Matkustamista EU:ssa covid-19-pandemian aikana helpottavat välineet Tarkoituksenmukaisia aloitteita, joiden vaikutukset vaihtelevat onnistumisista vähäiseen käyttöön

Tiivistelmä

I Sen jälkeen, kun ensimmäiset covid-19-tapaukset havaittiin EU:ssa, jäsenvaltiot alkoivat maaliskuussa 2020 asettaa matkustuskieltoja ja muita rajoituksia, jotka vaikuttivat kansalaisten vapaaseen liikkuvuuteen. Komissio kehitti neljä välinettä helpottaakseen matkustamista ja auttaakseen covid-19-tapausten jäljittämisessä:

• EU:n yhdyskäytäväpalvelu – yhdyskäytävä kansallisten jäljityssovellusten EU:n laajuisen yhteentoimivuuden varmistamiseen
• EU:n sähköinen matkustajalomake – paperilomakkeet korvaava väline, jota käytetään kontaktien jäljitystietojen keräämiseen matkan aikana
• EU:n digitaalinen koronatodistus – todistus covid-19-rokotuksesta, parantumisesta tai negatiivisesta testituloksesta
• matkustajalomakkeita varten luotu tietojenvaihtoalusta – ratkaisu, jonka avulla eri jäsenvaltioiden kansalliset viranomaiset voivat vaihtaa kontaktien jäljitystietoja keskenään.

II Tämän tarkastuksen tavoitteena oli selvittää, oliko komissio kehittänyt vaikuttavia välineitä matkustamisen helpottamiseen EU:ssa covid-19-pandemian aikana. Tilintarkastustuomioistuimen tarkoituksena oli näin ollen kartoittaa esimerkkejä hyvistä käytännöistä ja parantamista vaativista osa-alueista koskien tapaa, jolla komissio kehittää tietoteknisiä välineitä helpottamaan vapaata liikkuvuutta terveyskriisin aikana. Tämä tarkastus täydentää tilintarkastustuomioistuimen erityiskertomusta 13/2022, jossa arvioidaan, toteuttiko komissio vaikuttavia toimia suojatakseen ihmisten oikeutta vapaaseen liikkuvuuteen covid-19-pandemian aikana.

III Tilintarkastustuomioistuin toteaa, että vaikka komission toimivalta kansanterveyspolitiikan alalla on rajallinen, komissio ehdotti nopeasti sopivia teknologisia ratkaisuja matkustamisen helpottamiseen EU:ssa covid-19-pandemian aikana. Näiden välineiden käyttö vaihteli kuitenkin huomattavasti eri jäsenvaltioissa, joten välineiden vaikutus matkustamisen helpottamiseen oli epätasaista.

IV Komissio otti nopeasti käyttöön 71 miljoonaa euroa välineiden kehittämistä varten yhdistämällä useita rahoituslähteitä ja käyttämällä olemassa olevia puitesopimuksia julkisten tarjouskilpailumenettelyjen sijaan. Kontaktien jäljityspalvelu tuli saataville pian pandemian alettua. EU:n digitaalinen koronatodistus saatiin käyttöön, kun rokotustoimia oltiin tehostamassa kaikkialla Euroopassa. Näitä välineitä koskeva tekninen ja lainsäädännöllinen työ sujui nopeasti. Useat jäsenvaltiot olivat kuitenkin jo kehittäneet omat sähköiset matkustajalomakkeensa ennen kuin EU:n matkustajalomakeratkaisu tuli saataville.

V Komissio otti välineitä suunnitellessaan huomioon tietosuojavaatimukset ja hyvät tietoturvakäytännöt. Komissiolla ei kuitenkaan ollut valtuuksia tarkistaa, noudattivatko EU:n digitaalista koronatodistusta koskevaa välinettä käyttävät maat tietoturvaa koskevia vaatimuksia.

VI EU:n digitaalinen koronatodistus helpotti vaikuttavasti matkustamista ja paransi matkustusrajoituksia koskevaa tiedonvaihtoa ja koordinointia. Jäsenvaltiot ja useat EU:n ulkopuoliset maat käyttivät EU:n digitaalista koronatodistusjärjestelmää laajalti, ja maaliskuuhun 2022 mennessä EU:ssa ja Euroopan talousalueen (ETA) valtioissa oli myönnetty yli 1,7 miljardia todistusta. Lisäksi jäsenvaltiot olivat kuukauden kuluessa EU:n digitaalisia koronatodistuksia koskevan asetuksen voimaantulosta yhdenmukaistaneet matkustusrajoituksiaan huomattavasti. Tilintarkastustuomioistuin havaitsi kuitenkin, että järjestelyt, joiden avulla maat voivat ilmoittaa toisilleen kiireellisiä toimia edellyttävistä tapauksista (esim. vilpilliset todistukset), olivat aikaavieviä, koska oikeiden vastapuolten löytäminen muista maista oli vaikeaa.

VII Muilla tilintarkastustuomioistuimen tarkastamilla välineillä ei ollut toivottua vaikutusta, koska niiden käyttö oli vähäistä. Vain neljä jäsenvaltiota käytti EU:n sähköistä matkustajalomaketta, kun taas muut maat turvautuivat yhä kansallisiin ratkaisuihin. Lomakkeiden vaihtamiseen tarkoitetun alustan ja kontaktien jäljityspalvelun käyttö oli yleisesti ottaen edelleen vähäistä.

VIII Edellä esitettyjen johtopäätösten perusteella tilintarkastustuomioistuin suosittaa, että komissio

• analysoi ja käsittelee syitä EU:n sähköisten matkustajalomakkeiden vähäiseen käyttöön
• virtaviivaistaa viestintää EU:n digitaalisiin koronatodistuksiin liittyvistä tapahtumista
• valmistelee tarkoituksenmukaisia EU:n välineitä tulevia kriisejä varten.

Johdanto

01 Henkilöiden vapaalla liikkuvuudella tarkoitetaan EU:n kansalaisten ja heidän perheenjäsentensä oikeutta liikkua ja oleskella vapaasti EU:n jäsenvaltioiden alueella. Henkilöiden vapaa liikkuvuus on yksi EU:n neljästä perusvapaudesta (tavaroiden, palvelujen ja pääoman vapaan liikkuvuuden lisäksi), ja se on ollut alusta lähtien Euroopan yhdentymishankkeen keskiössä¹. Vapaata liikkuvuutta koskevassa direktiivissä² säädetään sovellettavista edellytyksistä ja rajoituksista.

02 Kansanterveyden suojaaminen kuuluu kansalliseen toimivaltaan³. Euroopan komissiolla on näin ollen vain vähäiset mahdollisuudet vaikuttaa terveyspolitiikkaan, ja se keskittyy pääasiassa koordinointiin⁴. Komissio voi tukea ja täydentää jäsenvaltioiden toimia, sillä niillä on huomattavan laaja toimivalta määritellä omat terveyspolitiikkansa⁵.

03 Sen jälkeen, kun ensimmäiset covid-19-tapaukset oli havaittu, jäsenvaltiot alkoivat maaliskuussa 2020 asettaa rajatarkastuksia ja rajoituksia kansalaisten vapaalle liikkuvuudelle pandemian leviämisen rajoittamiseksi. Komission vastuulla oli kuitenkin seurata, olivatko nämä rajoitukset vapaata liikkuvuutta koskevan EU:n lainsäädännön mukaisia. Komissio teki useita aloitteita, joilla pyrittiin tukemaan jäsenvaltioiden välistä koordinointia. Tarkoituksena oli rajoittaa covid-19-pandemiaan liittyvien toimenpiteiden vaikutusta vapaaseen liikkuvuuteen.

04 Komissio kehitti myös seuraavat välineet helpottaakseen matkustamista ja auttaakseen positiivisten covid-19-tapausten jäljittämisessä (ks. välineiden tarkka kuvaus liitteessä I):

• kontaktien jäljityspalvelu: EU:n yhdyskäytäväpalvelu
• EU:n sähköinen matkustajalomake (EUdPLF)
• EU:n digitaalinen koronatodistus
• matkustajalomakkeita varten luotu tietojenvaihtoalusta.

05 Kontaktien jäljityssovellukset, joissa käyttäjille ilmoitetaan nimettömästi, että he ovat saattaneet olla tekemisissä tartunnan saaneen henkilön kanssa, olivat yksi ensimmäisistä saatavilla olevista välineistä. Komissio kehitti yhteyden eri jäsenvaltioiden jäljityssovellusten välille, ja näin EU:n sisäisen matkustamisen helpottamisesta tuli yksi niiden lisähyödyistä.

06 Pandemian aikana matkustajia pyydettiin antamaan omat yhteys- ja sijaintitietonsa asiaankuuluville kansallisille viranomaisille lähetettävillä matkustajalomakkeilla, jotta helpotettaisiin kontaktien jäljittämistä matkan aikana. Viranomaiset käyttivät kyseisiä lomakkeita ottaakseen yhteyttä matkustajiin, jotka olivat istuneet lähellä positiivisen testituloksen saanutta henkilöä, ja kehottivat heitä käymään covid-19-testissä ja noudattamaan varotoimenpiteitä.Komissio kehitti EU:n sähköisen matkustajalomakkeen helpottaakseen kansallisten lomakkeiden käyttöä rajatylittävissä terveyskriiseissä, kuten covid-19-kriisissä. EU:n kolmanteen terveysalan toimintaohjelmaan (2014–2020) sisältyi EU Healthy Gateways -niminen yhteistoimi, joka oli jo ennen covid-19-pandemian puhkeamista alkanut kehittää paperilomakkeita meri- ja maaliikennettä varten kansainvälisiä lomakemalleja käyttäen. EU Healthy Gateways -yhteistoimea käytettiin myöhemmin matkustajalomakkeiden digitalisoinnin tukemisessa.

07 Komissio kehitti myös EU:n digitaalisen koronatodistuksen, joka antoi todennettavissa olevan ja yhteisesti hyväksytyn näytön siitä, että haltija oli saanut covid-19-rokotuksen tai saanut äskettäin negatiivisen testituloksen tai parantunut covid-19-taudista. Jäsenvaltiot olivat velvollisia hyväksymään tämän todistuksen, kun ne päättivät covid-19-pandemian aikana vaatia matkustajilta rokotusta, negatiivista testitulosta tai parantumista koskevan todisteen esittämistä.

08 Viimeisin komission kehittämä väline oli alusta matkustajalomakkeiden vaihtamiseen jäsenvaltioiden välillä. Alustan avulla kontaktien jäljitystiimit pystyivät vaihtamaan lomakkeita sähköisesti keskenään, mikä lyhensi aikaa, joka kului tiedottamiseen taudille altistuneille matkustajille.

09 Välineiden kehittämiseen osallistui useita komission yksiköitä. Terveyden ja elintarviketurvallisuuden pääosasto sekä viestintäverkkojen, sisältöjen ja teknologian pääosasto olivat kontaktien jäljityspalvelun järjestelmävastaavia. Nämä kaksi pääosastoa johtivat myös EU:n digitaalisen koronatodistuksen kehittämistä yhdessä oikeus- ja kuluttaja-asioiden pääosaston ja muuttoliike- ja sisäasioiden pääosaston kanssa. Lisäksi tietotekniikan pääosasto tarjosi tarvittavan tietoteknisen infrastruktuurin.

