Apotti, NSA ja EU-tuomioistuin
Siirretäänkö HUS-alueen asiakas- ja potilastietoja Yhdysvaltoihin? – Rikkooko Apotti EU-tuomioistuimen päätöstä tietosuojasta?
Helsingin ja Uudenmaan sairaanhoitopiirin ja neljän kaupungin sosiaali- ja terveydenhuollon asiakas- ja potilastietojärjestelmän (Apotti) valmistelussa on törmätty ongelmiin. Ensin markkinatuomioistuin määräsi hankesopimuksen toimeenpanokieltoon kilpailussa hävinneen yrityksen valituksen johdosta. Nyt näyttää lisäksi siltä, että hankinnassa ei ole otettu vakavasti tietosuojaongelmia, joita voi aiheutua yhdysvaltalaisen yhtiön valitsemisesta järjestelmän toimittajaksi.
Apotin pitäisi korvata Helsingin, Vantaan, Kirkkonummen, Kauniaisten ja HUS:n käytössä olevat kymmenet erilaiset tietojärjestelmät. Apotin järjestelmätoimittajaksi valittiin elokuussa yhdysvaltalainen Epic Systems Corporation. Se oli kilpailijaansa 67 miljoonaa euroa kalliimpi.
EU-tuomioistuin:
ei tietoja USA:aan
Periaatteessa Apotin lähtökohtiin kuuluu tietosuoja. Jostain syystä hankinnassa sivuutettiin kuitenkin Edward Snowdenin NSA-paljastusten vuonna 2013 julkisuuteen nostamat Yhdysvaltojen tiedustelupalvelujen valtuudet seurata kaikkea sinne lähetettyä ja siellä toimivien yritysten tietoliikennettä.
Euroopan unionin tuomioistuin julisti 6.lokakuuta pätemättömäksi EU-komission päätöksen, jossa Yhdysvaltojen todettiin takaavan henkilötietojen suojan riittävän tason. Snowdenin paljastuksiin viitaten tuomioistuin kumosi EU-komission päätöksen, jonka mukaan safe harbour –järjestelmä takaa Yhdysvalloissa toimiville yrityksille ja palvelimille siirrettävien henkilötietojen riittävän suojan. EU-tuomioistuin totesi, että yhdysvaltalaiset yritykset ovat maan lakien nojalla velvollisia syrjäyttämään tietosuojan rajoituksetta, kun USA:n ”kansallisen turvallisuuden, yleisen edun ja lakien noudattamisen” vaatimukset sitä edellyttävät. Se loukkaa kansalaisten perusoikeuksia, erityisesti yksityisyyden suojaa ja oikeussuojaa.
Tämä Euroopan unionin tuomioistuimen Schrems-jutussa antama tuomio edellyttää sen varmistamista, että eurooppalaisia kansalaisia koskevia luottamuksellisia henkilötietoja ei siirretä Yhdysvaltoihin.
Sivuutetaanko Schrems-tuomio?
Kysyin marraskuun lopulla Apotin hankejohtaja Hannu Välimäeltä, miten Schrems-tuomio on otettu huomioon asiakas- ja potilastietojärjestelmän valmistelussa. Oletin Apotin varmistaneen, että mitään luottamuksellisia henkilötietoja ei voi siirtyä Epic Systemsille ja Yhdysvaltoihin. Minulle vastattiin kuitenkin, että ”riittävä tietosuojan taso toteutetaan niin, että sopijaosapuolet allekirjoittavat henkilötietolain 23 §:n 8 kohdan mukaisen Euroopan unionin hyväksymien mallisopimuslausekkeiden mukaisen sopimuksen, jonka perusteella tietojen siirtäminen Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle on mahdollista”.
Vastauksessa kierretään varsinainen ongelma. Kyse ei ole siitä, onko Apotin ja Epicin välillä sovittu tietosuojasta. Ongelmana ovat USA:n viranomaiset, jotka voivat USA:n lain nojalla syrjäyttää tällaisiin yritysten välisiin sopimuksiin sisältyvät tietosuojalausekkeet.
EU-komissaari:
oikeusperusta puuttuu
Seuraavassa vaiheessa Apotti-hankejohtaja vetosi EU-komission marraskuussa antamaan tiedonantoon Atlantin ylittävistä tiedonsiirroista. Kuitenkin siinäkin vahvistetaan, että safe harbour –järjestelyä ei voi enää pitää oikeusperustana henkilötietojen siirtämiselle Yhdysvaltoihin ja siksi komissio neuvottelee sellaisen aikaansaamiseksi. Samalla komissio antoi ohjeet siitä, miten yritykset voivat ”jatkaa” tiedonsiirtoja siirtymäkaudella.
Komissio ei siis väitä, että tiedonsiirto olisi laillista. Se yrittää ohjeillaan auttaa yrityksiä, joilla on jo tällaista tiedonsiirtoa ja joilla ei ole sille vaihtoehtoa. Apotin kohdalla ei ole kyse yhteistyön ”jatkamisesta” vaan siitä, tehdäänkö uusi sopimus. Kannattaa myös muistaa, että komissiolla on ollut eri kanta kuin tuomioistuimella, joka nimenomaan kumosi komission päätöksen asiassa.
Vain päivää ennen kuin nostin Apotti-tietosuojan ongelmat esille Helsingin kaupunginvaltuustossa, kertoi oikeusasioista vastaava EU-komissaari Vera Jourová EU-parlamentissa, että neuvotteluissa Yhdysvaltojen kanssa ei ole ainakaan toistaiseksi saatu tulosta eikä tiedonsiirroille siten ole EU:n ja USA:n välistä sopimuspohjaa. Jos Apotti avaa tässä tilanteessa Epicille mahdollisuuden saada ja siirtää henkilötietoja Yhdysvaltoihin, se tapahtuu ilman oikeusperustaa. Tämä tarkoittaa riskejä tietojen joutumisesta vääriin käsiin ja myös riskiä Apotin joutumisesta siitä oikeudelliseen vastuuseen.
Valtuusto edellyttää:
tietoja ei saa siirtyä USA:aan
Helsingin kaupunginvaltuuston kävi Apotin tietosuojaongelmista viime keskiviikkona monipolvisen keskustelun. Valtuuston enemmistö tunnisti riskit ja hyväksyi ehdotukseni, että ennen mahdollista Apotti-hankesopimuksen allekirjoittamista varmistetaan, ettei asiakas- ja potilastietoja siirretä Yhdysvaltoihin. Päätös syntyi vasemmiston, vihreiden, perussuomalaisten, kristillisten ja parin muun äänin 56 – 23.
Pian tämän jälkeen Apotin hankejohtaja kertoi, että Epic Systemsiltä hankitaan vain tietojärjestelmä ja että sille vuokrataan konesali täältä Suomessa toiselta yritykseltä. Samalla hän kuitenkin myönsi, että on tilanteita, joissa työ on mahdollista vain Epicin laitoksilta käsin Yhdysvalloista.
Kun otetaan huomioon, että kyse on nyt kymmenissä eri tietojärjestelmissä olevien noin 1,5 miljoonan ihmisen tietojen kokoamisesta yhteen järjestelmään, jonka toimintaympäristöä sote-uudistus ja ”valinnanvapaus” muuttavat, jonka toiminnallisuuksia pitää voida kehittää ja jonka virhetoimintoja pitää korjata, tulee Epic Systemsille todennäköisesti tarvetta ja ainakin mahdollisuus siirtää henkilötietoja Yhdysvaltoihin. Tätä todennäköisyyttä lisää se, että Epicin tarjoama järjestelmä ei perustu avoimeen koodiin eikä nykymääritelmien mukaisiin avoimiin rajapintoihin. Myös muualta hankittavien lisäosien integroiminen Apottiin voi edellyttää Epicin osallistumista.
Oma kysymyksensä on se, miten pitkälle Epic Systems pystyy valmistamaan Apotin tilaaman järjestelmän ilman, että sillä on pääsyä henkilötietoihin. Hankesuunnitelman mukaan koko järjestelmää pitää voida testata sen käyttöön liittyvissä ympäristöissä ja ottaa käyttöön vaiheittain, jonka jälkeen jatketaan järjestelmän kehittämistä ja tehdään uusia versioita. Sopimukseen kuuluvat myös tuki- ja ylläpitopalvelut.
Tähän kaikkeen liittyy tilanteita, joissa Epic Systemsille pitää avata yhteys ja pääsy myös Suomessa sijaitsevaan palvelinkeskukseen. Juuri tästä syystä Apotti on tekemässä Epic Systemsin kanssa tietosuojasta erillisen sopimuksen. Mutta se ei ratkaise EU-tuomioistuimen antaman tuomion perusteena olevaa ongelmaa eli Yhdysvaltojen lakien maan viranomaisille antamaa oikeutta saada tietosuojasta riippumatta haltuunsa henkilö-, asiakas- ja potilastiedot.
Minusta jo tällä perusteella on syytä vähintäänkin lykätä sopimuksen tekemistä Epic Systemsin kanssa niin kauan kun tiedonsiirroille ei ole oikeudellista perustaa. EU-tuomioistuimen Schrems-tuomiota voinee pitää sopimusoikeuden mukaisena fource majeure –perusteena eli tilaajasta riippumattomana ylivoimaisena esteenä kaupalle.
Muitakin ongelmia Apotissa
Kun Apotti-hankkeen käynnistämisestä aikoinaan päätettiin, vastustin esitystä yhdessä Lilli Autin (sd) kanssa. Emme pitäneet järkevänä Apotin toteuttamista yhtenä suurena kokonaishankintana, johon liittyy isoja riskejä yhden toimittajan loukusta ja kustannusten paisumisesta. Nyt nämä riskit uhkaavat realisoitua.
Hankkeen kokonaishinta-arvio on noussut jo 575 miljoonaan euroon, noin 140 miljoonaa aiemmin esitettyä suuremmaksi.
Kun hanketta kilpailutettiin, luvattiin järjestelmään avoin rajapinta. Kun kysyin sen toteutumisesta, sain Apotin hankejohtajalta vastauksen, jossa puhutaan avoimen rajapinnan sijasta integraatiosta ja hankkeen omasta määritelmästä avoimelle palvelurajapinnalle, joka ei ole sama asia.
Ongelmalliseksi tilanteen tekee myös markkinaoikeuden määräämä toimeenpanokielto. Pidän erikoisena sitä, että Apotti jatkaa tästä huolimatta Epic Systemsin kanssa toteutettavan hankkeen valmistelua. Helsingin kaupunki on keskeisessä vetovastuussa hankkeesta ja Helsingin apulaiskaupunginjohtaja Laura Räty (kok) on Apotti Oy:n hallituksen puheenjohtaja.
Mielestäni Apotti-hankkeen vakavat ongelmat pitää selvittää ennen hankintasopimuksen allekirjoittamista niin, että otetaan huomioon markkinaoikeuden päätökset, taataan avoimen rajapinnan toteutuminen ja varmistetaan EU-tuomioistuimen Schrems-tuomion mukaisesti, että asiakas- ja potilastietoja ei voi siirtyä Yhdysvaltoihin.
(Artikkeli 11.12.2015 Tiedonantaja-lehteen)