Lausunto annettu 5.5.2020.
Suomen itsenäisyyden juhlarahasto Sitran lausunto Sosiaali- ja terveysministeriölle esityksestään lähikontaktien jäljityssovelluksen käyttöönottoon Covid-19-epidemian hallinnan tueksi
Mobiilisovellus tarkoituksenmukainen tapa jäljittää tartuntaketjuja
Sosiaali- ja terveysministeriön muistiossa esitellään mobiilisovellus tukemaan tartuntatautien jäljitystyötä ja tartuntaketjujen katkaisemista. Sitra pitää tapaa tarkoituksenmukaisena tartuntaketjujen jäljittämiseen.
Digitaaliset ratkaisut pandemian tartuntaketjujen jäljittämiseen tehostavat ja nopeuttavat yhteiskunnan toipumista kriisistä. Kun rajoituksia puretaan, alkaa tartuntojen määrä vääjäämättä kasvaa. Painopiste siirtyy laajamittaisempaan testaamiseen ja positiivisten tapausten jäljittämiseen.
Sitra pitää suunnittelussa tärkeänä yksilön tietoturvaa ja korostaa, että riittävän hyvin suunniteltu ja tietoturvallinen sovellus on tartuntaketjujen jäljittämiseen mainio apu ja työkalu. Sovellus on vaikuttava, jos käyttäjämäärät ovat riittäviä ja voidaan paljastaa ketjut. Ketjujen paljastamiseen nopeasti sovellus tuo systemaattisen välineen ja helpottaa jäljittäjien työtä. Paras hetki saada sovellus ulos on rajoitusten purkamisen yhteydessä. Riski on, että vastuunjaon ja lainsäädännöllisten yksityiskohtien selvittelyssä menetetään arvokasta aikaa joka päivä.
Sovellus nopeuttaa ja tavoittaa systemaattisemmin kattavan osan väestöä, kun se otetaan laajasti käyttöön ja siten auttaa koronaviruksen hallinnassa niin alueilla kuin kansallisesti.
Henkilötietojen ja yksityisyyden suoja on huomioitu
Henkilötietojen ja yksityisyyden suojaa koskevat näkökulmat on otettu esityksessä asianmukaisesti huomioon. Sitra korostaa yksityisyyden suojan toteutumista, se on kaiken peruslähtökohta ja kansalaisten luottamuksen perusta. On tärkeä luoda mekanismi, jolla varmistetaan, että sovellukset täyttävät tarvittavat vaatimukset tietosuojasta ja tietoturvasta. Näkemyksemme mukaan Ketju-sovelluksen kaksivaiheinen suostumus, mikä toteuttaa GDPR:n mukaisen ”informed consent” periaatteen, toteutuu tässä kuvatussa järjestelmässä.
Tunnistetut lainsäädäntömuutokset ovat riittäviä
Sitra pitää muistiossa tunnistettuja lainsäädäntömuutoksia riittävinä. Sitra toteaa kuitenkin, että GDPR:n mukaisen kaksivaiheisen suostumuksen jälkeen jää kysymys, onko keskitetyn rekisterin hallinnoiva taho toimivaltainen. Tartuntatautilaki, erityisesti pykälät 20§ – 24§ määrittävät pandemian yhteydessä kansalaisen ja viranomaisen velvollisuudet ja oikeudet.
Tartuntatautilaissa määritetty toimivaltainen viranomainen on Terveyden ja hyvinvoinnin laitos (THL), jolla on oikeus ja velvollisuus pitää yllä tartuntatautirekisteriä. Laki antaa THL:lle myös oikeuden perustaa väliaikainen tautirekisteri pandemian ajaksi. Kansalaisella on velvollisuus tartunnan yhteydessä raportoida viranomaisille tartuntaa edeltävät kohtaamiset. Tämä on sopusoinnussa hybridimallisen Ketju-sovelluksen kanssa, missä hajautetun mallin mukaisesti puhelimissa pidetään vain minimitietomäärää, käytännössä kohdattujen ihmisten puhelinnumeroiden kryptatut tiedot.
