Asiakkaalle tarjottavista sähköisen asioinnin palveluista

Dnro 590/41/2012
12.10.2012

Apulaisoikeuskanslerin päätöksestä

Tietosuojavaltuutetulta pyydettiin ohjausta asiassa ja viitattiin apulaisoikeuskanslerin päätökseen 31.01.2012, Dnro OKV/420/1/2010.

Edellä mainitusta päätöksestä ilmenee mm. seuraavaa. Kantelija pyysi arvioi­maan kaupungin menettelyä sähköisen asioinnin järjestämisessä, sillä toimeen­tulotukea ei ole kantelijan mukaan mahdollista hakea kaupungilta sähköi­sesti. Kantelija olisi ha­lunnut täydentää hakemustaan sähköpostitse, mutta hä­nelle ker­rottiin, ettei tätä varten ole yleistä sähköpostiosoitetta. Hän sai kuitenkin myöhemmin käyttää sähköpostia toimeentulotukiasian hoitamisessa käyttämällä virka­miehen hen­kilökohtaista työsäh­köpostiosoitetta. Kaupungin apulaisoikeuskanslerille antaman sel­vityksen mukaan kaupun­gilla ei ole käytössä suojattua sähköpostiyhteyttä toimeentu­lotukihakemusten lähettä­mistä varten eikä kaupungilla ole myöskään käy­tössä toi­meentulotukeen liittyen ns. yleistä sähköpostiosoitetta. Toimeentulotukea käsittelevill­ä viranhaltijoilla on käy­tössään henkilökohtaiset työsähköpostiosoitteet. Kos­ka kyse on salassa pidettävist tiedoista, eikä käytössä ole suojattua sähköpostijärjes­telmää, ei kaupungin mukaan ha­kemuksia voida ottaa vastaan sähköpostitse. Suojaa­mattomassa järjestelmässä toista osapuolta ei voida luotettavasti tunnistaa. Varmuutta ei ole myös­kään siitä, että viesti on tullut pe­rille muuttumattomana. Kaupungin ohjeen mukaan toimeentulotukea kos­keviin sähkö­posteihin vastataan ottamalla asiakkaisiin yhteyttä puhelimitse tai kirjeit­se. Asiakkaille kerrotaan, mistä syystä hakemuksia tai liitteitä ei voida ottaa vastaan sähköpostitse.

Apulaisoikeuskanslerin päätöksen mukaan sähköisestä asioinnista annetussa laissa ei säädetä ehdotonta vel­voitetta sähköisen palvelun tarjoamiseen. Päätöksessä myös vii­tataan tietosuojavaltuu­tetun sähköpostin käyttöä sosiaalihuollossa koskevaan oppaa­seen. Sen mukaan sekä asiakkaita että työntekijöitä tulee opastaa sähköpostin oi­keaan käyttöön. Jos sosiaali­huollon järjestäjä ilmoittaa verkkosivuillaan organisaation sähkö­postiosoitteen, tulee tässä yhteydessä informoida myös siitä, mihin sähköpostia voi­daan käyttää ja sen käyttöön liittyvistä tietoturvaongelmista. Tässä yhteydessä voi­daan esim. kertoa, että kyse on avoimesta sähköpostista, jossa viestin lähettäjää ei voi­da tunnistaa eikä viestiä salata. Apulaisoikeuskansleri katsoi, että jollei sähköisen asioin­nin tietoturvallisuutta pystytä varmistamaan, niin siitä on ilmoitettava. Tällöin asiakas voi itse harkita, ha­luaako hän asioida sähköpostitse mahdollisesta tietoturva­riskistä huolimatta. Myös sii­tä tulisi tiedottaa, jos viranomainen ei voi salassapitosyis­tä vastata asiakkaan sähköpostiin. Apulaisoikeuskansleri kuitenkin katsoi, että tieto­turvaan liitty­vät ongelmat eivät ole riit­tävä peruste sille, että asiakas ei voi niin halu­tessaan asioida sähköisesti toimeentulo­tukiasioissa. Laki sähköisestä asioinnista edel­lyttää, että mikäli viranomaisella on tar­vittavat valmiudet sähköiseen asiointiin, sen on niiden rajoissa tarjottava kaikille mah­dollisuus lähettää ilmoittamaansa sähköiseen osoitteeseen tai määriteltyyn laitteeseen viesti asian vireille saattamiseksi tai käsittele­miseksi. Apulais­oikeuskansleri piti myös ihmisten yhdenvertaisuuden kannalta ongel­mallisena sitä, että sähköinen asiointi toi­meentulotukiasioissa ei ole lainkaan mahdol­lista. Objektiivi­sena ja hyväksyttävänä ta­voitteena tälle on asioinnin luottamukselli­suuden turvaami­nen. Kuitenkin näin ehdot­tomana ja joustamattomana keino on apu­laisoikeuskanslerin mielestä suhteeton. Voidaan kysyä, johtaako se näissä olosuh­teissa toimeentulotuki­asioissa hallinnon asiakkaan epäedullisempaan asemaan muihin nähden varallisuuden perusteella. Apu­laisoikeuskanslerin käsityksen mukaan ei ole olemassa riittäviä perus­teluita sille, miksi toimeentulotukiasiaa ei voidaan lainkaan panna vireille sähköisesti, toisin kuin jonkin muun hallinnollisen asian. Yhteystietona ei ole suositeltavaa käyttää virkamies­ten henkilökohtaisia sähköpostiosoitteita. Apulaisoikeuskansleri katsoi, että tarjo­tessaan mahdollisuutta sähköiseen asiointiin, viranomaisen tulee sallia sähköi­nen asiointi myös toimeentulotukiasioissa.

Tietosuojavaltuutetun saama ohjauspyyntö

Tiedustelija kertoi, että kaupungilla on käynnissä useita sähköiseen asiointiin liitty­viä projekteja, joiden lopputuloksena tullaan tarjoamaan erilaisia mahdollisuuksia sähköi­seen asiointiin viranomaisen kanssa suojatulla yhteydellä sekä asiakkaan vah­vaan tun­nistamiseen perustuen. Kaupunki on kuitenkin saanut sellaisia vaatimuksia kansalaisilt­a, että pelkällä suojaamattomalla sähköpostiyhteydellä ilman tunnistamista pitää voida lähettää esimerkiksi toimeentulotukihakemus liitteineen.

Apulaisoikeuskansleri viittaa päätöksessään siihen, että suojaamattomalla sähköpostil­lakin pitää antaa mahdollisuus hoitaa asiointia kertomalla asiakkaalle tietoturvariskeis­tä. Kuitenkaan ei suositella käyttämään virkamiehen henkilökohtaista sähköpostiosoi­tetta, vaan ilmeisesti tarkoitetaan nk. yhteispostilaatikon käyttämistä, esim. "toimeentulotukihakemus@kaupunki.fi". Tietosuojavaltuutetulta tiedusteltiin, miten tämä toimenpide-ehdotus soveltuu esim. tietojen käsittelyn valvontaan liittyviin, so­siaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä koskevan lain (159/2007; myöh. sähköinen asia­kaslaki) mukaisiin vaateisiin. Sähköpostilaatikkoja pääsee teknisesti käsittelemään mm. postijärjestelmän ylläpitäjät, jotka ovat kaupun­gin ulkopuolisia työntekijöitä. Kaupungin sisällä ei jäisi myöskään selvää tietoa siitä, kuka työntekijöistä yhteisposti­laatikon viestejä on käsitellyt. Myös ns. palvelunesto­hyökkäys on erittäin helppo tek­nisesti toteuttaa tällaisessa sähköpostiasioinnissa. Pos­tilaatikko voidaan hetkessä täyt­tää tekaistuilla hakemuksilla, jotka voivat näyttää asiallisilta ja täten kaupunki joutuu jokaisen käsittelemään erikseen avaamalla. Lisäksi sähköpostijärjestelmästä muodos­tuisi yksi toimeentulotuen asiakasrekisterin sähköi­nen ylläpitojärjestelmä.

