Koronapassi ja digiturvallisuus

Digiturvallisuus

Ministerit Kiuru ja Marin ovat ajamassa koronapassin laajentamista koskevaa lainsäädäntöä hallituksen esitykseksi ja sen jälkeen eduskunnan päätettäväksi. STM pyysi koronapassin laajentamiseen eli EU:n digitaalisen rokotetodistukseen lausuntoja 17.1. mennessä. Jätimme Järjen ääni ry:n kanssa pitkän yhteisen asiantuntijalausunnon, jossa mukana oli myös digiturvallisuutta käsittelevä osio. Käsittelen tässä tekstissä aihetta hieman pidemmästi.

STM puhuu lausuntopyynnössään ja esitykseessään toistuvasti nimenomaan EU:n digitaalisesta rokotetodistuksesta. Lausuntopyyntö siis ainakin nimikkeiden sekä sisällön osalta muuttaa nyt käsitteillä olevan koronapassin samaan muotoon, josta EU on aiemmin linjannut rokotetodistuksiin liittyvässä lainsäädännössä.

Tietoturva, kyberturvallisuus, kansalaisturvallisuus: EU on useaan kertaan ottanut kantaa GDPR-asioihin liittyen. On kiinnitetty huomioita ja kritisoitu suurten teknologiajättien keräämää dataa ja datan keräämiseen, tallentamiseen ja käyttöön liittyviä riskejä. EU:n digitaalisella koronapassilla /rokotetodistuksella astutaan GDPR ja tietoturvan osalta erittäin isoon miinakenttään.

Kyse ei ole enää vain ihmisten itse sosiaaliseen mediaan jakamista kuvista, tiedoista, mielipiteistä ja digitaalisesta käyttäytymisestä. Kyse ei myöskään ole enää yksittäisten terveyspalveluita tarjoavien organisaatioiden tietojärjestelmistä ja niiden tietoturvallisuudesta.

EU:n digitaalisella rokotetodistuksella ollaan luomassa koko EU:n käsittävää tietopankkia, tietojärjestelmää, joka kokoaa ihmisten henkilö-, terveys- ja pankkitietoja samaan pilvipalveluun. Palveluun, jonka hallinta, käyttö ja lainsäädäntö ovat komission vastuulla. EU:n tekemiä päätöksiä erilaisista digitaalisen identiteetin ja rokotetodistuksen osista ollaan jo ujutettu myös Suomen lainsäädäntöön useamman vuoden ajan.

Yksi esimerkki löytyy Valtioneuvoston U-kirjelmästä (U 41/2021 vp), jossa pyritään edistämään eurooppalaisen digitaalisen identiteetin kehyksen vahvistamista. Tähän toki valtioneuvosto kommentoi alustavasti näin: “Valtioneuvosto pitää tarpeellisena, että sähköisen tunnistamisen järjestelmien ilmoittamiseen liittyvään menettelyyn luodaan uusi vaihtoehtoinen menettelytapa, sertifiointi, ja suhtautuu myönteisesti mahdollisuuteen osoittaa tunnistusjärjestelmän vaatimustenmukaisuus sertifioinnin avulla.”
 

“Jatkovalmistelussa on huolehdittava, että komissiolle annettavat valtuudet ovat oikeasuhtaisia, tarkoituksenmukaisia, selkeitä ja tarkasti rajattuja. Valtioneuvosto kiinnittää huomiota siihen, että säädös- ja täytäntöönpanovaltaa ei voida kuitenkaan siirtää komissiolle säädöksen keskeisten osien osalta. “

Haluankin korostaa, että valtionneuvosto ja STM ottaisivat saman vähintäänkin varovaisen – mieluiten kriittisen ja kielteisen – kannan EU:n digitaalisen rokotetodistuksen käytön laajentamisesta ja sen mahdollisesta liittämisestä muuhun EU:n tietojärjestelmään.
 

EU:n digitaalinen rokotetodistus ei voi olla vain STM:n lausunnon ja lainvalmistelun varassa. Lakimuutos EU:n digitaalisesta rokotetodistuksesta tulee käsitellä vielä laajasti myös sisäministeriön, puolustusministeriön, oikeusministeriön, liikenne- ja viestintäministeriön sekä työ- ja elinkeinoministeriön osalta. Mikäli koronapassi muutetaan EU:n digitaaliseksi rokotetodistukseksi ja sen käyttöä voidaan edellyttää maan sisäisten palveluiden saamiseen, työelämään pääsemiseen ja mikäli siihen liittyy myös IT- ja tietoturva-asiat, tulee asiaa käsitellä myös paljon nykyistä laajemmin ja nykyistä pidemmällä kaavalla. Ei tällaisena hätäratkaisuna nopeutetulla aikataululla yhden ministeriön toimesta kesken terveyskriisin.