10 Jäsenvaltiot osallistuivat näiden välineiden kehittämiseen pääasiassa sähköisten terveyspalvelujen verkoston kautta (ks. laatikko 1). Kehittämiseen osallistui myös EU:n virastoja, kuten Euroopan tautienehkäisy- ja -valvontakeskus ja Euroopan lääkevirasto. Jäsenvaltiot koordinoivat matkustajalomakevälineiden kehittämistä yhteistoimena, jota rahoitettiin EU:n kolmannesta terveysohjelmasta, Euroopan unionin lentoturvallisuusvirastosta sekä liikenteen ja liikkumisen pääosastosta.

11 EU:n välineiden tarkoitus oli ainutlaatuinen, joten niiden kehitysvaiheessa ei ollut olemassa muita järjestelmiä, joihin niitä olisi voitu verrata. Oli tärkeää, että kaikki jäsenvaltiot ottaisivat edellä kuvatut EU:n välineet käyttöön, jotta niillä voitaisiin mahdollisimman vaikuttavasti helpottaa matkustamista covid-19-pandemian aikana. Tällöin jäsenvaltiot käyttäisivät terveystietoja matkustamisen hallintaan EU:ssa johdonmukaisesti ja jäsenvaltioiden matkustusrajoitukset olisivat koordinoituja.

12 Sen lisäksi, että komissio myönsi 71 miljoonaa euroa tietoteknisten välineiden kehittämiseen, se asetti jäsenvaltioiden käyttöön 100 miljoonaa euroa auttaakseen niitä selviytymään covid-19-testien aiheuttamasta taloudellisesta rasitteesta. Testien ja rokotusten lisääntyminen puolestaan lisäsi myönnettyjen EU:n digitaalisten koronatodistusten määrää. EU:n sisäisessä rajatylittävässä matkustamisessa voidaan käyttää joitakin tai kaikkia näistä välineistä (ks. kuvaus kaaviossa 1).

Tarkastuksen laajuus ja tarkastustapa

13 Tämä tarkastus täydentää tilintarkastustuomioistuimen aiempaa erityiskertomusta⁷, jossa arvioitiin, toteuttiko komissio vaikuttavia toimia suojatakseen henkilöiden oikeutta vapaaseen liikkuvuuteen covid-19-pandemian aikana. Ensimmäisessä kertomuksessa perehdyttiin siihen, kuinka komissio valvoi Schengen-alueen sisärajatarkastuksia ja niiden yhteydessä sovellettuja matkustusrajoituksia sekä EU-tason koordinointitoimia.

14 Tilintarkastustuomioistuimen toisen tarkastuksen tavoitteena oli arvioida, oliko komissio kehittänyt vaikuttavia välineitä EU:ssa matkustamisen helpottamiseen covid-19-pandemian aikana. Tämän tarkastuksen tavoitteena oli kartoittaa esimerkkejä hyvistä käytännöistä ja parantamista vaativista osa-alueista koskien tapaa, jolla komissio kehittää tietoteknisiä välineitä helpottamaan vapaata liikkuvuutta terveyskriisien aikana. Voidakseen vastata tarkastuksen pääkysymykseen tilintarkastustuomioistuin esitti seuraavat kaksi alakysymystä:

• Kehittikö komissio EU:n välineitä asianmukaisesti matkustamisen helpottamista varten?
• Ovatko jäsenvaltiot hyödyntäneet EU:n välineitä laajalti, ja onko tämä parantanut koordinointia ja tiedonvaihtoa matkustusrajoituksista?

15 Tämä tarkastus kattaa lokakuun 2020 ja kesäkuun 2022 välisen ajanjakson, ja tarkastuksessa keskitytään kohdassa 04 lueteltuihin neljään EU:n välineeseen, niihin liittyvä EU:n rahoitus mukaan lukien. Tarkastus ei kata covid-19-rokotuksiin myönnettyä EU:n rahoitusta, jota tilintarkastustuomioistuin arvioi aiemmin EU:n covid-19-rokotehankintoja koskevassa erityiskertomuksessaan⁸.

16 Tarkastus tehtiin asiakirjatarkastusten, kirjallisten kyselyiden ja asiaankuuluvien sidosryhmien haastattelujen avulla. Tilintarkastustuomioistuin tutki ja analysoi

• relevanttia EU:n lainsäädäntöä selvittääkseen säädösten keskeiset vaatimukset ja eri toimijoiden vastuut
• komission sisäisiä asiakirjoja, jotka liittyvät EU:n digitaalisen koronatodistuksen, EU:n yhdyskäytäväpalvelun, EU:n sähköisen matkustajalomakkeen (EUdPLF) sekä matkustajalomakkeita varten luodun tietojenvaihtoalustan tekniseen kehittämiseen ja oikeudelliseen hyväksymiseen
• komission julkaisuja, jotka liittyvät matkustamiseen covid-19-pandemian aikana, kuten ohjeita, tiedotteita, ehdotuksia suosituksiksi tai säädösehdotuksia
• välineiden tekniset tiedot, turvallisuuden ja riskien arvioinnit, tunkeutumistestiraportit ja tietoturvasuunnitelmat, jotta tilintarkastustuomioistuimen tietotekniikka-asiantuntijat voivat tarkistaa, täyttivätkö välineet turvavaatimukset.

17 Tilintarkastustuomioistuin hankki evidenssiä sekä vahvisti tosiseikkoja ja muista lähteistä kerättyjä tietoja haastattelemalla

• komission oikeus- ja kuluttaja-asioiden, liikenteen ja liikkumisen, terveyden ja elintarviketurvallisuuden sekä viestintäverkkojen, sisältöjen ja teknologian pääosastoja
• Euroopan tautienehkäisy- ja -valvontakeskusta, jonka vastuualueisiin kuuluvat koronaa koskevat riskikartat ja ohjeet
• terveysviranomaisia jäsenvaltioissa ja EU:n ulkopuolisissa maissa
• lentoyhtiöiden, matkailualan ja kuluttajajärjestöjen edustajia.

18 Lisäksi tilintarkastustuomioistuin teki kyselytutkimuksen kerätäkseen palautetta tällaisten välineiden käytöstä kussakin jäsenvaltiossa. Niistä jäsenvaltioiden 27 edustajasta, jotka muodostavat neuvoston poliittisen kriisitoiminnan integroidun mekanismin, 13 vastasi tilintarkastustuomioistuimen kyselyyn. Vastausaste oli näin ollen 48 prosenttia. Tilintarkastustuomioistuin käytti tätä kyselyä analyysinsä ja havaintojensa tukena.

Huomautukset

Komissio kehitti soveltuvia teknologisia ratkaisuja, mutta jäsenvaltiot eivät aina ottaneet niitä käyttöön

19 Tässä osiossa tutkitaan, kehittikö komissio välineet asianmukaisesti matkustamisen helpottamiseksi covid-19-pandemian aikana. Huomiota kiinnitetään erityisesti siihen,

1. mobilisoiko komissio EU:n varoja nopeasti pandemian alkamisen jälkeen
2. toteuttiko komissio välineet oikea-aikaisesti
3. ottiko komissio huomioon jäsenvaltioiden tarpeet ja halukkuuden käyttää välineitä
4. ottiko komissio huomioon arkaluonteisiin terveystietoihin liittyvät tietoturvaa ja yksityisyyttä koskevat kysymykset.

20 Tilintarkastustuomioistuin selvitti, oliko komissio voinut rahoituslähteitä ja palveluntarjoajia koskevien valintojensa ansiosta aloittaa välineiden kehittämisen välittömästi pandemian alkamisen jälkeen. Lisäksi tilintarkastustuomioistuin tutki kuulemisprosessia arvioidakseen, vastasivatko välineet jäsenvaltioiden prioriteetteja. Lopuksi tilintarkastustuomioistuin arvioi, olivatko välineet henkilötietojen suojaa ja tietoturvaa koskevien parhaiden käytäntöjen mukaisia.

Komissio mobilisoi nopeasti EU:n varoja välineitä varten

21 Komissio mobilisoi EU:n varoja eri lähteistä, kuten hätätilanteen tukivälineestä ja Digitaalinen Eurooppa -ohjelmasta. EU myönsi 71 miljoonaa euroa välineiden kehittämiseen. Kaaviossa 2 on esitetty visuaalinen yhteenveto välineitä varten myönnetystä EU:n rahoituksesta.

22 EU:n myöntämä rahoitus EU:n digitaalista koronatodistusta varten oli yhteensä 50 miljoonaa euroa (43 miljoonaa euroa hätätilanteen tukivälineestä ja 7 miljoonaa euroa Digitaalinen Eurooppa -ohjelmasta). Maaliskuuhun 2022 mennessä 77 prosenttia määrärahoista oli osoitettu kansallisten ratkaisujen kehittämiseen ja mukauttamiseen sekä ratkaisujen liittämiseen EU:n palveluväylään: yksityiselle toimeksisaajalle osoitettiin 21,9 miljoonaa euroa ja jäsenvaltioille maksettiin avustuksina 16,7 miljoonaa euroa.

23 EU osoitti kontaktien jäljityspalvelua varten yhteensä noin 16,8 miljoonaa euroa (13 miljoonaa euroa hätätilanteen tukivälineestä). Komissio perusteli tätä rahoitusta tarpeella helpottaa maiden välistä tiedonvaihtoa, jotta kansalliset sovellukset voisivat lähettää ilmoituksen käyttäjille, jotka ovat altistuneet positiivisen covid-19-testituloksen saaneelle toisen maan sovelluksen käyttäjälle.

24 Matkustajalomakkeita varten luotu tietojenvaihtoalusta ja EU:n sähköinen matkustajalomake edellyttivät huomattavasti vähemmän EU:n rahoitusta: tietojenvaihtoalustaa varten osoitettiin noin 2,9 miljoonaa euroa (pääosin hätätilanteen tukivälineestä) ja sähköisiä lomakkeita varten 1,3 miljoonaa euroa (EU:n terveysohjelmasta saadulla rahoituksella). Tietojenvaihtoalustaa varten osoitettu rahoitus käytettiin pilottihankkeen rahoittamiseen, jossa testattiin alustan käyttökelpoisuutta, ja laajentamaan alustaa kattamaan useampia jäsenvaltioita ja liikennemuotoja. Matkustajalomakkeiden digitaalisen version rahoitusta käytettiin välineen kehittämiseen, pilvi-isännöintiin ja siirtämiseen Euroopan komission tietotekniseen ympäristöön.

25 Lisäksi EU:n digitaalisen koronatodistuksen käyttöönoton jälkeen EU asetti saataville 100 miljoonaa euroa jäsenvaltioissa tapahtuvan covid-19-testauksen tukemiseen⁹. Rahoitus myönnettiin sen jälkeen, kun Euroopan parlamentti ja neuvosto olivat tehneet poliittisen sopimuksen 20. toukokuuta 2021 EU:n digitaalista koronatodistusta koskevasta asetuksesta. Jäsenvaltiot käyttivät suurimman osan (90 prosenttia) näistä määrärahoista, jotka mahdollistivat testaamiseen perustuvien lisätodistusten myöntämisen matkustamisen helpottamiseksi.

