Uudistuksen taustat, ratkaisut ja tietosuoja

Kela haluaa toimia edelläkävijänä asiakaslähtöisessä palvelussa ja varmistaa, että se on vahva toimija sosiaaliturvan palveluverkostossa myös tulevaisuudessa. Tätä toteutetaan strategisessa kehittämisohjelmassa, joka kulkee nimellä Eepos.

Kela uudistaa Eepos-kehittämisohjelmassa vaiheittain etuuskäsittelyn ja asioinnin palvelut ja toimintatavat sekä niiden vaatimat järjestelmät, niin että ne vastaavat digitaalisen ensisijaisuuden vaatimuksia. Uudistustyö jatkuu 2030-luvulle saakka.

Kelan uudistusten tavoitteena on kehittää asiakaslähtöisyyttä ja helpottaa asiakkaan arkea kaikessa toiminnassa. Tämä näkyy asiakkaille siten, että palvelut ovat entistä sujuvampia, asiointitarve vähenee ja etuuskäsittely nopeutuu.

Valmistuessaan kehittämisohjelma parantaa Kelan toimintaa monella tavalla:

• Tieto liikkuu paremmin, ja sitä voidaan hyödyntää sujuvammin. Kelassa tehtävät tekniset ratkaisut mahdollistavat tiedon liikkuvuuden ja siten tehokkaammat julkiset palvelut lainsäädännön mahdollistamissa rajoissa.
• Kelan ydintehtävät voidaan hoitaa tietoturvallisesti, vaikka taloudelliset resurssit niukkenevat ja osaajista on pula. Uudet ratkaisut tehostavat ja automatisoivat Kelassa tehtävää työtä. Kyky havaita väärinkäytöksiä paranee.
• Kela voi vastata digitalisoituvan toimintaympäristön ja tuottavuuden vaatimuksiin. Edistykselliset järjestelmät tuovat tehokkuutta ja säästöjä siinä vaiheessa, kun vanhoista järjestelmistä voidaan luopua.
• Sosiaaliturvan toimeenpano on tehokasta kaikissa olosuhteissa tulevina vuosikymmeninä. Kelan kyky tarjota uusia palveluita paranee olennaisesti. Kela pystyy toimeenpanemaan lakimuutoksia entistä nopeammin, kun etuusjärjestelmät mukautuvat uusiin tarpeisiin.

Jotta voimme onnistua laajassa ja monimutkaisessa uudistustyössä, hankimme kilpailutuksessa valmisratkaisun ns. avaimet käteen -toteutuksena toimittajalta, jolla on kokemusta ja näyttöä vastaavista sosiaaliturva-alan uudistuksista.

Kyseessä on luonteeltaan ja laajuudeltaan poikkeuksellinen muutos. Kelan toimialue Suomessa on ainutlaatuinen. Suomessa ei ole tarjolla tämän toimialueen valmisratkaisuja ja osaamista kuin rajallisesti. Sen sijaan kansainvälisiä ratkaisuja on tarjolla useita.

Kela on tehnyt sopimuksen ulkomaisen kumppanin kanssa. Merkittävä osa tekijöistä tulee muualta, mutta kumppani voi halutessaan valita tekijöiksi myös suomalaisia. Joiltakin osin näin myös varmasti tapahtuu.

Kehitämme järjestelmiä ja palveluja jatkossa yhdessä kumppaneiden kanssa. Kela keskittyy työssä omaan ydinosaamiseensa, joka on suomalaisen sosiaaliturvan, lainsäädännön ja näiden toimeenpanon vahva tuntemus. Samalla hyödynnämme kumppaneiden osaamista ja teknologioita.

Kela yritti laajaa uudistamista jo edellisellä vuosikymmenellä, mutta se ei onnistunut. 2020-luvun alussa toteutimme osana perhevapaauudistuksen toimeenpanoa teknologiapilotin, jossa kokeilimme vielä kerran uudistuksen toteuttamista pääosin omana kehitystyönä.

Kokeilu osoitti, että Kelan tarvitsema uudistus olisi omana kehitystyönä vienyt arviolta 15–30 vuotta ja maksanut moninkertaisesti nykyiseen hankintaan verrattuna. Myös kansainväliset kokemukset vahvistivat havaintojamme. Kelan tarvitsema järjestelmäkokonaisuus on suuri. Tämä johtuu etuuksien, asiakasdatan sekä tarvittavien toimintojen suuresta määrästä.

Kelan toiminnan luonteen vuoksi tietoturvavaatimukset ovat erittäin suuret. Valituilla teknologioilla mahdollistamme kustannustehokkaat, tulevaisuuden tarpeisiin vastaavat ratkaisut. Jotta Kelan toiminnan vaatimukset voidaan täyttää, alustaa täytyy joka tapauksessa säätää ja joiltakin osin räätälöidä Kelan tarpeisiin. Sopimus mahdollistaa myös hankinnan täydentämisen uusilla teknisillä ratkaisuilla.

Vuonna 2023 Kela teki markkinakartoituksen, jossa koottiin tietoa valmisohjelmistojen käyttömahdollisuuksista. Kartoitusvaiheessa käytiin merkittävä määrä markkinavuoropuheluja ja tutustuttiin laajasti kotimaisten ja ulkomaisten referenssiorganisaatioiden kokemuksiin vastaavista uudistuksista.

Laajan markkinakartoituksen jälkeen Kelan hallitus päätti joulukuussa 2023 käynnistää Eepos-kehittämisohjelman toimeenpanon vaatimat hankinnat. Kehittämisohjelmaa varten päätettiin hankkia alustat ja kumppanit, joiden avulla Kela uudistaa etuuskäsittelyn, digitaalisen asioinnin, asiakkuudenhallinnan ja tiedonvälityksen.