Siksi Sitrassa katsomme, että lainsäädäntömuutoksia ei tarvita, vaan voidaan edetä kaksinkertaisen suostumuksen ja tartuntatautilain antamilla toimivaltuuksilla niin THL:lle kuin sairaanhoitopiirien ja kuntien tartuntataudista vastaaville tahoille.
Mahdolliset yksilöidyt säädösmuutosehdotukset
Katsomme Sitrassa, että tartuntatautilaki sellaisenaan tarjoaa tarvittavat velvollisuudet ja oikeudet edetä ripeästi eikä säädösmuutoksille ole tarvetta.
Sovellus hyödyttää pääasiassa kolmea eri tahoa
Sitran näkemyksen mukaan sovelluksesta on hyötyä erityisesti toimivaltaisille viranomaisille tartuntatautiketjujen nopeaan ja tehokkaaseen jäljittämiseen. Hyväksi kannattaa käyttää myös muita automaation välineitä, kuten esim. robottipuheluja altistuneiden kontaktoinnissa.
Toinen hyötyjä on sairaanhoitopiirit ja kunnat, jotka saavat sovelluksen kautta tiedot omalla alueellaan tapahtuneista altistusketjuista tehokkaasti ja nopeasti.
Kolmas hyötyjä on kansalainen itse, joka saa mahdollisimman nopeasti tiedon siitä, että hän saattaa olla koronaviruksen kantaja ja sitä myötä ryhtyä tarvittaviin toimenpiteisiin.
Mahdolliset riskit valmistelu- tai sovelluksen käyttövaiheissa
On sekä terveyden että talouden näkökulmista riskialtista, jos menetämme valmistelussa kallista aikaa. Olisi käsityksemme mukaan tehokasta, että toimivaltaiselle organisaatiolle tulee antaa mandaatti edetä mahdollisimman nopeasti.
Emme näe operatiivisen toiminnan sujuvoittamisessa KELAlla roolia tässä vaiheessa.
Yhteiseurooppalaiset toimintatavat ja yhteen toimivat tiedon jakamisen protokollat tärkeitä
On tärkeää ottaa huomioon, että nykyisen pandemian ja mahdollisten tulevien pandemioiden hallinta edellyttää vähintään Euroopan laajuisia yhteisiä toimintatapoja ja yhteen toimivia protokollia tiedon jakamiseen ja viestintään maiden sisällä ja välillä. Siksi on tärkeää, että sovellukset ovat Euroopassa mahdollisimman yhteensopivia ja että toteutettavissa ratkaisuissa tulisi jo arkkitehtuuritasolla varmistaa suostumuksen hallinnan vaatimukset.
Sitrassa on viimeisen kahden vuoden aikana rakennettu eurooppalaisen GDPR-regulaation mukaista suostumuspohjaista viitekehystä, josta on jo olemassa eurooppalainen esistandardi CEN-organisaation sivustolla. IHAN-toimintamallin mukaiset digitaaliset ratkaisut kunnioittavat ihmisen yksityisyyttä ja pohjautuvat luottamukseen sekä mahdollistavat tiedon yhdistelyn yksilön suostumuksella useista eri lähteistä.
Jäljityssovelluksen ja jäljitysprosessien tehostamiselle on kiire, koska epidemian tartunta-aallot tulevat jatkumaan ja taudin hallinnassa pitäminen on haaste rokotteen käyttöönottoon saakka. Pandemia paljastaa niin toiminnan kuin sitä tukevan tietohallinnon kehittämistarpeita. Nämä opit on syytä ottaa käyttöön. Teknologian ja sovellusten vaikutus yksistään on pieni, ellei samaan aikaa varmisteta koko testaa, jäljitä, eristä ja hoida -prosessin toimivuutta sekä riittäviä resursseja ja osaamista uuteen toimintamalliin.
Suosittelemme
Tästä eteenpäin.