Vaikka valtioneuvosto on useissa lausunnoissaan eIDAS-asetukseen liittyen todennut jäsenmaiden rajat ylittävän sähköisen asioinnin ja liiketoiminnan olevan sinänsä hyvä asia, on valtioneuvosto myös kiinnittänyt huomiota siihen, että EU:ssa on lähivuosina annettu tai siellä on parhaillaan valmistelussa useita lainsäädäntöehdotuksia, jotka liittyvät rajat ylittävään sähköiseen asiointiin tai ovat merkityksellisiä nyt annetun ehdotuksen kannalta.

Vaadin, että myös EU:n digitaalisen rokotetodistuksen osalta on kiinnitettävä erityisesti huomiota henkilötietojen suojan sääntelyyn, ja täytäntöönpanovaiheessa olevaan yhteistä digitaalista palveluväylää (SDG) koskevaan sääntelykokonaisuuteen. Tulee myös kiinnittää huomiota siihen, että säädös- ja täytäntöönpanovaltaa ei voida kuitenkaan siirtää komissiolle säädöksen keskeisten tai muidenkaan osien osalta. Näin valtioneuvosto on linjannut muissakin ja tätä samaa linjaa on syytä jatkaa kansalaisten turvallisuuden ja kansallisen päätäntävallan säilyttämiseksi myös jatkossa.
 
Riskien hallintaa ja käsittelyä ei voida sivuuttaa tai mainita vain ohimennen sivulauseessa.
 

Mikäli otetaan huomioon, että kansalaisten turvallisuuteen on kiinnitetty esim. puolustusvoimien hankintojen ja menojen osalta miljardien verran euroja vain varmuuden vuoksi vuosikymmenten ajan, tulisi samaa riskiperiaatetta käyttää myös muissa kansalaisten turvallisuuteen ja perusoikeuksiin liittyvissä hankkeissa.

Olemme kritisoineet paljon Kiinan toimia ja ihmisoikeustilannetta. Kiinassa on käytössä sosiaalinen luottoluokitus, joka perustuu erittäin vahvasti digitaalisten laitteiden ja tietojärjestelmien hyödyntämiseen ja hyväksikäyttöön.

Kiinan osalta meillä on kohtuu hyvin tiedossa riskit. Siksi Suomen tulee kiinnittää EU:n digitaalisen rokotetodistuksen, id2020 sekä digilompakon osalta erityistä huomiota riskeihin, jotka näihin hankkeisiin ja näiden tietojärjestelmien mahdolliseen yhdistämiseen liittyy.
 
Erityistä huomiota tulee kiinnittää siihen, ettei näillä toimilla ja lakimuutoksilla missään muodossa koskaan ole mahdollista toteuttaa kansalaisten tai yritysten sosiaalista luottoluokitus- ja seurantajärjestelmää.
 
On arvioita riskit kansallisen ja kansalaisten turvallisuuden näkökulmasta sekä laadittava lakeja, joilla turvataan omien kansalaisten vapaa liikkuvuus, mahdollisuus työntekemiseen ja elinkeinonharjoittamiseen sekä huolehdittava henkilö-, terveys- ja talousasioiden tietoturvasta.
 

Koronapassiin laajentamiseen eli EU:n digitaaliseen rokotetodistukseen liittyviä tietoturvariskejä, muiden maiden esimerkkejä sekä EU:ssa tehtyjä lainsäädäännön muutoksia on myös hyvä nostaa esiin. 

EU:n digitaalisen rokotetodistuksen eli laajennetun koronapassin toiminta perustuu tietojärjestelmien väliseen tiedonvaihtoon sekä erilaisiin IT-ratkaisuihin kuten sovelluksiin, joilla voidaan lukea koronapassin eli EU:n digitaalisen rokotetodistuksen QR-koodi.

Näitä hankkeita ja niihin liittyviä sovelluksen kehittäjiä ei kumminkaan ole kilpailutettu hankintalain mukaisesti. Niissä ei myöskään ole kiinnitetty huomiota sovellusta kehittävän IT-yrityksen ja sen hallituksen taloustietoihin tai rikostaustaan, kuten monien muiden isojen IT-hankkeiden osalta toimitaan.

Terveyden ja hyvinvoinnin laitos (THL) perustelee suorahankintaa ‘ennalta-arvaamattomuudella ja erityisellä kiireellisyydellä’. Terveyden ja hyvinvoinnin laitos (THL) on hankkinut koronatodistusten tarkastussovelluksen suorahankintana ilman kilpailutusta. Asia käy ilmi Tivin tietopyynnöllä THL:ltä saamasta, heinäkuun 14. päivä allekirjoitusta hankintapäätöksestä.

