4.1
Keskeiset ehdotukset
Suomessa tartunnanjäljitys sekä tartuntatautilain mukaiset eristämis- ja karanteenitoimenpiteet ovat tehokkaita keinoja rajoittaa ja torjua covid-19-epidemian leviämistä. Tartuntatautilain mukaisia toimenpiteitä voitaisiin tukea ehdotetulla tietojärjestelmällä. Lähtökohtana tartuntatautitilanteen hallinnassa on tunnistaa henkilö, joka on sairastunut, ja saada tehokkaan ja nopean tartunnanjäljityksen avulla tietoa tämän lähikontakteista ja mahdollisesti taudille altistuneista. Tietojärjestelmä tehostaisi mahdollisesti altistuneiden henkilöiden tavoittamista entistä aikaisemmassa vaiheessa. Tehokas ja nopea altistuneiden jäljitys on avainasemassa, kun rajoittamistoimenpiteitä halutaan keventää. Jos mobiiliteknologiaa hyödyntävän tietojärjestelmän avulla saadaan tehostettua altistuneiden tavoittamista, on mahdollista kohdentaa taudin leviämistä estäviä toimenpiteitä, kuten terveydenhuollon antamaa ohjeistusta, suoraan heille. Näin ollen tietojärjestelmän käyttöönotto voisi parhaimmillaan vähentää koko väestöön yleisesti kohdistuvien rajoitusten tarvetta.
Ehdotetun tietojärjestelmän avulla voitaisiin tavoittaa virusta tartuttavan henkilön kanssa lähikontaktissa olleet mahdolliset altistuneet ja nopeuttaa heidän tiedonsaantiaan altistuksesta. Tietojärjestelmän avulla olisi mahdollista kartoittaa ja tavoittaa tartunnan saaneen henkilön läheisyydessä riittävän pitkäkestoisesti olleita ja siten mahdollisesti virukselle altistuneita tehokkaammin kuin yksistään tartuntatautilain tartunnan jäljityksen keinoin. Tietojärjestelmän avulla voitaisiin tavoittaa myös sellaiset sovelluksen käyttäjät, joiden läheisyydessä tartunnan saanut henkilö ei muista olleensa tai joita hän ei itse tunne ja jotka muutoin jäisivät tavoittamatta. Jotta tietojärjestelmästä saataisiin hyötyä ja kustannusvaikuttavuutta terveydenhuoltojärjestelmälle, on tärkeää, että resursseja kohdennettaisiin tarkoituksenmukaisesti mahdollisesti altistuneiden tavoittamiseen yhteydenottopyyntöjen perusteella sekä heille tarpeellisiin jatkotoimiin. Toimenpiteiden kohdistamisella tehokkaasti mahdollisesti altistuneille voitaisiin jossain määrin välttää myös tarpeettomia kustannuksia, joita aiheutuisi yleisistä kaikille kohdennettavista toimista tai rajoituksista.
Tartuntatautilääkärien ja terveydenhuollon palvelujärjestelmän toteuttamaa covid-19-epidemian hallintatyötä Suomessa ei tueta tällä hetkellä vielä kansallisilla mobiiliteknologiaa hyödyntävillä ratkaisuilla. Asiantuntijanäkemyksissä on eri yhteyksissä tuotu esiin mahdollisuus, jossa koronavirustautiin sairastuneeksi todetun lähikontakteja voitaisiin kartoittaa ja tavoittaa henkilön käyttöönottaman mobiilisovelluksen avulla. Tällä hetkellä tartuntatautia selvittävän ammattihenkilön yhteydenotot altistuneisiin perustuvat sairastuneen henkilön antamiin tietoihin lähikontakteista ja heidän yhteystiedoistaan. Näin ollen tieto sellaisista altistuneista, joita tartunnan saanut henkilö ei henkilökohtaisesti tunne tai joiden kanssa tapahtunutta kohtaamista tartunnan saanut ei enää jälkikäteen muista, jää saamatta. Mobiilisovelluksen avulla tavoitteena on tavoittaa erityisesti nämä henkilöt mahdollisesti altistuneina.
Jo nykyisin ihminen voi tehdä oirearvion kansallisessa Omaolo.fi-palvelussa ja ohjautua sen kautta ottamaan yhteyttä terveydenhuoltoon. Terveydenhuoltohenkilöstö voi tällöin ohjata hänet testaukseen palvelutarpeen arvioinnin perusteella. Testausprosessi voi käynnistyä myös, kun ihminen tavoitetaan osana tartuntatautilain mukaista altistuneiden jäljitystä. Testauksen tavoitteena on estää taudin leviämistä siten, että covid-19-tartunnan saanut eristetään, suojata riskiryhmiä, turvata kriittisen henkilöstön riittävyys ja terveydenhuollon kantokyky, tukea tartuntaketjujen jäljittämistä sekä tukea epidemian kulun tilannekuvan muodostamista. Näillä tiedoilla on merkitystä, kun arvioidaan erilaisten rajoittamistoimien välttämättömyyttä, oikeasuhtaisuutta ja kestoa. Mobiilisovelluksen käyttöönotolla voidaan arvioida olevan taudin testausta ja siten myös sen toteamista lisäävä vaikutus, minkä kautta saadaan myös tietoa taudin leviämisen tilannekuvasta.
Mobiilisovelluksella voidaan tukea ja tehostaa henkilöiden osallistumista omaehtoiseen epidemian hillitsemiseen. Lähtökohtana sovelluksen käyttöönotolle on luottamus viranomaisvastuuseen pohjautuvaan sovellukseen sekä sen käyttöön liittyvä vapaaehtoisuus. Ehdotetun sovelluksen osalta luottamus perustuisi ensinnäkin siihen, että tietojärjestelmän ja sen sisältämän mobiilisovelluksen tarjoaisi Terveyden ja hyvinvoinnin laitos, joka tartuntatautilain mukaan muutenkin toimii tartuntatautien torjunnan kansallisena asiantuntijalaitoksena. On mahdollista, että markkinoille tulisi muitakin tartuntojen jäljittämiseen soveltuvia järjestelmiä tai ratkaisuja, mutta näihin ei sovellettaisi nyt esitettävää lainsäädäntöä eikä niihin siten kytkeydy esityksessä säädettäväksi ehdotetut viranomaisvastuut. Lisäksi tartunnan saaneen sovellukseen antama aktivointikoodi olisi saatu terveysviranomaisilta, joten sovelluksen kautta ei voisi jakaa tietoa tartunnasta ilman terveydenhuollossa todettua tartuntaa. Esityksen tarkoittaman tietojärjestelmän osalta luottamus perustuisi myös siihen, että tietoa kerätään ja tallennetaan ehdotettujen säännösten mukaisesti vain niin vähän ja niin lyhyen aikaa kuin on tarpeen, eikä tietoa käytetä muihin tarkoituksiin.
Ehdotetun tietojärjestelmän ja siihen sisältyvän mobiilisovelluksen avulla tiedon mahdollisesta altistumisesta saanut saisi omaa toimintaansa tukevaa informaatiota. Sovelluksen avulla voitaisiin välittää mahdollisen altistumistiedon lisäksi toimintaohjeita. Ihminen voisi välttää omaehtoisesti kontaktia muiden kanssa mahdollisimman pian sen jälkeen, kun hän on saanut tiedon mahdollisesta altistuksestaan.
Nykytilanteessa altistuneiden jäljittäminen perustuu tartuntatautilakiin, jonka 22 §:n mukaan tartunnan saaneen tai sairastuneeksi perustellusti epäillyn henkilön on ilmoitettava asiaa selvittävälle lääkärille niiden henkilöiden nimet, jotka ovat voineet olla tartunnan lähteenä tai saada tartunnan. Voimassa olevan tartuntatautilain 60 §:n mukaan virkasuhteinen kunnan tartuntataudeista vastaava lääkäri tai virkasuhteinen sairaanhoitopiirin kuntayhtymän tartuntataudeista vastaava lääkäri voi päättää henkilön karanteenista enintään yhden kuukauden ajaksi. Päätös karanteenista voidaan tehdä henkilölle, jonka on todettu tai perustellusti epäilty altistuneen yleisvaaralliselle tartuntataudille.
Ehdotetun tietojärjestelmän avulla tartuntatautilain mukaisia karanteenipäätöksiä olisi mahdollista tehdä nykyistä tehostetummin, kun henkilön käyttöönottaman mobiilisovelluksen avulla voitaisiin saada tieto nykyistä laajemmasta mahdollisesti altistuneiden joukosta. Lisäksi tieto mahdollisesta altistumisesta saataisiin useissa tapauksissa nykyistä nopeammin. Mobiilisovelluksen käyttöönotto ja käyttö olisi kuitenkin vapaaehtoista, eikä sen käyttäjällä olisi tartuntatautilain 22 §:n mukaista velvollisuutta ilmoittaa sovelluksen avulla saamaansa tietoa mahdollisesta altistumisesta. Pelkkä mobiilisovelluksen avulla saatu tieto mahdollisesta altistumisesta ei myöskään voisi olla tartuntatautilain 60 §:n mukainen perusteltu epäily altistumisesta yleisvaaralliselle tartuntataudille, vaan tällaisesta altistumisesta tulisi olla muutakin näyttöä. Mobiilisovellusta käytettäessä ei voida varmuudella tunnistaa altistumista, koska sovellus ei kykene tunnistamaan kaikkia altistumiseen vaikuttavia vallitsevia olosuhteita.
Vaikka mobiilisovellus otettaisiin käyttöön, tarkoitus olisi jatkossakin toimia tartuntaketjujen jäljitystyössä samoin kuin nykyisin eli jäljitystyötä tekevä ottaa puhelimitse yhteyttä mahdollisesti altistuneeseen henkilöön tai tämän lailliseen edustajaan. Potilaan asemaan ja oikeuksiin sekä potilasasiakirjamerkintöjen tekemiseen sovellettaisiin potilaslain säännöksiä.
Yleinen tietosuoja-asetus ja sen sääntelyliikkumavara
Henkilötietojen käsittelystä säädetään suoraan sovellettavassa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (jäljempänä yleinen tietosuoja-asetus) sekä sitä täydentävässä kansallisessa yleislaissa eli tietosuojalaissa (1050/2018).
Henkilötiedoilla tarkoitetaan yleisen tietosuoja-asetuksen mukaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Pseudonymisoimisella tarkoitetaan henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu. Pseudonymisoidut tai muutoin pseudonyymiset tiedot ovat kuitenkin henkilötietoja ja niihin tulee soveltaa tietosuojalainsäädäntöä.
Henkilötietojen käsittelylle on oltava yleisen tietosuoja-asetuksen 6 artiklassa tarkoitettu käsittelyn yleinen oikeusperuste. Tietojärjestelmän yhteydessä tapahtuvan henkilötietojen käsittelyyn parhaiten soveltuva oikeusperuste on yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta, jonka mukaan käsittely on sallittua, kun se on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Käsittely ei voi kuitenkaan suoraan perustua mainittuun yleisen tietosuoja-asetuksen kohtaan, vaan artiklan 3 kohdan mukaisesti käsittelyn perustasta on säädettävä joko unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä. Koska asiaa koskevaa lainsäädäntöä ei ole, on mobiilisovelluksen yhteydessä tapahtuvasta henkilötietojen käsittelystä säädettävä erikseen.
Silloin kun käsittely perustuu edellä kuvattuun yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohtaan, tulee jäsenvaltion lainsäädännön täyttää yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden, kuten 6 artiklan 3 kohdassa säädetään. Ehdotettavan mobiilisovelluksen voidaan vallitsevassa covid-19-epidemiatilanteessa katsoa täyttävän yleisen edun mukaisen tavoitteen ja sitä voidaan pitää oikeasuhtaisena sillä tavoiteltuun päämäärään nähden ottaen huomioon tietojärjestelmällä saavutettavat ja esityksessä tarkemmin kuvatut hyödyt. Yleisen tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan käsittelyn oikeusperusteessa voidaan säätää esimerkiksi yleisistä edellytyksistä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta, käsiteltävien tietojen tyypistä, asianomaisista rekisteröidyistä, tarkoituksista joihin henkilötietoja voidaan luovuttaa, säilytysajoista sekä käsittelytoimista ja -menettelyistä.
Tietojärjestelmän yhteydessä käsiteltäisiin myös terveyttä koskevia tietoja. Niitä pidetään yleisen tietosuoja-asetuksen 9 artiklassa tarkoitettuina erityisiin henkilötietoryhmiin kuuluvina tietoina, joiden käsittely on lähtökohtaisesti kielletty. Tällaisten tietojen käsittely on sallittua vain, jos käsittelylle on asetuksen 6 artiklan 1 kohdan mukaisen yleisen käsittelyperusteen lisäksi jokin 9 artiklan 2 kohdassa tarkoitettu erityinen käsittelyperuste.
Mainitun kohdan mukaisesti terveystietojen käsittely on sallittua sen i alakohdan mukaan, kun se on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajat ylittäviltä terveysuhkilta suojautumiseksi. Tietojärjestelmä yhteydessä tapahtuva terveystietojen käsittely voidaan perustaa tähän yleisen tietosuoja-asetuksen kohtaan. Tällöinkin edellytyksenä on kuitenkin asiaa koskeva lainsäädäntö, jossa tulee lisäksi säätää asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien suojaamiseksi. Yleisen tietosuoja-asetuksen johdanto-osan 52 perustelukappaleessa mainitaan yhtenä perusteena terveystietojen käsittelylle tartuntatautien ja muiden vakavien terveysuhkien estäminen tai hallitseminen.
Eduskunnan perustuslakivaliokunta on korostanut tarvetta varata henkilötietojen suojaa koskevan erityislainsäädännön säätäminen vain tilanteisiin, joissa se on yhtäältä sallittua yleisen tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi. Perustuslakivaliokunta on pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana. Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Lailla säätämiseen taas kohdistuu yleinen vaatimus lain täsmällisyydestä ja tarkkuudesta.
Erityislainsäädännön tarpeellisuutta ja yksityiskohtaisuutta arvioitaessa on myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnitettävä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpana voidaan yksityiskohtaista sääntelyä pitää. Erityisesti arkaluonteisten tietojen käsittelyn salliminen koskee yksityiselämään kuuluvan henkilötietojen suojan ydintä, minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta. Arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään.
Ottaen huomioon tietojärjestelmällä tavoiteltu laajaan henkilöjoukkoon liittyvä henkilötietojen käsittely, erityisiin henkilötietoryhmiin kuuluvien terveystietojen käsittely sekä käsittelyyn muutoinkin kohdistuvat riskit, on tietojärjestelmää ja sen yhteydessä tapahtuvaa henkilötietojen käsittelyä koskevassa sääntelyssä syytä säätää henkilötietojen käsittelystä riittävän yksityiskohtaisesti ja tarkkarajaisesti yleisen tietosuoja-asetuksen mahdollistaman sääntelyliikkumavaran puitteissa. Lisäksi on säädettävä asianmukaisista suojatoimista yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan i alakohdan mukaisesti.
4.2
Pääasialliset vaikutukset
Yhteiskunnalliset vaikutukset
Covid-19-tartuntaketjujen jäljittämistä ja katkaisua tehostavalla tietojärjestelmällä on yhteiskunnallisia vaikutuksia. Mobiilisovelluksen käyttöön ottanut henkilö voisi itse osallistua koronaviruksen leviämisen estämiseen. Ihmisellä on lähtökohtaisesti tarve arvioida omia oireitaan ja saada luotettavaa terveysinformaatiota. Hänellä on lisäksi tarve saada tietoa mahdollisesta altistumisestaan, jotta hän voi ryhtyä viiveettä omaehtoisiin, mahdollisen tartunnan leviämistä estäviin toimiin. Ihmiset voisivat siten huolehtia oman terveytensä lisäksi myös lähiympäristönsä terveydestä, kun sovelluksen avulla voisi välittää tietoa myös niille, jotka olisivat mahdollisesti altistuneet virukselle. Tietojärjestelmällä voisi olla myös vaikutuksia terveydenhuollon toimintaan, sillä tartuntojen jäljittämistyö voisi nopeutua, kun mobiilisovelluksen käyttöönottaneet henkilöt ilmoittaisivat mahdollisesta altistumisestaan terveydenhuoltoon.
Taloudelliset vaikutukset
Covid-19-tartuntaketjujen jäljittämistä ja katkaisua tehostavalla tietojärjestelmällä on taloudellisia vaikutuksia. Tietojärjestelmä ja sen sisältämän mobiilisovelluksen ja tarvittavien taustajärjestelmien kehittämisestä ja ylläpidosta aiheutuu kustannuksia. Kustannuksia aiheutuu myös siitä, että väestölle välitetään tietoa mobiilisovelluksen käytön mahdollisuudesta sekä muusta tietojärjestelmän käyttöön liittyvästä viestinnästä. Lisäksi toimintamallimuutokset voivat johtaa tarpeeseen kehittää myös jäljitystoiminnassa käytettäviä muita tietojärjestelmiä. Kolmanteen lisätalousarvioon on esitetty 6 miljoonan euron määräraha kokonaisuuden toteutusta varten. Väestö käyttäisi sovellusta älypuhelimillaan, eikä sovelluksen käytöstä lähtökohtaisesti aiheutuisi lisäkustannuksia.
Mobiilisovelluksella voi olla vaikutuksia tartunnan jäljitystoimintaan. Sovellus voi tehostaa jäljitystä mahdollistamalla altistuneiden tavoittamisen nykyistä laajemmin ja nopeammin. Tällöin voidaan osin välttää niitä mahdolliseen sairastumiseen liittyviä yhteiskunnallisia kustannuksia, joita aiheutuisi sellaisista altistuneista, joita ei nykymenetelmillä tavoiteta. Ehdotetun tietojärjestelmän avulla pystyttäisiin välttämään covid-19-epidemian leviämisen aiheuttamia yhteiskunnallisia kustannuksia, kun tartuntaketjut saataisiin nopeammin katkeamaan. Tällaisia kustannuksia olisivat muun muassa sairastuneiden hoitamiseen sekä karanteenipäätöksiin liittyvät yhteiskunnalliset kustannukset. Nämä kustannukset voivat epidemian mahdollisesti laajentuessa olla potentiaalisesti merkittäviä.
Toisaalta mobiilisovelluksen avulla on tavoitteena tavoittaa nykyistä laajempi joukko mahdollisesti altistuneita, joten yhteydenotot ja heidän tilanteensa selvittäminen sekä mahdolliset karanteenipäätökset aiheuttaisivat jäljitykseen liittyvää lisätyötä ja siten lisäisivät jäljitystoiminnan välittömiä kustannuksia kunnissa ja sairaanhoitopiirien kuntayhtymissä.
Koska ehdotetun tietojärjestelmän avulla ei kerättäisi paikkatietoa eikä sen avulla voitaisi yhdistää tartunnan saanutta henkilöä ja mahdollista altistunutta henkilöä tunnistettavasti toisiinsa, ei järjestelmän avulla kyettäisi tunnistamaan, mitkä altistukset liittyvät ketjuina tai joukkoina toisiinsa. Sen sijaan yhteydenottoa vaativien henkilöiden määrä laajenisi. Tästä aiheutuisi jäljitystyöhön lisävoimavarojen tarvetta ja sitä kautta lisäkustannuksia. Lisäksi kustannuksia aiheutuisi mahdollisesta laajemmasta altistuneiden testauksesta ja karanteenipäätösten tekemisestä. Kustannuksia aiheutuisi myös Kansaneläkelaitoksen myöntämän tartuntatautipäivärahan myöntämisestä mahdollisesti useammalle karanteenipäätöksen saaneelle.
Kunnan velvollisuutena on voimassa olevan tartuntatautilain 9 §:n nojalla järjestää alueellaan tartuntatautien vastustamistyö siten kuin kansanterveyslaissa (66/1972), terveydenhuoltolaissa (1326/2010) ja tartuntatautilaissa säädetään. Kunnat ja sairaanhoitopiirin kuntayhtymät ovat nykyisen tartuntatautilain 23 §:n mukaisesti vastuussa myös epidemian selvittämisestä sekä tartuntatauteihin liittyvästä jäljitystoiminnasta. Mainitun pykälän 1 momentin mukaan kunnan tartuntataudeista vastaava lääkäri selvittää paikallisia epidemioita ja tekee tartunnan jäljitystä. Pykälän 2 momentin mukaan sairaanhoitopiirin kuntayhtymän tartuntataudeista vastaava lääkäri ohjaa sairaanhoitopiirin kuntayhtymän alueella epidemioiden selvitystä ja tartunnan jäljittämistä sekä toteuttaa laajalle levinneen epidemian selvittämistä yhteistyössä kuntien kanssa. Tartuntatautilaissa säädettävät kuntien tehtävät ovat kunnan peruspalvelujen valtionosuudesta annetun lain (1704/2009) 1 §:n mukaisia valtionosuustehtäviä. Esitys ei kuitenkaan sisällä kunnille tai sairaanhoitopiirien kuntayhtymille uusia tehtäviä tai velvoitteita eikä nykyisiä tehtäviä laajenneta. Kunnan tehtävät säilyisivät esityksen johdosta ennallaan.
Kunnan ja sairaanhoitopiirin kuntayhtymän tehtävien näkökulmasta tarkasteltuna mobiiliteknologiaa hyödyntävä tietojärjestelmä tuo kunnille ja sairaanhoitopiirin kuntayhtymille nykyistä tehokkaammin tiedon niistä altistuneista henkilöistä, joiden jäljittäminen, testaaminen sekä tarvittaessa hoitaminen kuuluvat jo nykyisen tartuntatautilain, kansanterveyslain ja terveydenhuoltolain mukaisesti kunnalle sekä sairaanhoitopiirin kuntayhtymälle.
Taloudelliset vaikutukset ovat myös epäsuoria, ja niitä voi muodostua altistuneiden nopeammasta ja laajemmasta tavoittamisesta, kun altistuneille saataisiin nopeammin toimintaohjeet ja mahdolliset testaukset tai karanteenipäätökset, mikä tehostaisi mahdollisuutta estää taudin leviämistä. Jos taudin leviämistä pystytään nykyistä tehokkaammin katkaisemaan, saavutetaan kustannushyötyjä vähäisempinä hoitokustannuksina sekä terveydenhuollon järjestelmän vähäisemmällä kuormittamisella. Lisäksi ehdotettu tietojärjestelmä osaltaan edistäisi mahdollisuutta keventää muita rajoittamistoimenpiteitä. Tämä voisi vähentää myös rajoittamistoimenpiteistä yhteiskunnalle aiheutuvia suoria ja epäsuoria kustannuksia, jotka voivat olla mittavia.
Edellä todettuja taloudellisia kustannuksia sekä kustannushyötyjä on vaikea arvioida tarkasti ja euromääräisesti. Niihin vaikuttavat useat eri tekijät. Esityksen vaikutukset riippuvat ennen kaikkea siitä, kuinka laajasti mobiilisovellus otettaisiin väestön keskuudessa käyttöön. Tähän vaikuttaisi erityisesti väestön keskuudessa koettu luottamus järjestelmän toimivuuteen sekä epidemian sen hetkinen laajuus. Jos epidemian tilanne säilyy rauhallisena, on todennäköistä, että mobiilisovelluksen käyttöönotto on vähäisempää. Mikäli epidemia laajenisi olennaisesti, otettaisiin sovellusta todennäköisesti laajemmin käyttöön. Yksittäisiin käyttöönottopäätöksiin vaikuttaisi todennäköisesti myös taudin leviämiseen liittyvä koettu turvattomuuden tunne.
Sovelluksen käyttöönottavien henkilöiden mahdollista määrää voidaan arvioida jatkossa tarkemmin tietojärjestelmän toteuttamisen ja testauksen yhteydessä. Myös Vaasan sairaanhoitopiirissä käynnissä olleesta covid-19-taudin jäljittämiseen liittyvästä mobiilisovellushankkeesta saatavia tietoja voidaan tässä arvioinnissa hyödyntää.
Kansainvälisestikin tarkasteltuna ehdotettu lähestymistapa tavoittaa tartunnalle altistuneita on uusi, eikä sen vaikutuksista ole juuri kokemuksia. Vastaavan järjestelmän ensimmäisinä käyttöön ottaneet valtiot, kuten Singapore ja Australia, ovat rakentaneet järjestelmänsä ns. keskitetyn mallin pohjalta ja tähän malliin liittyen on esitetty epäilyksiä tietosuojan toteutumisesta. Käyttöönotto ja sen myötä myös tulokset näissä maissa eivät ole vastanneet odotuksia ja tämä on eräs syy siihen, miksi tässä esityksessä ratkaisu pohjautuu niin sanottuun hajautettuun malliin. Hajautetussa mallissa henkilötietojen käsittely on vähäisempää. Ehdotetusta mallista ei ole vielä käyttökokemuksia muista maista.
