aineistona käytetään potilastietoja vain yhdestä rekisteristä, esimerkiksi KYSin potilasrekisteristä, eikä potilaiden suostumusta ole tarkoituksenmukaista pyytää esimerkiksi potilaiden suuren määrän takia, haetaan lupa rekisterinpitäjältä. KYSin rekisterinpitäjää edustaa KYSin johtajaylilääkäri. Lupa haetaan eTutkijassa yhdessä organisaatiolupahakemuksen kanssa. Hakemukseen liitetään tutkimussuunnitelma, tietosuojaseloste ja vaikutusten arviointilomake (ks. tieteellisen tutkimuksen tietosuoja). Tämä koskee myös muutoshakemuksia.

Useiden rekisterinpitäjien rekisteristä

Tietolupa haetaan Findatalta, jos tutkimuksessa yhdistetään potilastietoja useamman kuin yhden rekisterinpitäjän rekisteristä tai jos tarvitaan Kanta-palveluihin tallennettuja tietoja tai yksityisen sosiaali- ja terveyshuollon palvelunjärjestäjän rekisteritietoja. Findata yhdistää eri rekisterien tiedot ja toimittaa ne tutkijan analysoitavaksi tietoturvalliseen ympäristöön. Erityistapauksissa lupahakemus tehdään THL:lle. Findatan hakemuksen liitteeksi tarvitaan vastuuorganisaation tutkimuslupa (KYSissä organisaatiolupa eTutkijan kautta) liitteineen.

Ks. esimerkkejä rekisterinpitäjien toimivalloista, eli kenelle hakemus lähetetään toimivaltataulukko ja Findatan ohjeita tietolupien hakemiseen.

Tieteellisen tutkimuksen tietosuojavaatimukset

Tietosuojalainsäädännön vaatimukset koskevat tieteellisessä tutkimuksessa tapahtuvan henkilötietojen käsittelyn koko elinkaarta; siitä kun henkilötietojen keräämistä lähdetään suunnittelemaan, siihen kun tietojen säilytysaika päättyy. Suomessa ylin tietosuojaviranomainen on Tietosuojavaltuutettu, joka tarjoaa verkkosivuillaan ohjeita tietosuojasäännösten toteuttamiseen tieteellisessä tutkimuksessa https://tietosuoja.fi/tieteellinen-tutkimus.

Tunnista tutkimuksen rekisterinpitäjä

Tietosuoja-asetuksen mukaisesti rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Tieteellisessä tutkimuksessa rekisterinpitäjän voi ajatella olevan se taho, joka päättää henkilötietojen käsittelyn aloittamisesta ko. käyttötarkoituksessa. Rekisterinpitäjä määrittelee sen, miksi käsittelyyn ryhdytään. Se määrittelee olennaisilta osiltaan sen, kuinka henkilötietoja käsitellään ja mm. sen, kenelle tietoja voidaan luovuttaa. Rekisterinpitäjä on myös vastuussa tietosuojasäännösten noudattamisesta. Rekisterinpitäjällä itsellään ei kuitenkaan tarvitse olla pääsyä henkilötietoihin.

Yhteisrekisterinpitäjyydessä kaksi tai useampi rekisterinpitäjää päättää keskinäisellä järjestelyllä henkilötietojen käsittelyn tarkoituksista ja keinoista sekä mm. siitä, kuinka rekisteröityjen oikeuksien käyttö varmistetaan.

Esimerkkejä: Tieteellisissä opinnäytteissä (väitöskirjat, gradut) pääsääntöisesti tutkija itse on se taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot, ts. on rekisterinpitäjä. Usean tutkijan määritellessä yhdessä käsittelyn tarkoitukset ja keinot, tutkijaryhmä voi vastaavasti olla rekisterinpitäjä. Kun tieteellinen tutkimus käynnistetään PSSHP:ssä sen omana tutkimuksena, ja tutkimusta jatkettaisiin PSSHP:ssä tutkimuksessa tapahtuvista henkilömuutoksista huolimatta, PSSHP olisi rekisterinpitäjä. Toimeksiantajalähtöisessä (esimerkiksi lääkefirmat) tutkimuksessa toimeksiantaja on pääsääntöisesti rekisterinpitäjä.

Tunnista myös mahdolliset henkilötietojen käsittelijät ja huolehdi, että ko. tahojen kanssa on kirjalliset sopimukset henkilötietojen käsittelyn ehdoista.

 

Rekisterinpitäjän osoitusvelvollisuus edellyttää dokumentointia

Tietosuoja-asetuksen mukaisen osoitusvelvollisuuden periaatteen mukaisesti rekisterinpitäjän on pystyttävä osoittamaan, että se on suunnitellut henkilötietojen käsittelyn niin, että tietosuojaperiaatteet toteutuvat tehokkaasti tutkimushankkeessa. Tutkija liittää tietosuojaselosteen organisaatioluvan liitteeksi. Tietosuojaseloste toimii samalla Tietosuoja-asetuksen 30 artiklan mukaisena selosteena käsittelytoimista.

 

Riskiarvioon perustuva vaikutustenarviointi

Tutkimuksen rekisterinpitäjän on varmistettava tietosuojasäännösten toteutuminen ja suojattava henkilötiedot käsittelyyn liittyvän riskin mukaisesti. Silloin kun henkilötietojen käsittelystä aiheutuu todennäköisesti korkea riski tutkittavien oikeuksille ja vapauksille, on laadittava tietosuojaa koskeva vaikutustenarviointi (Tietosuoja-asetus 35 artikla). Rekisterinpitäjä vastaa siitä, että vaikutustenarviointi on tarvittaessa tehty sekä siitä, että rekisterinpitäjän nimetyltä tietosuojavastaavalta pyydetään neuvoja arviointiin. Jos tutkimuksen rekisterinpitäjä on PSSHP (KYS), liitetään organisaatiolupahakemuksen liitteeksi vaikutustenarviointi. Muissa tapauksissa sen toimittaminen liitteenä on vapaaehtoista.

 

Henkilötietojen käsittelyperuste ja tutkittavien oikeudet

Henkilötietojen käsittelyperusteista säädetään Tietosuoja-asetuksen 6 ja 9 artikloissa ja Tietosuojalain 4 § ja 6 §. Potilasasiakirjoihin perustuvassa tieteellisessä tutkimuksessa käytetään pääsääntöisesti käsittelyperusteena ns. yleisen edun mukaista tieteellistä tutkimusta (9 artikla 2. j.). On huomioitava, että tutkittavilla on käsittelyperusteen mukaiset oikeudet, ellei niitä ole tutkimuksessa erillisin poikkeusperustein rajoitettu.

Lisätietoja PSSHP:n/KYS:n tietosuojavastaava Auli Mikkoselta, etunimi.sukunimi@kuh.fi, puh. 044 717 6894.

Lue lisää