Väitöstutkimuksessa löydettiin vakavia puutteita terveysalan verkkopalveluiden tietosuojassa (Väitös: DI Sampsa Rauti, 2.5.2025, tietotekniikka)
Väitöstutkimuksessa tarkasteltiin verkkoapteekkien, terveydenhuollon verkkopalveluiden ja erilaisten mielenterveyssivustojen henkilötietovuotoja. Tutkituilla sivustoilla havaittiin vakavia tietovuotoja.
Moderneissa verkkosivustoissa suuri yksityisyyteen liittyvä huolenaihe ovat niissä käytetyt kolmannen osapuolen palvelut, kuten esimerkiksi teknologiajättien tarjoamat analytiikkatyökalut, ja näiden palvelujen käyttäjistä keräämät arkaluonteiset henkilötiedot.
DI Sampsa Rauti tutki väitöskirjassaan tätä yksityisyyshaastetta suomalaisten verkkopohjaisten terveyspalvelujen osalta. Väitöstutkimus on toteutettu osana Intimacy in Data-Driven Culture -tutkimusprojektia.
Koska palveluissa käsitellään esimerkiksi asiakkaiden lääkityksiin, sairauksiin ja hoitotoimenpiteisiin liittyviä tietoja, niitä ei saisi päätyä kolmansille osapuolille.
Väitöstutkimus pohjautuu verkkoapteekeissa, terveydenhuollon verkkopalveluissa ja erilaisilla mielenterveyssivustoilla tehtyyn verkkoliikenneanalyysiin, jonka avulla selvitettiin kolmansille osapuolille vuotavia henkilötietoja. Lisäksi tarkasteltiin, informoidaanko käyttäjää asianmukaisesti henkilötietojen käsittelystä.
– Tutkimus antaa aiempaa tarkemman kuvan terveyspalvelujen tietovuotojen luonteesta ja vuotavista henkilötiedoista ja tarkastelee aihetta ensi kertaa suomalaisten verkkopalvelujen osalta. Verkkoapteekkien tietovuotoja kolmansille osapuolille ei ole tutkittu aikaisemmin lainkaan, Rauti toteaa.
Tutkimus osoittaa, että suomalaisilla terveysalan sivustoilla on ollut vakavia tietovuotoja, joista valtaosa on nyt tutkimuksen ansiosta korjattu.
Kolmansille osapuolille päätyi muun muassa reseptilääkkeiden nimiä ja terveydenhuollon ajanvarauksiin liittyviä tietoja yhdistettyinä yksilöiviin henkilötietoihin. Esimerkiksi suomalaisista verkkoapteekeista 35 % vuoti reseptilääkkeiden nimiä kolmansille osapuolille. Julkisen sektorin terveyspalveluissa yksityisyydensuoja oli parempi kuin yksityisellä sektorilla, mutta tutkimuksen perusteella molemmilla sektoreilla on silti runsaasti parannettavaa henkilötietojen käsittelyssä.
Yleisimmin henkilötietoja vuoti Googlen ja Metan kaltaisille suurille teknologiajäteille, mutta muutamissa tapauksissa myös esimerkiksi Venäjälle Yandexille ja Pohjois-Amerikkaan Bingille.
– Vaikka käyttäjän yksilöivät henkilötiedot ovat esimerkiksi IP-osoitteen kaltaisia laitetunnisteita, suurilla teknologiajäteillä on keinot yhdistää nämä käyttäjän oikeaan nimeen ja henkilöllisyyteen. Tämä voi tiettyjen kolmansien osapuolien tapauksessa aiheuttaa käyttäjälle vakavan riskin, jos henkilötietoja käytetään väärin, tai niitä luovutetaan, myydään tai joutuu tietomurtojen seurauksena niin sanotuille neljänsille osapuolille. Vaikka tutkimus ei osoita, mitä tiedoille tapahtuu kolmansille osapuolille päätymisen jälkeen, ei käyttäjän terveydentilaan mahdollisesti liittyviä tietoja saisi missään tilanteessa vuotaa, Rauti sanoo.
Tutkimuksen kohteena olleissa verkkopalveluissa käyttäjä ei usein tiedonkeruun kieltämälläkään voinut estää näitä tietovuotoja, ja käyttäjän informointi henkilötietojen käsittelystä oli riittämätöntä.
– Tutkimuksessa havaitut tietovuodot ilmoitettiin verkkopalveluiden ylläpitäjille ja näiden palveluiden puutteet on valtaosin korjattu. Useiden verkkoapteekkien vuotojen osalta tietosuojavaltuutetun toimisto tutkii vuotoja parhaillaan, ja vastaavia ongelmia voi edelleen olla monissa muissa palveluissa. Tutkimuksen löydökset osoittavat, että terveysalan verkkopalveluissa on tarpeen tarkentaa sääntelyn noudattamista, kehittää auditointikäytäntöjä, suosia paikallisia analytiikkaratkaisuja ja kiinnittää erityistä huomiota kolmansien osapuolien valintaan, Rauti sanoo.
***
DI Sampsa Rauti esittää väitöskirjansa ”Tietovuodot kolmansille osapuolille suomalaisissa terveydenhuollon verkkopalveluissa” julkisesti tarkastettavaksi Turun yliopistossa perjantaina 2.5.2025 klo 12.00 (Turun yliopisto, päärakennus, Tauno Nurmela -sali, Turku).
Vastaväittäjänä toimii professori Pasi Tyrväinen (Jyväskylän yliopisto) ja kustoksena professori Ville Leppänen (Turun yliopisto). Tilaisuus on suomenkielinen. Väitöksen alana on tietotekniikka.
