Open in app

Sign in

Write

Sign in

Suostumuksenhallinta — asiakaskeskeistä palvelua

Teemu Hyytiäinen
KelaLab
Published in
6 min readNov 6, 2020

Henkilötietojen tiedonhallinta on noussut esiin kriittisessä kansallisessa keskustelussa. Tulevaisuuden digitaalisessa yhteiskunnassa tiedonhallinnan luotettavuus, tietoturva ja läpinäkyvyys nousevat äärimmäisen tärkeään rooliin. Millä keinoin varmistamme, että tietojamme ei tulevaisuudessa käsitellä tai jaeta tietosuojaamme vaarantaen? Kuinka mahdollistamme omien henkilötietojen suoraviivaisen ja selkeän hyödyntämisen? Lainsäädännöllä ja lainsäädännön velvoitteilla varmistamme henkilön oikeusturvaa. Tämän lisäksi on myös tärkeää, että meillä kansalaisina on mahdollisimman selkeä näkemys tietojemme käsittelystä ja keinoista, kuinka voimme näihin myös itse yksilöinä vaikuttaa.

Kuva: Photoroyalty/Freepik

Työntekijän sairastuessa tai loukkaantuessa hän voi tarvita kuntouttavia palveluita palatakseen työelämään, sekä välttyäkseen ennenaikaiselta eläkkeeltä. Työntekijä voi itse selvittää hänelle parhaita kuntoutuspalveluita, joita tarjoavat muun muassa Kela ja eläkevakuutusyhtiöt. Koska työntekijä ei välttämättä ole kuntoutuspalveluiden asiantuntija, voi palveluiden kartoittaminen ja selvittäminen olla työntekijälle henkisesti hyvin raskasta. Kela ja eläkevakuutusyhtiöt saattavat vuoroin opastaa työntekijää hyödyntämään toisen toimijan palveluita, josta saattaa seurata tahatonta työntekijän “pompottamista”. Työntekijän asiointi usealla eri luukulla ei ainakaan auta hänen kuntoutustaan.

Tulevaisuudessa työntekijän toinen vaihtoehto olisi antaa esimerkiksi Kelalle suostumus hänen asioiden hoitamiseen. Tämän suostumuksen avulla Kela voisi käydä arviointikeskusteluja eläkevakuutusyhtiöiden kanssa. Näiden keskustelujen pohjalta Kela ja eläkevakuutusyhtiöt voisivat tarjota työntekijälle parhaiten sopivia palveluita ilman, että työntekijän tarvitsee itse selvittää eri vaihtoehtoja eri toimijoilta.

Mikä ihmeen suostumuksenhallinta?

Suostumus on yksipuolinen tahdonilmaisu, jossa voidaan antaa henkilölle tai organisaatiolle lupa hyödyntää suostumuksenantajan henkilötietoja. Lisäksi tässä artikkelissa suostumuksella tarkoitetaan valtuutusta asioida suostumuksenantajan puolesta. Suostumuksessa täytyy aina määritellä, mitä suostumus koskee ja kuinka pitkään suostumus on voimassa. Suostumus tarvitaan aina, kun henkilötietoja käytetään johonkin muuhun tarkoitukseen, kuin mihin tiedot on kerätty. Suostumuksenhallinnalla tarkoitetaan sitä, kuinka näitä tahdonilmaisuja hallinnoidaan, suojataan ja käytetään.

Kuva: iconicbestiary / Freepik

Suostumus on pätevä, jos se on:

  • Yksilöity
  • Tietoinen päätös
  • Aidosti vapaaehtoinen

Suostumuksen tulee olla yksilöity. Tämä tarkoittaa, että suostumuksessa on määritelty suostumuksen antava henkilö, henkilötietoja hyödyntävä toimija ja henkilötietojen käyttötapaus. Jos henkilötietoja halutaan hyödyntää useissa erillisissä käyttötapauksissa, tulee jokaiseen olla oma suostumus. Halutessaan asiakkaan on voitava antaa suostumus vain yhteen tai valitsemiinsa käyttötapauksiin. Uusi käyttötapaus tarvitsee aina uuden suostumuksen.

Suostumuksen antaminen tulee tapahtua asiakkaan tietoisesta päätöksestä. Tämä tarkoittaa, että suostumuksen pyytäminen tulee tapahtua riittävän selkeästi ja erillään muista pyynnöistä. Tällä estetään, ettei asiakas anna “vahingossa” suostumustaan. Pyynnön tulee myös olla selkeä ja tiivis, sekä helposti ymmärrettävä. Esimerkiksi ruudun rastittaminen verkkopalvelussa on yksiselitteinen ja selkeä tahdonilmaisu, jos pyyntöteksti on selkeä, tiivis ja erillään muista asioista.

Vapaaehtoisuudella tarkoitetaan, että asiakkaan on voitava kieltäytyä suostumuksen antamisesta ja asiakkaan on pystyttävä edistämään asiaansa ilman suostumuksen antamista. Asioiden edistäminen ilman suostumusta voi tarkoittaa esimerkiksi, että asiakas itse toimittaa vaaditut tiedot, jotka suostumuksella olisi voitu hakea asiakkaan puolesta.

Asiakkaan on voitava myös peruuttaa suostumus ilman haitallisia seuraamuksia. Haitallisia seuraamuksia ovat muun muassa peruutusmaksut. Suostumuksen peruuttaminen tulee olla yhtä helppoa, kuin suostumuksen antaminen.

Pätevän suostumuksen lisäksi on huomioitava, että suostumuksella asioivalla toimijalla on osoitusvelvollisuus. Toimijan on pystyttävä osoittamaan, että asiakas on antanut tälle suostumuksen kyseiseen asiaan. Suostumus ei myöskään syrjäytä tietosuojaperiaatteita. Tämä tarkoittaa, että toimija ei voi kerätä tai käyttää tietoa laajemmin, kuin tarvitsee tai suostumus antaa luvan.

Nykyinen suostumuksenhallinta

Nykyään suostumuksenhallintaa toteutetaan usein paperilla. Asiakas allekirjoittaa suostumuksen, jossa määritellään mitä suostumuksen piiriin kuuluu ja kuinka pitkään suostumus on voimassa. Allekirjoitettu suostumus annetaan tämän jälkeen toimijalle, jolle suostumus on määritelty. Toimija voi tämän jälkeen suostumuksen puitteissa asioida asiakkaan puolesta, sekä hoitaa hänen asioitaan. Tämänkaltainen suostumus toimii kohtalaisesti, kun toimija hakee asiakkaan puolesta postipaketin tai asioi pankissa. Verkossa tai muuten etänä tapahtuvassa asioinnissa paperinen suostumus on ongelmallinen, koska suostumuksen todentaminen on haastavaa.

Teoriassa työntekijä voisi antaa Kelalle suostumuksen, jossa antaa Kelalle oikeuden keskustella kuntouttavista palveluista eläkevakuutusyhtiönsä kanssa. Todellisuudessa Kelan ja eläkevakuutusyhtiöiden keskustelut paperisen suostumuksen avulla olisivat hyvin pitkiä ja vaikeita toteuttaa, koska suostumuksen todentaminen on hyvin haastavaa etänä.

Suostumuksenhallinnan tulevaisuus

Kuten monissa vanhoissa paperiprosesseissa, myös suostumuksenhallinnassa digitalisaatiolla voidaan saavuttaa useita erilaisia hyötyjä. Suostumukseen liittyen digitalisaation hyötyjä ovat muun muassa tietojen nopeampi ja tietoturvallisempi toimittaminen.

Hyvin karkeasti jaettuna digitalisaation vaihtoehtona on perinteinen keskitetty järjestelmä tai hajautettu järjestelmä. Keskitetyssä järjestelmässä siirrämme kaiken ylläpidollisen vastuun yhdelle valitulle toimijalle. Näin on esimerkiksi rahaliikenteessä, jossa luotamme valitsemamme pankin hoitavan rahaliikenteen puolestamme. Pankit ovat todistaneet toimivansa luotettavasti, mutta voimmeko olla varmoja uuden suostumuksia hallinnoivan toimijan luotettavuudesta. Teoriassa kyseinen toimija voisi nähdä meidän kaikkien suostumuksien tiedot, niin halutessaan tai pahimmassa tapauksessa jopa muokata tietojamme.

Hajautetun suostumushallintaverkoston etuna keskitettyyn versioon verrattuna on läpinäkyvyys, luotettavuus ja tietoturva. Läpinäkyvyydellä tarkoitetaan, että kaikki ylläpitäjät näkevät, kuinka tietoja käsitellään. He eivät näe mitä tietoja käsitellään, mutta voisimme olla varmoja, että tietoja käsitellään vain ennalta määriteltyjen sääntöjen mukaisesti. Luotettavuus hajautetussa verkostossa on parempaa, kun verkostoa ylläpitäviä toimijoita on useampia. Jos yksi toimija yrittää käyttää valtaansa väärin, muut toimijat estävät hänen toimintansa. Hajautetussa verkostossa muiden toimijoiden tulee hyväksyä muiden toiminta, jotta haluttu toiminto tapahtuu. Tietoturva paranee myös ylläpitäjien määrän kasvaessa. Yksittäinen toimija ei voi muuttaa tietojen käsittelysääntöjä, jolloin mahdollisuus väärinkäytöksiin vähenee radikaalisti. Lisäksi kun useammat toimijat käyttävät samaa verkostoa, huomataan tietoturvariskit nopeammin ja näin ollen reagointi riskeihin on nopeampaa.

Luvanvaraisessa hajautetussa verkossa suostumustenhallinta olisi nykyistä helpompaa. Koska kaikki verkkoon liittyvät toimijat tarvitsevat verkon ylläpitäjältä luvan liittyä, tiedämme verkon toimijat. Tämä ei kuitenkaan tarkoita, että meidän kaikkien henkilötiedot olisivat listattuna, vaan henkilöllisyydet verkossa ovat salattuja. Matin antaessa suostumuksensa Kelalle, voi Kela tarkistaa Matin olevan kuka sanoo olevansa, mutta muut toimijat eivät pysty tunnistamaan Mattia. Suostumus voidaan myös välittää vain Matin ja Kelan välillä, jolloin kukaan ulkopuolinen ei suostumusta näe. Kun Kelan tarvitsee esittää suostumus kolmannelle toimijalle, voi Kela välittää saamansa suostumuksen eteenpäin. Verkon on jopa mahdollista estää suostumuksen eteenpäin välittäminen, jos suostumusta pyritään välittämään toimijalle, joka ei kuulu suostumuksen piiriin. Matti voi koska tahansa verkon kautta nähdä, mihin hänen suostumustaan on käytetty. Lisäksi Matti voi halutessaan perua antamansa suostumuksen.

Paperiseen suostumuksenhallintaan verrattuna hajautettu verkko tuo useita etuja. Ensinnäkin verkko palauttaa kontrollin suostumuksenantajalle, joka voi perua jo annetun suostumuksen nappia painamalla. Toisekseen hajautettu verkko luo läpinäkyvyyttä suostumuksenantajalle, joka voi ajankohdasta riippumatta tarkistaa miten hänen antamaansa suostumusta on hyödynnetty. Kolmanneksi verkon avulla on helpompi todentaa suostumuksen oikeellisuus, kun perinteinen allekirjoitus muuttuu digitaaliseksi. Ja neljänneksi, suostumuksen välittäminen eri osapuolten välillä helpottuu, sekä muuttuu turvallisemmaksi. Ulkopuoliset toimijat eivät voi vahingossakaan nähdä suostumusta, joka ei heihin liity.

Kela ja suostumuksenhallinta

Tekstin alussa esitetty esimerkki sairastuneesta tai työtapaturman kärsineestä työntekijästä on Kelassa arkipäiväinen asiakas. Osa näistä työntekijöistä tarvitsee Kelan lisäksi muiden toimijoiden apua, kuten esimerkin mukaisesti työeläkelaitokselta. Kela pyrkii tällä hetkellä löytämään ja koestamaan nykyaikaisia, sekä digitaalisia ratkaisuja suostumuksenhallintaan. Yksi varteenotettava vaihtoehto näyttäisi olevan Findyyn (Finnish Indy network) pohjautuva ratkaisu. Findy on luvanvarainen hajautettu tietoverkko, joka mahdollistaa henkilöiden ja organisaatioiden hallinnoivan omia henkilötietojaan SSI-periaatteiden (Self-sovereign identity) mukaisesti. Tämä tarkoittaa, että henkilö tai organisaatio voi itse päättää verkossa kenelle antaa oikeuden hyödyntää hänen henkilötietojaan ja mihin näitä henkilötietoja saadaan käyttää. Henkilö voi hakea itseensä liittyviä tietoja omaan “Findy-lompakkoonsa”. Näitä tietoja voivat olla esimerkiksi opiskelutodistukset, sairaustiedot ja tulotiedot. Haluttuja omia tietoja voi kätevästi lähettää verkossa niitä tarvitsevalle. Kelan kokeilujen edistyessä kerromme niistä lisää.

Mahdollinen kansallinen hyöty?

Kansallisesti hajautettu suostumuksenhallintaverkko sujuvoittaisi monia suostumusta vaativia prosesseja, sekä siirtäisi näitä toimintoja verkkoon. Yksityishenkilönkin olisi mahdollista asioida toisen henkilön puolesta verkossa. Tämä helpottaisi muun muassa iäkkään tai sairaan sukulaisen asioiden hoitamista, vaikka et asuisikaan sukulaisesi kanssa samassa kaupungissa. Toisaalta Kela, pankit, lainan tarjoajat, vakuutusyhtiöt, sekä muut organisaatiot voisivat pyytää asiakkaalta suostumuksen edistääkseen asiakkaan asioita tai selvittääkseen asiakkaaseen liittyviä tietoja. Verkko voisikin sujuvoittaa useita prosesseja, sekä luoda kaivattua läpinäkyvyyttä näihin prosesseihin. Yksin emme digitaalisen suostumuksenhallinnan kanssa ole. Esimerkiksi Tanskassa kansalaisen ei tarvitse toimittaa verotietoja lainahakemuksen yhteydessä pankilleen. Pankille riittää kansalaisen suostumus, jonka jälkeen pankki itse voi hakea kyseiset tiedot.

Vaikka verkko mahdollistaa täysin uuden tavan toimia, on huomioitava, että mikään ei pakottaisi sen käyttöön. Esimerkiksi Kelan käyttötapauksissa asiakkaan olisi edelleen mahdollista toimittaa Kelan pyytämät tiedot itse ja itse selvittää eri toimijoiden väliltä hänelle sopivimmat palvelut. Verkko tulisikin nähdä muutoksen mahdollistajana niille, jotka tämänkaltaista automaatiota ja apua kaipaavat.

Kiitos tekstin editoinnista Janne Mattila ja Heli Knihti

Social Innovation
Distributed Ledgers
Consent Management
Customer Centricity

--

--

Teemu Hyytiäinen
KelaLab

Written by Teemu Hyytiäinen

12 Followers
Editor for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams