Viime viikonloppuna Helsingin Sanomat kertoi uutisen: Suomessa valmistellaan kännykkäsovellusta, jolla jäljitetään koronaviruksen tartuntaketjuja kansalaisten keskuudessa.
Maanantaina liikenne- ja viestintäministeri Timo Harakka (sd.) vahvisti, että hankkeella on valtiovallan rahoitus ja siunaus.
Suomi haluaa kansalaistensa lataavan kännyköihinsä sovelluksen, joka seuraa, keiden lähellä he viettävät aikaansa. Vielä muutama kuukausi sitten ajatus olisi ollut mahdoton!
Poikkeustilassa moni asia on muuttunut pandemian edetessä. Tämä sovellus voi olla yksi niistä työkaluista, joiden avulla suomalaiset voivat palata työpaikoilleen, ravintoloihin ja kouluihin.
Harakan kuvaamaa koronasovellusta valmistelevat it-yhtiöt Futurice ja Reaktor. Mallia ne ottavat Singaporesta, jossa TraceTogetherinä tunnettua sovellusta on kehitetty vuosituhannen alun sars-epidemiasta lähtien.
Läheisempi verrokki on eurooppalainen Pan European Privacy-Protecting Proximity Tracing -hanke, lyhyemmin PEPP-PT.
Molemmat projektit tullaan julkaisemaan lähiviikkojen kuluessa avoimena lähdekoodina, eli vapaaseen käyttöön.
Suomen koronasovelluksen tekninen kehitys edistyy todennäköisesti nopeasti, kun työn pohjaksi on tarjolla valmista teknologiaa Euroopasta ja Aasiasta. Nopeutta lisää sekin, kun järjestelmä toteutetaan ilman työlästä integraatiota terveydenhuollon taustajärjestelmiin.
Tässä artikkelissa käymme läpi koronasovelluksen perustoiminnot ja pohdimme valintoja, joita suomalaiset päättäjät joutuvat tekemään. Asia on hyvin herkkä, sillä koronasovellus tunkeutuu syvälle ihmisten yksityiselämän alueelle.
1. Näin otat sovelluksen käyttöön
Kun käyttäjä lataa ja asentaa koronasovelluksen, hän luovuttaa puhelinnumeronsa terveysviranomaisille ja samassa yhteydessä hänelle luodaan käyttäjänumero. Nämä tiedot tallennetaan viranomaisten palvelimelle.
Käyttäjän puhelimeen lähetetään väliaikainen tunnistenumero. Se muuttuu usein – ja vain viranomainen tietää, kuka on tämän numeron takana.
Vaihtuva tunnistenumero on tietoturvan kannalta hyvä ominaisuus. Toisaalta se, että käyttäjätiedot ja puhelinnumerot kootaan viranomaisille, voi olla yksityisyyden suojan kannalta ongelmallista.
Näin siis Singaporessa. Ja myös Euroopassa kehitteillä olevalla järjestelmällä voidaan toteuttaa samanlainen keskitetty järjestelmä, jossa viranomaiset tuntevat jokaisen käyttäjän.
Toisaalta mahdollista on rakentaa myös hajautetumpi versio, jossa käyttäjät voivat ottaa sovelluksen käyttöön antamatta puhelinnumeroitaan tai henkilöllisyyttään viranomaisten tietokantaan.
Tärkeintä on muistaa, että on enemmän kuin yksi tapa rakentaa tällainen työkalu.
2. Näin kontaktit kartoitetaan
Suomen virallinen koronasovellus tulee perustumaan bluetooth-teknologiaan, aivan kuten sen singaporelaiset ja eurooppalaiset esikuvat. Bluetooth on lyhyen kantaman yhteys, jota käytetään yleisesti esimerkiksi puhelimien ja langattomien kuulokkeiden liittämiseen.
Kun kahdella käyttäjällä on puhelimessaan koronasovellukset, kännykät havaitsevat toisensa. Samalla sovellukset päättelevät bluetooth-signaalin voimakkuuden perusteella käyttäjien välisen etäisyyden.
Tämä ei ole helppoa. Huomioon täytyy ottaa esimerkiksi se, että eri puhelinmallien bluetooth-signaalit ovat erivahvuisia.
Kun kaksi kännykkää on riittävän lähellä toisiaan riittävän pitkään, sovellukset vaihtavat tunnisteita ja näin kohtaamisesta jää merkintä.
Tässä vaiheessa on syytä painottaa muutamaa seikkaa.
Ensinnäkin, kaikki yllä kuvattu ympäristön kartoitus ja nimettomien tunnistetietojen vaihto tapahtuu automaattisesti, käyttäjän asiaan mitenkään puuttumatta.
Toiseksi, tässä vaiheessa sovellukseen kerättyä tietoa ei vielä ole lähetetty minnekään. Jos käyttäjä ei saa koronatartuntaa ja anna hyväksyntäänsä, tiedot katoavat puhelimista muutamassa viikossa.
3. Entä kun joku sairastuu?
Kun koronasovelluksen käyttäjä saa COVID-19-tartunnasta kertovan testituloksen, häneltä pyydetään lupa ladata puhelimeen tallennetut kohtaamistiedot. Singaporessa tämä on käytännössä pakollista. Toisaalta Suomessakin on vaikea kuvitella, miksi käyttäjä ei haluaisi auttaa viranomaisia altistuneiden jäljittämisessä ja tartuntaketjun katkaisemisessa.
Jos kyseinen henkilö on viettänyt hiljaista elämää kotioloissa, altistuksesta kertovia tunnistetietoja löytyy kännykästä kenties vain kourallinen. Toisaalta, jos henkilö on käyttänyt julkista liikennettä ja tehnyt töitä vilkkaassa ympäristössä, kännykästä voi löytyä tieto kymmenistä altistuneista.
Singaporelaisen mallin mukaisessa järjestelmässä nuo salatut tiedot puretaan viranomaispalvelimella, ja pian altistuneille tulee kutsu testeihin.
Saksassa ja Sveitsissä kehitettävä eurooppalainen PEPP-PT-järjestelmä voidaan rakentaa samoin. Suomalaisasiantuntijoiden mukaan eurooppalaisella järjestelmällä on kuitenkin mahdollista toteuttaa myös hajautetumpi vaihtoehto, joka ei edellytä käyttäjätietojen luovuttamista viranomaisille sovellusta käyttöön otettaessa.
Ohessa autralialaisten tutkijoiden hahmottelema esimerkki siitä, millainen tämä vaihtoehto voisi olla.
Siitä ei Ylen tietojen mukaan ole tehty päätöstä, kumpaan suuntaan Suomessa kallistutaan.
Asiantuntijat: "On mahdollista, että kaikkien tietoja ei kerättäisi"
Tätä artikkelia varten on haastateltu useita it-alan asiantuntijoita, joista osa ei halua esiintyä nimellään. Moni kokee kuitenkin tärkeäksi, että yksityisyyden kannalta kriittiset kysymykset käydään julkisuudessa läpi jo hyvissä ajoin ennen työkalun käyttöönottoa.
Tässä artikkelissa on hahmoteltu kahta vaihtoehtoista tapaa rakentaa koronasovellus. It-yhtiö CGI:n johtaja Juha Peltoniemen mukaan molemmat vastaavat tietosuojakysymyksiin varsin hyvin.
– Ulkopuolisten olisi erittäin vaikeaa selvittää, kuka on nimettömän tunnistenumeron takana. Erityisesti jos numero muuttuu riittävän usein. Silloin lähelle tulevan henkilön tunniste ei olisi koskaan kahta kertaa sama.
Yksittäiseen puhelimeen ei kannattaisi murtautua, koska siellä on vain satunnaisia ja salattuja numeroita.
