Apotti, Epic Systems, tietosuoja ja USA

2.12.2015

Valtuustossa

 

Rikkooko Apotti-tietojen siirto Epicin USA:an EU-tuomioistuimen ns. safe harbour tuomiota?

Apotti-hanke on törmännyt vakaviin juridisiin ongelmiin. En tarkoita nyt vain hankintakilpailun hävinneen yrityksen valitusta markkinaoikeudelle, joka määräsi hankesopimuksen toimeenpanokieltoon. Näyttää nimittäin siltä, että Apotti-järjestelmän hankinnassa ei ole otettu huomioon Euroopan tuomioistuimen lokakuussa ns. Schrems-jutussa antamaa tuomiota, joka edellyttää sen varmistamista, että yksityisiä kansalaisia koskevia henkilötietoja ja muita luottamuksellisia tietoja ei siirry Yhdysvalloissa sijaitseville yrityksille ja palvelimille. (Tuomio 6.10.2015 asiassa C-362/14)

Tuomioistuin totesi, että henkilötietoja voidaan siirtää kolmanteen maahan vain, jos tuossa maassa taataan tietosuojan riittävä taso. Edward Snowdenin NSA-paljastuksiin viitaten tuomioistuin kumosi EU-komission päätöksen, jonka mukaan ns. Safe harbour –järjestelmä takaa Yhdysvaltoihin siirrettävien henkilötietojen riittävän suojan. Se totesi, että yhdysvaltalaiset yritykset ovat velvollisia syrjäyttämään tietosuojan rajoituksetta kun USA:n ”kansalliseen turvallisuuden, yleisen edun ja lakien noudattamisen” vaatimukset sitä edellyttävät. Tuomioistuin katsoi, että tämä loukkaa kansalaisten perusoikeuksia.

Miten tämä sitten liittyy Apottiin, josta pitäisi tulla HUS:n, Helsingin ja eräiden muiden kuntien sosiaali- ja terveydenhuollon asiakas- ja potilastietojärjestelmä? Siten, että Apotti-hankintaa ollaan tekemässä Epic Systems Corporationin kanssa, joka toimii Yhdysvalloissa.

Kysyin Apotti-hankepäällikkö Välimäeltä, miten EU-tuomioistuimen Schrems-ratkaisu safe harbour –järjestelmästä on otettu huomioon. Sain hankepäällikön ja hankkeen lakimiehen kirjallisen vastauksen. Sen mukaan asiaan on kiinnitetty huomiota niin, että sopijaosapuolet sitoutuvat noudattamaan henkilötietolakia. Käytännössä tämä tapahtuu vastauksen mukaan niin, että tehdään henkilötietolain ja EU:n mallilomakkeiden mukainen sopimus, jonka perusteella tietojen siirtäminen EU-alueen ulkopuolelle voi tapahtua – tässä tapauksessa siis tietojen siirtäminen Yhdysvaltoihin.

Vastaus kiertää varsinaisen ongelman. Ongelmahan tässä ei ole Apotin ja Epicin välinen sopiminen vaan Yhdysvaltain lait ja käytännöt, jotka antavat USA:n viranomaisille oikeuden sivuuttaa tällaisiin sopimuksiin sisältyvät tietosuojalausekkeet riippumatta Epicistä.

EU-tuomioistuimen kanta tässä asiassa on eri kuin EU-komissiolla, jonka päätöksen tuomioistuin nimenomaan kumosi. Prosessi varmaan jatkuu. EU-komissio yrittää jatkaa omalla linjallaan, mutta lopullinen sanavalta on tuomioistuimella. Varsinainen ongelma ei kuitenkaan poistu EU:n päätöksillä, koska se koskee USA:n lakeja ja käytäntöjä. Ainoa keino välttää tämä ongelma on olla lähettämättä tietoja Yhdysvaltoihin.

Kysymys on noin 1,5 miljoonan HUS-alueen asukkaan henkilö-, asiakas- ja potilastiedoista, tulevaisuudessa ehkä vielä useammista. Nyt näitä tietoja ollaan siirtämässä Yhdysvaltoihin, vaikka EU-tuomioistuimen päätös velvoittaa – muun muassa kuntia – päinvastoin varmistamaan, ettei näin tapahdu.

Ponsi: Henkilötietoja ei saa siirtää Yhdysvaltoihin

Kun aloin kysellä Apotti-tietojärjestelmän suhteesta EU-tuomioistuimen päätökseen, oletin että näin iso asia oli otettu asianmukaisesti huomioon. Hämmästykseni oli suuri, kun ilmeni, että Apotissa aiottiin toimia niin kuin ennenkin normaaliin sopimuskäytäntöön tietosuojan osalta kuului.

Ehdotan, että valtuusto hyväksyy seuraavan ponnen: Kaupunginvaltuusto edellyttää, että kaupunginhallitus toimii niin, että ennen mahdollista Apotti-hankintasopimuksen allekirjoittamista varmistetaan, ettei asiakas- ja potilastietoja siirretä EU-alueen ulkopuolelle Yhdysvaltoihin.

Palautusesitys

Kun Apotti-hankkeesta aikoinaan päätettiin, asetettiin muun muassa kustannusten paisumisen hillitsemistä, tietosuojan takaamista, avointa rajapintaa ja yhden toimittajan loukun välttämistä koskevia ehtoja.

Hankkeen kokonaishinta-arvio on kuitenkin kohonnut jo toista sataa miljoonaa, noin 575 miljoonaan euroon.

Kun hanketta kilpailutettiin, luvattiin järjestelmään avoin rajapinta. Kysyin asiasta kuukausi sitten ja sain Apotin hankejohtajalta vastauksen, jossa puhutaan avoimen rajapinnan sijasta integraatiosta kymmeniin muihin järjestelmiin ja Apotti-hankkeen omasta määritelmästä avoimelle palvelurajapinnalle. Tämäkin asia olisi syytä selvittää tarkemmin ennen hankintasopimuksen tekemistä.

Ongelmalliseksi tilanteen tekee myös se, että markkinaoikeus määräsi äskettäin kilpailussa hävinneen yhtiön valituksen johdosta toimeenpanokiellon hankinnan tekemiselle. Pidän erikoisena sitä, että Helsinki olisi sopimassa Apotti-hankinnan lainajärjestelyjä tilanteessa, jossa oikeus on määrännyt hankkeelle toimeenpanokiellon.

Kaiken kaikkiaan tässä on niin monia isoja epäselvyyksiä, että esitän, että valtuusto päättää palauttaa asian uudelleen valmisteltavaksi niin, että otetaan huomioon markkinaoikeuden päätökset, varmistetaan avoimen rajapinnan toteutuminen ja noudatetaan EU:n tuomioistuimen ratkaisua ns. Schrems-jutussa.

*****

(Valtuuston puheenjohtaja edellytti ponnen muotoiluun pieniä muutoksia ja valtuuston enemmistö oli valmis hyväksymään sen, kun palautusesitys vedettiin pois. Hakanen totesi palautusesityksen tulleen kirjatuksi pöytäkirjaan ja veti sen pois, jotta ponsi tulisi hyväksytyksi. Valtuusto hyväksyi äänin 56 – 23, tyhjää 3 ponnen, joka edellyttää sen varmistamista, ettei henkilötietoja siirretä Yhdysvaltoihin.)

© 2018 Yrjö Hakanen
webDesign: Mekanismi »