Terveyden ja hyvinvoinnin laitoksen tulee toteutus ja testausvaiheessa arvioida ehdotetun tietojärjestelmän avulla saatujen altistustietojen käsittelyyn liittyvän kansallisen ohjeistuksen tarvetta kunnille ja kuntayhtymille. Pelkkä tietojärjestelmän avulla saatu tieto mahdollisesta altistumisesta ei kuitenkaan voisi olla tartuntatautilain 60 §:n mukainen perusteltu epäily altistumisesta yleisvaaralliselle tartuntataudille, jonka perustella henkilölle voitaisiin tehdä päätös karanteenista, vaan tällaisesta altistumisesta tulisi olla muutakin näyttöä. Mobiilisovellus ei voi varmuudella tunnistaa sitä, että altistuminen olisi tapahtunut, koska se ei tunnista kaikkia altistumiseen vaikuttavia olosuhteista. Mobiiliteknologiaa hyödyntävän tietojärjestelmän avulla on mahdollista jäljittää nykyistä tehokkaammin sellaisia altistuneita, joita tartunnan saanut ei tunne tai muista tavanneensa. Tällaisia altistuneita voidaan mahdollisesti tavoittaa merkittäväkin määrä riippuen mobiilisovelluksen käyttöönoton laajuudesta, tautitilanteesta sekä sovelluksen teknisistä ominaisuuksista ja sen luotettavuudesta altistuneiden tunnistamisessa. Osa tunnistetuista voi olla sellaisia, joista ei jäljittämisen yhteydessä tehtävien yhteydenottojen perusteella selviä muita altistumiseen tai tartuntaan viittaavaa kuin mobiilisovelluksen avulla saatu tieto. Tällöin tartuntataudeista vastaavalla lääkärillä tai muulla jäljitystyötä tekevällä terveydenhuollon ammattihenkilöllä ei ole lääketieteelliseen arvioon perustuvan päätöksenteon tueksi muuta tietoa kuin se, että käyttäjän mobiilisovellus on antanut tiedon henkilön mahdollisesta altistumisesta. Osalla sovelluksen kautta tiedon saaneista, voi sen sijaan olla muuta mahdolliseen altistumiseen vaikuttavaa tietoa, joka selviää jäljitystyössä. Ohjeilla voi olla vaikutuksia esityksestä aiheutuviin julkisen talouden suoriin ja epäsuoriin kustannuksiin sekä kustannushyötyihin.
Esityksen mukaan Liikenne- ja viestintäviraston Kyberturvallisuuskeskus arvioisi tietojärjestelmän tietoturvallisuuden. Alustavan arvion mukaan tietojärjestelmän tietoturvan arviointi kestäisi noin neljä viikkoa ja sen kustannukset olisivat karkeasti arvioiden 80 000 euroa.
Sosiaali- ja terveysalan lupa- ja valvontaviraston (Valvira) tehtävänä olisi valvoa tietojärjestelmä tietoturvallisuutta. Jo nykyisin Valvira valvoo sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007) ja sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (552/2019) mukaisia tietoturvaa koskevia vaatimuksia. Nykyiseen valvontaan on varattu yksi henkilötyövuosi. Valviralle tulisi varata lain voimassa olon sekä sitä edeltävän toimeenpanon ajaksi lisäresursseja ehdotetun lain mukaisiin valvontatehtäviin.
Väestöön kohdistuvien vaikutusten arviointi
Covid-19-tartuntaketjujen jäljittämistä ja katkaisua tehostavan mobiilisovelluksen käyttöönotto ja käyttäminen olisi väestölle maksutonta ja vapaaehtoista. Mobiilisovelluksen käyttö vaatii älypuhelimen, jollaista ei ole kaikkien saatavilla. Sovelluksen käyttöönotto voi myös vaatia erityisiä tietoteknisiä valmiuksia. Suomessa matkapuhelin on käytössä 99 prosentilla kotitalouksista ja tietokone tai tabletti 90 prosentilla kotitalouksista. Lähes kaikilla alle 44-vuotiailla on älypuhelin käytössään. 45-65-vuotiaistakin yli 90 prosentilla ja 65-74-vuotiaista 63 prosentilla on älypuhelin. 75-89-vuotiaista vain 27 prosentilla on älypuhelin. Jotta sovelluksesta on väestötasolla hyötyä, on sen oltava riittävän kattavasti väestön käytössä. Jos tavoiteltaisiin käyttäjiksi 60 prosenttia väestöstä, se tarkoittaisi että 3,3 miljoonaa henkilöä lataisi sovelluksen lyhyen ajan sisällä.
Sovelluksen käyttö perustuisi käyttäjän omaan päätöksentekoon ja aktiivisuuteen sovellusta käyttäessään, jolloin on otettava huomioon henkilön mahdollisuus toimia itsenäisesti tai tuetusti sovelluksen käyttäjänä sekä ymmärtää sovelluksen merkitys muun ohella tietosuojan näkökulmasta. Mobiilisovelluksen käytössä on erotettavissa yhtäältä sovelluksen lataaminen sovelluskaupasta ja käyttäminen puhelimessa sekä toisaalta sovelluksen kautta saadun mahdolliseen altistukseen liittyvän tiedon välittäminen terveydenhuoltoon.
Sovelluksen käyttöönotto merkitsee sitä, että käyttäjän henkilötietoja tullaan käsittelemään, jolloin on otettava huomioon tietosuojaa koskeva sääntely sekä eri henkilöryhmien mahdollisuudet ymmärtää, kuinka häntä koskevia henkilötietoja käsitellään. Käyttäjä voi lähettämällä yhteydenottopyynnön sovelluksen avulla luovuttaa terveydenhuollon toimintayksikölle tietojärjestelmän kautta saadun tiedon mahdollisesta altistumisesta, jos hän näin päättää tehdä. Altistumistiedon käsittelyssä terveydenhuollossa sovelletaan potilaslakia.
Sillä, mitä hyötyjä ihmiset kokevat sovelluksen käytöstä saavan sekä miten hyvin ihmisillä on tietoa siihen liittyvästä henkilötietojen käsittelystä, on vaikutusta sovelluksen käyttöönoton laajuuteen. Tähän voidaan olennaisesti vaikuttaa sovelluksen toiminnallisuuteen liittyvällä väestölle suunnatulla informaatiolla. Ehdotetun tietojärjestelmän toteutuksen yhteydessä kyetään viestinnällisin keinoin tukemaan sovelluksen käyttöönoton laajuutta ja siten tehostamaan esityksellä tavoiteltuja hyötyjä.