Peltoniemen mukaan keskitetty viranomaispalvelin on kuitenkin mahdollinen tietosuojaongelma. Keskitetyssä järjestelmässä koronatartunnan saanut antaa luvan siirtää tietonsa, mutta samalla viranomaisten tietoon tulee myös lähellä olleiden käyttäjien identiteetti – ovat he sairastuneita tai eivät.
Peltoniemen mukaan on myös kuviteltavissa tapoja, joilla järjestelmää voitaisiin käyttää tiedustelutarkoituksiin. Näistä syistä on tärkeää, että myös vaihtoehtoja tutkitaan.
Samaa mieltä on Nixun johtava tietoturva-asiantuntija Timo Lindfors.
– Uskoisin, että on mahdollista rakentaa malli, jossa seuranta kohdennetaan vain tartunnan saaneisiin ihmisiin, eikä kaikkien käyttäjien puhelinnumeroita tarvitse kerätä viranomaisille.
Lindforsin mukaan keskitettyyn järjestelmään liittyy aina riski tietomurroista. Hän toteaa myös, että käyttäjätietojen kerääminen saattaa laskea halukkuutta sovelluksen käyttöönottoon.
– Varsinkin Saksassa kansalaiset ovat haluttomia antamaan henkilötietojaan viranomaisille.
Suomalaisille asialla saattaa olla vähemmän merkitystä, sillä luottamus viranomaisiin on Suomessa perinteisesti korkea.
Hajautettu järjestelmä, jossa kaikki käyttäjät eivät jaa tietojaan jo sovellusta käyttöön otettaessa, ratkaisisi yksityisyyteen liittyviä ongelmia.
Ilmeinen haaste olisi Lindforsin ja Peltoniemen mukaan kuitenkin se, että altistunut henkilö voisi päättää olla reagoimatta testikutsuun. Viranomainen ei tietäisi, kuka hän on.
Läpi pykäläviidakon
Itä-Suomen yliopiston julkisoikeuden professori Tomi Voutilainen arvioi, että koronasovellusta on arvioitava ainakin henkilötietojen suojan, luottamuksellisen viestinnän suojan, kotirauhan suojan sekä liikkumisvapautta koskevien perusoikeuksien näkökulmasta.
Lisäksi on pohdittava, mikä viranomainen järjestelmää ylläpitää, ja sopiiko tällainen palvelutehtävä tuon viranomaisen tehtäviin nykylakien puitteissa.
Lähtökohta on kuitenkin selvä. Mitä enemmän koronasovellus toimii käyttäjien hallinnoimana, käyttäjien suostumuksen varassa ja käyttäjien puhelimissa, sitä nopeammin se voidaan viedä läpi pykäläviidakon.
Keskitetty mallikin olisi Voutilaisen mukaan toteuttamiskelpoinen. Nykyinen tietosuoja-asetus antaa oikeuden henkilötietojen käsittelyyn, kun se on tarpeen elintärkeiden etujen tai kansanterveyteen liittyvän yleisen edun vuoksi. Pandemiatilanteessa jopa terveystietojen käsittely on mahdollista.
– Tässä suhteessa on selvää, että edellytykset kyllä täyttyvät.
Uusi tilanne, uusi työkalu
Tulevina viikkoina ja kuukausina Suomi aloittaa uuden vaiheen taistelussa virusta vastaan.
Koronarajoitusten purkaminen aloitetaan vaiheittain ja samalla pyritään tukahduttamaan virusta lisäämällä testausta sekä jäljittämällä tartuntaketjuja. Jos suuri yleisö ottaa kännykkäsovelluksen laajasti käyttöön, siitä on apua.
Liikenne- ja viestintäministeri Timo Harakan (sd.) mukaan tavoitteena on oltava vähintään 60 prosentin käyttöaste, eli kolme miljoonaa käyttäjää.
– Suomeen otetaan parhaat palat kansainvälisistä käynnissä olevista töistä ja viedään niitä eteenpäin täällä, Harakka totesi Ylelle.
Matkalla on tehtävä paljon valintoja. Tarvitaan hyvä työkalu ja avointa keskustelua.
Lue myös: