Kontaktien jäljityssovelluksen käyttöönotto Covid-19-epidemian hallinnan tueksi
Sosiaali- ja terveysministeriö | 28.4.2020 | VN/10058/2020
1 Muistiossa esitellään mobiilisovellus tukemaan tartuntatautien jäljitystyötä ja tartuntaketjujen katkaisemista. Onko tämä tarkoituksenmukainen tapa jäljittää tartuntaketjuja?
Kyllä pääosin
Sovellus tulee saada käyttöön mahdollisimman, että pääsemme testaamaan sitä ja näkemään käyttöönoton tulokset. Sovellus ei kuitenkaan itsessään riitä, vaan on vain osa viruksen leviämisen vastaista strategiaa. Sovellus lisää tietoisuutta mahdollisesta altistumisesta kontaktien välityksellä, mutta terveydenhuollon toimenpiteet sovelluksen ulkopuolella ovat ratkaisevia tartuntaketjujen katkaisemiseksi.
Sovellusta pilotoidaan jo nyt Vaasan sairaanhoitopiirissä, ja jos sovellukseen saadaan toteutettua hajautetun mallin avulla toimivasti anonymisoidusti ja vapaaehtoisesti, niin jo yleinen tietosuoja-asetus luo tälle lainsäädäntöraamit.
Sovelluksen käyttöönottoa mahdollisesti edellyttävä viranomaistehtävien selkeyttäminen toivotaan tehtävän mahdollisimman nopealla aikataululla ja teknologianeutraalisti, ja samaan aikaan sovelluskehityksen kanssa. Lainsäädännöllä ei tule lukita yhtä mahdollista teknistä ratkaisua.
2 Onko esityksessä asianmukaisesti otettu huomioon henkilötietojen ja yksityisyyden suojaan liittyvät näkökohdat?
ei pääosin
Muistiossa on ristiriitaisuuksia liite 2 järjestelmäkuvauksen ja itse muistiossa kuvaillun hajautetun järjestelmän osalta. Myöskin Vaasassa nyt pilotoitava sovellus perustuu hajautettuun järjestelmään, mutta muistio ei tunnu kaikilta osin vastaavan tätä. Jatkotyössä kehotetaan pysymään sovelluksen kehittämisessä hajautetun järjestelmän arkkitehtuurissa (ja tätä toteuttavassa protokollassa DP-3T, joka on tällä hetkellä tunnustettu parhaaksi etenemisratkaisuksi, ellei tästä ilmene myöhemmin painavaa syytä poiketa). Tämän perusteella ei ole tarpeen pitää tunnuksista esim. keskitettyä rekisteriä, vaan kaikki tunnisteet, myös tartuntatieto, voidaan edelleen käsitellä hajautetusti käyttäjien päätelaitteella. Muistiota ja ratkaisuja tulee siis jatkotyössä täsmentää, mieluiten hajautetun järjestelmän eduksi. Näin selvittäisiin pienimillä lainsäädäntömuutoksilla ja säilytettäisiin korkea yksityisyyden suojan taso, mikä myös edesauttaisi luottamusta suuren yleisön keskuudessa.
Asiassa on epäselvää, miltä osin sovellusta ei voitaisi hajautetulla mallilla toteuttaa jo nykyisen tietosuoja-asetuksen nojalla, vapaaehtoisuuteen perustuen. Sovelluksen arvioiminen tulisi ensisijaisesti tapahtua suhteessa tietosuoja-asetukseen (TSA), ja myös tartuntatautilakia tulisi arvioida suhteessa TSA:een. Jatkotyössä on tärkeää pitää vaaditut lainmuutokset minimissä, ja sovelluksen käyttöaika tiukasti sidottu sen käyttötarkoitukseen funktionaalisesti ja pandemiaan myös ajallisesti.
Yksityisyyden suojan kannalta keskeinen osa sovellusta on luotettavasti terveydenhoidon ammattilaisen toteaman altistustiedon välittäminen, joka voidaan myös toteuttaa anonyymisti hajautetulla mallilla. Arvioinnissa tulee huomioida, ettei hajautetun mallin sovellus ei varsinaisesti ”jäljitä” ihmisiä, vaan anonyymejä kontakteja. Komission suositteleman hajautetun mallin mukaisen sovelluksen tarkoitus on tuottaa informaatiota sovelluksen käyttäjille mahdollisesta altistuksesta, mutta varsinainen ketjujen ihmisten jäljitys tapahtuu tunnistettavalla tasolla vasta terveydenhuollon toimesta, kun sovelluksen käyttäjä varoituksen saatuaan hakeutuu vapaaehtoisesti terveydenhuollon piiriin. Tämä jälkimmäinen toiminto (terveydenhuollon piiriin hakeutuminen ja jatkotoimet) eivät enää luonnollisesti kuulu sovelluksen toiminta-alaan.
3 Onko muistiossa tunnistetut lainsäädäntömuutokset riittävät?
Kyllä pääosin
Esityksessä korostetaan kansalaisten vapaaehtoista roolia ja suostumusta sovelluksen käyttöön. Kuten yllä todettu, sopii hajautettu malli oikein toteutettuna suostumusperusteisesti jo nyt TSA:n soveltamisalaan. Säädösmuutosten tulisi olla mahdollisimman vähäisiä, lähinnä liittyen viranomaisten tehtävien selventämiseen ja sovelluksen vapaaehtoisuuteen käyttäjien keskuudessa.
”Jäljitys”-termin käytön osalta tulee huomioida myös valitun etenemismallin tekniset ominaisuudet – esimerkiksi oikein toteutetun hajautetun mallin avulla ei jäljitetä ihmisiä/käyttäjiä, vaan kontakteja. Myös tämä tulee ottaa huomioon tartuntatautilain määritelmien yhteensovittamisen arvioinnissa. Sovellus on toteutettavissa niin, että vasta yhteydenotto terveydenhuoltoon sovelluksen varoituksen jälkeen toisi ihmisten jäljittämisen kontaktiketjussa mahdolliseksi, mutta kuten ylempänä todettu, terveydenhuollon asiakkaaksi hakeutumisen ei tule kuulua sovelluksen alaan.
4 Mahdolliset yksilöidyt säädösmuutosehdotukset
—
5 Mitä hyötyjä arvioitte sovelluksella olevan ja mille tahoille?
Sovellus tukisi merkittävällä tavalla osaltaan jäljittämis- ja testausstrategiaa, jonka tehokas toimiminen edistää luottamuksen syntymistä ja tukee yhteiskunnan avaamista. Jokainen päivä on tärkeä elinkeinoelämälle ja koko yhteiskunnalle.
6 Millaisia riskejä valmisteluun tai sovelluksen käyttöön voi kohdistua?
Valmisteluun kohdistuvat riskit;
- Kuvauksen tulee olla selkeä ja tukea mahdollisimman hyvin hajautetun mallin mukaisuutta
- Käsittelyn tulee olla selkeästi määritelty, eikä liian laaja
- Valmistelussa tulee ottaa huomioon sovelluksen tekninen toteutus yksityisyydensuojan turvaamiseksi, ja itse lainsäädännön tulee olla teknologianeutraalia
- Valmistelu viivästyy ja sovellusta ei saada tehokkaasti käyttöön testausta varten
Käyttöön kohdistuvat riskit:
- Käyttöaste; tulee olla mahdollisimman korkea, tätä tulee tukea laajalla kampanjalla ja resursoida tarpeeksi
- Käytettävyys, saavutettavuus – pitää olla mahdollisimman selkeä ja helppokäyttöinen, että kaikki ryhmät osaavat ottaa käyttöön ilman merkittäviä ongelmia. Myös toimintaohjeiden tulee olla selkeät altistumistapauksissa
- Testaus- ja jäljitysstrategian tulee olla selkeä ja taata riittävät resurssit testaamiseen terveydenhuollon piirissä, sovellus on vain yksi osa tätä.
- Yhteensopivuuden puute mahdollista jatkokäyttöä ajatellen naapurivaltioiden kanssa ja EU-tasolla.
7 Muut huomiot muistiosta ja liitteestä. Voit esittää myös näkemyksiä jäljitysprosessissa tarvittavaan tiedonhallinnan ja tietojärjestelmien kehitykseen.
Kehittämisessä on huomioitava sovelluksen yhteisten standardien kehittyminen koko koronasovellusten kansainvälisen tilantee osalta. On tärkeää, että pyritään mahdollisen tehokkaaseen yhteistyöhön rajat ylittävässä toimivuudessa etenkin tärkeimpien rajamaiden kanssa (Viro, Ruotsi).
Tältä osin viittaamme myös Teknologiateollisuuden lausuntoon asiassa.