Suomalaisten arkaluontoisia terveystietoja siirtyy pilvipalveluihin, kun Kela uudistaa tietojärjestelmänsä. Jatkossa tietoja ei enää säilytetä pelkästään Suomessa, vaan ne voivat sijaita eri puolilla EU-aluetta.
Mutta mitä tämä muutos tarkoittaa yksittäisen kansalaisen kannalta?
Kuvitellaan aluksi suomalainen opiskelija nimeltä Emilia.
Kelan järjestelmässä avautuvat Emilian tiedot. Ensimmäisenä näkyvät henkilötiedot: nimi, henkilötunnus, osoite ja puhelinnumero. Sitten järjestelmä kertoo Emilian tuloista – paljonko hän on tienannut, onko hänellä palkkatuloja, ja saako hän vanhempainpäivärahaa tai esimerkiksi kotihoidon tukea.
Koska Emilia on hakenut perhe-etuuksia, Kelalla on tarkat tiedot myös hänen perheestään. Näkyvissä on myös tiedot siitä, onko Emilia ollut äitiyslomalla, saanut vanhempainrahaa tai lastenhoidon tukea.
Emilia on hakenut sairauspäivärahaa ja lääkekorvauksia, joten Kelan järjestelmästä löytyvät myös hänen terveystietonsa: käynnit lääkärissä, mahdolliset diagnoosit ja lääkitykset. Näissä tiedoissa voi olla esimerkiksi maininta astmasta, jonka vuoksi Emilia on saanut korvauksia.
Kaikki nämä tiedot ovat arkaluontoisia ja niiden suojaaminen ja huolellinen käsittely on erityisen tärkeää.
Toistaiseksi tiedot ovat sijainneet vain Suomessa, Kelan omien tietokonesalien laitteissa.
Nyt Kela on kuitenkin uudistamassa etuuksien käsittelyjärjestelmän siirtymällä omista konesaleistaan ulkopuolisten yritysten palvelinkeskuksissa toimiviin niin sanottuihin pilvipalveluihin. Tämä on nykyisin sallittua.
– Suomessa lainsäädäntö on teknologianeutraali, sanoo Kelan IT:stä ja yhteisistä palveluista vastaava johtaja Nina Nissilä.
Suunnitelmissa on, että ensimmäiset uudet palvelut ja etuusjärjestelmät otetaan käyttöön vuonna 2027. Aluksi pilvipalveluun siirtyvät sotilasavustuksia, perhe-eläkkeitä ja kuntoutusrahaa koskevat asiat.
Tietoturvavelvoitteet säilyvät ennallaan
Vaikka muutos ei välttämättä näy asiakkaille, vaikuttaa se merkittävästi tietojen säilyttämiseen. Muutoksen myötä Kelan asiakastiedot eivät enää nykyiseen tapaan sijaitse vain Suomessa.
– Järjestelmätoimittajan turvallisuusohjeistukseen kuuluu, että sijaintia ei tarkasti julkaista. Ne ovat hajautetusti Euroopan alueella, kertoo Nissilä.
Kelan strateginen kumppani hankkeessa on kansainvälinen tilintarkastus- ja konsultointiyhtiö PwC [PricewaterhouseCoopers]. Teknologia on yhdysvaltalaisen New Yorkin pörssissä noteeratun ohjelmistoyhtiö Salesforcen.
Kela on tiedottanut, että hankinnan vertailuhinnan mukainen arvo kymmenelle vuodelle laskettuna on arviolta 589 miljoonaa euroa.
Pilvipalveluihin siirtyminen vaikuttaa myös Kelan IT- henkilöstön tehtäviin ja työnkuviin.
Kelalla on erilaisissa tietotekniikkatehtävissä tällä hetkellä noin tuhat ihmistä.
– Todennäköisesti joitain työtehtäviä tulee loppumaan ja toisia uusia syntyy. Mutta tarkemmin se nähdään vasta myöhemmin, Nissilä arvioi.
Uudistuksen yhteydessä on pohdittu myös sitä, säilyykö Kelassa riittävä tietotekninen osaaminen.
– Me olemme itse rakentaneet tätä hanketta niin, että meillä tulee olemaan osaamista myös niistä teknologioista, joita tässä tulemme käyttämään, Nissilä vakuuttaa.
Kelan ohella myös moni muu julkishallinnon toimija on siirtämässä tai jo siirtänyt tietojaan ja toimintojaan pilvipalveluihin.
Esimerkiksi käyvät muun muassa Verohallinto sekä oikeusministeriön ylläpitämä vaaleissa käytettävä tietojärjestelmä.
– Vaikka pilvipalvelujen myötä järjestelmissä olevat tiedot eivät välttämättä ole Suomen rajojen sisäpuolella, säilyvät niihin kohdistuvat tietoturvavelvoitteet ja tarkastusoikeudet, sanoo apulaistietosuojavaltuutettu Annina Hautala.
Tietojen siirron estäminen vaikeaa
Käynnissä oleva Kelan uudistus on ollut toimistolla tiedossa, mutta ei arvioitavana.
– Tämä Kelan suunnitelma ja Kelan kehitystoimet eivät ole olleet meidän arvioitavana, joten en pysty tähän yksittäistapaukseen ottamaan kantaa. Yleisellä tasolla on toki seurattu, että heillä on etuustietojärjestelmäuudistus meneillään, toteaa Hautala.
Entä voiko yksittäinen kansalainen kieltää tietojensa siirron ulkomaisille palvelimille?
– Jos esimerkiksi lakisääteisissä tehtävissä henkilötietoja käsitellään, niin silloin voi olla hyvinkin rajatut mahdollisuudet siihen vaikuttaa, missä organisaatio tietoja käsittelee, sanoo Hautala.
Yleisesti ottaen ihmiset ovat erittäin kiinnostuneita sosiaali- ja terveysasioita koskevista tiedoistaan.
– Merkittävä osa meille tulevista yhteydenotoista koskee juuri sosiaali- ja terveydenhuollon palveluiden käyttöön liittyvää henkilötietojen käsittelyä, kertoo Hautala.
Mutta palataan vielä Kelaan.
Uudessa ratkaisussa Kelan tiedot sijaitsevat EU:n alueella, eivät Suomen rajojen sisäpuolella.
Jos kaikki Itämeren pohjassa olevat tietoliikennekaapelit katkeavat, tarkoittaako tämä sitä, että Suomen sosiaaliturvajärjestelmä kaatuu?
– Kelan vaatimuksissa on mietitty vaihtoehtoja myös tällaisen skenaarion varalle, sanoo Nissilä.