Perustuslakivaliokunta on valmiuslain toimivaltuuksien nojalla annettua lainsäädäntöä arvioidessaan painottanut erityisesti lasten oikeuksien yleissopimuksen ja vammaisten henkilöiden oikeuksia koskevan yleissopimuksen sekä Euroopan sosiaalisen peruskirjan merkitystä iäkkäiden henkilöiden oikeuksien osalta. Lisäksi valiokunta on korostanut mainitun lainsäädännön soveltamisessa perustuslakiin ja kansainvälisiin ihmisoikeussopimuksiin sisältyviä syrjintäkieltoja (PeVM 4/2020 vp ja PeVM 15/2020 vp). Näillä seikoilla on merkitystä myös tämän esityksen kannalta. Tästä syystä näiden henkilöryhmien osalta vaikutuksia arvioidaan jäljempänä erikseen.
Lapsiin kohdistuvien vaikutusten arviointi
Suomessa monilla lapsilla on älypuhelin ja mobiilisovelluksen lataaminen sovelluskaupasta olisi mahdollista ilman erillistä ikärajaa. Sovelluksen lataamisen yhteydessä tulee olla saatavilla tieto siitä, minkä ikäisille lapsille sovellus sopii. Mobiilisovelluksen käyttöönotossa ei ole kyseessä yleisen tietosuoja-asetuksen 8 artiklan mukainen tietoyhteiskunnan palvelujen tarjoaminen, joten siihen ei sovelleta asetuksen nojalla kansallisesti määritettyä 13 vuoden ikärajaa. Näin ollen alaikäisen henkilön henkilötietojen käsittelyä koskevan suostumuksen antaminen määräytyy muun kansallisen sääntelyn mukaisesti: kun kyseessä on alaikäistä henkilöä koskeva asia, päätösvalta kuuluu hänen huoltajalleen tai huoltajilleen (laki lapsen huollosta ja tapaamisoikeudesta (361/1983) 4 ja 5 §).
Sovelluksen lataamisen yhteydessä on olennaista ottaa huomioon lapsen mahdollisuus ymmärtää, miten hänen henkilötietojaan käsitellään sovelluksen käytön yhteydessä. Lapsella on oikeus yksityisyyteen, eikä hän välttämättä kykene arvioimaan, miten hänen tietojaan sovelluksen käytön yhteydessä ja sen jälkeen käsitellään. Kaikessa lapsiin kohdistuvaa tietojenkäsittelyä koskevassa tiedotuksessa ja viestinnässä olisikin käytettävä niin selkeää ja yksinkertaista kieltä, että lapsen on helppo ymmärtää sitä.
Jos sovellusta käyttävä lapsi tai tämän vanhempi päättää ilmoittaa sovelluksen kautta saadun tiedon mahdollisesta altistumisesta terveydenhuoltoon, sovelletaan potilaslakia. Potilaslaissa ei ole määritelty ikärajaa, vaan alaikäisen itsemääräämisoikeus on sidottu hänen ikäänsä ja kehitystasoonsa sekä niiden kautta muodostuvaan kykyynsä päättää hoidostaan. Alaikäistä, joka ikänsä ja kehitystasonsa perusteella kykenee päättämään hoidostaan, on potilaslain 7 §:n mukaan hoidettava yhteisymmärryksessä hänen kanssaan. Jos alaikäinen ei kykene päättämään hoidostaan, häntä on hoidettava yhteisymmärryksessä hänen huoltajansa tai muun laillisen edustajansa kanssa.
Toisaalta on otettava huomioon, että kaikilla lapsilla ei ole käytössään älypuhelinta tai lapsen huoltaja tai huoltajat voivat rajoittaa lapsen mahdollisuutta sovellusten lataamiseen. Saavutettavuus ei näin ollen välttämättä toteudu kaikkien lasten osalta, eikä sovellus saa korvata muita jäljitystoimenpiteitä. Tartuntaketjuja jäljittävä taho ottaa jatkossakin puhelimella yhteyttä mahdollisesti altistuneeseen lapseen tai tämän vanhempiin. Tartuntaketjun jäljittämisestä vastaava lääkäri arvioi lapsen potilaslain 7 §:n mukaista kykyä päättää hoidostaan. Lääkäri voi hoidon aikana päättää potilaslain mukaisesti siitä, onko lapsi kykenevä itse päättämään hoidostaan vai onko päätösoikeus hänen huoltajillaan.
Lähtökohtana mobiilisovelluksen toteutuksessa tulee olla, että sovelluksen toteutus turvaa mahdollisimman täysimääräisesti lapsen oikeudet yksityisyyteen, osallisuuteen, tietojen saantiin sekä parhaaseen mahdolliseen terveydentilaan. Tietojärjestelmä toteutetaan myös lasten tarpeet huomioiden, jotta se tarjoaa lapsillekin mahdollisuuden osallistua koronaviruksen leviämisen estämiseen sekä kanavan saada tietoa nopeasti mahdollisesta altistuksesta. Näin toteutettuna tietojärjestelmä olisi siten omiaan edistämään lapsen oikeuksien toteutumista epidemiatilanteessa.
Sovelluksen käytön tulee olla yksinkertaista, jotta myös lasten olisi mahdollista hyötyä sovelluksesta. Sovellusta ladattaessa informointi tietojen käsittelystä tulisi laatia tarkoituksenmukaisella tavalla myös selkokielellä, eri ikätasot huomioon ottaen. Myös lapsilla on oikeus saada tietoa epidemiasta. Sovelluksen kautta välitettävän tiedon tulee olla lapsen ikätasoa vastaavasti ymmärrettävässä muodossa. Myös sovelluksen kautta saatavat ohjeet siitä, miten toimia altistustiedon tullessa, on tärkeää laatia selkeällä tavalla. Keskeistä on neuvoa alaikäistä toimimaan hänen etunsa ja oikeutensa turvaavalla tavalla mahdollisen altistustiedon sovelluksen kautta saatuaan.
Vaikutukset iäkkäiden ja vammaisten henkilöiden asemaan
Suomessa monilla iäkkäimmillä ihmisillä tai kaikilla vammaisilla henkilöillä ei ole käytössään älypuhelinta. Monilla on älypuhelimen käytössä toisen henkilön tuen tarvetta. Jos sovellus toteutetaan myös iäkkäiden ja vammaisten henkilöiden tarpeet huomioon ottaen, se tarjoaa myös heille mahdollisuuden osallistua koronaviruksen leviämisen estämiseen sekä kanavan saada tietoa nopeasti mahdollisesta altistuksesta.
Kuten edellä todetaan, käytännössä tartuntaketjuja jäljittävä taho ottaa edelleen yhteyttä puhelimitse altistuneeseen henkilöön tai tämän lailliseen edustajaan, eikä mobiilisovellus korvaisi tätä yhteydenottoa. Tartuntaketjun jäljittämisestä vastaava lääkäri arvioi henkilön kykyä päättää hoidostaan potilaslain 6 §:n 2 ja 3 momentin mukaisesti sekä mahdollisesti tarvetta henkilön laillisen edustajan myötävaikutukseen päätöksenteossa. Lääkäri voi myöhemmin hoidon aikana päättää potilaslain mukaisesti siitä, onko henkilö kykenevä itse päättämään hoidostaan.
Osalla iäkkäistä ja osalla vammaisista henkilöistä voi olla merkittäviä vaikeuksia ymmärtää käyttäjän omaan päätöksentekoon ja aktiivisuuteen perustuvan sovelluksen käytön merkitystä. Älylaitteen ja etenkin mobiilisovelluksen tekninen käyttöönotto voi olla heille vaikeaa tai jopa mahdotonta. Nämä henkilöt voivat jäädä kokonaan sovelluksen käyttömahdollisuuden ulkopuolelle. Arvioitaessa tästä seuraavia vaikutuksia ihmisten yhdenvertaisuuteen ja terveyden suojeluun on otettava huomioon muut toimet, joita yli 70-vuotiaisiin sekä muihin niin sanottuihin riskiryhmiin kuuluviin on covid-19-epidemian aikana kohdistettu. Ohjeistuksella, jonka mukaan tulisi välttää lähikontakteja muihin ihmisiin ja pysytellä kotona sekä asumisyksikköjen ja hoitolaitosten vierailukielloilla, on voitu merkittävästi vaikuttaa mainittuihin ryhmiin kuuluvien säästymiseen tartunnoilta.
Sovelluksen käyttöönotossa on otettava huomioon YK:n vammaisten henkilöiden oikeuksia koskevan yleissopimuksen velvoitteet. Niistä keskeisimpiä tässä yhteydessä ovat osallistamisvelvoite (4.3 artikla), kohtuullisen mukauttamisen vaatimus (2 artikla), kaikille sopiva suunnittelu (2 artikla) sekä esteettömyys ja saavutettavuus (9 artikla). Myös sopimuksen 11 artikla, jonka mukaan sopimusvaltiot toteuttavat kaikki tarvittavat toimet varmistaakseen vammaisten henkilöiden suojelun ja turvallisuuden vaaratilanteissa, on otettava huomioon.
Sovelluksen käytön tulee olla yksinkertaista, jotta kaikilla sitä käyttävillä olisi mahdollista hyötyä sovelluksesta. Sovellusta ladattaessa informointi tietojen käsittelystä tulisi laatia selkokielellä, eri väestöryhmät huomioon ottaen. Sovelluksen kautta saatavat ohjeet siitä, miten toimia altistustiedon tullessa, on tärkeää laatia selkeällä ja eri kommunikaatiokeinoilla saavutettavalla tavalla. Kommunikaatiossaan ja myös muutoin apuvälineitä käyttävien henkilöiden mahdollisuudesta käyttää sovellusta sekä saada siitä tietoa on huolehdittava.
Digitaalisten palvelujen tarjoamisesta annetun lain (306/2019) 17 §:n 2 momentissa olevan siirtymäsäännöksen perusteella saavutettavuusvaatimuksia sovelletaan mobiilisovelluksiin 23 päivästä kesäkuuta 2021 lukien. Kun otetaan huomioon kehitettävän mobiilisovelluksen merkitys, tulee saavutettavuusvaatimukset ottaa huomioon mobiilisovelluksessa ennen sen käyttöönottoa. Tässä yhteydessä on otettava huomioon, että saavutettavuusvaatimukset voivat tulla pakottavasti toteutettavaksi yhdenvertaisuuslain (1325/2014) 15 §:ssä tarkoitettujen kohtuullisten mukautusten perusteella, jos vammainen henkilö tätä pyytää.
Mobiilisovelluksen käyttöönoton yhteydessä on tärkeää viestiä mobiilisovelluksesta sillä tavoin ymmärrettävästi, että kunkin väestöryhmän tiedonsaantioikeus ymmärrettävällä tavalla täyttyy. Sovelluksen käyttöönotto voi aiheuttaa myös huolta ja ahdistusta tartuntariskin konkretisoituessa sovellusta käytettäessä tai toisaalta tilanteissa, joissa henkilö ei sovellusta pysty käyttämään, vaikka niin haluaisi. Tätä huolta voidaan hälventää sovelluksesta annettavan informaation yhteydessä. On tärkeää viestiä, että mobiilisovellus ei sellaisenaan korvaa perinteistä jäljitystyötä.
Mobiilisovelluksen kattava ja tehokas käyttö voisi osaltaan tehostaa tartuntaketjujen katkaisua sekä jäljitystä ja täten osaltaan vaikuttaa siihen, minkälaisia rajoitustoimenpiteitä erityisesti riskiryhmiin kuuluvien henkilöiden suojaamiseksi on tarpeellista ylläpitää. Mobiilisovelluksen laaja käyttö voisi osaltaan mahdollistaa riskiryhmiin kohdistuvien rajoitustoimenpiteiden purkamista. Näin ollen mobiilisovelluksen käyttö yhteiskunnassa voisi välillisesti parantaa riskiryhmiin kuuluvien henkilöiden toimintavapautta ja siten itsemääräämisoikeuden toteutumista ja sillä voitaisiin osaltaan turvata myös riskiryhmien perusoikeutta elämän ja terveyden ylläpitoon.
Tietosuojavaikutukset
Ehdotetun tietojärjestelmän yhteydessä käsiteltäisiin henkilötietoja ja sillä olisi henkilötietojen suojaan liittyviä vaikutuksia.
Ehdotetun ja edellä tarkemmin kuvatun tartuntaketjujen katkaisemiseen ja tartunnalle mahdollisesti altistuneiden tavoittamiseen tähtäävän viranomaislähtöisen tietojärjestelmän kaltaisia käsittelytilanteita ei ole Suomessa aiemmin ollut esillä. Ottaen huomioon uudentyyppinen käsittely, käsittelyn luonne, sillä tavoiteltu laajuus, asiayhteys ja tarkoitukset, sekä käsiteltävien tietojen tyyppi (erityisesti terveystiedot), voidaan arvioida, että käsittely ehdotetun kaltaisen tietojärjestelmän yhteydessä voi periaatteessa aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta riskejä. On lähtökohtaisesti mahdollista, että käyttäjä voidaan identifioida, jolloin tästä voisi paljastua arkaluonteisia tietoja. Myös henkilötietoihin kohdistuvat muunlaiset tietoturvaloukkaukset ovat mahdollisia. Riskinä voisi olla, että henkilötietoja käytetään myöhemmin tarkoituksiin, joita rekisteröity henkilö ei ole ennakoinut.
