Sandra Liede, Terveysteknologia ja Life Science -alat
Eduskunta hyväksyi huhtikuussa 2026 lakimuutoksen, joka antaa terveydenhuollon ammattihenkilöille oikeuden analysoida potilastietoja ennakoivasti. Kyseessä on terveydenhuoltolain ja asiakastietolain muutos, joka perustuu hallituksen esitykseen HE 159/2025 vp. Otsikkotasolla muutos kuulostaa isolta ja monessa mielessä onkin. Käytännön toteutus on kuitenkin tarkasti rajattu, ja juuri rajauksissa piilee muutoksen todellinen merkitys.
Tämä kirjoitus avaa, mitä laki konkreettisesti sallii, missä sen soveltamisalan rajat kulkevat, ja millaisia juridisia kysymyksiä sote-organisaatioiden, terveysteknologiayritysten ja muiden toimijoiden on nyt syytä pohtia.
Mistä uudistuksessa on kyse?
Asiakastietolain 9 §:ään lisättiin uusi 2 momentti, joka sallii terveydenhuollon ammattihenkilöille pääsyn potilastietoihin neljässä erikseen nimetyssä tehtävässä:
- terveystarkastusten kohderyhmien määrittäminen (terveydenhuoltolaki 13 §)
- seulontaohjelmien kohderyhmien määrittäminen (terveydenhuoltolaki 14 §)
- pitkäaikaissairauksien hoidon seuranta (terveydenhuoltolaki 24 §:n 1 momentin 1 kohta)
- erityistä tukea tarvitsevien potilaiden terveysongelmien varhainen tunnistaminen ja hoidon seuranta (terveydenhuoltolaki 24 §:n 1 momentin 4 kohta)
Normaalisti terveydenhuollon ammattihenkilö saa katsoa potilaan tietoja vain silloin, kun hänellä on hoitosuhde kyseiseen potilaaseen eli kun hän konkreettisesti hoitaa tätä. Tämä lakimuutos ei muuta tuota pääsääntöä. Se tekee siihen vain yhden tarkkaan rajatun poikkeuksen: tietyissä neljässä ennalta määritellyssä tehtävässä tietoja saa käsitellä, vaikka varsinaista hoitosuhdetta kyseiseen potilaaseen ei olisi. Kyse ei siis ole yleisestä oikeudesta selata potilastietoja työtehtävän perusteella, vaan poikkeuksesta, joka koskee vain näitä neljää tilannetta.
Käyttöoikeus on lisäksi rajoitettu hyvinvointialueen omaan rekisteriin, ei siis muiden palvelunantajien tietoihin, lukuun ottamatta jäljempänä käsiteltävää Uudenmaan erityisjärjestelyä.
Mitä nyt voidaan tehdä, mitä ei voitu ennen?
Diabetesriskipotilaiden tunnistaminen ja kutsuminen terveystarkastukseen. Hyvinvointialue voi analysoida omasta potilasrekisteristään potilaita, joilla on kohonnut paastoverensokeri, ylipaino tai muita riskitekijöitä, ja kutsua heidät terveystarkastukseen ennen kuin sairaus puhkeaa. Hallituksen esitys nimeää nimenomaisesti tyypin 2 diabeteksen, sepelvaltimotaudit ja aivoverenkiertohäiriöt esimerkkeinä kansantaudeista, joita riskiryhmille kohdennetut toimet voisivat ehkäistä.
Hoidon seurantavajeiden tunnistaminen. Diabeetikot, joiden HbA1c-arvoa ei ole rekisteröity viimeiseen vuoteen, vaikka seuranta on lääketieteellisesti välttämätöntä. Verenpainepotilaat, joiden hoitotasapaino on rekisteröityjen arvojen perusteella heikko, mutta jotka eivät ole tulleet kontrollikäynnille. Hallituksen esitys viittaa erityisesti koronapandemian aikana keskeytyneisiin hoitokontakteihin esimerkkinä tilanteesta, jossa ennakoiva tunnistaminen on tarpeen.
Monisairaiden potilaiden tunnistaminen. Potilaat, joilla on useita samanaikaisia sairauksia ja joiden hoito on pirstaloitunut eri yksiköihin ilman selkeää vastuulääkäriä. Heidän tunnistamisensa ja ohjaamisensa koordinoidun hoidon piiriin on nyt mahdollista myös ilman erillistä yhteydenottopyyntöä.
Seulontakohderyhmien tarkentaminen. Lakimuutos mahdollistaa esimerkiksi suolistosyöpäseulonnan kohderyhmän tarkentamisen päivitetyn protokollan mukaiseksi — jotain, mitä ei ole aiemmin voitu tehdä puuttuvan oikeusperustan takia. HPV-rokotusstatukseen perustuva kohdunkaulasyöpäseulonta on sen sijaan esimerkki, johon lakimuutos ei ulotu: rokottamattomien henkilöiden tavoittaminen rokotusten järjestämiseksi ei kuulu ennakoivan terveydenhuollon tehtävien piiriin, eikä sitä siten kata tämä sääntely.
Olennainen oikeudellinen rajaus koskee päätöksentekoa. Ehdotetun sääntelyn tarkoituksena on, että terveydenhuollon ammattihenkilö päättää niistä toimenpiteistä, joita havaintojen perusteella tehdään. Sääntelyn lähtökohtana on siis ihmisen tekemät päätökset. Laki ei kuitenkaan kiellä automatisointia: mikäli yksittäisissä tilanteissa sovelletaan GDPR:n 22 artiklan tarkoittamaa automaattista päätöksentekoa, rekisterinpitäjän on varmistettava, että asetuksen reunaehdot täyttyvät. Laki ei myöskään luo 22 artiklan mukaista lakiperustaista oikeusperustaa automaattiselle päätöksenteolle. Tämä jää erillisen säädöshankkeen varaan.
Kolme kovaa käytännön rajoitusta
1. Pääsy on rajoitettu hyvinvointialueen omaan rekisteriin
Tämä on lain merkittävin rajoitus. Hyvinvointialue voi analysoida vain niitä potilaita, joista sen omassa potilasrekisterissä on merkintöjä. Työterveyshuollon, yksityislääkäreiden tai muiden palvelunantajien tekemiä kirjauksia ei voi käyttää kohderyhmän määrittämiseen. Käytännön merkitys on huomattava. Suuri osa työikäisen väestön terveystiedoista on muualla kuin hyvinvointialueen omassa rekisterissä.
2. Kanta-palveluissa ei ole rekisteritason hakua
Kanta-palvelut eli se järjestelmä, johon potilastiedot kansallisesti tallennetaan, on rakennettu niin, että tietoja voi hakea vain yksittäisen potilaan kerrallaan. Kela kiinnitti lausunnossaan tähän huomiota: Kantaan ei ole tehty toiminnallisuutta, jolla hyvinvointialue voisi noutaa kaikki omaan rekisteriinsä kuuluvat tiedot yhdellä kertaa väestötason analyysiä varten. Tällaista toiminnallisuutta valmistellaan erillisessä lainsäädäntöhankkeessa, mutta se ei sisälly tähän lakimuutokseen. Käytännössä tämä tarkoittaa, että analyysit ovat mahdollisia vain siltä osin kuin tiedot löytyvät hyvinvointialueen paikallisista tietojärjestelmistä ja osa omista tiedoistakin saattaa olla vain Kannassa, jos vanha tietojärjestelmä on poistettu käytöstä.
3. HPV-rokotusstatukseen perustuva seulonta jää pääosin lain ulkopuolelle
Kohdunkaulasyövän seulonnan kohdentaminen HPV-rokotusstatuksen perusteella on esimerkki käyttötapauksesta, jota tämä lakimuutos ei pääsääntöisesti kata. Sosiaali- ja terveysministeriön selvityksen perusteella valiokunta totesi, että rokotusten kohdentaminen väestötasolla kuuluu tartuntatautilain uudistuksen ja erillisen ”ennakoiva sote 2” -hankkeen piiriin, ei tähän lakiin.
Yksi tärkeä poikkeus kuitenkin on: yksittäisen potilaan kohdalla lääkäri voi terveydenhuoltolain 24 §:n perusteella ottaa potilaaseen yhteyttä, jos potilaan kokonaistilanne huomioon ottaen jonkin rokotteen ottaminen on perusteltua ja rokote puuttuu potilastietojen mukaan. Kyse on siis yksilöarviosta, ei väestötason kohdentamisesta.
