Huhtikuussa 2026 yli 500 000 ihmisen terveystietoja tarjottiin myyntiin kiinalaisella verkkokauppa-alustalla. Kyseessä oli UK Biobankin data, jossa on geneettisiä tietoja ja muita arkaluonteisia lääketieteellisiä tietoja.
UK Biobankin johto selitti, että kolmen akateemisen instituution tutkijat olivat väärinkäyttäneet tietojenkäyttöoikeuksiaan. Selitys kuulostaa kuluneelta: muutama vastuuton tutkija ja poikkeus säännöstä.
Ollaanko Suomessa avaamassa ovea samanlaiselle riskille?
Toisiolain muutos astui Suomessa voimaan 1.5.2026
Toisiolaki — laki sosiaali- ja terveystietojen toissijaisesta käytöstä — säätelee, miten potilasrekistereistä kerättyä tietoa voidaan hyödyntää alkuperäisen hoitokäytön ulkopuolella, esimerkiksi tutkimuksessa ja tilastoinnissa.
Samaan aikaan kun Britanniassa jälkihoidetaan tätä vakavaa tietoturvaloukkausta, Suomessa astui voimaan toisiolain muutos. Yksi sen keskeisimmistä uudistuksista koskee sitä, että suomalaista sosiaali- ja terveystietoa voidaan nyt luovuttaa ulkomaisiin käyttöympäristöihin kansainvälistä tutkimusyhteistyötä varten.
Tietoturvallisuuden näkökulmasta tässä muutoksessa avainkysymykset ovat:
→ Miten rajat ylittävä terveystietojen käyttö ja turvalliset käyttöympäristöt varmistetaan?
→ Mitä tarkoittaa turvallinen ulkomainen käyttöympäristö?
Vastaus alkaa hahmottua — ja se nostaa esiin useita huolestuttavia kysymyksiä. Findatan infotilaisuuteen (28.4.2026) osallistui yli 200 alan toimijaa ja siellä esiteltiin valittu käytäntö: organisaatio täyttää lomakkeet A ja B, rastittaa vaatimukset täytetyiksi ja toimittaa asiakirjat liitteenä.
Lomakkeella A rekisterinpitäjä voi hakea erityiseen syyhyn pohjautuvaa lupaa tietoaineiston luovuttamiseen muuhun turvalliseen käyttöympäristöön. Tietosuojan ja tietoturvan näkökulmasta kysymyksiä herättää mm. lomakkeella esitetyt kysymykset:
- Käsittelyyn liittyy Suomen kansalliseen turvallisuuteen kohdistuvia riskejä (kyllä/ei)
- Voidaanko aineisto luovuttaa anonymisoituna tai pseudonymisoituna? (kyllä/ei)
Lomakkeella B poikkeusluvan hakija kuvaa muun turvallisen käyttöympäristön tietoturvaa ja riskienhallintaa. Lomakkeelle poikkeusluvan hakija kuvaa ‘kyllä tai ei’ -vastauksin, täyttyvätkö käyttöympäristössä toisiolain mukaiset tietoturvavaatimukset.
Tässä kohtaa tietoturvallisuuden todentaminen on muuttunut selkeästi aikaisemmasta:
- Arviointilaitoksen tekemä todennus on muuttunut poikkeusluvan hakijan tekemään itsearvioon ja liitteinä toimitettaviin dokumentaatioihin toteutuksesta.
- Arviointilaitoksen tekemä käyttöympäristön hyväksyntä on muuttunut poikkeusluvan hakijan (tietoluvan mukainen rekisterinpitäjä) vakuutukseksi tietoturvallisuuden riittävyydestä ja noudattamisesta.
- Käyttöympäristöä ei siis tarkasteta eikä sille aseteta erityisiä sertifiointivaatimuksia.
Ulkomaisen käyttöympäristön tietoturva perustuu siis poikkeusluvan hakijan itsearviointiin ja sen toimittamiin asiakirjoihin.
Luotettava yliopisto tai akateeminen status ei ole tietoturvastandardi
Laissa puhutaan luotettavista tahoista, esimerkiksi tunnetuista ulkomaisista yliopistoista tai yliopistosairaaloista. Lisäksi jokaisen hankkeen kohdalla tehdään riskiarviointi.
UK Biobankin tiedot päätyivät myyntilistauksiksi nimenomaan akateemisen käytön piiristä. Tutkijat, joilla oli laillinen pääsy tietoon, veivät sen ulos ja tietoja ehdittiin tarjota myyntiin.
→ Akateeminen status ei kelpaa tietoturvastandardiksi.
Myöskään rekisterinpitäjän allekirjoitus ei sellaiseksi kelpaa.
Nykyinen suomalainen toisiolakiympäristö on rakennettu niin, että raakadataa ei voi vapaasti viedä ulos tietoturvallisesta käyttöympäristöstä. Tämä on tietoinen suunnitteluratkaisu.
Toisiolain mukaiset käyttöympäristöt edellyttävät tietoturvallisuustodistuksen, arviointilaitoksen hyväksynnän sekä rekisteröinnin Astori-rekisteriin.
Jos suomalaisen terveystiedon kotimainen käyttö edellyttää tarkasti määriteltyä, auditoitua ja rekisteröityä käyttöympäristöä, millä perusteella ulkomainen ympäristö katsotaan yhtä turvalliseksi ilman ulkopuolista arvointia?
Suomalainen terveystieto on erityisen herkässä asemassa
UK Biobankissa oli yli puolen miljoonan henkilön tietoja. Laajassa väestöotoksessa pseudonymisoitu tieto on vaikeampi yhdistää yksilöön, mutta Suomessa tilanne on aivan toinen. Väestömme on pieni, rekisterit kattavia ja tiedot yksityiskohtaisia. Pseudonymisoitu suomalainen terveystieto on helpompi yhdistää yksittäiseen henkilöön kuin monissa muissa maissa.
Kansainvälinen yhteistyö on arvokasta ja sitä tulee edistää. Silti ajattelen, että vastaanottavan ympäristön tietoturvavaatimukset on määriteltävä tarkasti ennen kuin tietoja luovutetaan.
TEHDAS2-hanke ja velvoitteiden voimaantulo
EU:n TEHDAS2-yhteistoimintahankkeessa laaditaan parhaillaan ohjeita ja teknisiä määritelmiä rajat ylittävän terveystiedon käytön vaatimuksista. Suomi on hankkeessa vahvasti mukana. Sitra koordinoi ja mukana ovat myös THL, VTT, CSC, Findata ja HUS.
EHDS-asetus, jonka toimeenpanoa TEHDAS2 tukee, astui voimaan jo maaliskuussa 2025. Toissijaista käyttöä koskevat velvoitteet tulevat voimaan maaliskuussa 2029.
Toisiolain muutos tuli voimaan 1.5.2026, mutta EHDS:n toissijaista käyttöä koskevia vaatimuksia aletaan soveltaa vasta vuonna 2029. Tähän väliin jää lähes kolme vuotta, joiden aikana käyttöympäristöksi hyväksytään auditoimaton tietojenkäsittely-ympäristö.
Siksi lakimuutos ei yksin toimi. Itsearviona tehty kontrollien arviointi poikkeaa selvästi siitä, mitä arviointilaitos tekee teknisesti todennetussa arvioinnissa.
Ennen kuin suomalaista terveystietoa luovutetaan ulkomaisiin käyttöympäristöihin, tarvitaan todennettu varmuus siitä, millaiseen ympäristöön luovutus voi tapahtua — tekniset kontrollit, pääsynhallinta, lokitus, tulosten tarkastus sekä raakadataan kohdistuvat vientirajoitukset.
Rekisterinpitäjän oma vakuutus ei ole riittävä tae. UK Biobankin tapaus osoitti, mitä voi seurata, kun tekniset kontrollit eivät ole riittäviä.
TEHDAS2 on oikea paikka vaikuttaa näiden standardien sisältöön. Suomella on siellä ääni, ja meillä on paljon osaamista, jota kannattaa hyödyntää.
Jarkko Majava
Jarkko Majava on Into Securityn perustajaosakas ja pääauditoija (CISA, CISSP, ISO 27001 Lead Auditor). Hänellä on 25 vuoden kokemus tietoturva-auditoinneista. Hän on toiminut asiantuntijana EU-komissiolle eIDAS-asetuksen valmistelussa ja osallistunut Katakri 2020 -viitekehyksen kehittämiseen.
Uutinen lakiuudistuksesta:
https://findata.fi/uutiset/toisiolaki-muuttuu-1-5-katso-kooste-tulevista-uudistuksista/
Lomake B – Käyttöympäristön tietoturvan ja tietosuojan arviointi (PDF): https://findata.fi/wp-content/uploads/sites/13/2026/04/Poikkeuslupa_Lomake_B_Kayttoympariston_tietoturvan_ja_tietosuojan_arviointi.pdf