Henkilötietosi ovat politisoituneet

Tieto on politiikan läpäisevä ilmiö. Hiljattain olen herännyt siihen, miten digitalisoituvassa maailmassamme politiikasta on yhä enemmän tullut tiedonhallintaan liittyvää päätöksentekoa. Ilman henkilötietoa ei ole verotusta, ei sosiaaliturvaa, ei koulutusta, ei terveydenhuollon palveluita, ei lainvalvontaa, ei kansalaisuutta.

Tietoa on yhä enemmän. Yhtäällä tiedon lisäämistä tarjotaan ratkaisuna lähes joka ongelmaan ilmastonmuutoksesta alkaen. Tehokkuuden tavoittelu, riskien minimointi ja turvallisuuden korostaminen lisää myös mittaamisen ja valvonnan tarvetta. Ehkä lupaamme kansalaisille liikaa. Ylimitoitettu hallinnan ja riskittömyyden tavoittelu voi pahimmillaan johtaa tyranniaan turvallisuuden nimissä, mistä on jo esimerkkejä ympäri maailmaa.

Hallitus valmistelee parhaillaan (keväällä 2022) useita välittömästi henkilötietoihimme liittyviä esityksiä: digitaalinen henkilöllisyys, potilastietolain uudistus, laki sukupuolen vahvistamisesta ja paljon muuta. Muutama esimerkki.

Potilastietojärjestelmissä esiintyy varsin yleisesti virheellisiä tietoja, joista voi olla paljon harmia. Virheellisen tiedon korjaaminen on erittäin vaikeaa, koska tiedon yleensä voi korjata ainoastaan merkinnän tehnyt terveydenhuollon taho. Kiireessä virheitä sattuu. Kun sosiaalitoimen ja terveydenhuollon potilastietojärjestelmät yhdistetään, lisääntyy tehokkuus ja tieto liikkuu paremmin, mutta myös virheet leviävät laajemmalle. Toisaalta erilaisten potilastietojärjestelmien erillisyys vaikeuttaa tiedonkulkua.

Hallituksen valmistelema esitys laiksi sukupuolen vahvistamisesta, eli ns. ”translaki” tekee sukupuolesta ennen kaikkea tietopoliittisen kysymyksen. Jos sukupuolella (mies, nainen, isä, äiti) aletaan tarkoittaa ihmisen identiteettikokemusta ja sukupuolen voi väestötietoihin vaihtaa hakemuksesta ilman lääketieteellistä selvitystä ja mitään fysiologisia muutoksia, kuten hallitus esittää, olemme ensi kertaa tilanteessa, missä väestötietoihin tallennetaan tietoa ihmisen subjektiivisesta kokemuksesta, tunteista. Voitaneen perusteellisesti kysyä, mitä hyötyä tällaisen tiedon säilyttämisestä on ja mihin sitä tarvitaan?

Ihmisten henkilökohtaisiin tietoihin liittyy useita tiedonhallintaan liittyviä kysymyksiä, jotka ovat sekä käytännöllisiä, että syvällisiä ja arvolatautuneita. Tietojen käsittelyyn liittyy esimerkiksi seuraavia kysymyksiä:

• Mihin tietoa tarvitaan?
• Mitä tietomerkintä tarkoittaa?
• Miten tiedon paikkansapitävyys varmistetaan?
• Mitä tietoa säilytetään?
• Kauanko tieto säilyy?
• Miten ja millä perusteella tietoa voidaan muuttaa/korjata?
• Kenellä on pääsy tietoon? Onko tieto julkinen?
• Miten tietoturvallisuus järjestetään?
• Mitä hyötyä tiedosta on ihmiselle, yhteiskunnalle, työntekijälle, työnantajalle, demokratialle, jne.?
• Mitä haittaa tiedosta on? Voiko se olla harhaanjohtavaa?

Vielä yksi esimerkki tiedon haasteista on hallituksen esittämä ns. lobbausrekisterilaki.

Lobbausrekisterillä pyritään saamaan vaikuttamisesta päättäjiin nykyistä läpinäkyvämpää, mikä on kannatettava tavoite. Kaikkea ”lobbaamista” ei kuitenkaan pystytä valvomaan emmekä voi alkaa vaatimaan yksityisten tapaamisten kirjaamista viranomaisten tietoon. Esitysluonnoksen mukaan pienetkin kansalaisjärjestöt joutuisivat vastaisuudessa rekisteröimään yhteydenottonsa päättäjiin. Sen sijaan, jos ison kaivosyhtiön toimitusjohtaja tarjoaa kaivosasioista vastaavalle ministerille illallisen (ja vaikka kutsuu lomalle Rivieralle), tämä ei ole lobbausta, eikä tietoa siitä jää mihinkään. Esitetyssä muodossa rekisteri missaisi myös ulkomailta tulevan lobbauksen.

