Blogi

Julkiset palvelut ja tietovuodot

Sosiaalinen media on vakiinnuttanut asemansa tiedon jakamisen, viestinnän ja vaikuttamisen alustana, vaikka on yleisesti tiedossa, että käyttäjädataa vuotaa ja kasaantuu ylikansallisille yhtiöille. Yllättävää voi monelle olla se, että myös julkisen sektorin palvelujen piirissä hyödynnettävät sovellukset voivat vuotaa käyttäjistään tietoja jopa yli kansallisten rajojen. 

IDA-hankkeessa toteutettiin tutkimusasetelma, jossa somevaikuttajat liittivät älypuhelimensa Turun yliopiston tietotekniikan laitoksen tutkijoiden tukiasemaan ja näkivät reaaliaikaisesti valkokankaalta heijastetulta maailmankartalta, miten Instagram, TikTok, YouTube sekä suomalaisten mediayhtiöiden sovellukset ja nettisivut vuotivat  käyttäjädataa ympäri maailman. Dataa valui esimerkiksi erilaisille analytiikkayrityksille sekä tuntemattomaksi jääneisiin kohteisiin. Tutkimuksen  avulla havainnollistettiin tehokkaasti sitä, kuinka paljon dataa vuotaa ja kuinka rajoitetut mahdollisuudet käyttäjällä on selvittää, mitä tietoja hänestä kerätään ja minne tiedot kulkeutuvat. Näky oli vaikuttava, ja mahdollisesti myös pelottava. Käytännössä somevaikuttajien elinkeino nojaa kuitenkin oman henkilökohtaisen elämän jakamiseen käyttäjädataa keräävillä digitaalisilla alustoilla, joten datakulttuurin ulkopuolelle jättäytyminen ei ole lähtökohtaisesti vaihtoehto. Vaikka harva rivikansalainen käyttää sosiaalista mediaa yhtä suunnitelmallisesti tai intensiivisesti kuin somevaikuttajat, olemme me kaikki nettisovelluksia käyttäessämme yhtä lailla datan keruun kohteita.

Useimmat kansalaiset todennäköisesti ymmärtävät, kiitos kiivaana käydyn yhteiskunnallisen keskustelun, somepalvelujen toimintamallin perustuvan käyttäjän henkilötietojen keräämiseen, analysointiin ja hyödyntämiseen: käyttäjän profilointiin, kohdennettuun markkinointiin ja tämän valintoihin vaikuttamiseen. Sen sijaan koko tämän ilmiön laajuus ja sen vaikutusten ulottuvuus ei välttämättä hahmotu helposti. Miten pitäisi suhtautua esimerkiksi siihen, että myös julkisten palveluiden piirissä tiedot tuntuvat karkaavan yllättävän laajalle? Voiko julkisen puolen toimijoilta vaatia enemmän tietosuojan suhteen kuin puhtaasti yksityisiltä toimijoilta? Toisaalta datafikaatio tuo paljon mahdollisuuksia, joista voidaan hyötyä myös julkisten palveluiden piirissä, mutta toisaalta tiedot karkaavat helposti alkuperäisen toimijan ulottumattomiin. 

Julkisen sektorin datafikaatio

Hyviä esimerkkejä julkisen puolen datafikaatiosta ovat COVID-19-pandemian vuoksi lanseeratut koronavilkku- ja koronapassi-sovellukset, joiden käyttö on mahdollistettu tartuntatauteja koskevalla lainsäädännöllä (tartuntalain väliaikaisesta muuttamisesta (701/2021). Nämä sovellukset ovat Terveyden ja hyvinvoinnin laitoksen ja sen luotettujen palveluntarjoajien käsialaa, mutta sosiaali- ja terveyspalveluissa on intressejä käyttää laajemminkin erilaisia käteväksi koettuja sovelluksia. Marraskuun 2021 alussa voimaan tullut uusi asiakastietolaki (laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 784/2021) mahdollistaa erilaisten hyvinvointisovellusten hyödyntämisen hyvinvointitietojen tallentamisessa valtakunnallisten Kanta-palveluihin. Näin  saadaan lisää dataa  valjastettua julkisten palveluiden hyödynnettäväksi ja samalla ruokitaan näiden ympärille kehittyviä liiketoimintamalleja. 

