Kuvitellaanpa, että yrityksen pyörittämä työvoimatoimisto saa käsiinsä asiakkaiden terveystietoja kuten mielenterveysdiagnooseja. Miten helppoa onkaan nyt seuloa A-luokan työnhakijat rupusakista!

Entä jos urheiluseuralle päätyy nuorten geenitietoja? Kenties niistä voidaan päätellä, kenellä on hyvä jääkiekkoilijaperimä ja kuka voi painua kotiin pelaamaan tietokonepelejä.

Jotkut asiantuntijat pelkäävät, että suomalaisten sosiaali- ja terveystietoja päätyy jatkossa tällaisiin outoihin tarkoituksiin. Huolen taustalla on Juha Sipilän (kesk) hallituksen esitys laiksi sote-tietojen toissijaisesta käytöstä. Se on parhaillaan eduskunnassa perustuslakivaliokunnan käsiteltävänä, ja kansanedustajat todennäköisesti äänestävät sen voimaantulosta syksyllä.

Tähän asti potilastietoja on saanut käyttää vain potilaan hoitamiseen eli siihen tarkoitukseen, mihin tiedot on vastaanotolla kerätty. Potilaalta on tarvittu erillinen suostumus tietojen käyttämiseen esimerkiksi lääketieteelliseen tutkimukseen.

Uusi laki, lempinimeltään toisiolaki, lieventäisi sääntelyä merkittävästi.

Eniten on kritisoitu sitä, että laki sallisi sote-tietojen luovuttamisen kaupalliseen tutkimus-, kehitys- ja innovaatiotoimintaan.

Käytännössä Suomi myisi kansalaistensa tietoja eteenpäin. Myynnistä vastaisi kansallinen lupaviranomainen, joka toimisi Terveyden ja hyvinvoinnin laitoksen alaisuudessa. Ostajina olisi monenlaisia koti- ja ulkomaisia yrityksiä, kuten lääketehtaita.

Koska tietoja olisi luvallista käyttää kaupallisiin keksintöihin, onnekkaat yritykset saattaisivat takoa suomalaisten sote-tiedoilla rahaa.

Tietoa myytäisiin pääasiassa anonymisoituna. Se merkitsee, että esimerkiksi geeni- tai verinäytteiden tulokset olisi erotettu henkilötiedoista, kuten sosiaaliturvatunnuksista. Myydyistä tiedoista ei periaatteessa voisi tunnistaa tai jäljittää yksittäistä suomalaista.

Periaatteessa.

Tieto on firmoille arvokasta

Vaikka lakia sote-tietojen toissijaisesta käytöstä on valmisteltu jo vuodesta 2015, harva kansalainen on kuullutkaan siitä. Asia kuitenkin koskee jokaista suomalaista. Myytävinä olisivat niin yksityisessä kuin julkisessa terveydenhuollossa kerätyt tiedot.

Perheenisä ja yrittäjä Niko Eskelinen, 47, paneutui aiheeseen Seuran pyynnöstä. Eskelinen on ammatiltaan it-asiantuntija. Hän käyttää terveyspalveluja keskimääräistä enemmän, noin kerran kuukaudessa.

Omasta puolestaan hän ei ole laista kovin huolissaan, koska hän ei epäröi paljastaa sairastavansa haavaista paksusuolentulehdusta ja sydämen sepelvaltimotautia.

”Jos terveystietoni vuotaisivat jonnekin, niistä näkyisi vain asioita, jotka voisin periaatteessa kertoa kenelle tahansa”, hän pohtii.

Eskelinen arvelee, että nuorelle ihmiselle haittaa voisi koitua enemmän, jos tietoja vuotaisi tai niitä hakkeroitaisiin vääriin tarkoituksiin. Hän uskoo, että pahimmassa tapauksessa ”heikompaa ainesta” voitaisiin karsia jo työpaikka- ja opiskelijavalinnoissa.

Eskelinen ei hyväksy tietojen myymistä innovaatiotarkoituksiin. Hänen mielestään hyöty valuisi ennen muuta yrityksille.

”Tieto ei ole valtion tai ministeriön, vaan meidän kansalaisten omaisuutta. Pitäisi lähteä siitä, mitä suomalaiset hyötyvät.”

Mitä hyötyä kansalaisille?

Suomalaisten terveystiedoista on viime aikoina puhuttu ”aarrearkkuna” ja ”öljynä”. Tietojamme pidetään arvokkaina, koska suomalaisten sairaushistoriasta on järjestelmällistä tietoa pitkältä ajalta, ja väestön pienuus on eduksi esimerkiksi geenitutkimuksessa.