Sovelluksien käyttö on niin Suomessa kuin maailmalla villilänsi. Käytännössä kuka tahansa voi kysyä kansalaisten koronapassia/ QR-koodia ja monet suostuvat siihen päästäkseen tiloihin, toisten koteihin, tapahtumiin. Sovellus voi käytännössä olla minkä tahansa maan tai organisaation tarjoama sovellus, joten yhtälailla kansalaisten QR-koodin sisältämät tiedot voivat päätyä esimerkiksi skotlantilaisen lukulaitesovelluksen kautta kolmansille osapuolille tai jonkin kiinalaisen tai venäläisen sovelluksen kautta näiden maiden tietojärjestelmiin.
 

Skotlannin yksi maan suurimmista aikakausilehdistä The Scottish Sun kertoo artikkelissaan (24.10.2021) Skotlantilaisen koronapassisovellus NHS Scotland Covid jakaneen dataa henkilötietoineen muun muassa Amazonille, Microsoftille, ServiceNow:lle, Royal Mail:lle sekä tekoälypohjaiseen kasvojentunnistusyritykseen.

Asia ilmenee koronapassisovelluksen tietosuojatiedoista, jotka paljastavat että sen käyttäjien henkilökohtaiset tiedot jaetaan Albasoftin, Amazon Web Servicesin, CFH Docmailin, Gov.uk Notify Servicen, iProovin, Jumion, Microsoft Azuren, NetCompanyn, Royal Mailin ja NetCompanyn kanssa.

Millä turvataan kansalaisten tietoturva, mikäli kuka tahansa ja mikä taho tahansa voi lukea kansalaisten tietoja QR-koodista ja jakaa niitä eteen päin? Miten turvataan tietoturva, mikäli samaan tietojärjestelmään lisätään useita eri tietoja terveysitiedoista pankkitietoihin ja niitä tulostetaan ulos QR-koodina? Eli koodinpätkänä, jota käyttäjä ei itse ymmärrä eikä kykene tarkistamaan jakamansa tiedon sisältöä ja määrää.

Kuka on vastuussa, mikäli sovelluksen tietosuojailmoituksessa on tehty selväksi tietojen jakaminen toimituskumppaneiden kanssa, mutta kansalainen on velvoittettu näyttämään QR-koodinsa tietämättä minne se sen jälkeen päätyy?

Mikä on meidän vastuumme yhteiskuntana? 

Epidemian varjolla ei tule voida estää ihmisten normaalia elämää ja yhteiskunnan normaalia-aukioloa. Juridiset ja sosiaaliset syitä koronapassin kieltämiselle on käyty läpi jonkin verran, mutta digitaalisuuteen liittyvän kansalaisturvallisuus on myös nostettava entistä paremmin esiin.

Suomen tulee ottaa kantaa myös EU:n tasolla, jotta EU:n sisällä tällaisista kansaa jakavista & polarisaatiota lisäävistä EU:n digitaalisista rokotetodistuksista (/koronapasseista) luovutaan kokonaan – sekä perustuslaillisista, eettisistä että myös turvallisuuteen liittyvistä syistä.

 

Lähteet:

EU: tiekartta rokotetodistuksesta/rokotepassista:
Roadmap of Vaccination 2018-2022: Green Pass
Examine the feasibility of developing a common vaccination card/passport for EU citizens (that takes into account potentially different national vaccination schedules and), that is compatible with electronic immunisation information systems and recognised for use across borders, without duplicating work at national level
https://ec.europa.eu/health/sites/default/files/vaccination/docs/2019-2022_roadmap_en.pdf

Paige Beresford (2021). DATA LEAK Scots vaccination passport app ‘shares personal data with Amazon and Royal Mail’. The Scottish Sun. Haettu osoitteesta
https://www.thescottishsun.co.uk/news/scottish-news/7894532/vaccination-passport-shares-personal-data/

Tivin tietopyyntö THL:ltä saamasta, heinäkuun 14. päivä allekirjoitusta hankintapäätöksestä:
https://www.tivi.fi/uutiset/thl-hankki-koronapassin-tarkastussovelluksen-ilman-kilpailutusta-diili-meni-koronavilkun-kehittajalle/88f9708a-6486-4a03-b44b-fda72a1b8c32

Järjen Ääni yhdistyksen STM:lle jättämä lausunto koronapassin käytön laajentamisesta EU:n digitaaliseksi rokotetodistukseksi
https://jarjenaani.fi/lausunto-koronapassin-laajentamisesta/

STM:n esitys koronapassin laajentamisesta, lausuntopyyntö
https://stm.fi/-/stm-pyytaa-lausuntoja-koronapassin-kayton-laajentamisesta