Silloin, kun henkilötietojen käsittely perustuu lainsäädäntöön, lainsäädäntöprosessissa pitäisi lähtökohtaisesti varmistaa se, että toiminta perustuu perusteelliseen harkintaan. IDA-hankkeessa halutaan herättää keskustelua siitä, millaista harkintaa ja perusteluja tämä edellyttää lainsäätäjältä. Esimerkiksi asiakastietolain esitöissä ei juurikaan arvioida niitä riskejä, joita hyvinvointitietojen kerääminen ja hyvinvointisovellusten mukaan ottaminen aiheuttaa yksilön kannalta. Kun käsittelyn kohteena on arkaluonteiset tiedot, yksilöön kohdistuville riskeille tulisi antaa erityistä huomiota lainvalmistelussa ja vaikutuksia tulisi arvioida laajasti sekä yksilön että yhteiskunnan kannalta.

Julkisen puolen sovellusten tietovuodot

Suomalaisessa yhteiskunnassa julkisen puolen toimijat mielletään luotettaviksi, minkä vuoksi julkisen puolen toiminnan ja palvelujen yhteydessä tapahtuvan henkilötietojen käsittelyn oletetaan olevan turvallista. Tämä lähtökohtaisesti asettaa korkeat odotukset julkisen toiminnan tietosuojalle. Julkisen puolen toiminnassa voi kuitenkin yhtäläisesti herätä intressejä hyötyä datafikaatiosta kuin yksityisellä puolella. Henkilötietojen keräämiseen liittyy aina mahdollisuus niiden väärinkäytöstä eikä julkinen puoli ole immuuni näille riskeille, jotka liittyvät esimerkiksi kolmansien osapuolien sovelluksien hyödyntämiseen ja haavoittuvien ihmisryhmien tietojen käsittelyyn. Päinvastoin: kansalaiset voivat olla erityisen haavoittuvia julkisen puolen taholla tapahtuville tietovuodoille, koska asioiden oletetaan olevan kunnossa. 

Erityisesti data-analytiikka ja mainonta ovat osa-alueita, joissa kolmannet osapuolet tarjoavat houkuttelevia työvälineitä, joita halutaan hyödyntää myös julkisen sektorin palveluissa. Kun halutaan analysoida esimerkiksi julkisen sektorin sovelluksen käyttöä ja käyttäjiä, voidaan tahattomasti mahdollistaa myös kansalaisten tietojen valuminen kolmansille osapuolille, jotka yhdistävät ne aiemmin keräämiinsä tietoihin ja jossain tapauksessa tiedot voidaan siirtää Euroopan talousalueen ulkopuolelle. Tämä voi tulla yllätyksenä luottavaiselle kansalaiselle, joka uskoo, että julkisen toimijan sivuilla ja sovelluksissa tiedot ovat turvassa. Oma lukunsa ovat myös valtion omistamat yhtiöt, jotka nauttivat erityistä asemaa kansalaisten elämässä, mutta mahdollisesti käytännössä keräävät henkilötietoja analytiikan ja markkinoinnin tarpeisiin kuin mitkä tahansa yksityiset liiketoiminnan harjoittajat.

IDA-hankkeessa tutkitaan monitieteellisesti erilaisten julkisen sektorin ja valtio-omisteisten yhtiöiden mobiili- ja verkkosovellusten tietovuotoja, erityisesti siitä näkökulmasta, liittyykö käsittelyyn yllättäviä kolmansia osapuolia ja tiedonsiirtoja Euroopan talousalueen ulkopuolelle. Tulisiko julkisen puolen toimijoihin kohdistaa lähtökohtaisesti tiukemmat tietosuojavaatimukset kuin yksityisen puolen toimijoihin? Miten informointi toteutuu kansalaisen näkökulmasta? Ajatus verovaroin rahoitettavasta toiminnasta ei sovi yhteen sen ajatuksen kanssa, että kansalaisten tiedot voivat valua ylikansallisille jättiyhtiöille, jotka käyttävät niitä omiin tarkoituksiinsa vapaasti. Tietosuojaselosteista tästä on vaikea saada selkeää käsitystä. IDA-hankkeen tavoitteena on tuoda ilmiötä näkyväksi ja nostaa aiheesta yhteiskunnallista keskustelua. 

