Keskiviikko 26.6.2019

Hallitus aikoo myydä kansalaisten terveystietoja – tuleeko ”hakkeroimaton” järjestelmä? Kansanedustaja vastaa huoliin

Luotu: 
24.8.2018 09:20
  • Kuva: Outi Järvinen / Alma Talent
    Kuva
    Valmisteilla oleva laki on lempinimeltään toisiolaki. Kuvituskuva.
|

Suomen hallitus suunnittelee kansalaisten terveystietojen myymistä tutkimus- ja tuotekehitystarkoituksiin. Seura-lehden haastattelema kansanedustaja ja sote-valiokunnan jäsen Martti Talja (kesk) kertoi järjestelmän suunnittelusta: ”Tuleva tietoympäristö on sellainen, ettei hakkerointi ole enää mahdollista.” Tivi kysyi häneltä tarkentavaa kommenttia.

Seura-lehden mukaan lakia valmisteleva Sosiaali- ja terveysministeriö vakuuttaa, että tietoja käsiteltäisiin vain tietoturvallisessa ympäristössä.

”Kansalaisen tietoturva jopa paranisi, koska tutkija ei voisi tallentaa tietoja järjestelmästä ulos esimerkiksi omalle tietokoneelleen. Tietoja voisi kuitenkin käsitellä etäyhteydellä”, Seura kirjoittaa.

Tivi kysyi Taljalta, mihin tieto perustuu, että suunnitteilla oleva järjestelmä olisi hakkeroimaton.

”Tuo termi hakkeroimaton ei tietenkään pidä paikkansa. On toimittajan sana, jota en sitten lähtenyt muuttamaan. Antaa ei asiaan perehtyneelle lukijalle hyvän kuvan muutoksesta”, Talja vastaa sähköpostitse.

Taljan mukaan termi kuvastaa kuitenkin hyvin tutkimusmateriaalin käyttöturvallisuuden muutosta nykyiseen tilanteeseen verrattuna. Toimintatavan muutoksilla tiedon siirtoa avoimissa verkoissa vähennetään oleellisesti. Tutkimustietoa voidaan tarkastella ainoastaan fyysisesti rajoitetuissa ja teknisesti suojatuissa työpisteissä.

Tarkoitus on, että suomalaisten terveystiedot anonymisoidaan ennen kuin niitä luovutettaisiin tutkimustarkoituksiin. Anonymisoinnissa tietomassa käsitellään sellaiseen muotoon, että sieltä ei voi erottaa yksittäisiä ihmisiä, mutta tietoja voidaan käyttää laajempana kokonaisuutena paljastamaan yhteyksiä asioiden välillä. Taljan mukaan tutkimustiedon yhdistäminen tulee tapahtumaan keskitetysti.

”Omana mielipiteenäni innovaatio- ja kehittämistoiminnassa tulisi hyvin pitkälle noudattaa tieteellisen tutkimuksen periaatteita tulosten luotettavuuden saavuttamiseksi”, Talja sanoo. Hän on toiminut ennen kansanedustajan uraansa lääketieteen professorina ja Päijät-Hämeen keskussairaalan johtajana.

Taljan mukaan asian yksityiskohdat eivät ole julkisia. Hänen mukaansa toimintaympäristön ja toimintatavan muutoksessa seurataan Euroopan tietosuoja-asetuksen määräyksiä.

Seura-lehden haastattelussa Suomen tietosuojavaltuutettu Reijo Aarnio totesi, että EU-oikeuden ja EU:n tietosuoja-asetuksen mukaan ihmisten sote-tietoja ei voida käyttää kaupalliseen toimintaan ilman, että heiltä on kysytty siihen lupaa. Vaikka tiedot olisi anonymisoitu, ei arkaluontoisia henkilötietoja voi käyttää ilman asianomaisen ihmisen itse antamaa lupaa.

Järjestelmään on suunnitteilla mahdollisuus kieltää omien tietojensa myynti esimerkiksi Kanta-verkkopalvelun kautta. Tällainen opt out -tyylinen käytäntö ei kuitenkaan välttämättä ole EU:n tietosuoja-asetuksen mukainen.

Henkilöt: 
Jaa artikkeli:

Kommentit

Topi Rantakivi

Talja on selkeästi sellainen, joka ei ymmärrä yhtään mitään tietoturvallisuudesta. Kaikki siinä täytyy olla käyttäjien hyväksyttävissä, jos tulee kyselyä. Yksi tärkein on juuri tämä GDPR, joka pitäisi olla käytössä ja hallitus vain jahkailee?!

Arto Lähteelä

Suomessa lähes kaikki on myytävänä.
Sote asettaa ihmisten terveydenhoidon yhdeksi bisneksen teon muuttujaksi.
Ikääntyvät henkilöt ajetaan omista asunnoista korkealla sähkönsiirrolla, kiinteistöveroilla ja bisneskotihoidolla.
Kohteena liikelaitoksen tuottoisa hoivatalo.

Pasi Käyhkö

Istuin eilen ravintolan ulkoilmaterassilla täällä Espoossa. Viereisen pöydän neljä rouvaa eivät ainakaan häpeilleet kertoa terveydellisiä ongelmiaan. Äänekkäästi puhuen myös jokainen kertoi lääkityksistään ja esiin tuli muutama lääkäri kun nimi.
Meitä kuulijoita istui terassilla noin kolmekymmentä.

Topi Rantakivi

@5. Jos itse haluaa puhua terveystietojaan, niin omalla vastuullaan. Mutta jos puhuu jonkun toisen terveydestä, niin syyllistyy yksityistietorikokseen.

Tämä oma tarinasi ei liity tähän millään lailla. Kysymys on siinä, että voidaanko kaupitella tietoja muille ilman, että saisit tietää ilman lupaasi?

Pasi Käyhkö

Kyllähän tarinani sen verran aiheeseen liittyy, että jos tiedot näin päätyvät vääriin käsiin niin siitä ei tarvitse sen jälkeen syytellä viranomaisia ei lääkäri- eikä hoitohenkilökuntaa. Niinhän voi tapahtua kun itse on aina oikeassa.

https://vm.fi/documents/10623/306884/37_2017_Tiedonhallinnan+lains%C3%A4...

Edellä olevasta linkistä, sivut 183-184:

- -"5.1.2 Erityissääntely

Julkisiin henkilötietoihin tekninen käyttöyhteys on mahdollista perustaa jo julkisuuslain perusteella. Lisäedellytys salassa pidettävien henkilötietojen kohdalla on tarkoittanut sitä, että teknisen käyttöyhteyden avaamisesta on säädetty useissa erityislaeissa.
Julkisuuslain esitöissä edellä mainittu perustuslaillinen näkökulma on kuitenkin jäänyt huomioimatta, eikä kysymykseen ole otettu hallituksen esityksissä mitään kantaa, vaan teknisestä käyttöyhteydestä on säädetty eri tapauksissa puhtaasti tiedonkulun helpottamisen ja nopeuttamisen, hallinnollisen taakan vähentämisen ja nykyisen teknisten käyttöyhteyksien laajan käytön näkökulmista.

Suostumuksen pyytämisen vaihtoehtoon ei ole otettu esitöissä kantaa. Oletuksena todettakoon, että lain valmistelussa lienee pidetty itsestään selvyytenä sitä, että etenkin laajojen henkilörekisterien kohdalla suostumuksen hankkiminen vaatii huomattavan työn ja toisaalta estää tosiasiassa teknisen käyttöyhteyden käytön niissä tapauksissa, joissa osa rekisteröidyistä on antanut suostumuksen ja osa ei. Tällöin joudutaan käyttämään rinnan kahta tiedonsaantikanavaa. Sääntely on tältä osin vanhentunutta. Lisäksi EU:n yleisen tietosuoja-asetuksen johdanto-osan kappaleessa todetaan suostumusperusteisen tietojenkäsittelyn osalta niin, ettei henkilötietojen käsittely voi lähtökohtaisesti perustua suostumukseen, kun rekisterinpitäjänä on viranomainen.

Lisäksi julkisuuslain 29.3 §:n toisen virkkeen tekee hieman tulkinnanvaraiseksi se, viitataanko lauseella ”jollei salassa pidettävien tietojen luovuttamisesta erikseen nimenomaisesti säädetä toisin” siihen, että oikeudesta tietojen hakemiseen teknisen käyttöyhteyden avulla ilman asianomaisen henkilön suostumusta on erikseen nimenomaisesti säädetty vai että ”vain” oikeudesta tietojen hakemiseen teknisen käyttöyhteyden avulla on erikseen nimenomaisesti säädetty.

Kysymys koskee siis sitä, viittaako sana ”jollei” vain edeltävään lauseeseen ”jotka ovat antaneet siihen suostumuksensa”, vai myös sitä edeltävään ”käyttöyhteyden avulla saa hakea tietoja vain henkilöistä, jotka ovat antaneet siihen suostumuksensa”. Jälkimmäinen vaihtoehto lienee perustellumpi. Lakisääteisyys ja suostumus ovat yleisellä tasolla pääsääntöisesti keskenään vaihtoehtoja perusteina salassa pidettävän tiedon antamiselle (julkisuuslaki 26.1 §).

Siten on perusteltua tulkita julkisuuslain 29.3 §:n toista virkettä siten, että myös siinä erotellaan nämä kaksi vaihtoehtoa. Lakisääteisyys pitää sisällään jo sen, että käsittely on mahdollista ilman suostumusta, eikä käsittelystä ilman suostumusta ole tarpeen säätää erikseen.

Sanamuoto ei kuitenkaan ole yksiselitteinen, ja tästä osoituksena voimassaolevassa lainsäädännössä on useita säännöksiä tiedon hakemisesta teknisen käyttöyhteyden avulla ilman asianomaisten henkilöiden suostumusta. Tästä esimerkkinä voidaan esittää kansaeläkelain (568/2007) 94 §:n 3 momentin 1. virke, jonka mukaan tämän pykälän perusteella avatun teknisen käyttöyhteyden avulla saa hakea myös salassa pidettäviä tietoja ilman sen suostumusta, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty.

Lukuisissa erityissäännöksissä on säädetty paitsi teknisestä käyttöyhteydestä, myös erikseen siitä, että ennen teknisen käyttöyhteyden avaamista tietoja luovuttavan on varmistuttava siitä, että tietojen suojauksesta huolehditaan asianmukaisesti. Ensin mainitusta on viranomaisten välisen tiedon vaihdon osalta säädetty julkisuuslain 29 §:ssä, ja velvollisuudesta varmistua tietojen suojauksesta on säädetty jo yleislain tasolla henkilötietolain 32 §:ssä." - -
---

Edellä on siis kerrottu: "Lisäksi EU:n yleisen tietosuoja-asetuksen johdanto-osan kappaleessa todetaan suostumusperusteisen tietojenkäsittelyn osalta niin, ettei henkilötietojen käsittely voi lähtökohtaisesti perustua suostumukseen, kun rekisterinpitäjänä on viranomainen."

Tämänkö vuoksi Suomeen perustetaan nyt uusi tietosuojalupaviranomainen (sote-tietovarannoille), joka jakaa yksityiset tietomme eteenpäin? Myös kaupallisiin tarkoituksiin ja ulkomaille?

Valmisteilla oleva tiedonhallintalaki on nyt ensiarvoisen tärkeä lakikokonaisuus kansallisen tietosuojamme turvaksi. Vai meneekö EU:n yleinen tietosuoja-asetus vielä sen yli, vaikka mitä tietosuojalakeja itse säätäisimme? ...