26 Tilintarkastustuomioistuin havaitsi, että komissio oli mobilisoinut tämän rahoituksen nopeasti ja omaksunut käytännöllisen lähestymistavan kehittääkseen välineitä, jotka saadaan käyttöön nopeasti. Välineet kehitettiin kiireellisesti pyytämättä tarjouksia eri toimeksisaajilta. Komissio ei käyttänyt lisenssien hankkimiseen sekä kontaktien jäljityspalvelun, EU:n digitaalisten todistusten ja matkustajalomakkeiden vaihtamiseen tarkoitetun tietojenvaihtoalustan kehittämiseen tarjouskilpailuja. Sen sijaan komissio käytti puitesopimuksia, jotka se oli jo allekirjoittanut tietotekniikkapalvelujen tarjoajan kanssa 30. lokakuuta 2019 ja 24. helmikuuta 2020. Puitesopimuksissa määritetään kauppasuhteen yleiset ehdot ja luodaan perusta yksittäisiä toimituksia koskevien erillissopimusten allekirjoittamiselle. EU:n sähköisten matkustajalomakkeiden ensimmäinen rahoitus otettiin käyttöön heinäkuussa 2020 EU Healthy Gateways -yhteistoimen puitteissa kohdentamalla uudelleen varoja sellaisista toimista, jotka eivät olleet pandemian vuoksi mahdollisia.

27 EU:n digitaalisen koronatodistuksen osalta komissio ei julkaissut hankintailmoitusta vaan valitsi toimittajan käyttäen puitesopimusta, joka tehtiin vuonna 2019 käynnistetyssä neuvottelumenettelyssä. Komission mukaan valitulla toimittajalla oli kokemusta kontaktien jäljityspalvelun kehittämisestä ja se oli ainoa toimittaja, jolla oli tarvittava asiantuntemus EU:n digitaalista koronatodistusta varten käytettävistä ohjelmistoista.

Komissio kehitti kontaktien jäljityspalvelun ja EU:n digitaalisen koronatodistusjärjestelmän hyvissä ajoin, mutta matkustajalomakkeiden osalta kansalliset ratkaisut olivat saatavilla EU:n ratkaisuja aiemmin

28 Kun Maailman terveysjärjestö julisti covid-19-kriisin pandemiaksi maaliskuussa 2020, jäsenvaltiot alkoivat asettaa rajoituksia vapaalle liikkuvuudelle¹⁰, ja komissio alkoi antaa ohjeita jäsenvaltioiden välisen koordinoinnin helpottamiseksi¹¹. Kontaktien jäljityspalvelu otettiin käyttöön, kun pandemian julistamisesta oli kulunut seitsemän kuukautta. EU:n digitaalinen koronatodistus ja matkustajalomake tulivat puolestaan käyttöön 15 kuukautta pandemian julistamisen jälkeen. Kaaviossa 3 esitetään välineiden suunnittelun ja käyttöönoton aikataulu. Ottaen huomioon näiden välineiden oikeudelliset ja tekniset vaatimukset, joita kuvataan jäljempänä, tilintarkastustuomioistuin katsoo, että kehittäminen tapahtui oikea-aikaisesti kontaktien jäljityspalvelun ja EU:n digitaalisen koronatodistuksen osalta mutta ei matkustajalomakkeisiin liittyvien välineiden osalta.

29 Ensimmäinen kehitetty työkalu oli kontaktien jäljityspalvelu. Se on EU:n laajuinen järjestelmä, jolla varmistetaan kansallisten kontaktien jäljityssovellusten yhteentoimivuus. Komissio antoi 13. toukokuuta 2020 suuntaviivoja ja suosituksia¹², joiden tarkoituksena oli auttaa asteittain poistamaan jäsenvaltioiden asettamat matkustusrajoitukset. Suuntaviivoissa kannustettiin käyttämään teknologiaa tähän tarkoitukseen. Jäljityspalvelu otettiin käyttöön lokakuussa 2020, viisi kuukautta sen jälkeen, kun komissio oli julkaissut suuntaviivat.

30 Huhtikuun 2020 lopussa, vain kuukausi ensimmäisten rajoitusten asettamisen jälkeen, EU Healthy Gateways -yhteistoimessa tehtiin ehdotus komissiolle matkustajalomakkeiden digitoinnista. Komission ja jäsenvaltioiden väliset keskustelut kestivät kuitenkin useita kuukausia, ja ehdotus hyväksyttiin vasta elokuussa 2020. Neuvosto suositti¹³ lokakuussa 2020 EU:n yhteisen sähköisen matkustajalomakkeen kehittämistä. Tähän mennessä useat jäsenvaltiot olivat jo edistyneet omien kansallisten ratkaisujensa kehittämisessä (ks. taulukko 1).

31 Neuvoston suosituksen mukaisesti komissio aloitti marraskuussa 2020 matkustajalomakkeita varten tarkoitetun tietojenvaihtoalustan kehittämisen. Matkustajalomakkeiden vaihtoa koskeva komission täytäntöönpanopäätös¹⁴ hyväksyttiin kuitenkin vasta 27. toukokuuta 2021. Jäsenvaltiot pystyivät aloittamaan sähköisten lomakkeiden vaihdon alustalla käytännössä vasta heinäkuussa 2021.

32 EU:n digitaalinen koronatodistus oli neljäs komission kehittämä väline. Sitä alettiin kehittää muita välineitä myöhemmin, sillä se liittyi tiiviisti EU:n rokotusprosessiin. Covid-19-rokotustodistuksesta oli käyty keskusteluja komission ja jäsenvaltioiden välillä marraskuusta 2020 lähtien sähköisten terveyspalvelujen verkostossa¹⁵ (ks. laatikko 1), jossa Viro esitteli ensimmäisen kokeilun digitaalisesti todennettavissa olevasta rokotustodistuksesta.

33 Euroopan lääkevirasto suositteli 21. joulukuuta 2020 ensimmäistä rokotetta hyväksyttäväksi, ja muutamaa päivää myöhemmin ensimmäiset rokotukset aloitettiin eri puolilla EU:ta. Kuukautta myöhemmin, 28. tammikuuta 2021, EU-maat hyväksyivät perussuuntaviivat lääketieteellisiin tarkoituksiin annettavaa rokotetta koskevasta yhteentoimivasta todisteesta¹⁶, yksilöllisestä todistustunnisteesta ja luottamuskehyksen periaatteista.

34 Euroopan parlamentti ja neuvosto saavuttivat 20. toukokuuta 2021 poliittisen yhteisymmärryksen EU:n digitaalista koronatodistusta koskevasta asetuksesta, ja järjestelmän täytäntöönpanon määräajaksi asetettiin kesäkuun loppu. Sen vuoksi komission oli tehtävä teknistä kehitystyötä samanaikaisesti asetusta koskevan lainsäädäntötyön kanssa¹⁷. Komissio otti teknistä rakennetta suunnitellessaan huomioon aiemmat kokemukset kontaktien jäljityspalvelusta. Siten se pystyi nopeuttamaan välineen kehittämistä. Komissio viimeisteli säädösehdotuksensa 17. maaliskuuta 2021¹⁸. Seitsemän maata aloitti EU:n digitaalisen todistuksen käytön 1. kesäkuuta 2021 eli kuukautta ennen asetuksen voimaantuloa. Asetuksen ansiosta EU:n kansalaisilla ja asukkailla oli käytettävissään todistus, joka voidaan myöntää, tarkastaa ja hyväksyä kaikkialla EU:ssa. Heinäkuun 1. päivään mennessä EU:n palveluväylään olivat liittyneet kaikki EU:n/ETAn jäsenvaltiot (paitsi Irlanti, joka liittyi 14. heinäkuuta 2021 sen kansallisen terveydenhuoltojärjestelmän jouduttua toukokuussa 2021 kyberhyökkäyksen kohteeksi).

35 Euroopan parlamentti ja neuvosto hyväksyivät asetuksen 14. kesäkuuta 2021 eli alle kolme kuukautta alkuperäisen ehdotuksen¹⁹ jälkeen. Tämä kävi hyvin nopeasti verrattuna ensimmäisessä käsittelyssä hyväksyttyjen EU:n säädösten lainsäädäntömenettelyn keskimääräiseen kestoon, joka on hieman alle 18 kuukautta²⁰. Näin ollen EU:n digitaalinen koronatodistus voitiin ottaa käyttöön juuri kesälomakauden alkaessa ja kun rokotustoimia oltiin tehostamassa koko Euroopassa. EU sai 10. heinäkuuta 2021 riittävästi rokotteita voidakseen rokottaa 71 prosenttia aikuisväestöstä.

Komissio ei joitakin välineitä kehittäessään onnistunut poistamaan tiettyjen jäsenvaltioiden varaumia

36 Tarve toimittaa välineet nopeasti ja helpottaa matkustamista covid-19-pandemian aikana oli syynä siihen, että komissio aloitti välineiden kehittämisen tekemättä ensin vaikutustenarviointeja. Tällaisia arviointeja käytetään määritettäessä julkisen toimintapolitiikan todennäköisiä vaikutuksia ja sitä, tarvitaanko EU:n toimia. EU:n paremman sääntelyn suuntaviivoissa²¹ edellytetään, että komissio tekee tavanomaisissa olosuhteissa ennen minkä tahansa uuden sääntelyn laatimista toimintapolitiikan vaikutustenarvioinnin. Suuntaviivoissa kuitenkin myös todetaan, että poikkeuksellisissa olosuhteissa, kuten nopeita toimia edellyttävässä hätätilanteessa, ei ehkä ole mahdollista tai asianmukaista noudattaa kaikkia suuntaviivoissa määritettyjä vaiheita.

37 Vaikka komissio ei tehnyt vaikutustenarviointia, se kuuli jäsenvaltioita työryhmien välityksellä kontaktien jäljityspalvelusta ja digitaalisesta todentamisratkaisusta. Sähköisten terveyspalvelujen verkostoon kuuluva tekninen alaryhmä analysoi jo joulukuussa 2020 vaihtoehtoja digitaalisten rokotustodistusten tukemiseen ja näiden tietojen jakamisen helpottamiseen jäsenvaltioiden kesken. Komissio ei järjestänyt tällaisia yksityiskohtaisia kuulemisia ennen muiden välineiden kehittämistä. Tilintarkastustuomioistuimen kyselytutkimus vahvisti, että kaikki jäsenvaltiot eivät olleet kiinnostuneita käyttämään kaikkia tilintarkastustuomioistuimen tarkastamia EU:n välineitä.

38 Tilintarkastustuomioistuimen kyselytutkimuksen mukaan lähes puolet niistä 11 jäsenvaltiosta, jotka ilmoittivat, että ne eivät olleet käyttäneet matkustajalomakkeisiin liittyviä välineitä, oli haluttomia tekemään niin tietosuojan ja muiden oikeudellisten kysymysten vuoksi. Kolme jäsenvaltiota huomautti, että ne olivat jo kehittäneet omat kansalliset matkustajalomakkeensa, jotka oli mukautettu niiden omiin tarpeisiin. Maat katsoivat, että EU:n ratkaisuihin siirtymisestä ei olisi mitään hyötyä.

