Niko Kaistakorpi "Contribute. Engage. Participate. Cynicism and apathy are poisons for the spirit." Edward Norton

Profiloinnin ja automaattisen päätöksenteon mahdollistaminen sosiaaliturvassa

Eduskunnan käsittelyyn on tullut lakiesitys EU:n tietosuoja-asetukseen liittyen, jossa ollaan säätämässä kansallisia poikkeuksia vakuutusyhtiöille ja sosiaaliturvaa käsitteleville tahoille. Käsittääkseni tämä laki mahdollistaa myös keskustelua herättäneen Soten kapitaatiomallin profiloinnin toteuttamisen mikäli niin halutaan. Ehdotettu laki estää myös pääosin omien tietojen käytön kieltämisen näiltä tahoilta. Laki mahdollistaa edellämainituille myös laajat oikeudet automaattiseen päätöksentekoon, profilointiin sekä tekoälyn käyttämiseen tietojen käsittelyssä.

Mistä on kysymys?

Hallitus on tuonut eduskunnan käsiteltäväksi seuraavan esityksen:  HE 52/2018 vp Hallituksen esitys eduskunnalle sosiaaliturva- ja vakuutuslainsäädännön muuttamiseksi EU:n yleisen tietosuoja-asetuksen johdosta.

Lakiesityksen otsikosta voisi päätellä jopa lainsäädännön kiristysten olevan kyseessä, mutta käytännössä lakiehdotuksessa ollaankin tekemässä merkittäviä poikkeuksia sekä sosiaaliturvaa toteuttavien tahojen että vakuutusyhtiöiden kohdalla. Sosiaaliturva on tässä laajalti edustettuna terveydenhuollosta eläkkeisiin kattaen koko toiminta-alueen.

Tiukka rajaus tietojen käytön kieltämiselle ja suostumusta ei sosiaaliturvassa tarvita

Jokaista sosiaaliturvaa hoitavan tahon lakiin ollaan tuomassa sama muutos, joka tässä esimerkissä koskee Kansaneläkelakia:

"Tietosuoja-asetuksessa tarkoitetulla rekisteröidyllä ei ole tietosuoja-asetuksen 18 artiklan 1 kohdan a alakohdan mukaista oikeutta siihen, että Kansaneläkelaitos rajoittaa henkilötietojen käsittelyä silloin, kun se hoitaa tämän lain mukaista tehtävää, jos rekisteröidyn vaatimus käsittelyn rajoittamisesta on ilmeisen perusteeton."

En tunne lakiasioita niin hyvin, että osaisin arvioida tarkkaan ottaen mitä tarkoittaa ilmeisen perusteeton. Käytännössä uskon silti tämän tarkoittavan kieltämisen olevan lähes mahdotonta. Mitään esimerkkitapauksia ei esitys mahdollisista esteistä sisällä.

Myöskään erillistä suostumusta tietojen uudenlaiseen hyödyntämiseen ei enää tarvittaisi kunhan se on lain mukaisen tehtävän kannalta tarpeellinen.

Automaattinen päätöksenteko sallittaisiin vakuutusyhtiöille ja sosiaaliturvaan liittyen

Toinen todella merkittävä poikkeus on sallia automaattinen päätöksenteko sekä profilointi sisältäen myös erikseen EU:n tietosuoja-asetuksen 9 artiklassa mainitut henkilötietoryhmiin kuuluvat tiedot kuten terveydentilaan liittyvät.

Tietosuoja-asetuksen 22 artiklan 4 kohdan mukaan automaattiset päätökset voivat perustua erityisiin henkilötietoryhmiin vain silloin, kun käsittely perustuu 9 artiklan 2 kohdan a alakohtaan eli rekisteröidyn suostumukseen tai g alakohtaan eli käsittely on tarpeen yleistä etua koskevasta syystä.

Kansallisessa lainsäädännössä ollaan nyt tekemässä tulkinta, jonka mukaan sekä sosiaaliturvan toimeenpano eri tahojen osalta että vakuutusyritysten toiminta on tällainen yleistä etua koskeva syy ja automaattinen päätöksenteko sekä profilointi olisi siten sallittua.

