tl;dr: pseudonymisoinnin purku on piinallisen helppoa, mutta peli ei silti ole menetetty.
Yksityisyydensuoja on vaativaa, ja moni kuvittelee, että julkishallinto on tässä erityisen taitava. Itsekin olen ajatellut, että virkavastuulla tietosuojaa tehdään vähintään yhtä hyvin kuin yksityisellä sektorilla, sillä julkishallinnon hallussa ovat meidän suurimmat digitaaliset salaisuudet.
Yksityisellä puolella varsin viattomia tietoja suojataan isolla rahalla, sillä sanktiot voivat olla huimia, vaikka vahinko olisi vähäinen, kuten Verkkokauppa.com lähes miljoonan sanktio siitä, että eivät hukkaa asiakkaiden vanhojen ostosten tietoja järjestelmästään. (Julkishallinnolla ei Suomessa ole vastaavaa sanktioriskiä.)
Tuoreessa Ylen jutussa kuvatun Findata-casen julkisten aineistojen valossa näyttää siltä, että viranomainen luottaa sokeasti kykyynsä varmistaa, että tiedon käyttäjillä on puhtaat jauhot pussissaan riippumatta suomalaisten intiimejä tietoja sisältävän rekisterin käyttäjän kansalaisuudesta.
Tulkinnasta saa helposti jopa sellaisen kuvan, että Finregistryn valvojille tiedon tarjoaminen maksua vastaan on tärkeämpää kuin tietosuojateemojen pohtiminen. Aineiston sisältö on vähintään yhtä arkaluontoista kuin vastikään esillä olleessa Helsingin opetusviraston casessa, jonka on nähty muodostavan jopa kansallisen turvallisuuden riskin, satojen tuhansien suomalaisten riskin lisäksi.
Eikö pseudonymisoitu tieto riitä?
Ylen jutussa ministeri toteaa seuraavasti: “Ministeri Grahn-Laasosen mukaan terveysdatan käyttö on Suomessa erittäin säädeltyä ja pseudonymisoitua, kun sitä käytetään tutkimuksessa.”
Pseudonymisointi tarkoittaa sitä, että rekisterissä olevien ihmisten nimet poistetaan. Malli tuntuu ensi hätään riittävältä, mutta todellisuudessa kyse on pelkästä kangastuksesta – saatavilla olevan aineiston pohjalta on ilmeistä, että useimpien suomalaisten terveyteen liittyvät tiedot ovat järjestelmästä saatavilla niille yrityksille, jotka haluavat sitä tutkimuksen valossa lähestyä.
EU:n tietosuojaryhmän vuonna 2014 kirjoittama suomenkielinen opas kuvaa hyvin mistä on kyse. Pseudonyymin taakse piilotetun tiedon todellisen kantajan saa selvitettyä huomattavasti useammin, kuin vielä viime vuosituhannella luultiin.

Esimerkiksi vaikka nimi poistetaan, perustietot, kuten asuinpaikan postinumero, sukupuoli ja syntymäaika riittävät 87% tapauksista kenen tahansa amerikkalaisen identifiointiin vuonna 2000 julkaistun tutkimuksen mukaan.
Finregistryn tietosuojaselosteen mukaan tietoaineistosta löytyy lisäksi mm. sivilisääty, palkkataso sekä koulutustaso. Olettaisin, että esim poliittista painostusta varten tehdyssä haussa kohteen syntymäaika, asuinpaikka, sukupuoli, sivilisääty, palkkataso ja koulutus ovat selvillä, joka mahdollistaa pseudonymisoinnin purkamisen ja potilastietojen tutkimisen.
Voiko tälle mitään?
Pseudonymisoinnin ongelmat ovat olleet pitkään ilmeisiä, samoin ratkaisut. Lisäämällä sopiva määrä kohinaa käyttäjien tietoihin ja sekoittamalla niitä älykkäästi voimme varmistaa, että tietomassojen suuret linjat pysyvät tutkijoille käyttökelpoisina, mutta maskeja ei saada poistettua tutkimuksen kohteista.
Tiedon huolellinen sotkeminen johtaa niin sanottuun differentiaaliseen tietosuojaan, jossa käyttäjän tietojen yhdistäminen on vaikeaa tai jopa mahdotonta. Aiheesta on kirjoitettu hyviä oppaita, muun muassa alle linkittämäni EU:n pohdinta sekä konkreettinen Tampereen yliopiston oheistus.
Valmiit (avoimen lähdekoodin) sovellukset sotkevat tietomassat sopivasti, jotta jokainen aineistoon oikeuden saava saa hieman eri näkökulman ja tietojen julkistamisen riskit pidetään halutun alhaisina. Riittävänä pidetty taso riippuu tiedon arkaluontoisuudesta – materiaalissa on kuvattu malleja, joissa aina kuulut vähintään kolmen ryhmään, toisten käyttäessä minimitasona kymmenen potilaan ryhmiä, joihin ei pääse tarkemmin pureutumaan.
Käytännön mekanismeinä toimii mm. tiedon tarjoaminen suuremmissa luokissa, jotta yksittäinen tieto ei kertoisi niin paljon tai pienet muutokset tiedoissa, joiden vaikutus tutkimukseen on vähäinen, mutta jotka tekevät pseudonyymin purkamisen riittävän vaikeaksi tai mahdottomaksi. Esim käyttäjän pituutta voidaan vähän rukata tai kotikunta vaihtaa naapurikunniksi. Lisäksi kaikkein harvinaisimmista taudeista tai tiedoista tieto voidaan joutua ryhmittelemään kansalliselle tasolle useiden vuosien jaksolle, jotta potilaiden identiteetit saadaan varmasti pidettyä suojassa.
Voiko tälle mitään, osa 2?
Tarvitsemme fiksuja äänestäjiä, jotka pitävät tässä kohtaa aiheesta meteliä. Terveydenhuollon tietosuoja on kansalaisoikeus, varsinkin EU:ssa, jossa joudumme klikkaamaan tuhansia Cookie-bannereita vuodessa varsin näennäisten riskien vuoksi.
Tietosuoja ei ole ristiriidassa tieteellisen tutkimuksen kanssa, mutta se vaatii huolellisuutta silloin, kun käsissä on kaikkien suomalaisten terveystiedot. Kansalaisten tietosuoja ei saisi perustua summittaiseen käyttötavan arviointiin vaan se on syytä suojata myös teknisin keinoin, joiden valinta perustuu tieteelliseen lähestymistapaan.
Tietosuojatyön arvo syntyy sen systemaattisuudesta, yksityisen sektorin huolellisuudella ei ole juurikaan merkitystä, jos suomalaisten sairaskertomukset saa ostettua muutamalla tuhannella eurolla ja jos samat tiedot ovat vieläpä oman kunnan verkkolevyillä salaamattomassa muodossa.

ps. Nostin tässä otsikkoon päättäjien tiedon, sillä tutun poliitikon mukaan moni päättäjä reagoi helpommin hänen ja hänen perheensä tietojen väärinkäytöksiin, kuin abstraktiin tietosuojarikkeeseen. Poliitikon yksittäinen käynti sukupuolitautien poliklinikalla tai tähän määrätty lääkitys on kiusallinen pahantahtoisen vieraan vallan käsissä. Todellisuudessa minusta on ihan sama, kenenkä tietoja järjestelmästä kalastetaan ja kaikkien meidän tiedot kannattaa suojata tavalla, jossa niiden väärinkäyttö esim ulkomaisen vakuutusyhtiön tai venäläisen viraston toimesta on mahdollisimman vaikeaa.
pps. Findatan tekijät ovat mitä ilmeisimmin ratkoneet monia tietosuojakysymyksiä ihan mallikkaasti. Pikavilkaisulla näyttäisi siltä, että laajamittaista tietoaineistojen muilutusta esim vakuutusyhtiön päätösten tausta-aineistoksi ei järjestelmistä voi tehdä, mikäli ne toimivat kuten niiden on kuvattu toimivan.
1. https://thl.fi/documents/155392151/190512654/Privacy+Notice+for+Scientific+Research_FinRegistry_13042023.pdf/3278f267-d471-475d-46e3-46d67cfb1a95/Privacy+Notice+for+Scientific+Research_FinRegistry_13042023.pdf?t=1681396235166
2. https://arstechnica.com/tech-policy/2009/09/your-secrets-live-online-in-databases-of-ruin/
3. https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_fi.pdf
4. https://www.fsd.tuni.fi/fi/palvelut/aineistonhallinta/tunnisteellisuus-ja-anonymisointi/