Riskien vuoksi niihin puututtaisiin esityksessä useiden toimenpiteiden avulla. Henkilötietojen suojalle aiheutuvia riskejä vähennetään olennaisesti käytön vapaaehtoisuuden ja käyttäjän tiedollista itsemääräämisoikeutta edistävien toimenpiteiden avulla. Ketään ei pakoteta ottamaan mobiilisovellusta käyttöön, vaan sen käyttö perustuu vapaaehtoisuuteen. Henkilö voi koska tahansa poistaa sovelluksen käytöstä. Omien yhteystietojen ilmoittaminen terveydenhuollon toimijoille tapahtuisi niin ikään vapaaehtoisuuden pohjalta henkilön voidessa itse päättää asiasta.
Myöhempään käsittelyyn liittyviä riskejä vähennettäisiin tehokkaasti sillä, että laissa säädettäisiin täsmällisesti henkilötietojen käyttötarkoituksista ja siitä, ettei tietoja voida käyttää muihin tarkoituksiin. Käsiteltäviä henkilötietoja ei säilytettäisi keskitetysti viranomaisen rekisterissä, vaan valtaosa käsiteltävistä tiedoista tallennettaisiin hajautetusti käyttäjien laitteisiin. Käsiteltävien henkilötietojen joukko olisi rajattu vain tarpeellisiin tietoihin ja ne yksilöitäisiin lainsäädännön tasolla. Henkilötietojen enimmäissäilytysaika olisi oletusarvoisesti hyvin lyhyt (21 vuorokautta).
Ottaessaan mobiilisovelluksen käyttöön käyttäjästä ei kerättäisi tai tallennettaisi suoria tunnistetietoja. Jokainen käyttäjä saisi yksilöllisen pseudonyymisen tunnisteen, joka muuttuisi säännöllisesti. Kuten edellä on todettu, myös pseudonyymisiä tunnisteita pidetään henkilötietoina. Tietosuojaan kohdistuvia riskejä madallettaisiin kuitenkin merkittävästi sillä, että suorien tunnistetietojen sijaan käsitellään tehokkaasti pseudonyymisiä tietoja, niin sanottuja pseudonyymisiä tunnisteita, jotka muuttuvat riittävän usein. Lähtökohtaisesti käyttäjän yksilöiminen olisi niiden pohjalta hyvin vaikeaa. Tunnistaminen ei olisi mahdollista yksinomaan pseudonyymisen tunnisteen avulla, vaan tunnistaminen edellyttäisi lähtökohtaisesti ylimääräisiä tietoja.
Tietojärjestelmän tietoturvallisuudesta on huolehdittava lainsäädännön edellyttämällä tavalla. Tietoturvaan liittyviä riskejä, kuten esimerkiksi tietoturvaloukkauksia, vähennettäisiin sillä, että kaikkia henkilötietoja ei säilytettäisi keskitetyssä järjestelmässä. Lisäksi ehdotetaan erikseen säädettäväksi, että tietojärjestelmän tietoturvallisuus arvioidaan ennen sen käyttöönottoa viranomaisten tietojärjestelmistä ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) mukaisesti ja että tietoturvallisuusvaatimusten toteutumista valvoo yleisen valvonnan lisäksi myös Valvira.
Käsittelytoimia voidaan pitää vallitsevassa epidemiatilanteessa tarpeellisina. Yhteiskunnassa on tarpeen siirtyä laajamittaisista rajoitustoimista hallitusti aiempaa kohdennetumpiin toimenpiteisiin. Tietojärjestelmä voi osaltaan mahdollistaa tätä siirtymää. Arvioiden mukaan tietojärjestelmä on osana laajempaa strategiaa hyödyllinen väline tartuntaketjujen katkaisemissa, millä on positiivisia vaikutuksia terveydensuojelun näkökulmasta. Kuten edellä on kuvattu, henkilötietoja käsiteltäisiin vain välttämättömässä laajuudessa tietojen minimointiperiaatteen mukaisesti. Mobiilisovellusten käyttö perustuisi vapaaehtoisuuteen. Näin ollen käsittelytoimia voidaan myös pitää niiden tarkoituksen kannalta oikeasuhtaisina tietosuojalainsäädännön edellyttämällä tavalla.
Lisäksi on huomattava, että yleisestä tietosuojasääntelystä itsestään seuraa lukuisia vaatimuksia rekisterinpitäjälle ja henkilötietojen käsittelijälle henkilötietojen käsittelyyn liittyen. Yleisessä tietosuoja-asetuksessa säädetään lisäksi rekisteröidyn oikeuksista, kuten oikeudesta saada tietoja henkilötietojensa käsittelystä, oikeudesta tarkastaa itseään koskevat tiedot sekä oikeudesta poistaa itseään koskevat tiedot. Yleisen tietosuoja-asetuksen henkilötietojen käsittelyä koskevat vaatimukset tulee ottaa järjestelmän kehityksessä ja toiminnassa huomioon. Rekisterinpitäjän on otettava muun muassa huomioon sisäänrakennetun ja oletusarvoisen tietosuojan vaatimukset siten kuin yleisessä tietosuoja-asetuksessa säädetään. Huomiota on syytä kiinnittää myös esimerkiksi henkilötietojen käsittelystä annettavan informaation selkeyteen ja ymmärrettävyyteen.
Yleisen tietosuoja-asetuksen 35 artiklassa säädetään velvollisuudesta toteuttaa tietosuojaa koskeva vaikutustenarviointi, jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin. Kuten edellä on kuvattu, ehdotettuun sovellukseen saattaa sisältyä tällaisia riskejä. Myös Euroopan tietosuojaneuvosto (EDPB) on 21.4.2020 antamassaan ohjeistuksessa katsonut, että tietosuojaa koskeva vaikutustenarviointi tulee tehdä ennen tartuntaketjujen jäljittämiseen ja katkaisemiseen tähtäävien mobiilisovellusten käyttöönottoa. Näin ollen rekisterinpitäjän tulisi ennen käsittelyä toteuttaa tarkempi arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle yleisen tietosuoja-asetuksen vaatimusten mukaisesti.