Uutta lainsäädäntöä tarvitaan nyt myös Suomen kilpailukyvyn vuoksi, sanoo vanhempi neuvonantaja Hannu Hämäläinen Sitrasta. Viime vuosina tutkimushankkeita on hänen mukaansa siirtynyt Suomesta ulkomaille, koska tiedon käyttölupien saaminen on ollut liian hidasta ja hankalaa.

Hämäläisen mukaan yritykset käyttäisivät suomalaisten terveystietoja tarkoituksiin, jotka hyödyttäisivät kansalaisia uusina, laadukkaampina palveluina, lääkkeinä ja hyvinvointia tukevina sovelluksina.

Laki auttaisi kehittämään monenlaisia tietokone- ja kännykkäsovelluksia. Joillain niistä voisi esimerkiksi vertailla terveyskeskusten laatua. Se nopeuttaisi myös tehokkaiden hoitojen, kuten täsmälääkkeiden kehittelyä ja käypä hoito -suositusten seurantaa. Se voisi myös alentaa harvinaissairauksien lääkekehityksen hintaa.

Hämäläisen mukaan lain valmistelu on ollut siitä poikkeuksellista, että terveys- ja teknologiayrityksiä, kuten myös tutkimuslaitosten edustajia, on kutsuttu mukaan alusta alkaen.

Silti monet asiantuntijat epäilevät, että valmistelussa lain tuomat mahdollisuudet ovat painottuneet liikaa, eikä esimerkiksi yksilönsuoja- ja tietoturvariskejä ole otettu kunnolla huomioon.

Kehittämistä vai syrjintää?

Käytännössä toisiolakia sovellettaisiin yhdessä monien muiden lakien kanssa. Valmisteilla ovat biopankkilain uudistus, genomilaki sekä soten valinnanvapauslainsäädäntö – siis kokonainen sillisalaatti.

Tietosuojavaltuutettu Reijo Aarnion mielestä valmistelussa on jäänyt liian hämäräksi se, millaisiin keksintöihin terveystietoja kaikkiaan saisi hyödyntää.

”Vieno kysymykseni kollegoille ministeriössä ja eduskunnassa kuuluu, että kuka pysyy enää perässä siitä, mitä tässä tapahtuu.”

Esimerkiksi uusi biopankkilaki yhdessä toisiolain kanssa mahdollistaisi suomalaisten geenitietojen myymisen yrityksille. Laillista olisi myydä myös ennen lain voimaantuloa kerättyjä geenitietoja.

HUS:n hallintoylilääkäri ja Helsingin yliopiston terveysoikeuden professori Lasse Lehtonen on huolissaan suomalaisten tietosuojan murenemisesta.

Hän pohtii, olisiko työnhakijoiden seulominen terveystietojen perusteella jatkossa jopa ihan sallittua. Luettaisiinko se työvoimapalvelujen kehittämiseksi – eli lain mukaiseksi sote-tietojen tutkimus- ja kehittämiskäytöksi?

Kiire lisää riskejä

Lehtonen huomauttaa, että nykyisin myös pankki- ja vakuutusala ovat mukana terveysbisneksessä. Esimerkiksi OP-Pohjola on perustanut oman Pohjola Sairaalan. Kuinka helposti tiedot siirtyisivät vastaavanlaisten konsernien sisällä? Jos esimerkiksi geenitiedoista paljastuisi perinnöllisen sairauden riski, miten se vaikuttaisi ihmisen vakuutus- ja lainaehtoihin?

Mahdollisia riskitilanteita ovat Lehtosen mukaan myös yritysten konkurssit. Mihin tiedot päätyvät esimerkiksi startupin kaaduttua? Islannissa vauhdikkaasti perustettu biopankki teki konkurssin vuonna 2009, minkä seurauksena islantilaisten geenitiedot ovat nyt kiinalaisen terveysyrityksen omaisuutta.

”Lain valmistelussa pitäisi mennä aidosti hitaammin, vaiheistaen, kokeillen ja varmistaen, ennen kuin tietomme ovat vuotaneet jonnekin Kiinaan”, Lasse Lehtonen vaatii.

Myös Tampereen kaupungin tietosuojavastaava Ari Andreasson perää vaiheittaista etenemistä.

”Varsinkin sosiaalihuollon puolella on koko perheen tietoja varallisuudesta lähtien. Jos tapahtuisi katastrofi, ja tietopaketti vuotaisi jonnekin pimeään internetiin myyntiin, pahin kauhukuva olisi se, etteivät ihmiset enää uskaltaisi kertoa tärkeitä asioita sote-asioinnissa.”

