Vuotaako Apotti 1,5 miljoonan henkilötiedot ulkomaille?

Useisiin Uudenmaan kuntiin ja HUS:iin hankittava potilastietojärjestelmä Apotti on surullisenkuuluisa hanke. Jo muutama vuosi sitten, kun hanke aloitettiin, esitettiin useita erilaisia riskejä. Sittemmin on edetty niin, että monet uhkakuvat tuntuvat käyneen toteen. Kriitikot epäilivät, että tässä tilataan massiivinen järjestelmä yhdeltä toimittajalta ja jäädään sen vangiksi. Juuri näin on sittemmin käynyt, kun hankkeen sai kokonaan toteutettavakseen yhdysvaltalainen EPIC. Piti saada avointa rajapintaa ja modulaarisuutta, mutta tulikin vanhanaikainen, möhkälemäinen tietojärjestelmä.

Olen koko ajan ollut toisenlaisen toteutustavan kannalla, ja pitänyt nyt valittua reittiä huonona ja lyhytnäköisenä. Olisin kannattanut hajautettua järjestelmää, jota toteutettaisiin mahdollisimman paljon kotimaisin ohjelmoijavoimin. Tämä on muuten myös se vaihtoehto, mitä SKP ja Helsinki-listat tuolloin valtuustossa esitti. Kuitenkin olen ajatellut, että järjestelmän keskeiset ongelmat ovat vain se, että järjestelmä on niin iso monoliitti, ja että se tilataan ulkomailta.

Valmistelimme SKP:n ja Helsinki-listojen valtuustoryhmässä aiemmin syksyllä kirjallisen kysymyksen Apotista. Valtuutettu Hakasen saaman vastauksen pohjalta päätettiin kysyä vielä Apotti-järjestelmän potilastietojen käsittelystä liittyen lokakuun alussa tulleeseen EU-tuomioistuimen Safe Harbor -päätökseen. Päätös tarkoittaa, että eurooppalaisten ihmisten henkilötietoja ei voida siirtää EU-alueen rajojen ulkopuolelle Yhdysvaltoihin: sehän tietenkin täytyy ottaa huomioon niin, että Epicin järjestelmää ajetaan suomalaisilta tai vähintään eurooppalaisilta palvelimilta? Itse pidin selvänä, että niin tietenkin tehdään tässä tilanteessa, kun on tullut laaja, EU-tason päätös.

Hämmästyin todella paljon. Hankepäällikkö Välimäeltä ja hankkeen lakimieheltä tuli kirjallinen vastauks, jossa kerrottiin, että Apotti tekee erillisen sopimuksen Epicin kanssa tietojen siirtämisestä Yhdysvaltoihin. Ei tämä voi olla todellista. Meinaako Apotti Oy siis tosissaan siirtää 1,5 miljoonan suomalaisen henkilötiedot Yhdysvaltoihin, jonka tietosuojan tasoa ei voida EU-tuomioistuimen päätöslauselman mukaan pitää riittävän korkeana? Kuinka monta mokaa voi yhdessä tietojärjestelmähankkeessa oikein tehdä?

Epicin kyltti firman pääkonttorin edustalla
Epicin kyltti firman pääkonttorin edustalla. Kuva: Wikimedia Commons

 

Tänään valtuustossa onneksi hyväksyttiin Yrjö Hakasen esityksestä ponsi, jonka nojalla asia selvitetään. Apotti-hankehan on jo muutenkin markkinaoikeudessa kilpailutukseen liittyvien epäselvyyksien takia, joten aikaa tässä kyllä on. Joka tapauksessa toivoisi kyllä hanketoimistolta avointa kannanottoa tähän asiaan.

EDIT: päätin lisätä myös tämän kirjoituksen osaksi blogissani ilmestyvää IT ja Internet -sarjaa, vaikkei se alun perin ollut tarkoituskaan.

EDIT 2 [4.12.2015 klo 15.18]: Eilen Apotin hankejohtaja kommentoi Tivissä, että tiedot sijaitsevat Suomen maaperällä olevissa palvelimissa, mutta sopimus Epicin kanssa tehdään, jotta Yhdysvalloista päästään tarvittaessa palvelimiin käsiksi järjestelmän huoltotöitä varten. Tietojen vuotamisen riskiä ei tällainenkaan järjestely aukottomasti poista.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *