Apotti-hanke ei takaa EU-tuomioistuimen edellyttämää kansalaisten tietosuojaa
Apotti-hanke ei takaa EU-tuomioistuimen edellyttämää kansalaisten tietosuojaa
Helsingin kaupunginhallitus käsitteli eilen vastausta Apotti asiakas- ja potilastietojärjestelmää koskevaan valtuuston ponteen, jossa edellytettiin sen takaamista, että henkilö- ja potilastietoja ei siirry Apotin yhdysvaltalaisen järjestelmätoimittajan kautta EU-alueen ulkopuolelle Yhdysvaltoihin.
Vastausehdotuksesta ilmenee, että Apottia ollaan toteuttamassa niin, että tällaisten tietojen siirtämistä, kopioimista ja katselemista voi tapahtua, kun Epic järjestelmätoimittajana saa siihen luvan Apotilta. Vastauksessa viitataan mahdollisiin ongelmatilanteisiin ja tukipalveluihin, joissa näin voi tapahtua. Tällaisia tilanteita tulee varmasti ja niitä voi liittyä myös Apotin toiminnallisuuksien muutoksiin tai laajentamiseen esimerkiksi sote-lainsääädännön muuttuessa.
Valtuuston hyväksymä ponsi kuitenkin edellyttää, että tietoja ei siirretä Yhdysvaltoihin. Mielestäni tästä on syytä pitää kiinni, koska Yhdysvaltojen lainsäädäntö ja oikeuskäytäntö antavat edelleenkin USA:n viranomaisille samat oikeudet tietoliikenteen valvontaan ja tietojen hankintaan kuin silloin, kun valtuusto hyväksyi em. ponnen juuri näihin – muun muassa NSA-paljastusten osoittamiin – tietosuojaongelmiin perustuen.
Ponteen esitetyssä vastauksessa viitataan EU-komission tiedotteeseen, jonka se antoi sen jälkeen kun EU-tuomioistuin antoi tuomionsa ns. Schrems-jutussa ja totesi, että USA ei täytä ns. Safe harbour –kriteerejä tietosuojasta. Tiedote koskee ensinnäkin yrityksiä, joilla jo oli sopimus ja siihen perustuvaa tietojen siirtoa, ei neuvoksi uusien sopimusten tekemiseen. Se on tarkoitettu eräänlaiseen välitilanteeseen ennen kuin saadaan mahdollisesti aikaan oikeudellisesti pätevä sopimus. Komissio on sittemmin saanut Yhdysvalloilta lupauksen kirjeestä, joka ei ole kuitenkaan sopimus eikä oikeudellisesti sitova. Kyseinen kirje ei sisällä lupausta USA:n lainsäädännön ja viranomaiskäytäntöjen muuttamisesta. On ilmeistä, että se ei riitä muuttamaan EU-tuomioistuimen kantaa, että USA ei täytä ns. safe harbour –kriteerejä.
EU-tuomioistuimen Schrems-tuomion perustelut osoittavat, että EU-kansalaisten perusoikeuksien suojaamiseksi eivät riitä EU-maassa toimivan yrityksen (esimerkiksi Apotti Oy:n) ja USA:ssa toimivan yrityksen väliset sopimukset ja lupaukset noudattaa eurooppalaista lainsäädäntöä, koska ongelmana on USA:n lainsäädäntö ja oikeuskäytäntö, jota ei tällaisilla sopimuksilla voi sivuuttaa.
Kaupunginhallituksessa vastaus ponteen jätettiin eilen pöydälle. Vastausesitystä onkin mielestäni syytä korjata ja todeta tähän mennessä ei ole saatu takeita siitä, että asiakas- ja potilastiedot tai niitä koskeva tiedonsiirto eivät voi joutua Yhdysvaltoihin ja sen viranomaisten haltuun. Tästä syystä pitäisi edellyttää, että ennen Apotti-hankintasopimuksen allekirjoittamista sopimusta muutetaan niin, että tietoja ei saa siirtää myöskään ongelmatilanteissa, tukipalveluissa tai muissa tilanteissa Yhdysvaltoihin eli että kaikki palvelut pitää toteuttaa Suomesta käsin. Toinen vaihtoehto on odottaa, kunnes mahdollisesti syntyy EU-tuomioistuimen hyväksymä uusi sopimuspohja EU:n ja USA:n välillä tietosuojasta.
Apotin ja Helsingin kaupungin toiminnan pitää perustua selkeisiin, voimassa oleviin ja yksiselitteisiin sopimuksiin, jotka turvaavat kaikissa tilanteissa kansalaisten tietosuojan. Nyt tätä ei ole varmistettu. Ihmetystä herättää myös se, että kaupunginhallituksen esityksen valmistelussa ei ole pyydetty asiaan lausuntoja perusoikeuksien ja tietosuojan asiantuntijoilta.