Elämäntilanne

Tietoturva ja tietosuoja ammattikäyttäjille

Elämäntilanne Oy
Viimeksi päivitetty: 2.5.2026

Tarkoitus

Tämä dokumentti kokoaa Elämäntilanne-palvelun tietovirrat, tietosuojan ja tietoturvan nykytilan hyvinvointialueiden hankinta-, tietosuoja- ja DPIA-arviointia varten. Dokumentti kuvaa nykyisen toteutuksen rehellisesti: jos jokin tieto tai kontrolli ei ole vielä vahvistettu, se on merkitty TODO-merkinnällä.

Tietovirrat

  1. Kansalainen täyttää elämäntilannelomakkeen. Selain lähettää POST /api/generate-plan -pyynnön, jossa on tapahtumatyyppi, kunta, kieli ja tilanteen kannalta tarpeelliset vastauskentät. Palvelu ei kysy nimeä, henkilötunnusta, potilaskertomuksia tai muita virallisia tunnisteita. Sähköposti kysytään vain erillisessä muistutustoiminnossa.
  2. Palvelin ajaa deterministisen moottorin. Etuudet, määräajat, tehtävälista ja lakiviitteet lasketaan tai haetaan paikallisista JSON-tiedostoista. Tämä vaihe ei tee ulkoisia API-kutsuja.
  3. Anthropic API -kutsu tehdään palvelimelta yhteenvedon tuottamiseksi. Promptiin sisällytetään suunnitelman tiivistetty sisältö ja vähimmäiskonteksti, kuten tapahtumatyyppi, kunta, kieli ja lomakkeen vastaukset. Claude palauttaa 2-4 virkkeen yhteenvedon. Jos moottori havaitsee tietopuutteen, erillinen AI-kutsu voi tuottaa "AI-ohjeistus - varmista viranomaiselta" -merkityn lisäohjeen.
  4. Supabaseen tallennetaan anonyymi käyttörivi plans-tauluun suunnitelman luomisen yhteydessä. Tallennettavat kentät ovat tapahtumatyyppi, kunta, kieli, mahdollinen referrer_slug ja aikaleima. Tämä kirjoitus on fire-and-forget: jos analytiikkakirjaus epäonnistuu, käyttäjän suunnitelma palautetaan silti.
  5. Jos käyttäjä valitsee "Tallenna ja avaa puhelimella", palvelu tallentaa koko suunnitelma-JSONin ja tyhjän tarkistuslistan tilan saved_plans-tauluun. Jaettava linkki perustuu satunnaiseen UUID-tunnisteeseen.
  6. Jos käyttäjä antaa erillisen suostumuksen perunkirjoituksen määräaikamuistutuksiin, saved_plans-riville lisätään sähköpostiosoite, suostumusmerkintä, kuolinpäiväarvio ja poistopäivä. Resend lähettää sähköpostimuistutukset 30, 14 ja 7 päivää ennen määräaikaa. reminder_log kirjaa lähetetyt muistutusaallot duplikaattien estämiseksi.
  7. /ask-sivu tallentaa väärinkäytön seurantaan istuntokohtaisen kysymysrivin questions-tauluun. Kentät ovat selainkohtainen session_id, käyttäjän kysymysteksti, vastauksen pituus ja aikaleima. Koska kysymysteksti on käyttäjän vapaasti kirjoittama, siinä voi olla henkilötietoja, vaikka palvelu ohjaa olemaan syöttämättä niitä.

Tiedon minimointi

  • Oletuskäyttö on anonyymi: ei käyttäjätiliä, nimeä, henkilötunnusta tai virallisia asiakastunnisteita.
  • Lomakkeet kysyvät vain suunnitelman laskemiseen tarvittavat tiedot, kuten tapahtumatyypin, kunnan, kielen ja tilanteen kannalta rajatut taustakysymykset.
  • Suunnitelma säilyy ensisijaisesti käyttäjän selaimen sessionStorage-muistissa.
  • Jaettava suunnitelma tallennetaan Supabaseen vain käyttäjän erillisestä toiminnosta.
  • Sähköposti tallennetaan vain määräaikamuistutusten nimenomaisella suostumuksella.
  • Palvelu ei kerää potilastietoja, sosiaalihuollon asiakasasiakirjoja, henkilötunnuksia tai maksutietoja.

Käsittelijät ja alikäsittelijät

PalveluntarjoajaRooliHuomio
VercelSovelluksen hosting ja tuotantoympäristöRegion: Ruotsi (eu-north-1).
SupabaseTietokanta analytiikalle, jaetuille suunnitelmille ja muistutuksilleRegion: Ruotsi (eu-north-1). RLS-politiikat ja anon-oikeudet tulee liittää hankintaliitteeseen.
AnthropicAI-yhteenvedot ja tietopuutteiden ohjeistusAPI-käsittely. Promptit voivat siirtyä Yhdysvaltoihin Anthropicin ehtojen mukaisesti, ellei EU-käsittelyä erikseen vahvisteta.
ResendTransaktionaaliset sähköpostimuistutuksetKäytössä vain, jos käyttäjä antaa muistutussuostumuksen.
Vercel AnalyticsEvästeetön käyttöanalytiikkaAggregoitu sivuston käyttöanalytiikka, ei käyttäjätiliä.

Liitä virallinen käsittelijäluettelo, DPA-linkit ja tietojensiirtomekanismit ennen hankintakäyttöä.

Säilytys ja poisto

  • Selainistunto: suunnitelma tallennetaan käyttäjän selaimen sessionStorage-muistiin ja poistuu, kun selain tai välilehden istunto tyhjennetään.
  • plans-analytiikkarivit: nykyinen tietosuojaseloste määrittää käyttötilastojen säilytysajaksi 24 kuukautta.
  • saved_plans: jaettava suunnitelma säilytetään tällä hetkellä ilman koodissa näkyvää automaattista poistotyötä. Lisää tai dokumentoi tuotannon poistoprosessi ennen hankintakäyttöä.
  • Muistutussähköposti: muistutussuostumuksen yhteydessä riville asetetaan reminder_delete_after, joka on 12 kuukautta suostumuksesta.
  • reminder_log: kirjaa lähetetyt muistutukset. Tavoitesäilytys on 12 kuukautta toimitusauditointia varten.
  • /ask-kysymyslokit: säilytysaika TODO. Koska kenttä voi sisältää käyttäjän itse kirjoittamia henkilötietoja, säilytysaika tulee määrittää ennen laajempaa julkisen sektorin käyttöönottoa.

Tietosuojavastaava

Lisää varsinaisen tietosuojavastaavan tai tietosuojayhteyshenkilön nimi, sähköposti ja postiosoitte.

Väliaikainen yhteyspiste tietosuoja-asioissa: info@elamantilanne.fi.

DPIA-yhteenveto

  • Käsittelyn kohde: yleisluonteinen elämäntilanneopastus, jonka tarkoitus on auttaa kansalaista hahmottamaan määräajat, etuudet, viranomaisasiointi ja paikalliset palvelut.
  • Rekisteröityjen ryhmät: palvelua käyttävät kansalaiset ja mahdollisesti heidän läheisensä.
  • Henkilötietojen luokat: kunta, kieli, tapahtumatyyppi, elämäntilanteen rajatut lomakevastaukset, vapaaehtoinen sähköposti muistutuksiin ja mahdollinen vapaatekstikysymys /ask-sivulla.
  • Erityiset henkilötietoryhmät: palvelu ei pyydä potilasasiakirjoja tai diagnooseja. Käyttäjä voi kuitenkin itse syöttää terveydentilaan liittyviä tietoja esimerkiksi sairaus- tai työkyvyttömyystilanteessa tai vapaatekstikysymyksessä.
  • Automaattinen päätöksenteko: ei. Palvelu ei tee viranomaispäätöksiä, etuuspäätöksiä, profilointia tai oikeusvaikutteisia ratkaisuja.
  • AI:n rooli: AI tuottaa sanallisen yhteenvedon ja vain erikseen merkittyä lisäohjeistusta tietopuutteisiin. Laskennalliset faktat, määräajat ja lakiviitteet tulevat koodista ja paikallisista tietolähteistä.
  • Riskiarvio: matala tai kohtalainen nykyisessä demokäytössä, koska oletuskäyttö on anonyymi eikä palvelu kysy virallisia tunnisteita. Riski kasvaa, jos käyttäjä kirjoittaa vapaatekstiin arkaluonteisia tietoja tai jos hyvinvointialue ottaa käyttöön ammattilaisen työtilan.
  • Keskeiset lieventävät toimet: tiedon minimointi, ei kirjautumista, ei henkilötunnuksia, AI-sisällön erottelu faktalaskennasta, viranomaisvarmistuksen caveat tietopuutteissa ja vapaaehtoinen sähköpostin tallennus vain muistutuksiin.

Saavutettavuus

TODO: WCAG 2.1 AA -auditointia ei ole vielä tehty. Saavutettavuusseloste lisätään osoitteeseen /saavutettavuus toteutuksen jälkeen.

Tarkemmat tiedot

  • /tietosuoja — tietosuojaseloste
  • /kayttoehdot — käyttöehdot
  • DPA-liitteet: toimitetaan tarvittaessa
  • ROPA / käsittelytoimien seloste: toimitetaan tarvittaessa
  • Virallinen alikäsittelijäluettelo: toimitetaan tarvittaessa
  • Supabase RLS -politiikkojen yhteenveto: toimitetaan tarvittaessa