Kuva: Sitra

Julkaistu 07.05.2020

Sitran lausunto Covid19-jäljityssovelluksen käyttöönotosta

Digitaaliset ratkaisut tartuntaketjujen jäljittämiseen tehostavat ja nopeuttavat yhteiskunnan toipumista kriisistä. Yksityisyydensuojan ja tietoturvan huomioiva jäljityssovellus tuo systemaattisen välineen, jolla helpotetaan epidemian hallitsemista.
Kirjoittaja
Johtaja, Uudistumiskyky, Sitra

Yksityisyydensuojaa kunnioittavat ja tietoturvalliset digitaaliset ratkaisut tukevat pandemian hallintaa

  • Mobiilisovellus tartuntaketjujen jäljittämiseen olisi tärkeää saada käyttöön mahdollisimman nopealla aikataululla.
  • Tehokas pandemian hallinta edellyttää vähintään Euroopan laajuisia yhteisiä toimintatapoja ja yhteen toimivia protokollia tiedon jakamiseen ja viestintään maiden sisällä ja välillä.
  • Teknologian ja sovellusten vaikutus yksistään on pieni, ellei samaan aikaa varmisteta koko testaa, jäljitä, eristä ja hoida -prosessin toimivuutta ja riittäviä resursseja ja osaamista uuteen toimintamalliin.

Lausunto annettu 5.5.2020.

Suomen itsenäisyyden juhlarahasto Sitran lausunto Sosiaali- ja terveysministeriölle esityksestään lähikontaktien jäljityssovelluksen käyttöönottoon Covid-19-epidemian hallinnan tueksi

Mobiilisovellus tarkoituksenmukainen tapa jäljittää tartuntaketjuja

Sosiaali- ja terveysministeriön muistiossa esitellään mobiilisovellus tukemaan tartuntatautien jäljitystyötä ja tartuntaketjujen katkaisemista. Sitra pitää tapaa tarkoituksenmukaisena tartuntaketjujen jäljittämiseen.

Digitaaliset ratkaisut pandemian tartuntaketjujen jäljittämiseen tehostavat ja nopeuttavat yhteiskunnan toipumista kriisistä. Kun rajoituksia puretaan, alkaa tartuntojen määrä vääjäämättä kasvaa. Painopiste siirtyy laajamittaisempaan testaamiseen ja positiivisten tapausten jäljittämiseen.

Sitra pitää suunnittelussa tärkeänä yksilön tietoturvaa ja korostaa, että riittävän hyvin suunniteltu ja tietoturvallinen sovellus on tartuntaketjujen jäljittämiseen mainio apu ja työkalu. Sovellus on vaikuttava, jos käyttäjämäärät ovat riittäviä ja voidaan paljastaa ketjut. Ketjujen paljastamiseen nopeasti sovellus tuo systemaattisen välineen ja helpottaa jäljittäjien työtä. Paras hetki saada sovellus ulos on rajoitusten purkamisen yhteydessä. Riski on, että vastuunjaon ja lainsäädännöllisten yksityiskohtien selvittelyssä menetetään arvokasta aikaa joka päivä.

Sovellus nopeuttaa ja tavoittaa systemaattisemmin kattavan osan väestöä, kun se otetaan laajasti käyttöön ja siten auttaa koronaviruksen hallinnassa niin alueilla kuin kansallisesti.

Henkilötietojen ja yksityisyyden suoja on huomioitu

Henkilötietojen ja yksityisyyden suojaa koskevat näkökulmat on otettu esityksessä asianmukaisesti huomioon. Sitra korostaa yksityisyyden suojan toteutumista, se on kaiken peruslähtökohta ja kansalaisten luottamuksen perusta. On tärkeä luoda mekanismi, jolla varmistetaan, että sovellukset täyttävät tarvittavat vaatimukset tietosuojasta ja tietoturvasta. Näkemyksemme mukaan Ketju-sovelluksen kaksivaiheinen suostumus, mikä toteuttaa GDPR:n mukaisen ”informed consent” periaatteen, toteutuu tässä kuvatussa järjestelmässä.

Tunnistetut lainsäädäntömuutokset ovat riittäviä

Sitra pitää muistiossa tunnistettuja lainsäädäntömuutoksia riittävinä. Sitra toteaa kuitenkin, että GDPR:n mukaisen kaksivaiheisen suostumuksen jälkeen jää kysymys, onko keskitetyn rekisterin hallinnoiva taho toimivaltainen. Tartuntatautilaki, erityisesti pykälät 20§ – 24§ määrittävät pandemian yhteydessä kansalaisen ja viranomaisen velvollisuudet ja oikeudet.