Luottamus koetuksella

Lakiesityksen mukaan kansalainen voisi kieltää omien tietojensa luovuttamisen. Sen voisi tehdä todennäköisesti ainakin internetin Omakanta-palvelussa. Mutta moniko osaisi tai ymmärtäisi hallinnoida tietojaan? STM:stä ei vielä osata sanoa, miten kiellon voisi antaa muualla kuin netissä.

Sote-asiointi voisi yhtä kaikki alkaa pelottaa. Lehtosen mielestä poliitikkojen pitää nyt pitää mielessä, että terveyspalvelut ovat potilaita varten.

”Luottamuksellinen hoitosuhde on hyvän hoidon edellytys, eikä kaupallinen yritystoiminta tai edes lääketieteellinen tutkimus saisi koskaan vaarantaa sitä”, Lasse Lehtonen linjaa.

Sote-valiokunnan jäsenen Martti Taljan (kesk) mukaan perustuslakivaliokunta ottanee selvän kannan siihen, tarvitseeko potilaalta kysyä erillinen suostumus, jos hänen sote-tietojaan käytetään kaupallisiin keksintöihin.

Tietosuojavaltuutettu Aarnio sanoo, että EU-oikeuden ja EU:n tietosuoja-asetuksen mukaan ihmisten sote-tietoja ei voi käyttää kaupalliseen toimintaan lupaa kysymättä, vaikka tiedot olisikin anonymisoitu.

”Se on semmoinen juttu, että siihen ei voida mennä”, Aarnio sanoo.

”Innovaatio- ja tuotekehitystoiminnan turvaamiseen löytyy myös muita instrumentteja kuin tämä toisiolaki.”

Iso houkutus varkaille

Lakia valmisteleva STM vakuuttaa, että tietoja käsiteltäisiin vain tietoturvallisessa ympäristössä. Kansalaisen tietoturva jopa paranisi, koska tutkija ei voisi tallentaa tietoja järjestelmästä ulos esimerkiksi omalle tietokoneelleen. Tietoja voisi kuitenkin käsitellä etäyhteydellä.

”Tuleva tietoympäristö on sellainen, ettei hakkerointi ole enää mahdollista”, väittää sote-valiokunnan jäsen Talja, joka on ammatiltaan erikoislääkäri.

It-asiantuntija Eskelinen nauraa ajatukselle aukottomasta tietoturvasta. Sataprosenttista tietoturvaa ole olemassakaan, vahvistaa tietosuojavastaava Andreasson.

”Joku voi vaikka tulla tankkiautolla sisään ja viedä koko palvelimen.”

Andreasson arvioi, että salassapidettävien tietojen valtava määrä herättää halua tietomurtoihin. Maailmalta on useita esimerkkejä siitä, että yksityishenkilöiden piilotetut identiteetit on pystytty jälkeenpäin paljastamaan.

Tietoja voidaan haluta jopa väärentää.

”Esimerkiksi kriisi- tai sotatilanteessa olisi vakavaa, jos joku pääsisi käsiksi potilasdataan ja muuttaisi vaikkapa veriryhmätietoja”, Andreasson huomauttaa. Loukkaantuneet saisivat väärää hoitoa, ja sairaalat eivät voisi enää luottaa järjestelmiinsä.

Andreassonin mielestä toisiolaista pitäisi ehdottomasti tehdä EU:n tietosuoja-asetuksen edellyttämä vaikutusten arviointi, niin sanottu DPIA (data protection impact assessment). Siinä käytäisiin läpi, mitä seurauksia suomalaisille voisi pahimmillaan koitua. Kun riskit olisivat selvästi tiedossa ja ne olisi dokumentoitu, myös tietoturva osattaisiin mitoittaa oikein.

”Tämä on olennaisin pointti, josta lakeja säätävän eduskunnankin pitäisi olla kiinnostunut”, Andreasson sanoo.

STM:stä kerrotaan, ettei varsinaista DPIA:ta ole tehty, vaikkakin riskejä on kartoitettu.

Andreasson arvioi, että tietoturvaratkaisujen pitäisi todennäköisesti olla järeitä. Se tulisi hyvin kalliiksi.

Sote-valiokunnan jäsen Talja helpottaisi lailla mieluusti suomalaisten tutkijoiden ja tuotekehittelijöiden työtä, mutta tietojen myymiseen ulkomaisille yrityksille hän suhtautuu kriittisesti.

”Hallituksen esityksessä nähdään, että terveystietojen myyminen voisi olla meidän rahasampomme. En tällaiseen toimintaan usko.”