Ministerit Kiuru ja Marin ovat ajamassa koronapassin laajentamista koskevaa lainsäädäntöä hallituksen esitykseksi ja sen jälkeen eduskunnan päätettäväksi. STM pyysi koronapassin laajentamiseen eli EU:n digitaalisen rokotetodistukseen lausuntoja 17.1. mennessä. Jätimme Järjen ääni ry:n kanssa pitkän yhteisen asiantuntijalausunnon, jossa mukana oli myös digiturvallisuutta käsittelevä osio. Käsittelen tässä tekstissä aihetta hieman pidemmästi.
STM puhuu lausuntopyynnössään ja esitykseessään toistuvasti nimenomaan EU:n digitaalisesta rokotetodistuksesta. Lausuntopyyntö siis ainakin nimikkeiden sekä sisällön osalta muuttaa nyt käsitteillä olevan koronapassin samaan muotoon, josta EU on aiemmin linjannut rokotetodistuksiin liittyvässä lainsäädännössä.
Tietoturva, kyberturvallisuus, kansalaisturvallisuus: EU on useaan kertaan ottanut kantaa GDPR-asioihin liittyen. On kiinnitetty huomioita ja kritisoitu suurten teknologiajättien keräämää dataa ja datan keräämiseen, tallentamiseen ja käyttöön liittyviä riskejä. EU:n digitaalisella koronapassilla /rokotetodistuksella astutaan GDPR ja tietoturvan osalta erittäin isoon miinakenttään.
Kyse ei ole enää vain ihmisten itse sosiaaliseen mediaan jakamista kuvista, tiedoista, mielipiteistä ja digitaalisesta käyttäytymisestä. Kyse ei myöskään ole enää yksittäisten terveyspalveluita tarjoavien organisaatioiden tietojärjestelmistä ja niiden tietoturvallisuudesta.
EU:n digitaalisella rokotetodistuksella ollaan luomassa koko EU:n käsittävää tietopankkia, tietojärjestelmää, joka kokoaa ihmisten henkilö-, terveys- ja pankkitietoja samaan pilvipalveluun. Palveluun, jonka hallinta, käyttö ja lainsäädäntö ovat komission vastuulla. EU:n tekemiä päätöksiä erilaisista digitaalisen identiteetin ja rokotetodistuksen osista ollaan jo ujutettu myös Suomen lainsäädäntöön useamman vuoden ajan.
“Jatkovalmistelussa on huolehdittava, että komissiolle annettavat valtuudet ovat oikeasuhtaisia, tarkoituksenmukaisia, selkeitä ja tarkasti rajattuja. Valtioneuvosto kiinnittää huomiota siihen, että säädös- ja täytäntöönpanovaltaa ei voida kuitenkaan siirtää komissiolle säädöksen keskeisten osien osalta. “
EU:n digitaalinen rokotetodistus ei voi olla vain STM:n lausunnon ja lainvalmistelun varassa. Lakimuutos EU:n digitaalisesta rokotetodistuksesta tulee käsitellä vielä laajasti myös sisäministeriön, puolustusministeriön, oikeusministeriön, liikenne- ja viestintäministeriön sekä työ- ja elinkeinoministeriön osalta. Mikäli koronapassi muutetaan EU:n digitaaliseksi rokotetodistukseksi ja sen käyttöä voidaan edellyttää maan sisäisten palveluiden saamiseen, työelämään pääsemiseen ja mikäli siihen liittyy myös IT- ja tietoturva-asiat, tulee asiaa käsitellä myös paljon nykyistä laajemmin ja nykyistä pidemmällä kaavalla. Ei tällaisena hätäratkaisuna nopeutetulla aikataululla yhden ministeriön toimesta kesken terveyskriisin.
Vaikka valtioneuvosto on useissa lausunnoissaan eIDAS-asetukseen liittyen todennut jäsenmaiden rajat ylittävän sähköisen asioinnin ja liiketoiminnan olevan sinänsä hyvä asia, on valtioneuvosto myös kiinnittänyt huomiota siihen, että EU:ssa on lähivuosina annettu tai siellä on parhaillaan valmistelussa useita lainsäädäntöehdotuksia, jotka liittyvät rajat ylittävään sähköiseen asiointiin tai ovat merkityksellisiä nyt annetun ehdotuksen kannalta.
Mikäli otetaan huomioon, että kansalaisten turvallisuuteen on kiinnitetty esim. puolustusvoimien hankintojen ja menojen osalta miljardien verran euroja vain varmuuden vuoksi vuosikymmenten ajan, tulisi samaa riskiperiaatetta käyttää myös muissa kansalaisten turvallisuuteen ja perusoikeuksiin liittyvissä hankkeissa.
Olemme kritisoineet paljon Kiinan toimia ja ihmisoikeustilannetta. Kiinassa on käytössä sosiaalinen luottoluokitus, joka perustuu erittäin vahvasti digitaalisten laitteiden ja tietojärjestelmien hyödyntämiseen ja hyväksikäyttöön.