Synnyttäisikö lobbausrekisteri siis lopulta aidosti hyödyllistä tietoa, vai voiko kerätty tieto joissain tapauksissa jopa johtaa kansalaisia ja tutkijoita harhaan?

Digitaalinen identiteetti ja tunnistautuminen

Entä sitten monia huolestuttava esitys laiksi digitaalisesta henkilöllisyydestä?  

Käytämme jo nyt suurta osaa tärkeimmistä arjen palveluista netissä ja kirjaudumme mm. erilaisiin viranomaisten järjestelmiin liikepankkien tarjoaman vahvan tunnistautumisen kautta. Olisiko parempi, jos julkinen valta tarjoaisi henkilöllisyyden todentamispalvelun keskitetysti yksityisten toimijoiden sijaan?

Sähköinen asiointi on tehokasta ja sen merkitys kasvaa entisestään. Digitaalisen identiteetin voi rakentaa kunnioittaen kansalaisten itsemääräämisoikeutta omiin tietoihinsa ja yksityisyyden suojaan, tai sitten ei. Ehdotetussa laissa korostetaan yksilön omaa valtaa päättää siitä, mitä henkilökohtaisia tietoja antaa minnekin, eli ns. omadata-ajattelua (mydata). Perustuslakivaliokunta on pitänyt tiedollista itsemääräämisoikeutta henkilötietojen suojan kannalta keskeisenä oikeutena. Esitysluonnosta voit arvioida itsekin. 

Henkilötietojen omistajuuden tulevaisuuden suuntaviivaksi on kehitetty ns. MyData -periaatetta, jonka ytimessä on henkilön oikeus säädellä itse sitä, mitä tietoja hänestä leviää minnekin. Suomalaiset ovat olleet aktiivisia periaatteen hahmottamisessa (kts. lisää valtioneuvoston julkaisusta).  

Kysymys on myös vallan hajauttamisesta ja keskittämisestä. Jos puhutaan esimerkiksi tunnistautumisesta, niin teknisesti ”identiteetti” voi olla rakennettu keskitetysti (julkisen vallan tarjoama yksi digitaalinen identiteetti) tai vaihtoehtoisesti koostua erilaisista hajautetuista (hajautuneista) ja toisistaan riippumattomista järjestelmistä. Yksityinen sektori on rakentanut sähköisen tunnistautumisen järjestelmät vuosikymmeniä sitten ja kehittää koko ajan uusia, siinä missä julkinen sektori vasta aloittelee. Joka tapauksessa välttämätöntä on vastaisuudessakin tarjota vaihtoehtoinen tunnistusväline kaikille, jotka eivät voi tai halua käyttää digitaalista henkilöllisyystodistusta esimerkiksi kännykässä, samoin kuin kriisitilanteiden varalta.

Henkilötiedot hyödykkeenä

Toisaalla samaan aikaan yhdysvaltalaiset digijätit – ja niiden ties mitkä kumppaniyritykset ja valtiolliset toimijat – tietävät meistä jo monin verroin enemmän ja henkilökohtaisempia asioita kuin valtio. Mille kaikille tahoille nämä tiedot leviävät, ja mihin tietoja käytetään? Meistä kerätyn tiedon määrää ja sen vaikutusta pohditaan muun muassa Sitran hiljattain julkaisemassa Digivalta-selvityksessä.

EU pyrkii rajoittamaan digijättien valtaa parlamentin jo hyväksymällä digipalvelusäädöksellä (DSA) ja digimarkkinasäädöksellä (DMA). Digitaalisiin palveluihin ja alustatalouteen liittyvissä kiistoissa kiistellään siitä, kuka omistaa rahanarvoisen tiedon sinun ruokamieltymyksistäsi ja yhteiskunnallisista ajatuksistasi.

Kaupallisessa netissä kansalaisella on edelleen varsin vähän valtaa siihen, mihin hänen tietonsa leviävät ja kauanko ne säilyvät. Vuonna 2019 EU:n tuomioistuimen päätös rajasi, että ns. ”oikeus tulla unohdetuksi” on voimassa vain Euroopan alueella, mikä oli osavoitto Googlelle. Keskustelu henkilökohtaisen tiedon omistajuudesta jatkuu kuumana, ei vain Suomessa ja Euroopassa, vaan globaalisti. Eri maissa on hyvin erilaista ajattelua sen suhteen, kuinka paljon oikeuksia yksilöllä tulisi olla omiin henkilötietoihinsa.

Summa summarum. Tietopolitiikkaa esitetään kokonaan uudeksi politiikkalohkoksi. On vahvasti alkanut näyttää siltä, että siihen on perustelut.

Tapio Luoma-aho

Kirjoittaja on Kompassi -ajatushautomon toiminnanjohtaja. Kirjoituksessa esitetyt näkemykset ovat kirjoittajan omia, eivätkä Kompassin virallisia näkökantoja. Lyhyempi versio tekstistä on julkaistu aikaisemmin kolumnina KD-lehdessä.

Artikkelikuva: Ben Sweet on Unsplash.com