39 Lisäksi lokakuussa 2021 ja maaliskuussa 2022 järjestetyissä Healthy Gateways -kuulemisissa jäsenvaltioiden näkemykset matkustajalomakkeisiin liittyvien välineiden hyödyllisyydestä jakautuivat. Viisi EU:n jäsenvaltiota käytti vähintään yhtä näistä välineistä, ja kymmenen ilmoitti olevansa kiinnostunut käytöstä, mutta 12 jäsenvaltiota ilmoitti, että todennäköisesti ne eivät käyttäisi välineitä. Näistä kaksi (Tanska ja Ruotsi) ilmoitti, että ne eivät olleet kiinnostuneita välineiden käytöstä.

40 Kun kontaktien jäljityspalvelu saatiin käyttöön syyskuussa 2020, kaikki jäsenvaltiot eivät liittyneet sen käyttäjiksi. Jäsenvaltiot liittyivät käyttäjiksi vähitellen riippuen siitä, halusivatko ne tehdä niin ja olivatko niiden sovellukset valmiita. Marraskuun 2020 puoliväliin mennessä kuusi jäsenvaltiota oli liittänyt sovelluksensa palveluun. Muita jäsenvaltioita liittyi vähitellen heinäkuuhun 2021 asti, jolloin 19 jäsenvaltiota oli liittynyt palveluun.

Komissio puuttui tietosuojaongelmiin ja sovelsi hyviä tietoturvakäytäntöjä

41 Terveystietojen hallintavälineitä²² kehitettäessä on otettava huomioon seuraavat kaksi merkittävää riskiä:

1. Tietosuoja: Terveystiedot ovat erittäin arkaluonteisia, ja ne tunnustetaan EU:n yleisessä tietosuoja-asetuksessa erityiseksi tietoryhmäksi²³. Siksi tällaisten tietojen hallinnointiin käytettävien välineiden tulee sisältää erityisiä suojaus- ja valvontatoimintoja tallennettujen ja lähetettyjen tietojen suojaamiseksi. Tilintarkastustuomioistuin tutki välineiden tietosuojaa koskevia vaikutustenarviointeja ja sitä, minimoivatko käytössä olevat prosessit henkilötietojen käsittelyn.
2. Tietoturva: Terveyspalvelujen digitalisointi ja digitaalisten terveystietojen saatavuus lisäävät kyberhäiriöiden riskiä, koska ne tarjoavat mahdollisia uusia pääsyreittejä kyberrikollisille. Tämän vuoksi tilintarkastustuomioistuin arvioi, noudatettiinko välineiden kehittämisessä ja käytössä hyviä turvallisuuskäytäntöjä²⁴.

42 Tietosuojan näkökulmasta osallistuvat jäsenvaltiot ovat EU:n laajuisten sovellusten, kuten kontaktien jäljityspalvelun ja EU:n digitaalisen koronatodistuksen joidenkin erityisominaisuuksien yhteisrekisterinpitäjiä (yleisessä tietosuoja-asetuksessa tarkoitetussa merkityksessä). Ne jakavat vastuun sen päättämisestä, miten ja mihin tarkoituksiin henkilötietoja käsitellään, sekä asianmukaisten valvontatoimien toteuttamisesta. Kunkin jäsenvaltion on laadittava tietosuojaa koskevia vaikutustenarviointeja, jotta voidaan tunnistaa ja lieventää riskejä, joita aiheutuu tällaisten sovellusten käytöstä henkilötietojen käsittelyyn. Komissio, joka toimii jäsenvaltioiden puolesta henkilötietojen käsittelijänä, avusti jäsenvaltioita tässä kertomuksessa käsiteltävien EU:n välineiden tietosuojaa koskevien vaikutustenarviointien laatimisessa toimittamalla todentavaa aineistoa ja tiedostomalleja²⁵. Näiden tiedostomallien käyttö oli vapaaehtoista, eikä komissio ollut vastuussa sen seurannasta, käyttivätkö jäsenvaltiot malleja.

43 Sekä EU:n digitaalisessa koronatodistuksessa että kontaktien jäljityspalvelussa otettiin käyttöön tekninen rakenne, joka minimoi henkilötietojen keräämisen EU:n keskitettyjen yhdyskäytävien kautta. EU:n digitaalisen koronatodistuksen tapauksessa EU:n kansalaisten henkilötiedot pysyivät kansallisissa järjestelmissä, asianomaisten jäsenvaltioiden vastuulla. Keskitetty yhdyskäytävä sai ainoastaan salaustiedot (ja myöhemmin peruutusluettelot), joita kansalliset viranomaiset tarvitsivat todistusten voimassaolon todentamiseen. Kontaktien jäljityspalvelu käsitteli ainoastaan pseudonymisoituja henkilötietoja, jotka olivat kontaktien jäljityssovellusten tuottamien satunnaisten tunnisteiden eli avainten muodossa. Tämä toimintatapa vähensi tietosuojariskejä huomattavasti.

44 EU:n digitaalista koronatodistusta koskevassa asetuksessa ei säädetty vakioprosessista todistusten peruuttamiseen, jos niiden esimerkiksi todettaisiin olevan vilpillisiä. Osallistujamaat voivat vapaasti toteuttaa haluamansa teknisen ratkaisun. Komissio ei ollut vastuussa näiden ratkaisujen moitteettomuuden arvioinnista tietosuojan kannalta.

45 Jäsenvaltioiden olisi täytynyt vaihtaa peruutusluetteloiden muodossa olevia tietoja kahdenvälisesti voidakseen varmistaa, että peruutetut todistukset voitiin tunnistaa muissa maissa. Yksi tilintarkastustuomioistuimen tarkastuksen aikana esiin tuoduista huolenaiheista oli se, että tällainen kahdenvälinen tiedonvaihto, johon liittyi erilaisia toimijoita ja peruuttamisratkaisuja, oli tehotonta erityisesti siksi, että uusien todistusten määrä oli kasvussa.

46 Puuttuakseen näihin ongelmiin komissio julkaisi 30. maaliskuuta 2022 eli kahdeksan kuukautta EU:n digitaalisen koronatodistuksen käyttöönoton jälkeen tekniset eritelmät ja säännöt, joiden tarkoituksena on luoda tehokkaampi mekanismi keskitetyn yhdyskäytävän kautta tapahtuvaa peruutusluetteloiden vaihtoa varten. Eritelmissä suositeltiin myös kolmen teknologian käyttöä peruutusluetteloiden jakamiseen kansallisista tietokannoista sovelluksiin, joilla todistukset todennetaan. Jos näitä ehdotettuja ratkaisuja sovelletaan oikein, niiden voidaan katsoa suojaavan yksityisyyttä. Yhdessä niistä (Bloom-suodattimet) yksityisyyteen liittyvät kysymykset otettiin kuitenkin huomioon paljon paremmin kuin kahdessa muussa ratkaisussa²⁶. Näiden ratkaisujen käyttö oli kuitenkin vapaaehtoista, eikä komissiolla ollut toimivaltaa valvoa, sovelsivatko jäsenvaltiot niitä.

47 Tietoturvariskeihin voidaan puuttua ja niitä voidaan lieventää käyttämällä jäsenneltyä tietoturvakehystä²⁷. Se koostuu yleensä useista osatekijöistä, kuten hallintojärjestelyistä, turvallisuusperiaatteista, vaatimuksista ja standardeista. Siihen sisältyy myös hyviä käytäntöjä, kuten heikkouksien aktiivinen etsiminen (haavoittuvuuskartoitukset) ja puolustuskeinojen aktiivinen testaaminen (tunkeutumistestit).

48 Komissiolla on käytössään oma tietoturvakehys²⁸, jota sovelletaan kaikkiin sen datakeskuksissa ylläpidettyihin tietojärjestelmiin, mukaan lukien kontaktien jäljityspalvelu ja EU:n palveluväylä. Kehys on kansainvälisten standardien mukainen²⁹. Kehyksessä edellytetään, että komissio tekee kutakin tietojärjestelmää koskevan riskienarvioinnin, ottaa huomioon olennaiset riskit tietoturvasuunnitelman avulla ja soveltaa vakioituja turvallisuusperiaatteita ja -standardeja.

49 Komissio ryhtyi tarvittaviin toimiin varmistaakseen kontaktien jäljityspalvelun tietoturvan. Asiantuntijayritys teki jäljityspalvelun suunnittelua ja lähdekoodia koskevan turvallisuusarvioinnin järjestelmän käyttöönoton yhteydessä (lokakuu 2020) eikä löytänyt merkittäviä puutteita. Jäljityspalveluun tehtiin kolme eettistä hakkerointiyritystä, jotta sen turvallisuudesta saatiin lisävarmuus.

50 Komissio myös määritteli vähimmäisturvallisuusvaatimukset niille kansallisille kontaktien jäljityssovelluksille, jotka on liitetty kontaktien jäljityspalvelun tietojenvaihtoalustaan. Tätä turvallisuusrakennetta ja jäsenvaltioiden kyselyvastauksia koskevassa tilintarkastustuomioistuimen analyysissa todettiin, että kansallisten järjestelmien tekninen liittämisprosessi EU:n palveluväylään oli jäsennelty ja siinä oli otettu huomioon tietoturvanäkökohdat.

51 EU:n digitaalisen koronatodistuksen osalta tietotekniikan pääosasto suoritti palveluväylän haavoittuvuusarviointeja, ja riippumaton toimeksisaaja suoritti lisää tunkeutumistestejä. Testit vahvistivat, että keskitetty yhdyskäytävä oli suunniteltu siten, että se takaa korkean turvallisuustason. Useimmat havaituista ongelmista koskivat pikemminkin infrastruktuuria kuin lähdekoodia. Havaittujen haavoittuvuuksien osalta toteutettiin jatkotoimia. Yhdyskäytävän tunkeutumistestejä suorittaneet konsultit suosittelivat kattavan tarkastuksen tekemistä useammista komponenteista, myös niistä, joita voidaan käyttää kansallisella tasolla, kuten todistusten myöntämispalvelusta tai mobiilisovelluksista. Lisätarkastus saatiin päätökseen huhtikuussa 2022, eikä se asettanut kyseenalaiseksi välineen turvallisuusrakennetta.

52 EU:n digitaalisen koronatodistuksen puitejärjestelmään osallistuvat jäsenvaltiot ja EU:n ulkopuoliset maat tuottivat todistukset kansallisissa järjestelmissään. Jos kansalliset järjestelmät olisivat vaarantuneet ja asiaankuulumattomat tahot olisivat päässeet käsiksi tietoihin, vilpilliset käyttäjät olisivat voineet myöntää päteviä mutta väärennettyjä todistuksia. Tällaisten todistusten laaja levinneisyys olisi voinut vaikuttaa vapaaseen liikkuvuuteen, koska luottamus EU:n digitaaliseen koronatodistukseen olisi heikentynyt. Tämä olisi puolestaan lisännyt riskiä siitä, että jäsenvaltiot ottaisivat uudelleen käyttöön lisärajoituksia. Siksi oli tärkeää varmistaa, että kansallisiin järjestelmiin sisältyi riittävät suojaustoimenpiteet.

53 Komissio tukeutui osallistujamaiden järjestelmien suojaustoimenpiteiden osalta myös maiden täyttämiin itsearviointilomakkeisiin. Sillä ei kuitenkaan ollut valtuuksia tarkistaa niiden tosiasiallista sääntöjenmukaisuutta (esimerkiksi tarkistamalla raportteja haavoittuvuuskartoituksista, tarkastuskertomuksia, toimintasuunnitelmia tai kansainvälisiä todistuksia). Tämä heikensi varmuutta kansallisten järjestelmien turvallisuustasosta.

54 Tilintarkastustuomioistuimen tekemien haastattelujen perusteella saatiin vahvistus sille, että eräässä EU:n ulkopuolisessa maassa oli tapahtunut yksi tietoturvahäiriö. Maan kansallisessa ratkaisussa oli haavoittuvuus, mikä antoi luvattomille käyttäjille mahdollisuuden päästä sovellukseen ja tuottaa laittomia todistuksia kansallisella tasolla, kunnes ongelma havaittiin ja ratkaistiin. Asianomaisen maan toimittaman häiriöraportin mukaan ongelma vaikutti vain muutamiin todistuksiin.

55 Ei ole olemassa teknisiä ratkaisuja, joilla voitaisiin lieventää kaikkia riskejä. Esimerkiksi uusimmat suojaustoimenpiteet eivät voi estää valtuutettua henkilöstöä, jolla on laillinen pääsy kansallisiin järjestelmiin, käyttämästä valtuuksiaan väärin vilpillisten todistusten tuottamiseen.

56 Tästä syystä vilpillisten todistusten kaltaisten tapausten ilmoittaminen ja niihin puuttuminen edellyttää nopeaa tiedonvaihtoa toimivaltaisten viranomaisten välillä. Tilintarkastustuomioistuimen kuulemat jäsenvaltiot ja EU:n ulkopuoliset maat kertoivat, että tällaisten tapausten raportointi vei aikaa, koska oikeiden vastapuolten löytäminen muista maista oli vaikeaa.

57 EU:n sähköisiin matkustajalomakkeisiin ja tietojenvaihtoalustaan sovellettiin seuraavia suositettuja tietoturvakäytäntöjä³⁰: kaksivaiheinen todentaminen, turvalliset viestintäprotokollat, verkkosovellusten palomuurit ja käytön fyysiset suojaustoimenpiteet. Toimeksisaaja suoritti myös tietoturvariskien arvioinnin ja laati jäsennellyn menettelyn maiden liittämiseksi järjestelmään.

58 Kyseisen järjestelmän ensimmäinen tunkeutumistesti tehtiin kuitenkin vasta maaliskuussa 2022 eli vuosi sen jälkeen, kun ensimmäinen maa oli liitetty järjestelmään. Testin jälkeen ulkoinen palveluntarjoaja laati täytäntöönpanosuunnitelman havaintojen käsittelemistä varten. Näin ollen järjestelmä oli toiminnassa vuoden ajan ilman, että haavoittuvuuksia havaittiin.

EU:n välineiden vaikutus matkustamisen helpottamiseen covid-19-pandemian aikana oli vaihtelevaa

59 Tässä osiossa tutkitaan, helpottivatko EU:n välineet matkustamista EU:ssa covid-19-pandemian alkuvuosina. Tarkastajat arvioivat välineiden osalta erityisesti,

1. käyttivätkö jäsenvaltiot niitä laajalti, koska tämä on tarpeen, jotta välineet olisivat vaikuttavia
2. paransivatko välineet jäsenvaltioiden välistä koordinointia ja tiedonvaihtoa matkustusrajoitusten asettamisen osalta ja puututtiinko siten kahteen ongelmaan, joiden oli aiemmin todettu haittaavan matkustamista EU:ssa³¹.

60 Tilintarkastustuomioistuin kokosi ja analysoi välineiden käyttöä koskevia jäsenvaltioiden tietoja. Lisäksi tilintarkastustuomioistuin vertaili matkustusrajoituksia, joita jäsenvaltiot olivat asettaneet ennen EU:n digitaalisen koronatodistuksen käyttöönottoa ja sen jälkeen.

EU:n matkustajalomakevälineillä ja kontaktien jäljityspalvelulla ei ollut tavoiteltua vaikutusta, koska niitä käytettiin jäsenvaltioissa vain vähän

61 EU:n välineitä on käytettävä laajalti, jotta niillä olisi haluttu vaikutus. Taulukossa 2 esitetään yhteenveto välineiden käytöstä kussakin jäsenvaltiossa. Taulukosta ilmenee, että EU:n digitaalinen koronatodistus oli ainoa kaikissa jäsenvaltioissa käytetty väline.

62 Jäsenvaltiot eivät käyttäneet EU:n sähköisiä matkustajalomakkeita ja tietojenvaihtoalustaa riittävästi, jotta niillä olisi ollut merkittävä vaikutus covid-19:n leviämisen hillitsemisessä ja turvallisen matkustamisen helpottamisessa.

63 Vain neljä jäsenvaltiota käytti EU:n sähköistä matkustajalomaketta³², kun taas 17 muuta jäsenvaltiota turvautui yhä kansallisiin ratkaisuihin. Helmikuuhun 2022 mennessä annetuista lähes 27 miljoonasta lomakkeesta 91,6 prosenttia (24,7 miljoonaa) oli peräisin Italiasta.

64 Myös tietojenvaihtoalustan käyttö oli hyvin vähäistä. Teoriassa välinettä voitaisiin käyttää tietojen vaihtamiseen miltä tahansa kansalliselta alustalta, mutta välineen ottivat käyttöön pääosin ne maat, jotka käyttivät myös EU:n lomakkeita. Alustan kokonaiskäyttö oli edelleen vähäistä: vuonna 2021 alustaa käytettiin vain kolmen lomakkeen vaihtamiseen ja vuoden 2022 kahden ensimmäisen kuukauden aikana 253 lomakkeen vaihtamiseen. Yhtä lukuun ottamatta kaikki näistä 256 lomakkeesta olivat Espanjasta.

65 Kontaktien jäljityssovellusten käyttöönotto vaihteli merkittävästi jäsenvaltioittain. Jotkin jäsenvaltiot eivät ottaneet käyttöön yhtäkään kontaktien jäljityssovellusta. Kontaktien jäljityssovellusta käyttävissä jäsenvaltioissa tosiasiallinen käyttöaste väestössä oli vähäistä. EU:n kansalaiset latasivat kontaktien jäljityssovelluksia yhteensä 74 miljoonaa kertaa (lokakuuhun 2021 mennessä). EU:n tasolla ei kuitenkaan ole tilastotietoja siitä, kuinka monta ihmistä sovelluksia tosiasiallisesti käytti.

66 Vahvistettujen covid-19-tapausten kokonaismäärä oli 22. toukokuuta 2022 mennessä yli 522 miljoonaa³³, ja siihen mennessä oli ladattu 55 miljoonaa avainta. Kontaktien jäljityspalvelusta saadut tiedot osoittavat, että kontaktien jäljitysvälineitä on käytetty vaihtelevasti eri jäsenvaltioissa. Avaimista 83 prosenttia oli yksinomaan Saksasta olevien käyttäjien lataamia (ks. liite II).

67 Tilintarkastustuomioistuimen tarkastamat välineet oli yleisesti ottaen kehitetty vastaamaan uusiin esiin nouseviin tarpeisiin, mikä vaikeutti niiden välisten synergioiden luomista. Esimerkiksi EU:n sähköinen matkustajalomake ja lomakkeiden vaihtoon tarkoitettu tietojenvaihtoalusta kehitettiin erikseen, vaikka ne olivat kiinteästi yhteydessä toisiinsa (EU Healthy Gateways -yhteistoimi kehitti matkustajalomakkeen ja Euroopan unionin lentoturvallisuusvirasto tietojenvaihtoalustan). Vastaavasti suuntaviivat EU:n digitaalisen koronatodistuksen ja matkustajalomakkeiden yhdistämisestä tulivat saataville EU:n tasolla kunkin käyttöönoton jälkeen, eikä niitä ole vielä pantu täytäntöön.

68 Koska välineet suunniteltiin toimimaan lyhyellä aikavälillä, käytössä ei ole joustavia menettelyjä, joiden avulla niitä voitaisiin käyttää pidemmällä aikavälillä tai ottaa uudelleen käyttöön nopeasti, jos niitä tarvitaan tulevaisuudessa. Esimerkiksi EU:n digitaalisen koronatodistuksen nykyisen oikeusperustan voimassaolo päättyy kesäkuussa 2023, ja Euroopan parlamentin ja neuvoston olisi uusittava se komission ehdotuksen perusteella. Tilintarkastustuomioistuimen tarkastuksen aikana komissio huomautti, että olisi sekä oikeudellisesti että teknisesti erittäin vaikeaa palauttaa todistusjärjestelmä käyttöön lyhyellä varoitusajalla.

Jäsenvaltiot käyttivät laajalti EU:n digitaalista koronatodistusta, joka helpotti matkustamista

69 EU:n digitaalista koronatodistusta koskeva EU:n palveluväylä otettiin käyttöön 1. kesäkuuta 2021, jolloin sen käyttäjiksi oli liittynyt seitsemän jäsenvaltiota. Puolentoista kuukauden kuluessa kaikki EU:n 27 jäsenvaltiota olivat liittyneet järjestelmään. Komission ehdottama ratkaisu herätti paljon kiinnostusta myös EU:n ulkopuolella. Heinäkuuhun 2022 mennessä 45 EU:n ulkopuolista maata ja aluetta oli hyväksynyt EU:n digitaalista koronatodistusta koskevan EU:n kehyksen.

70 Jäsenvaltiot olivat myöntäneet 585 miljoonaa todistusta 13. lokakuuta 2021 mennessä. Viisi kuukautta myöhemmin oli myönnetty 1,7 miljardia todistusta, joista suurin osa (1,1 miljardia) perustui rokotuksiin. Määrä on suurempi kuin EU:n väestö, koska yhdellä henkilöllä voi olla useita todistuksia (esimerkiksi joku voi saada kaksi testaustodistusta ennen rokotusta). Kunkin rokoteannoksen, toipumisen tai testin jälkeen asianomaiselle henkilölle luotiin yksi EU:n digitaalinen koronatodistus. Matkustamisen helpottamisen lisäksi EU:n digitaalista koronatodistusta käytettiin jäsenvaltioissa julkisten tilojen, kuten ravintoloiden tai teattereiden, pääsynvalvontaan. Kaaviossa 4 esitetään 1,7 miljardin EU:n digitaalisen koronatodistuksen jakautuminen jäsenvaltioittain.

71 Tämän kertomuksen kattamien välineiden tarkoituksena oli edistää turvallista matkustamista. Monet jäsenvaltiot olivat pandemian vuoksi päättäneet ottaa käyttöön erilaisia matkustusrajoituksia. Tilintarkastustuomioistuin totesi erityiskertomuksessaan vapaasta liikkuvuudesta EU:ssa covid-19-pandemian aikana³⁴, että jäsenvaltioilla oli kesäkuuhun 2021 mennessä edelleen käytössä monia koordinoimattomia matkustusrajoituksia, kuten PCR-testaus, karanteenivaatimukset ja maahantulokiellot.

72 EU:n digitaalisen koronatodistuksen voimaantuloon asti matkustajien maahantulorajoitukset perustuivat käytännössä terveysriskiin sillä maantieteellisellä alueella, jolta matkustettiin. Tämä muuttui heinäkuussa 2021, kun otettiin käyttöön EU:n digitaalista koronatodistusta koskeva asetus. Pian sen jälkeen rajoituksia alettiin vähitellen soveltaa henkilöihin eikä maantieteellisiin alueisiin, ja ne perustuivat pääasiassa voimassa olevan todistuksen hallussapitoon.

73 Matkustusrajoitusten muutoksen lisäksi EU:n digitaalista koronatodistusta koskevalla asetuksella otettiin käyttöön uusi virallinen mekanismi, jolla parannetaan tällaisia rajoituksia koskevaa tiedonvaihtoa. Asetuksen voimaantulon jälkeen jäsenvaltioiden on täytynyt ilmoittaa komissiolle ja muille jäsenvaltioille, jos ne aikovat ottaa käyttöön uusia rajoituksia. Tällaisissa ilmoituksissa on mainittava lisärajoitusten syyt, laajuus ja kesto. Maaliskuuhun 2022 mennessä 13 jäsenvaltiota oli toimittanut tietoja tämän säännöksen mukaisesti.

74 Komission heinäkuussa 2021 järjestämässä matkustusrajoituksia koskevassa kuulemisessa kävi ilmi, että kaikki jäsenvaltiot olivat poistaneet EU:n digitaalisen koronatodistuksen haltijoita koskevat rajoitukset (poikkeuksen muodostivat Italia, Kreikka ja Unkari, jotka vastasivat myöhemmin). Kaaviossa 5 esitetään erot matkustusrajoituksissa ennen todistusjärjestelmän käyttöönottoa ja heti sen jälkeen (kesä- ja heinäkuu 2021). Tilintarkastustuomioistuimen kyselyyn osallistuneista 13 vastaajasta 12 oli samaa mieltä siitä, että EU:n digitaalinen koronatodistus oli auttanut matkustusrajoitusten koordinoinnissa jäsenvaltioiden välillä.

Johtopäätökset ja suositukset

75 Tilintarkastustuomioistuin toteaa, että vaikka komission toimivalta kansanterveyspolitiikan alalla on rajallinen, se ehdotti nopeasti sopivia teknologisia ratkaisuja matkustamisen helpottamiseen EU:ssa covid-19-pandemian aikana. Näistä välineistä joidenkin vaikutus riippuu kuitenkin jäsenvaltioiden halukkuudesta käyttää niitä. EU:n digitaalinen koronatodistus sai vahvaa tukea ja helpotti matkustamista vaikuttavalla tavalla, mutta muiden välineiden vaikutus oli kuitenkin vaatimaton, koska niiden käyttö oli vähäistä.

76 Komissio otti nopeasti käyttöön 71 miljoonaa euroa välineiden kehittämistä varten yhdistämällä useita rahoituslähteitä ja käyttämällä olemassa olevia puitesopimuksia julkisten tarjouskilpailumenettelyjen sijaan. Välineiden tarkoitus oli ainutlaatuinen, joten muita, vertailuun soveltuvia järjestelmiä ei ole olemassa (kohdat 21–27).

77 Komissio toteutti kontaktien jäljityspalvelun ja EU:n digitaalisen koronatodistuksen hyvissä ajoin. Kontaktien jäljityspalvelu, jonka tarkoituksena on varmistaa kontaktien jäljityssovellusten yhteentoimivuus, otettiin käyttöön lokakuussa 2020, seitsemän kuukautta sen jälkeen, kun Maailman terveysjärjestö oli julistanut covid-19-kriisin pandemiaksi. EU:n digitaalisen koronatodistuksen teknisessä kehittämisessä hyödynnettiin aiempia kokemuksia kontaktien jäljityspalvelusta, ja kehitystyö saatiin päätökseen ennen kuin jäsenvaltiot olivat toteuttaneet rokotussuunnitelmansa. EU:n digitaalisen koronatodistuksen hyväksymistä koskeva lainsäädäntömenettely oli myös paljon tavallista nopeampi (kohdat 28–35).

78 Komissio ei onnistunut poistamaan joidenkin jäsenvaltioiden varauksellisuutta koskien EU:n matkustajalomakeratkaisujen käyttöä. Ratkaisut toimitettiin vasta sen jälkeen, kun useat jäsenvaltiot olivat jo kehittäneet omat välineensä. Tämä johti siihen, että vain viisi jäsenvaltiota käytti EU:n ratkaisuja (kohdat 36–40).

Suositus 1 – Puututaan EU:n sähköisten matkustajalomakkeiden vähäisen käytön syihin

Komission olisi puututtava syihin, joiden vuoksi EU:n sähköisen matkustajalomakkeen ja tietojenvaihtoalustan käyttö on vähäistä, ja edistettävä näiden välineiden käytön lisäämistä jäsenvaltioissa covid-19-pandemian tulevien vaiheiden aikana.

Toteuttamisen tavoiteajankohta: joulukuu 2023

79 Kaiken kaikkiaan komissio otti välineitä suunnitellessaan huomioon tietosuojavaatimukset ja hyvät tietoturvakäytännöt. EU:n välineillä minimoidaan henkilötietojen käyttö (kohdat 42 ja 43). Turvallisuusriskien arvioinnit ja tunkeutumistestit tehtiin yleensä järjestelmällisesti – ainoa poikkeus oli joidenkin EU:n sähköisen matkustajalomakkeen turvallisuustestien viivästyminen. Tästä syystä väline oli toiminnassa vuoden ajan ilman, että haavoittuvuuksia havaittiin (kohdat 47–51 sekä 57 ja 58).

80 EU:n digitaalisen koronatodistuksen osalta osallistujamaiden oli vaihdettava vilpillisten todistusten luetteloita kahdenvälisesti eri viestintäkanavia käyttäen. Tämä lähestymistapa heikentää vilpillisten todistusten estämisen tehokkuutta. Komissio oli maaliskuuhun 2022 mennessä ehdottanut toteuttamiskelpoisia ratkaisuja tähän ongelmaan, mutta ne ovat kuitenkin vapaaehtoisia (kohdat 44–46). Lisäksi järjestelyt, joiden mukaisesti maat ilmoittavat toisilleen kiireellisiä toimia edellyttävistä tapauksista (esim. vilpilliset todistukset), ovat aikaavieviä (kohdat 55 ja 56).

Suositus 2 – Virtaviivaistetaan viestintää EU:n digitaaliseen koronatodistukseen liittyvistä tapahtumista

Komission olisi helpotettava suoraa viestintää kunkin EU:n digitaaliseen koronatodistusjärjestelmään osallistuvan maan virallisten yhteyshenkilöiden välillä. Näin varmistetaan sujuva viestintä todistuksiin liittyvissä hätätilanteissa.

Toteuttamisen tavoiteajankohta: kesäkuu 2023

81 Koska EU:n digitaalisessa koronatodistuksessa käytettävät koodit luotiin osallistujamaiden kansallisissa järjestelmissä, oli tärkeää, että näihin järjestelmiin sisältyi asianmukaiset suojaustoimenpiteet. Komissio tukeutui osallistujamaiden itsearviointeihin tietoturvasta, koska sillä ei ole valtuuksia tarkistaa, noudattavatko osallistujamaat tosiasiallisesti turvallisuusvaatimuksia. Tämä heikensi varmuutta kansallisten järjestelmien turvallisuustasosta (kohdat 52–54).

82 EU:n matkustajalomakkeilla ja kontaktien jäljityspalvelulla ei ollut tavoiteltua vaikutusta, koska niitä käytettiin vain vähän. Vain neljä jäsenvaltiota käytti EU:n sähköistä matkustajalomaketta, kun taas muut maat turvautuivat yhä kansallisiin ratkaisuihin. Alustan kokonaiskäyttö matkustajalomakkeiden vaihtamiseen on edelleen vähäistä: vuonna 2021 alustalla vaihdettiin vain kolme lomaketta ja vuoden 2022 kahden ensimmäisen kuukauden aikana 253 lomaketta. Kontaktien jäljityspalvelun käyttöä rajoitti se, että jäsenvaltiot ottivat kontaktien jäljityssovelluksia käyttöön vain vähän, ja suurin osa käytöstä tapahtui vain yhdessä maassa (kohdat 61–67).

83 Tilintarkastustuomioistuimen tarkastamat välineet oli kehitetty vastaamaan esiin nouseviin tarpeisiin ja toimimaan toisistaan riippumatta. Tämä sekä erilaiset kansalliset matkustajalomakeratkaisut vaikeuttivat EU:n välineiden tasapuolista käyttöönottoa. Lisäksi välineet suunniteltiin toimimaan lyhyellä aikavälillä vastauksena terveyskriisiin. Käytössä ei ole erityisiä menettelyjä, joiden avulla niitä voitaisiin käyttää pidemmällä aikavälillä tai ottaa uudelleen käyttöön nopeasti, jos niitä tarvitaan tulevaisuudessa. EU:n digitaalisen koronatodistuksen nykyisen oikeusperustan voimassaolo päättyy kesäkuussa 2023, ja sen uusiminen edellyttäisi EU:n tavanomaisen lainsäädäntömenettelyn soveltamista (kohta 68).

84 Tilintarkastustuomioistuin havaitsi, että EU:n digitaalinen koronatodistus oli helpottanut matkustamista vaikuttavasti covid-19-pandemian aikana. Jäsenvaltiot ja useat EU:n ulkopuoliset maat käyttivät koronatodistuksia laajalti, ja maaliskuuhun 2022 mennessä EU-/ETA-maissa oli myönnetty yli 1,7 miljardia EU:n digitaalista koronatodistusta. Lisäksi tilintarkastushuomioistuin totesi, että jäsenvaltiot olivat kuukauden kuluessa EU:n digitaalista koronatodistusta koskevan asetuksen voimaantulosta yhdenmukaistaneet matkustusrajoituksiaan huomattavasti. Käytännössä kaikki jäsenvaltiot olivat poistaneet niitä EU:n kansalaisia koskevat matkustusrajoitukset, joilla oli EU:n digitaalinen koronatodistus täyden koronarokotussarjan saamisesta, äskettäin saadusta negatiivisesta koronatestituloksesta tai covid-19-taudista parantumisesta.

85 Lisäksi EU:n digitaalinen koronatodistus paransi matkustusrajoituksiin liittyvien tietojen jakamista ja koordinointia, sillä sovellettavassa asetuksessa edellytetään, että jäsenvaltiot raportoivat ja perustelevat matkustusrajoitusten käyttöönoton (kohdat 69–74).

Suositus 3 – Valmistellaan tarkoituksenmukaiset EU:n välineet tulevia kriisejä varten

Komission olisi

1. yksilöitävä ne covid-19-pandemian aikana luodut EU:n välineet, jotka ovat olleet hyödyllisimpiä kansalaisille ja jäsenvaltioille, ja valmisteltava menettelyjä, joiden avulla välineet voidaan aktivoida nopeasti tulevissa hätätilanteissa
2. tehtävä niistä EU:n välineistä, joita käytetään kriisien yhteydessä rajatylittävään kontaktien jäljitykseen, helppokäyttöisempiä EU:n kansalaisille synergioiden avulla tai yksinkertaistamalla niitä
3. analysoitava yhdessä jäsenvaltioiden kanssa tarvetta lisävälineisiin mahdollisten tulevien kriisien ratkaisemiseksi.

Toteuttamisen tavoiteajankohta: syyskuu 2023 suositusten a) ja c) osalta, ja syyskuu 2024 suosituksen b) osalta

Tilintarkastustuomioistuimen III jaosto on tilintarkastustuomioistuimen jäsenen Bettina Jakobsenin johdolla hyväksynyt tämän kertomuksen Luxemburgissa 22. marraskuuta 2022.

Liitteet

Liite I – Kuvaus covid-19-pandemian aikana matkustamista helpottavista EU:n välineistä

EU:n yhdyskäytäväpalvelu

EU:n yhdyskäytäväpalvelu on järjestelmä, joka mahdollistaa kansallisten jäljityssovellusten yhteentoimivuuden. Kansalliset kontaktien jäljityssovellukset kehitettiin tiedottamaan kansalaisille mahdollisista riskikontakteista ja auttamaan covid-19-taudin tartuntaketjujen katkaisemisessa.

Kontaktien jäljityssovellus seuraa jatkuvasti lähistöllä olevien jäljityssovellusten käyttäjien kontakteja. Sovellus luo käyttäjälleen 15 minuutin välein avaimen (tunnisteen) yksityisyyden suojaamiseksi. Sovellus käyttää Bluetooth-verkkoa muiden lähistöllä olevien älypuhelinten havaitsemiseen ja avainten vaihtamiseen. Jokainen kohtaaminen toisen käyttäjän kanssa johtaa avainten vaihtamiseen näiden käyttäjien välillä. Avaimet tallentuvat kummankin käyttäjän puhelimeen.

Kun käyttäjä saa positiivisen covid-19-testituloksen, hän ilmoittaa sen sovelluksessa. Sovellus lähettää kaikki käyttäjän avaimet viimeisten 14 päivän ajalta käyttäjän maan kansalliselle taustapalvelimelle. Palvelin lähettää tartunnan saaneen käyttäjän avaimet kaikkien muiden käyttäjien sovelluksiin, joissa niitä verrataan kuhunkin puhelimeen tallennettuihin avaimiin. Jos osuma löytyy, se tarkoittaa, että käyttäjä on ollut tartunnan saaneen henkilön läheisyydessä, joten käyttäjää varoitetaan.

Suurin osa jäsenvaltioista on omaksunut tämän hajautetun lähestymistavan, jossa tartunnan saaneiden henkilöiden avainten yhdistelmä lähetetään käyttäjien sovelluksiin ja vertailu tehdään käyttäjien puhelimissa. Muutamat jäsenvaltiot ovat valinneet keskitetymmän lähestymistavan, jossa avainten vertailu ja yhdistäminen käyttäjien laitteisiin tehdään kansallisissa keskuspalvelimissa.

Hajautetun lähestymistavan mukaiset ja yhteensopivaa tekniikkaa käyttävät kansalliset kontaktien jäljitysalustat voivat vaihtaa keskenään tartunnan saaneiden henkilöiden anonymisoituja avaimia EU:n kontaktien jäljityspalvelun kautta. Näin ollen matkustaja voi kontaktien jäljityspalvelun avulla käyttää kansallista kontaktien jäljityssovellustaan matkustaessaan sellaisissa muissa maissa, jotka ovat yhteydessä EU:n palveluväylään.

Sähköinen matkustajalomake

Kansanterveysviranomaiset käyttävät matkustajalomakkeita helpottaakseen kontaktien jäljittämistä, kun matkustajat altistuvat tartuntataudille heidän matkustaessaan lentokoneella, junalla, laivalla tai linja-autolla. Maailman terveysjärjestö ja Kansainvälinen siviili-ilmailujärjestö olivat jo aloittaneet näiden lomakkeiden kehittämisen aiempien tautiepidemioiden (erityisesti ebolan) aikana.

Matkustajalomakkeiden täyttämistä vaativat maat käyttivät perinteisesti usein paperilomakkeita. Paperilomakkeilla on kuitenkin huomattavia rajoitteita. Niitä voi olla vaikea lukea, ja niiden sisältämät tiedot on syötettävä manuaalisesti tietokonejärjestelmiin automaattista käsittelyä varten. Nämä rajoitteet ovat saaneet monet maat kehittämään sähköisiä versioita. EU:n sähköinen matkustajalomake on verkkosovellus, joka kehitettiin matkustajalomakkeiden käytön yksinkertaistamiseksi rajatylittävien terveysuhkien, kuten covid-19:n, aikana.

Matkustaja täyttää matkustustiedot lomakkeeseen verkossa ja saa yksilöllisen QR-koodin. Kohdemaiden toimivaltaiset viranomaiset voivat skannata tämän koodin varmistaakseen, että matkustajat ovat antaneet vaaditut tiedot. Lomakkeen digitaalisen muodon tavoitteena on helpottaa ja nopeuttaa tiedonkeruuta ja tiedonvaihtoa sidosryhmien välillä, jotta kontaktien jäljittäminen olisi tehokkaampaa ja vaikuttavampaa.

Matkustajalomakkeiden vaihto

Kun matkustaja on saanut positiivisen covid-19-testituloksen, yhden maan keräämät PLF-tiedot saatetaan joutua toimittamaan turvatun yhteyden avulla muille maille, jotta covid-19-kontaktien jäljittäminen on mahdollista. Koska nykyinen eurooppalainen terveystietojen vaihtojärjestelmä (varhaisvaroitus- ja reagointijärjestelmä) on rajallinen, komissio päätti kehittää erityisen alustan PLF-tietojen vaihtamiseen eri kansallisten järjestelmien välillä.

PLF-tietojenvaihtoalusta mahdollistaa turvallisesti salatun tiedonsiirron toimivaltaisten kansallisten viranomaisten välillä, eikä siihen tallenneta mitään tietoja. Jäsenvaltioiden viranomaiset voivat olla yhteydessä toisiinsa joko EU:n tai kansallisten sähköisten matkustajalomakejärjestelmien kautta.

EU:n digitaalinen koronatodistus

EU:n digitaalinen koronatodistus osoittaa, että henkilö on saanut covid-19-rokotuksen, negatiivisen covid-19-testituloksen tai parantunut covid-19-taudista. Toimivaltaiset kansalliset viranomaiset myöntävät kyseiset todistukset.

Todistukset voidaan toimittaa sekä paperi- että sähköisessä muodossa. Molemmissa tapauksissa todistuksissa on QR-koodi, joka suojaa niitä väärentämiseltä. Ratkaisun turvallisuus perustuu julkisten ja yksityisten salausavainten käyttöön. Avaimia on kahdenlaisia: yksityinen, joka mahdollistaa QR-koodin digitaalisen allekirjoituksen, ja julkinen, jonka avulla digitaalisen allekirjoituksen voi todentaa.

Kullakin todistuksia myöntävällä viranomaisella on oma yksityinen avaimensa ja vastaava julkinen avain. Yksityiset avaimet säilytetään turvallisesti ja julkiset avaimet jaetaan kansalliseen keskustietokantaan. Viranomainen valtuuttaa asiaankuuluvat terveydenhuollon toimijat (esim. sairaaloiden ja testikeskusten) järjestelmänsä käyttäjiksi, jotta ne voivat allekirjoittaa todistuksia digitaalisesti.

EU:n digitaalisen koronatodistuksen aitouden todentamiseen käytettävät sovellukset hakevat julkiset avaimet kansallisista tietokannoista. Kansalliset tietokannat vaihtavat julkisia avaimia muiden maiden kanssa EU:n palveluväylän kautta. Näin ollen palveluväylä mahdollistaa todistusten vastavuoroisen todentamisen eri maissa.

Liite II – Kontaktien jäljityssovelluksia on otettu vain vähän käyttöön EU:ssa

Kontaktien jäljityssovellusten käyttöönotto ei ollut yhdenmukaista kaikkialla EU:ssa. Vain kahdessa jäsenvaltiossa kontaktien jäljityssovellusten latauskertojen määrä vastasi yli 50:tä prosenttia väestöstä. Seuraavassa kaaviossa esitetään hajautettuja kontaktien jäljityssovelluksia käyttäneiden jäsenvaltioiden erilaiset tilanteet.

Sovelluksen lataaminen ei välttämättä tarkoita, että kontaktien jäljitystä todella käytetään, koska se edellyttää, että sovellukset ovat aktiivisia ja että kansalaiset ilmoittavat vapaaehtoisesti positiivisista covid-19-testituloksistaan. Jos käyttäjät ilmoittavat olevansa positiivisia, asiaankuuluvat avaimet ladataan kontaktien jäljityspalveluun. Jäljityspalvelusta saadut tiedot osoittavat, että kontaktien jäljityksen käyttö vaihteli eri jäsenvaltioissa. Jäljityspalveluun ladattujen avainten määrä osoittaa, että valtaosa niistä oli peräisin yhdestä maasta.

Sanasto

Haavoittuvuuskartoitus: Verkkolaitteiden, tietokonejärjestelmien ja sovellusten tarkastusprosessi, jonka avulla pyritään yksilöimään ongelmia ja heikkoja kohtia.

Rajatarkastus: Rajan ylittäviin tai rajanylitystä suunnitteleviin henkilöihin rajalla kohdistettava tarkastus ja valvonta.

Rekisterinpitäjä: Yleisessä tietosuoja-asetuksessa tarkoitetussa merkityksessä henkilö tai organisaatio, joka määrittää, miten ja mihin tarkoituksiin henkilötietoja käsitellään.

Schengen-alue: Ryhmä, johon kuuluu 26 Euroopan maata. Schengen-alueen maat ovat poistaneet passi- ja maahantulotarkastukset yhteisiltä rajoiltaan.

Tunkeutumistesti: Menetelmä, jolla arvioidaan tietotekniikkajärjestelmän turvallisuutta yrittämällä rikkoa sen suojaukset vastapuolten tavallisesti käyttämien välineiden ja tekniikoiden avulla.

Euroopan komission vastaukset

https://www.eca.europa.eu/fi/Pages/DocItem.aspx?did=62947

Tarkastuksen eteneminen

https://www.eca.europa.eu/fi/Pages/DocItem.aspx?did=62947

Tarkastustiimi

Euroopan tilintarkastustuomioistuin esittää erityiskertomuksissaan tulokset tarkastuksista, joita se kohdistaa EU:n toimintapolitiikkoihin ja ohjelmiin tai yksittäisten talousarvioalojen hallinnointiin liittyviin aihealueisiin. Tilintarkastustuomioistuin valitsee ja suunnittelee nämä tarkastustehtävät siten, että niillä saadaan aikaan mahdollisimman suuri vaikutus. Se ottaa valinta- ja suunnitteluvaiheessa huomioon tuloksellisuuteen tai säännönmukaisuuteen kohdistuvat riskit, kyseessä olevien tulojen tai menojen määrän, tulevat kehityssuunnat sekä poliittiset näkökohdat ja yleisen edun.

Tästä tuloksellisuuden tarkastuksesta vastasi III tarkastusjaosto, jonka erikoisalana ovat ulkoiset toimet, turvallisuus ja oikeus. Tarkastusjaoston puheenjohtaja on Euroopan tilintarkastustuomioistuimen jäsen Bettina Jakobsen. Tarkastus toimitettiin Euroopan tilintarkastustuomioistuimen jäsenen Baudilio Tomé Muguruzan johdolla, ja siihen osallistuivat kabinettipäällikkö Daniel Costa De Magalhães ja kabinettiavustaja Ignacio García de Parada Miranda, toimialapäällikkö Alejandro Ballester Gallardo, tehtävävastaava Piotr Senator sekä tarkastajat João Coelho, Mirko Iaconisi, Ioanna Topa ja Andrej Minarovic. Kielellisissä kysymyksissä avusti Michael Pyper.

Vasemmalta oikealle: Daniel Costa De Magalhães, Andrej Minarovic, Ignacio García de Parada Miranda, João Coelho, Ioanna Topa, Piotr Senator, Baudilio Tomé Muguruza, Mirko Iaconisi ja Michael Pyper.

Loppuviitteet

¹ Euroopan unionin toiminnasta tehty sopimus, 20 artiklan 2 kohdan a alakohta ja 21 artiklan 1 kohta.

² Direktiivi 2004/38/EY.

³ Euroopan unionin toiminnasta tehty sopimus, 168 artiklan 7 kohta.

⁴ Euroopan unionista tehty sopimus (SEU), 17 artikla.

⁵ SEUT-sopimus, 4 artiklan 2 kohdan k alakohta, 6 artiklan a alakohta ja 168 artikla.

⁶ Direktiivi 2011/24/EU potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa.

⁷ Erityiskertomus 13/2022.

⁸ Erityiskertomus 19/2022.

⁹ Komission lausuma 15. kesäkuuta 2021.

¹⁰ Erityiskertomus 13/2022, kaavio 4.

¹¹ Suuntaviivat rajaturvallisuustoimenpiteitä varten terveyden suojelemiseksi ja tavaroiden ja välttämättömien palvelujen saatavuuden turvaamiseksi, C(2020) 1753 final, EUVL C 86 I, 16.3.2020.

¹² Komission tiedonannot C(2020) 3250, C(2020) 3251 ja C(2020) 3139.

¹³ Neuvoston suositus (EU) 2020/1475.

¹⁴ Komission täytäntöönpanopäätös (EU) 2021/858.

¹⁵ Sähköiset terveyspalvelut ja covid-19, Euroopan komission verkkosivusto.

¹⁶ Sähköisten terveyspalvelujen verkosto, Guidelines on verifiable vaccination certificates - basic interoperability elements, 12.3.2021.

¹⁷ Asetus (EU) 2021/953.

¹⁸ AsetusehdotusCOM(2021) 130.

¹⁹ Menettely 2021/0068/COD.

²⁰ Toimintakertomus, Development and Trends of the Ordinary Legislative Procedure, Euroopan parlamentti.

²¹ Paremman sääntelyn suuntaviivat, SWD(2017) 350, 7. heinäkuuta 2017.

²² ENISA, Taking Care of Health Data.

²³ Euroopan parlamentin ja neuvoston asetus (EU) 2016/679.

²⁴ ISACA, Certified Information System Auditor review manual, 2019; Kansainvälinen standardisoimisjärjestö / Sähköalan kansainvälinen standardisointijärjestö, standardi 27001.

²⁵ Tietosuojaa koskeva riskinarviointiluonnos (DPRA-DRAFT).

²⁶ Sähköisten terveyspalvelujen verkosto, EU DCC Revocation – B2A Communication between the Backend and the Applications, osa 4.6.3.

²⁷ ISACA, Certified Information System Auditor review manual, 2019.

²⁸ Komission päätös (EU, Euratom) 2017/46 viestintä- ja tietojärjestelmien turvallisuudesta Euroopan komissiossa, ja täytäntöönpanosäännöistä annettu komission päätös C(2017) 8841 final.

²⁹ Kansainvälinen standardisoimisjärjestö / Sähköalan kansainvälinen standardisointijärjestö, standardit 27001, 27002, 27005 ja 27035.

³⁰ Kansainvälinen standardisoimisjärjestö / Sähköalan kansainvälinen standardisointijärjestö, standardi 27001.

³¹ Erityiskertomus 13/2022, kohdat 69–75.

³² EU:n sähköinen matkustajalomake.

³³ Weekly epidemiological update on COVID-19 – 25 May 2022, Maailman terveysjärjestö.

³⁴ Erityiskertomus 13/2022.

Yhteystiedot

EUROOPAN TILINTARKASTUSTUOMIOISTUIN
12, rue Alcide De Gasperi
1615 Luxemburg
LUXEMBURG

Puh. +352 4398-1
Tiedustelut: eca.europa.eu/fi/Pages/ContactForm.aspx
Verkkosivut: eca.europa.eu
Twitter: @EUAuditors

Suuri määrä muuta tietoa Euroopan unionista on käytettävissä internetissä Europa-palvelimen kautta (https://europa.eu).

Luxemburg: Euroopan unionin julkaisutoimisto, 2023

PDF	ISBN 978-92-847-9202-3	ISSN 1977-5792	doi:10.2865/690245	QJ-AB-22-027-FI-N
HTML	ISBN 978-92-847-9205-4	ISSN 1977-5792	doi:10.2865/9364	QJ-AB-22-027-FI-Q

TEKIJÄNOIKEUDET

© Euroopan unioni, 2023

Datan ja asiakirjojen uudelleenkäyttöä koskevat Euroopan tilintarkastustuomioistuimen periaatteet vahvistetaan avoimen datan politiikkaa ja asiakirjojen uudelleenkäyttämistä koskevassa Euroopan tilintarkastustuomioistuimen päätöksessä 6-2019.

Ellei toisin ilmoiteta (esimerkiksi yksittäisissä tekijänoikeusilmoituksissa), Euroopan tilintarkastustuomioistuimen sisältöihin, jotka EU omistaa, myönnetään käyttöoikeudet Creative Commons Attribution 4.0 International (CC BY 4.0) licence -käyttöoikeuden nojalla. Yleissääntö siis on, että uudelleenkäyttö on sallittua, jos sisällön tuottaja mainitaan asianmukaisesti ja kaikista sisältöön tehdyistä muutoksista ilmoitetaan. Euroopan tilintarkastustuomioistuimelle kuuluvan sisällön uudelleenkäyttäjä ei saa vääristää asiakirjojen alkuperäistä merkitystä tai sanomaa. Euroopan tilintarkastustuomioistuin ei vastaa mistään seurauksista, jotka johtuvat uudelleenkäytöstä.

Tarvittavat lisäoikeudet on hankittava, jos tietyssä sisällössä (esimerkiksi Euroopan tilintarkastustuomioistuimen henkilöstöstä otetuissa valokuvissa) esitetään tunnistettavissa olevia henkilöitä tai jos sisällössä on mukana kolmansien tahojen töitä.

Jos tällainen lisäoikeus saadaan, se kumoaa ja korvaa yllä mainitun yleisen käyttöoikeuden. Lisäoikeutta koskevassa luvassa on selvästi ilmoitettava käyttöoikeuden rajoitukset.

Jos sisällöt eivät ole EU:n omaisuutta, voi olla, että lupa niiden käyttöön tai jäljentämiseen on pyydettävä suoraan asianomaisilta tekijänoikeuksien haltijoilta.

Tietokoneohjelmistot tai asiakirjat, joihin kohdistuu teollisoikeuksia, kuten patentteja, tavaramerkkejä, rekisteröityjä malleja, logoja ja nimiä, eivät kuulu Euroopan tilintarkastustuomioistuimen uudelleenkäyttöperiaatteiden piiriin.

EU:n toimielinten verkkosivuilla (joiden verkkotunnuksen loppuosa on europa.eu) on linkkejä ulkopuolisille Internet-sivustoille. Koska Euroopan tilintarkastustuomioistuin ei vastaa näistä sivustoista, on suositeltavaa, että tutustutte niiden tietosuoja- ja tekijänoikeusperiaatteisiin.

Tilintarkastustuomioistuimen logon käyttö

Euroopan tilintarkastustuomioistuimen logoa ei saa käyttää ilman tilintarkastustuomioistuimen ennakkosuostumusta.

YHTEYDENOTOT EU:hun

Käynti tiedotuspisteessä
Euroopan unionin alueella toimii yhteensä satoja Europe Direct -tiedotuspisteitä. Lähimmän tiedotuspisteen osoite löytyy verkosta (european-union.europa.eu/contact-eu/meet-us_fi).

Yhteydenotot puhelimitse tai kirjallisesti
Europe Direct -palvelu vastaa Euroopan unionia koskeviin kysymyksiin. Palveluun voi ottaa yhteyttä

• soittamalla maksuttomaan palvelunumeroon 00 800 6 7 8 9 10 11 (jotkin operaattorit voivat periä puhelumaksun),
• soittamalla puhelinnumeroon +32 22999696, tai
• verkkolomakkeella (european-union.europa.eu/contact-eu/write-us_fi).

TIETOA EU:sta

Verkkosivut
Tietoa Euroopan unionista on saatavilla kaikilla EU:n virallisilla kielillä Europa-sivustolla (european-union.europa.eu).

EU:n julkaisut
EU:n ilmaisia ja maksullisia julkaisuja voi ladata tai tilata verkosta (op.europa.eu/fi/web/general-publications/publications). Ilmaisia julkaisuja on mahdollista saada usean kappaleen erinä ottamalla yhteyttä Europe Direct -palveluun tai paikalliseen tiedotuspisteeseen (ks. european-union.europa.eu/contact-eu/meet-us_fi).

EU:n lainsäädäntö ja siihen liittyvät asiakirjat
EU:n koko lainsäädäntö vuodesta 1951 ja muuta tietoa EU:n oikeudesta on saatavilla kaikilla virallisilla kielillä EUR-Lex-tietokannassa (eur-lex.europa.eu).

EU:n avoin data
Eurooppalaisen datan portaali (data.europa.eu) tarjoaa pääsyn EU:n toimielinten, elinten ja virastojen avoimiin data-aineistoihin. Data on ladattavissa ja uudelleenkäytettävissä maksutta sekä kaupallista että ei-kaupallista käyttöä varten. Portaalissa on myös runsaasti Euroopan maiden data-aineistoja.