Koronapassiin laajentamiseen eli EU:n digitaaliseen rokotetodistukseen liittyviä tietoturvariskejä, muiden maiden esimerkkejä sekä EU:ssa tehtyjä lainsäädäännön muutoksia on myös hyvä nostaa esiin.
EU:n digitaalisen rokotetodistuksen eli laajennetun koronapassin toiminta perustuu tietojärjestelmien väliseen tiedonvaihtoon sekä erilaisiin IT-ratkaisuihin kuten sovelluksiin, joilla voidaan lukea koronapassin eli EU:n digitaalisen rokotetodistuksen QR-koodi.
Näitä hankkeita ja niihin liittyviä sovelluksen kehittäjiä ei kumminkaan ole kilpailutettu hankintalain mukaisesti. Niissä ei myöskään ole kiinnitetty huomiota sovellusta kehittävän IT-yrityksen ja sen hallituksen taloustietoihin tai rikostaustaan, kuten monien muiden isojen IT-hankkeiden osalta toimitaan.
Terveyden ja hyvinvoinnin laitos (THL) perustelee suorahankintaa ‘ennalta-arvaamattomuudella ja erityisellä kiireellisyydellä’. Terveyden ja hyvinvoinnin laitos (THL) on hankkinut koronatodistusten tarkastussovelluksen suorahankintana ilman kilpailutusta. Asia käy ilmi Tivin tietopyynnöllä THL:ltä saamasta, heinäkuun 14. päivä allekirjoitusta hankintapäätöksestä.
Skotlannin yksi maan suurimmista aikakausilehdistä The Scottish Sun kertoo artikkelissaan (24.10.2021) Skotlantilaisen koronapassisovellus NHS Scotland Covid jakaneen dataa henkilötietoineen muun muassa Amazonille, Microsoftille, ServiceNow:lle, Royal Mail:lle sekä tekoälypohjaiseen kasvojentunnistusyritykseen.
Asia ilmenee koronapassisovelluksen tietosuojatiedoista, jotka paljastavat että sen käyttäjien henkilökohtaiset tiedot jaetaan Albasoftin, Amazon Web Servicesin, CFH Docmailin, Gov.uk Notify Servicen, iProovin, Jumion, Microsoft Azuren, NetCompanyn, Royal Mailin ja NetCompanyn kanssa.
Millä turvataan kansalaisten tietoturva, mikäli kuka tahansa ja mikä taho tahansa voi lukea kansalaisten tietoja QR-koodista ja jakaa niitä eteen päin? Miten turvataan tietoturva, mikäli samaan tietojärjestelmään lisätään useita eri tietoja terveysitiedoista pankkitietoihin ja niitä tulostetaan ulos QR-koodina? Eli koodinpätkänä, jota käyttäjä ei itse ymmärrä eikä kykene tarkistamaan jakamansa tiedon sisältöä ja määrää.
Kuka on vastuussa, mikäli sovelluksen tietosuojailmoituksessa on tehty selväksi tietojen jakaminen toimituskumppaneiden kanssa, mutta kansalainen on velvoittettu näyttämään QR-koodinsa tietämättä minne se sen jälkeen päätyy?
Mikä on meidän vastuumme yhteiskuntana?
Epidemian varjolla ei tule voida estää ihmisten normaalia elämää ja yhteiskunnan normaalia-aukioloa. Juridiset ja sosiaaliset syitä koronapassin kieltämiselle on käyty läpi jonkin verran, mutta digitaalisuuteen liittyvän kansalaisturvallisuus on myös nostettava entistä paremmin esiin.
Suomen tulee ottaa kantaa myös EU:n tasolla, jotta EU:n sisällä tällaisista kansaa jakavista & polarisaatiota lisäävistä EU:n digitaalisista rokotetodistuksista (/koronapasseista) luovutaan kokonaan – sekä perustuslaillisista, eettisistä että myös turvallisuuteen liittyvistä syistä.
Lähteet:
EU: tiekartta rokotetodistuksesta/
Roadmap of Vaccination 2018-2022: Green Pass
Examine the feasibility of developing a common vaccination card/passport for EU citizens (that takes into account potentially different national vaccination schedules and), that is compatible with electronic immunisation information systems and recognised for use across borders, without duplicating work at national level
https://ec.europa.eu/health/
Paige Beresford (2021). DATA LEAK Scots vaccination passport app ‘shares personal data with Amazon and Royal Mail’. The Scottish Sun. Haettu osoitteesta
https://www.thescottishsun.co.
Tivin tietopyyntö THL:ltä saamasta, heinäkuun 14. päivä allekirjoitusta hankintapäätöksestä:
https://www.tivi.fi/uutiset/
Järjen Ääni yhdistyksen STM:lle jättämä lausunto koronapassin käytön laajentamisesta EU:n digitaaliseksi rokotetodistukseksi
https://jarjenaani.fi/lausunto-koronapassin-laajentamisesta/
STM:n esitys koronapassin laajentamisesta, lausuntopyyntö
https://stm.fi/-/stm-pyytaa-lausuntoja-koronapassin-kayton-laajentamisesta