Tietosuojavaltuutetun kannanotto

Tietosuojavaltuutetun toimivaltaan ei kuulu antaa tiedustellussa asiassa oikeu­dellisesti sitovaa päätöstä. Sen sijaan tietosuojavaltuutetun toimivaltaan kuuluu antaa yleistä oh­jausta hen­kilötietojen keräämisestä ja käsittelystä tiedustellussa asiassa.

Sosiaalihuollon asiakkaan asemaa ja oikeuksia koskevan lain (812/2000) 14-15 §:ien mukaan sosiaalihuollon asiakastietoja, mm. toimeentulotukitietoja, koskee salassapito- ja vaitiolovelvollisuus.

Myös henkilötietolain (523/1999) 32 §:n mukainen suojaamisvelvoite edellyttää, että henkilötiedot suojataan riittävin teknisin ja organisatorisin toimenpitein mm. asiatto­malta pääsyltä tietoihin.

Sähköistä asiointia viranomaistoiminnassa koskevan lain (13/2003) tarkoituksena on sen 1 §:n mukaan edistää joutuisuutta ja myös tietoturvallisuutta hallinnossa edistä­mällä sähköisten tiedonsiirtomenetelmien käyttöä. Saman lain 3 §:n mukaan viran­omaisasiointiin sovelletaan muutoin, mitä mm. asian vireillepanosta, viranomaisten toiminnan julkisuudesta ja henkilötietojen käsittelystä säädetään. Kyseisen lain 5 §:n mukaan viranomaisen on varmistettava riittävä tietoturvallisuus asioinnissa.

Tietosuojavaltuutettu katsoo, että salassa pidettävien tietojen osalta tietoturvalli­nen sähköinen asiointi on ensisijainen ja suositeltavin sähköinen asiointitapa. Tä­män vuoksi tietosuojavaltuutettu pitää tärkeänä, että kehitetään ja otetaan käyt­töön tietoturvallisia sähköisen asioinnin tapoja. On hyvä, että kaupunki on kehit­tämässä asiakkaille erilaisia tie­toturvallisia sähköisiä asiointitapoja. Jos viranomainen itse tar­joaa asiakkaille sähköistä asiointipalvelua, esim. mahdollisuutta sähköisen toi­meentulotukihakemuksen täyttämiseen ja lähettämiseen, tulee palvelun tietosuojaval­tuutetun käsityk­sen mukaan olla tietoturvallinen.

Sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä koskevan lain 5 § koskee käytön ja luovutuksen seurantaa. Sen 2 momentin mukaan palvelujen antajan tulee mm. kerätä asiakasrekisterikohtaisesti kaikesta asia­kastietojen käytöstä ja jokai­sesta asiakastietojen luovutuksesta seurantaa varten loki­tiedot lokirekisteriin. Siinä säädetään myös käyttölokirekisteriin ja luovutuslokirekis­teriin talletettavista tiedoista. Sähköisen asiakaslain 25 §:n siirtymäsäännksen mukaan sosiaalihuollon palvelujen antajien on noudatettava sosiaalihuollon asiakastietojen sähköistä käsittelyä koskevia säännöksiä 1 päivästä syyskuuta 2014 lukien.

Sähköpostin kautta viranomaiselle voidaan lähettää erilaista viestintää. Yleensä viran­omaisen sähköpostiosoitteesta ilmenee viranomaisen nimi tms., esim. tietosuoja@om.fi. Joko virkamie­hen tai viranomaisen sähköpostiin tulleet viestit tulee arvioida ja siirtää tarvittavalta osin asiakastietojärjestelmään ja siellä kyseessä olevaan asiakasrekisteriin samalla tavoin kuin tavallisenkin postin kautta saapunut aineisto. Tietosuojavaltuutetun käsityksen mukaan sähköisen asiakaslain lokivalvontaa koskeva säännös voitaneen ymmär­tää niin, että lokitietoja kerätään vasta siitä alkaen, kun ky­seessä oleva hakemus tai muut asiakirjat tai tiedot on talletettu asiakastietoja käsittele­vään tietojärjestelmään. Hake­mushan voi saapua myös paperimuodossa, jol­loin sil­loinkin on pieni viive, ennen kuin tiedot on saatu siirrettyä varsinaiseen asiakasrekister­iin ja asiakastietojärjestelmään. Tietosuojavaltuutetun käsityksen mukaan sähköisen asiakaslain mukainen lokitietojen keräämisvelvollisuus koskee asiakastieto­järjestelmässä ja sen asiakasrekistereissä ole­via tietoja.

Tietosuojavaltuutettu on ohjeistanut sähköpostin käyttöä sosiaalihuollossa kotisivuil­laan olevassa kannanotossa ja oppaassa, johon apulaisoikeuskanslerikin päätöksessään viittasi. Kohdassa ratkaisut, sosiaalihuolto http://www.tietosuoja.fi/52000.htm on tie­tosuojavaltuutetun kannanotto, jonka mukaan viranomainen ei saa asiakkaan suostu­muksellakaan lähettää asiakkaalle salassa pidettäviä asiakastietoja suojaamattomassa sähköpostissa. Myös eduskunnan oikeusasiamiehen samaa asiaa koskevaa ratkaisua on selostettu kannanoton yhteydessä. Eduskunnan oikeusasiamies ja tietosuojavaltuutettu olivat asiasta samaa mieltä. Kaupunki kertoikin toimivansa saamiensa sähköpostien osalta niin, että asiakkaaseen otetaan yhteyttä puhelimitse tai kirjeitse.

Tiedustellussa asiassa on kuitenkin kyse siitä, pitääkö viranomaisen tarjota asiakkaalle mahdollisuutta lähettää viranomaiselle esim. toimeentulotukihakemuksia liitteineen myös tietoturvattoman sähköpostin avulla. Apulaisoikeuskansleri totesi, että sähköistä asiointia viranomaistoiminnassa koskeva laki ei ehdottomasti edellytä sähköisen asiointimahdollisuuden tarjoamista. Mikäli asiointia koskeva sähköposti­osoite kuiten­kin ilmoitetaan, niin apulaisoikeuskanslerin mukaan siihen pitää voida saada lähettää myös toimeentulotukihakemuksia tietoturvaongelmista huolimatta. Tie­tosuojaa koske­vista puutteista pitää kuitenkin kertoa ja asiakkaan päätösvaltaa jäisi, haluaako hän yh­teyttä siitä huolimatta käyttää. Olette tähän mennessä ilmoittaneet toimeentulotukia­sioissa virkailijoiden työsähköpostiosoitteet asiointia varten, mutta oh­jaatte toimitta­maan toimeentulotukihakemukset liitteineen paperimuodossa.

Käytännössä asiakkaat lähettävät erilaisia viestejä, toimenpidepyyntöjä ja hakemuksia viranomaisille joko viraston viralliseen sähköpostiosoitteeseen, jos sellainen on, tai suoraan virkailijoiden työsähköposteihin. Tietosuojavaltuutetun kotisivuilla http://www.tietosuoja.fi/27212.htm on opas "Sähkö­postin käytöstä sosiaalihuollossa". Siinä todetaan mm. seuraavasti:

"Organisaation johdon tulee määritellä sähköpostin käyttöä koskevat peri­aatteet ja huolehtia siitä, että sekä asiakkaita että työntekijöitä opastetaan sähköpostin oikeaan käyttöön. Jos sosiaalihuollon järjestäjä ilmoittaa inter­netsivuillaan organisaationsa sähköpostiosoitteen, tulee tässä yhteydessä in­formoida myös siitä, mihin sähköpostia voidaan käyttää ja sen käyttöön liit­tyvistä tietoturvaongelmista. Tässä yhteydessä voidaan esim. kertoa, että kyse on avoimesta internet sähköpostista, jossa viestin lähettäjää ei voida tunnistaa eikä viestiä salata. Tämän vuoksi suojaamattoman sähköpostiyh­teyden kautta voidaan kysyä yleistä neuvontaa esim. siitä, millä edellytyk­sillä ja miten jotain etuutta tai palvelua voi hakea. Tällaiseen yleiseen tie­dusteluun sosiaalihuollon viranomainen ja järjestäjä voi myös vastata säh­köpostitse. Edellä mainituista syistä myöskään asiakkaan ei ole suositelta­vaa lähettää Internet-sähköpostin kautta arkaluonteisia henkilötietoja.

Vaikka edellä mainittua opastusta olisikin, niin käytännössä sosiaalihuollon asiakkaat lähettävät kuitenkin oma-aloitteisesti sähköpostitse myös erilaisia asiansa käsittelyyn liittyviä hakemuksia, tiedusteluja, lisätietoja ja valituk­sia. Tällöin viranomaisen ja muun sosiaalihuollon järjestäjän tulee ne tu­lostaa ja ryhtyä tarvittaviin toimenpiteisiin. Asiakas saa esim. asiansa vi­reille sähköpostitse. Tarvittaessa lisätietoja voidaan kysyä häneltä esim. pu­helimitse tai kirjeitse. Viranomaisen tulee myös merkitä asia vireille diaa­riin, jos asia on sen laatuinen. Sähköpostiviestien sisällöstä riippuen ne kuu­luvat myös sosiaalihuollon asiakasrekistereihin.

Edellä esitetty koskee Internet - sähköpostia. Tilanne on kuitenkin toinen, mikäli käytössä olisi sähköposti, jossa on riittävän vahva salaus ja osapuolet voidaan tunnistaa. Tällöin voidaan lähettää myös salassa pidettäviä tietoja sähköpostilla. Mikäli sosiaalihuollon viranomainen tai muu sosiaalihuollon järjestäjä tai toteuttaja tarjoaa itse esim. mahdollisuutta täyttää hakemuslo­make ja palauttaa se sähköisesti, tulee yhteyden olla suojattu."

Kuten apulaisoikeuskanslerikin on todennut, niin esimerkiksi toimeentulotuki­asian saa tosiasiassa vireille sosiaaliviranomaisessa toimit­taapa hakemuksensa perille millä tavalla vaan, vaikkapa sitten suojaama­tonta sähköpostia käyttäen. Tietosuojavaltuutetun käsityksen mukaan viran­omainen ei voi kuitenkaan ohjata tai suositella asiakasta lähettämään salassa pi­dettäviä tietoja tietoturvattomassa sähköpostissa. Silloin jos sähköpostiyhteystiedot ilmoitetaan, tulee samassa yhtey­dessä myös informoida asiakasta henkilötietojen käsittelystä ja kertoa myös sähköpos­tin käyttöön liittyvistä tietoturvariskeistä. Tietosuojavaltuutettu viittaa lopuksi valmis­teilla olevaan Euroo­pan Unionin tietosuoja-asetukseen. Sen 23 artiklan 1 kohdan mu­kaan re­kisterinpitäjän on huolehdittava tietojärjestelmien ja asiakasrajapintojen tieto­turvallisesta toteuttami­sesta (sisäänrakennettu ja oletusarvoinen tietosuoja eli privacy by de­fault).

 
Julkaistu 27.1.2014