Tekoäly mainitaan perusteluissa parissa kohtaa ja siitä kerrotaan mm seuraavaa:

"Lakisääteisessä toiminnassa automaattiset päätökset olisivat siten käytännössä sallittuja siltä osin kuin ne ovat asioiden laatuun ja laajuuteen nähden mahdollisia. Lainsäädännössä on mahdotonta yksityiskohtaisesti säätää niistä asiaryhmistä, joissa päätöksiä voidaan tehdä automaattisesti, sillä tietotekniikan kehitys voi laajentaa automaattisen käsittelyn käyttöalaa. Tulevaisuudessa esimerkiksi tekoälyn avulla voi olla mahdollista tehdä automaattisia päätöksiä oikeusturvan vaarantumatta myös sellaisissa asioissa, joissa päätöksenteko ei vielä nykytekniikalla ole mahdollista."

Tämä sisältää aika suurta uskoa teknologiaan ja siihen, etteivätkö virheet olisi mahdollisia myös koneellisessa päätöksenteossa.

Mikä tässä minua sitten oikein hiertää?

Osin ongelma on periaatteellinen, sillä tässä kierretään melkoisesti julkisen vallan ja vakuutusyhtyiöiden osalta tietosuoja-asetuksen periaatteita ja tavoitteita. Alunperin hallituksen esityksessä oli täysin estetty omien tietojen käytön kieltäminen, mutta lausuntojen jälkeen siihen lisättiin kohta "ilmeisen perusteeton". Tämän lopullinen merkitys paljastunee vasta mahdollisissa oikeuskäsittelyissä.

Automaattisessa päätöksenteossa, profiloinnissa ja tekoälyn käytössä on useita haasteita, joista kirjoitin taannoin blogissani Algoritmit meitä arvioimassa ja tekemässä tärkeitä päätöksiä.  Matematiikka ja algorimien avulla tehty mallintaminen ovatkin itsessään menetelminä puolueettomia, mutta näitä malleja tekevät ihmiset ja ne pohjautuvat heidän käsityksiinsä. Tällöin niitä voidaan käyttää myös subjektiivisesti ja ne voivat vaikkapa sisältää tekijän omia ennakkoluuloja - ja niissä voi yksinkertaisesti vain olla virheitä.

Suuri ongelma on myös, että pääosa näiden ohjelmistojen ja järjestelmien toimintatavoista jää  usein liikesalaisuudeksi. Tällöin käytännössä myydään mustia laatikoita, joista emme tiedä miten ne toimivat ja kuinka ne päätyvät arviointeihinsa. En tiedä onko esim vakuutusyhtiöillä joko käytössään tai tulossa käyttöön tällaisia mustia laatikoita ilman avattua toimintatapaa.

Lakiesitys ei ota millään tavoin kantaa siihen, mitä tietoja ihminen saa automaatisen päätöksenteon perusteista. Onko olemassa jonkinlainen tuoteseloste siitä, miten päätökseen on päädytty? Mielestäni sen olisi oltava mahdollista, mutta toisaalta käytettäessä oppivia menetelmiä ja tekoälyä saattaa se olla jopa mahdotonta.

Laissa varataan mahdollisuus haastaa tehty automaattinen päätös ja saattaa se luonnollisen henkilön käsiteltäväksi. Miten päätös sitten haastetaan ellen edes tiedä miten ja millä perusteilla siihen on päädytty?

Lisäksi lakiesitys asettaa kapitaatiomallista ja profiloinnista käytyä keskustelua hieman uuteen valoon. Ainakin tämä lakiesitys mahdollistaa terveystietojen avulla tehdyn henkilökohtaisen profiloinnin ja tekee näkemykseni mukaan siitä laillista. Siihen peilaten Saarikon ja THL:n lausunnot kuulostavat yhä oudommilta.

Erikoista on myös, että lakiesityksen kohdassa riippuvuudet muihin esityksiin ei lausuta sanaakaan Sotesta tai valinnavapauslaista. Luulisi näillä olevan merkittäviä riippuvuuksia terveystietojen käytön osalta?

Vaikutuksista kansalaisiin todetaan esityksessä:

"Automaattisten päätösten käyttäminen olisi sallittua sosiaaliturva- ja vakuutustoiminnassa. Kansallinen lainsäädäntö asettaa päätösten automatisoinnille rajat, ja toiminta on säänneltyä ja valvottua, joten rekisteröityjen oikeusturvan ei voida katsoa vaarantuvan automaattisten päätösten johdosta."

Vakuutustoiminnan osalta esityksessä kerrotaan kuinka Finanssivalvonta Fiva valvoo toiminnan lainmukaisuutta. Ainakin oma luottoni tuohon laitokseen ja sen valvontaan on kadonnut aikoja sitten. Kun mukaan tuodaan vielä uutta teknologiaa, niin nähtäväksi jää kuinka valvonta oikein toimii.

Tietoja saatetaan siis käyttää näillä alueilla moniin tarkoituksiin ja enää ei ole tarpeen kysellä suostumusta henkilöltä siihen mikäli lain tarkoitus täyttyy. Tulkinnat käyttötarkoituksesta lienevät varsin laveat ja emmehän me edes välttämättä saa mitään tietoa käytöstä.

Saa nähdä jäävätkö lakiesitykset tähän vai tuleeko piakkoin vaikkapa pankkitoiminnalle vastaavia vapauksia.

 

PS. Blogi sai innoituksensa Kirsi Oksiala-Mäki-Petäjän blogista Tietosuojalaki voimaan 25.5.2018 ilman perustuslakivaliokunnan lausuntoa? Toivottavasti hänen otsikkonsa ei lopulta pidä paikkaansa.

PS2. Aamuinen blogi häviää Tuoreimmat-fiidistä, kun intouduin kirjoittamaan toisen. Se löytyy täältä: Hallitus suunnittelee massiivista työvoimapalveluiden ulkoistamista.

 

 

 

 

 

 

Piditkö tästä kirjoituksesta? Näytä se!

2Suosittele

2 käyttäjää suosittelee tätä kirjoitusta. - Näytä suosittelijat

NäytäPiilota kommentit (2 kommenttia)

Käyttäjän Kirsiomp kuva

Niko, kiitos hyvästä analyysistä. Ihan samat huolenaiheet löysit :)

Omassa blogissani toin lisäksi tämän huolen: "Tietosuoja-asetuksen kanssa ristiriitaiset tai päällekkäiset säännökset ehdotetaan kumottavaksi, koska asetus on suoraan sovellettavaa oikeutta."

Eikö tämäkin kohta ole hyvin tulkinnanvaraista? Ja oikeudessako näitä jatkossa siis punnitaan?

Ollaan luomassa varsin ristiriitainen laki jo heti alkuunsa.

Käyttäjän Kirsiomp kuva

Niko, ihan oikein: "Ilmeisen perusteeton" tässä em. laissa; "tarpeen vaatiessa" julkisen kuuluttamisen kohdalla tulevassa lakimuutoksessa; kaavan "merkittävät" vaikutukset muutetussa MRL:ssa; "kohtuulliset" asiakasmaksut tulevassa asiakasmaksulaissa - nämä kaikki ovat toistensa sisaruksia: eivät kerro sinällään lakitekstissä yhtään mitään ja aiheuttavat vain hankalia oikeusprosesseja.

Kuka tai mikä taho on nyt oikeuttanut tällaisen nykymuotoisen täysin mitään sanomattomien "tilkesanojen" käytön lainvalmistelussa ja lainsäädännässä? Jokaisen tällaisen "tilkesanan" kohdalla tulisi ko. laissa tai ainakin lainvalmisteluteksteissä määritellä ko. sanan tarkempi määritys. Ärsyttävä suuntaus sinällään!

Toimituksen poiminnat

Tämän blogin suosituimmat kirjoitukset