Kolmannen osapuolen sovellukset julkisissa palveluissa 

Julkisten palvelujen kuten opetustoiminnan, kotoutustoiminnan ja varhaiskasvatuksen piirissä käsitellään sellaisten ihmisryhmien henkilötietoja, jotka ovat haavoittuvassa asemassa ja joiden informointi henkilötietojen käsittelyyn liittyvistä riskeistä on haastavaa. Miten siihen tulisi suhtautua, jos tällaisten julkisten palveluiden piirissä olevia ohjataan käyttämään esimerkiksi WhatsAppia viestintään? Kolmannen osapuolen sovellukset tarjoavat hyödyllisiä toimintoja esimerkiksi opetustarkoituksiin kuten kotitalousoppien opettelu Martat-sovelluksen avulla tai opetuksen elävöittäminen interaktiivisilla kyselyillä Kahoot!-sovelluksen avulla. Sovellukset koetaan tutuiksi ja hyödyllisiksi: WhatsAppin ja muiden tuttujen some-alustojen helppous perustuu siihen, että ne usein löytyvät henkilöltä ladattuna ja niitä osataan käyttää jo valmiiksi. Kolmannen osapuolen sovellukset ovat kuitenkin riski julkisten palveluiden piirissä, koska yleensä toimija ei voi kontrolloida niiden henkilötietojen käsittelyä, jotka luovutetaan sovellukselle. Tällaisten sovellusten käyttöehtoihin ja tietosuojaselosteihin tutustuminen ja riskien kokonaisvaltainen kartoittaminen ennen käyttöönottoa ovat avainasemassa henkilötietojen suojan varmistamisessa. 

Vastuu toiminnan lainmukaisuudesta, myös kaikesta sen piirissä tapahtuvasta henkilötietojen käsittelystä, on ensisijaisesti palvelunantajalla eikä tätä vastuuta voi sysätä lapselle, vanhemmalle tai muulle toiminnan piirissä olevalle henkilölle. Kolmannen osapuolen sovellusten käytön vastuun rajat ja reunaehdot vaativat pikaista täsmennystä. Apulaistietosuojavaltuutettu teki hiljattain aloitteen Opetushallituksella antaa ohjeistusta opetustoiminnassa hyödynnettävien sovelluksien käyttöönotosta. Tietosuojavaltuutettu on myös 8.12.2021 antanut huomautuksen yritykselle asiakkaiden henkilötietojen välittämisestä työntekijöiden henkilökohtaisiin puhelimiin WhatsAppilla. Tietosuojavaltuutettu kiinnitti tässä päätöksessään erityistä huomiota siihen, että WhatsApp-sovelluksen käyttö on todennäköisesti johtanut henkilötietojen siirtoon EU:n alueelta kolmansiin maihin, kuten Yhdysvaltoihin. Huomionarvoista on myös se, että Irlannin valvontaviranomainen määräsi WhatsAppille aiemmin tänä vuonna 225 miljoonan euron seuraamusmaksun erityisesti läpinäkyvyyteen liittyvistä laiminlyönneistä. Viesti on sama kaikille toimijoille: rekisterinpitäjän pitää tuntea ja kantaa vastuu niistä sovelluksista, joita sen toiminnan piirissä käytetään. Tämä pätee epäilemättä erityisesti silloin, kun sovelluksia hyödynnetään merkittävien julkisten palveluiden piirissä ja, kun henkilöt kuuluvat haavoittuviin ryhmiin. 

Mari Lehto: ”Tuli aika pieni olo” – Datayksityisyyden ongelmista tarvitaan kriittistä keskustelua. 22.10.2021. Tekniikka & Talous.

Muut lähteet:

Euroopan tietosuojaneuvoston kiistanratkaisupäätös: Binding decision 1/2021 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding WhatsApp Ireland under Article 65(1)(a) GDPR.

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (784/2021)

Laki tartuntalain väliaikaisesta muuttamisesta (701/2021)

Tietosuojavaltuutetun päätös henkilötietojen eheyttä ja luottamuksellisuutta, henkilötietojen käsittelyn turvallisuutta, sisäänrakennettua ja oletusarvoista tietosuojaa ja henkilötietojen siirtoja kolmansiin maihin koskevassa asiassa. 29.10.2021. Dnro 9024/181/19.