Ollaanko nyt jo menty sen rajan yli, että emme itse enää voi vaikuttaa maamme ja kansalaistemme itsemääräämisoikeuteen? EU päättää Suomen kansalaisten tietosuojankin meidän puolestamme?

Nyt olisi käytävä perusteellinen arvokeskustelu siitä, mitä me EU:lta haluamme. EU:n Valkoisen kirjan skenaariot ovat nyt valittavanamme:

https://ec.europa.eu/commission/sites/beta-political/files/valkoinen_kir...

PS. Tällä samalla linjall on myös LUOVA-virasto, joka on vain EU:n etäpiste. Esim. luonnonsuojelun ja ympäristöoikeuden asiat lopulta päätetään puolestamme EU-tuomioistuimessa. Mihin silloin tarvitaan enää KKO:ta tai KHO:ta tai vakuutusoikeutta, jotka käyttävät ylintä päätösvaltaa Suomessa?

Nyt on jo korkea aika miettiä näitä itsenäisyytemme peruskysymyksiä. Kaikki tulevat vaalit antavat siihen hyvän mahdollisuuden. Meidän kansalaisten tulee osata vain kysyä päättäjiltämme oikeita kysymyksiä.

Esa Väyrynen

"Kansanedustaja ja sote-valiokunnan jäsen Martti Talja (kesk)"

Herra Talja, mikä kuvaa parhaiten sinua, depiili, imbesilli vai idiootti?
Mikäli joku voi oikeasti olla noin SAATANAN tyhmä, niin kannattaisi vaikka itsensä likvidoimista, ettei muulle kansalle tule ongelmia.

ps. nosta vaikka kunnianloukkassyyte, jos siltä tuntuu, mutta nuo jutussa olevat "päätelmänne" ovat jo niin typeriä, ettei niitä kukaan täysiälyinen kertoisi.

Markus Vuorivirta

Vai, että hakkeroimaton järjestelmä. Niin luulisi olleen nasalla, applella, microsoftilla yms vastikään pikkulapsien murtamillakin olleen. Mites poliisilla on sujunu näiden arkaluontoisten tietojen käsittelyn kanssa. Kuinka monta kymmentä poliisia onkaan sakotettu ties mistä tietojen urkinnasta milloinkin?

Niin. Että hallitus, joka sanoo, ettei tietoja voi kopioida tai taltioida, ei ole tainnu koskaan kuulla print screen-nappulasta tietokoneessa? Entäs copy-paste toiminteista? Makroista? Voin sanoa hallitukselle, että jos tiedot jollakin, ihan millä tahansa tavalla ruudulle saa, ne saa myös kopioitua. Vaikka ottamalla jokataskussa olevalla kännykkäkameralla kuvan, tai vaikka kirjoittamalla toisella koneella käsin ylös/kynällä paperille.

Tällainen idioottilauma sitten kuitenkin päättää meidän terveystietojen myynnistä?

Kyuu Eturautti

Jatkuvia tietovuotoja oman väen virheiden vuoksi, vääriä lääkereseptejä, katkoksia, täydellisiä järjestelmien kaatamisia aloittelijoiden toimin. Kun joitain näitä tapahtuneita virheitä on asiaa osaavien kanssa tutkittu, virheet järjestelmien päässä ovat osoittautuneet niin katastrofaalisiksi tunaroinneiksi ettei niihin tahdota uskoa. Vaikkapa se parin viikon takainen tunnistusjärjestelmän kaatuminen ja reititinmäärittelyt, kyllä itku tuli.

Uskoni julkisen sektorin osaamiseen tällä alalla on reilusti alle nollan. Konsultokratia voi olla tässä johtava taustavaikutin. Ei siinä mitään että ulkoistetaan osia, mutta tilaajalla pitäisi olla suurin osaaminen ja valta. Vain silloin ulkoistus voi toimia.