Tartuntatautilaissa määritetty toimivaltainen viranomainen on Terveyden ja hyvinvoinnin laitos (THL), jolla on oikeus ja velvollisuus pitää yllä tartuntatautirekisteriä. Laki antaa THL:lle myös oikeuden perustaa väliaikainen tautirekisteri pandemian ajaksi. Kansalaisella on velvollisuus tartunnan yhteydessä raportoida viranomaisille tartuntaa edeltävät kohtaamiset. Tämä on sopusoinnussa hybridimallisen Ketju-sovelluksen kanssa, missä hajautetun mallin mukaisesti puhelimissa pidetään vain minimitietomäärää, käytännössä kohdattujen ihmisten puhelinnumeroiden kryptatut tiedot.

Siksi Sitrassa katsomme, että lainsäädäntömuutoksia ei tarvita, vaan voidaan edetä kaksinkertaisen suostumuksen ja tartuntatautilain antamilla toimivaltuuksilla niin THL:lle kuin sairaanhoitopiirien ja kuntien tartuntataudista vastaaville tahoille.

Mahdolliset yksilöidyt säädösmuutosehdotukset

Katsomme Sitrassa, että tartuntatautilaki sellaisenaan tarjoaa tarvittavat velvollisuudet ja oikeudet edetä ripeästi eikä säädösmuutoksille ole tarvetta.

Sovellus hyödyttää pääasiassa kolmea eri tahoa

Sitran näkemyksen mukaan sovelluksesta on hyötyä erityisesti toimivaltaisille viranomaisille tartuntatautiketjujen nopeaan ja tehokkaaseen jäljittämiseen. Hyväksi kannattaa käyttää myös muita automaation välineitä, kuten esim. robottipuheluja altistuneiden kontaktoinnissa.

Toinen hyötyjä on sairaanhoitopiirit ja kunnat, jotka saavat sovelluksen kautta tiedot omalla alueellaan tapahtuneista altistusketjuista tehokkaasti ja nopeasti.

Kolmas hyötyjä on kansalainen itse, joka saa mahdollisimman nopeasti tiedon siitä, että hän saattaa olla koronaviruksen kantaja ja sitä myötä ryhtyä tarvittaviin toimenpiteisiin.

Mahdolliset riskit valmistelu- tai sovelluksen käyttövaiheissa

On sekä terveyden että talouden näkökulmista riskialtista, jos menetämme valmistelussa kallista aikaa. Olisi käsityksemme mukaan tehokasta, että toimivaltaiselle organisaatiolle tulee antaa mandaatti edetä mahdollisimman nopeasti.

Emme näe operatiivisen toiminnan sujuvoittamisessa KELAlla roolia tässä vaiheessa.

Yhteiseurooppalaiset toimintatavat ja yhteen toimivat tiedon jakamisen protokollat tärkeitä

On tärkeää ottaa huomioon, että nykyisen pandemian ja mahdollisten tulevien pandemioiden hallinta edellyttää vähintään Euroopan laajuisia yhteisiä toimintatapoja ja yhteen toimivia protokollia tiedon jakamiseen ja viestintään maiden sisällä ja välillä. Siksi on tärkeää, että sovellukset ovat Euroopassa mahdollisimman yhteensopivia ja että toteutettavissa ratkaisuissa tulisi jo arkkitehtuuritasolla varmistaa suostumuksen hallinnan vaatimukset.

Sitrassa on viimeisen kahden vuoden aikana rakennettu eurooppalaisen GDPR-regulaation mukaista suostumuspohjaista viitekehystä, josta on jo olemassa eurooppalainen esistandardi CEN-organisaation sivustolla. IHAN-toimintamallin mukaiset digitaaliset ratkaisut kunnioittavat ihmisen yksityisyyttä ja pohjautuvat luottamukseen sekä mahdollistavat tiedon yhdistelyn yksilön suostumuksella useista eri lähteistä.

Jäljityssovelluksen ja jäljitysprosessien tehostamiselle on kiire, koska epidemian tartunta-aallot tulevat jatkumaan ja taudin hallinnassa pitäminen on haaste rokotteen käyttöönottoon saakka. Pandemia paljastaa niin toiminnan kuin sitä tukevan tietohallinnon kehittämistarpeita. Nämä opit on syytä ottaa käyttöön. Teknologian ja sovellusten vaikutus yksistään on pieni, ellei samaan aikaa varmisteta koko testaa, jäljitä, eristä ja hoida -prosessin toimivuutta sekä riittäviä resursseja ja osaamista uuteen toimintamalliin.

Suosittelemme

Tästä eteenpäin.

Mistä on kyse?