Uudenmaan erityisjärjestely
Hallituksen esityksessä Uudenmaan hyvinvointialueille ja Helsingille annettiin oikeus käsitellä HUS-yhtymän rekisterissä olevia potilastietoja, mutta ei toisin päin: HUS ei olisi saanut vastaavaa pääsyä hyvinvointialueiden tietoihin. HUS piti tätä ongelmallisena, ja valiokunta yhtyi tähän näkemykseen. Lopulliseen lakiin lisättiin vastavuoroisuus: myös HUS:n terveydenhuollon ammattihenkilöt saavat käsitellä Uudenmaan hyvinvointialueiden ja Helsingin kaupungin rekistereissä olevia potilastietoja näissä neljässä tehtävässä.
Tämä on oikeudellisesti kiinnostava lisäys, koska se tehtiin valiokunnassa hallituksen esityksen jälkeen.
Mistä laissa ei säädetty — ja miksi se on kaupallisesti merkityksellistä
GDPR 22 artikla — automatisoitu päätöksenteko. Tämä lakimuutos ei luo oikeusperustaa automaattiselle päätöksenteolle terveydenhuollossa, se vaatii erillisen lainsäädäntöhankkeen. Avustavaa analytiikkaa saa käyttää, mutta vain jos ammattihenkilö tosiasiallisesti tekee lopullisen päätöksen. Raja avustavan ja automatisoituvan välillä on tosiasiallinen, ei tekninen, eikä laki sitä määrittele. Viranomaiskontekstissa suostumus on käytännössä ongelmallinen perusta, ja automatisointi edellyttää riittävän selkeää lakiperustaa joko olemassa olevasta tai uudesta lainsäädännöstä. Terveysteknologiayrityksille avoin rajanveto on suora oikeudellinen riski.
Yksityiset palveluntuottajat. Sääntely ei sovellu yksityisiin palvelunantajiin, koska käyttöoikeus on kytketty terveydenhuoltolain pykäliin, joiden järjestämisvastuu on hyvinvointialueilla. Hallituksen esitys lupaa, että yksityisen sektorin roolia arvioidaan tulevissa säädöshankkeissa.
Sanktiot ja valvonta. Laki ei sisällä erityisiä uusia valvontamekanismeja tai seuraamussäännöksiä sille, miten tehtäväperusteisen pääsyn rajauksia käytännössä noudatetaan. Käytännön valvonta tukeutuu voimassa olevaan sääntelykehykseen.
Mitä tämä tarkoittaa käytännössä eri toimijoille?
Hyvinvointialueille keskeinen kysymys on, miten käyttöoikeudet rajataan teknisesti niihin neljään tehtävään, jotka laki sallii ja miten tämä dokumentoidaan mm. tietosuojaselosteissa, vaikutustenarvioinneissa ja sisäisissä ohjeissa. Henkilöstön ohjeistus ja koulutus on käytännön tasolla ehkä vaativin tehtävä.
Uudenmaan alueen toimijoille eli HUS-yhtymälle, hyvinvointialueille ja Helsingin kaupungille vastavuoroisen järjestelyn käytännön toteutus vaatii erillistä juridista arviointia, koska varsinainen hallituksen esitys ei sisällä valmiita perusteluja vastavuoroiselle järjestelylle.
Terveysteknologiayrityksille kysymys koskee tuotteen oikeudellista asemaa: täyttävätkö analytiikkatyökalu, päätöksenteon tuki tai riskimallinnusratkaisu uuden lain ja samalla GDPR:n 22 artiklan edellyttämät vaatimukset? Hankintasopimuksissa on lisäksi sovittava tarkasti siitä, miten käyttöoikeusrajaukset toteutetaan teknisesti.
Yksityisille palveluntuottajille seuraava lainsäädäntökierros on se, jolloin heidän asemaansa todennäköisesti arvioidaan uudelleen. Edunvalvonnan kannalta nyt on aika muotoilla, millä ehdoilla sektori haluaisi tulla mukaan.
Seuraan sote-lainsäädännön kehitystä ja autan organisaatioita arvioimaan, mitä tämä laki tarkoittaa juuri heidän toiminnalleen.
Sandra Liede
Terveysteknologia ja Life Science -alat
+358 40 700 1658
sandra.liede@laissa.fi