Hankinta käynnistyi tammikuussa 2024. Hankintatapana oli kilpailullinen neuvottelumenettely.

Huhtikuussa 2025 Kela valitsi PricewaterhouseCoopers Business Services SRL:n (teknologiana Salesforce) toteuttamaan etuusjärjestelmien ja palvelujen laajan uudistuksen.

Olemme tehneet Kelassa huolellisen pohjatyön, jossa olemme tutkineet isoja suomalaisia julkisen ja yksityisen sektorin hankkeita, kansainvälisten kollegavirastojen hankkeita sekä kokemuksia hankkeiden toimeenpanosta.

Päädyimme hankkimaan kerralla ns. päästä päähän -kokonaisuuden. Näin haastavan kokonaisuuden vieminen tuotantoon vaatii sellaista kokemusta, joka ei ole Kelan ydinosaamista. Riskinä olisi kustannusten merkittävä kasvu tai jopa hankkeen epäonnistuminen.

Jos olisimme ostaneet tämän kokonaisuuden osissa, olisi kokonaisuuden johtaminen jäänyt Kelan vastuulle. Lisäksi eri osien tuominen hallitusti nykyiseen arkkitehtuuriin on osoittautunut mahdottomaksi ja on keskeinen tekijä epäonnistuneiden hankkeiden taustalla. Osissa rakentaminen olisi tarkoittanut käytännössä pysyttäytymistä nykyisessä arkkitehtuurissa, jossa kukin etuuskokonaisuus olisi pitänyt rakentaa toisistaan riippumattomiksi.

Osissa hankinta voisi myös pidentää aikatauluja. Tällöin teknologia voisi vanhentua ensin hankituissa osissa ennen kuin viimeiset osat olisivat tuotannossa.

Olemme huomioineet vastuullisuuteen ja eettisyyteen liittyvät näkökohdat Eepos-hankinnassa. Näitä ovat etenkin lainsäädännön noudattaminen, työehtoihin liittyvät velvoitteet, taloudellinen vastuu ja eettinen liiketoiminta sekä vastuu ympäristöstä ja sosiaalinen vastuu.

Olemme arvioineet tarjouksen tehneiden yritysten vastuullisuutta jo siinä vaiheessa, kun olemme tutkineet, soveltuisivatko ne Kelan kumppaneiksi.

Olemme esittäneet jo hankintavaiheessa vaatimuksen, että kumppanimme täytyy noudattaa Kelan eettistä ohjeistusta. Seuraamme vaatimusten täyttymistä säännöllisesti. Olemme toteuttaneet hankinnan hankintalain ja hankintadirektiivien mukaisesti, ja nämä jo itsessään edellyttävät yritysten luotettavuuden arvioimista.

Sosiaaliturvan toimeenpanolla on kriittinen rooli kansallisissa peruspalveluissa. Huomioimme hankinnan vaatimuksissa, että sosiaaliturvan saatavuus ja jatkuvuus täytyy turvata.   

Vaatimukset kattavat normaaliolojen lisäksi erilaiset poikkeustilanteet, joita voi kohdistua teknologiaan ja niiden saatavuuteen. Toimittaja on sitoutunut kehittämään ja tuottamaan ratkaisut, joiden kautta Kela voi hoitaa perustehtävänsä myös erittäin merkittävissä häiriötilanteissa.

Tilanne, jossa ulkomailla tuotetut ratkaisut eivät olisi Kelan, Suomen julkishallinnon, elinkeinoelämän tai EU:n käytössä merkitsisi, ettei mikään tietotekniikkaan tai tietoliikenteeseen (verkko tai mobiiliyhteys) nojautuva palvelu toimisi, koska ne hyödyntävät samoja teknologioita.

Kela rakentaa ohjelmassa toimintasuunnitelman erilaisiin poikkeustilanteisiin ja varmistaa, että kansalaisille voidaan tuottaa sosiaaliturvan palvelut (minimitasolla).

Kelan esittämät vaatimukset ja valitsemat ratkaisut noudattavat valtion pilvipalvelulinjauksia sekä lainsäädännön linjauksia siitä, millaista henkilötietoa on mahdollista käsitellä pilvipalvelussa. Joiltain osin Kela on myös koventanut vaatimuksia turvatakseen asiakkaiden tietosuojan. Kela myös edellyttää, että pilvipalvelut tuotetaan Euroopan Unionin alueella ja että asiakkaiden tietojen käsittely täyttää GDPR-vaatimukset ja muut tiukat tietoturvavaatimukset.

Kela edellyttää myös pilveen vietävän tiedon salaamista sellaiseen muotoon, ettei ulkopuolisen ole mahdollista tulkita tietoja. Mitään henkilötietoa, edes epäsuoraa, ei saa viedä EU:n ulkopuolelle ilman Kelan lupaa. Kela on laatinut tiukat vaatimukset, jotta asiakkaiden tietojen käsittely olisi turvallista. Tietosuoja-asioissa tapahtuvista rikkeistä seuraa merkittävä sopimussakko.

Kela kehittää ja varmistaa tietosuojaan liittyvien asioiden hallintaa ja audit trailin toteutumista systemaattisella DPIA-työskentelyllä. Kela tekee tiivistä yhteistyötä myös tietosuojavaltuutetun kanssa.

Pilvipalveluiden kautta Kela saa merkittäviä uusia, jatkuvasti kehittyviä palveluja turvaamaan asiakkaiden tiedot ja Kelan toimintaan kohdistuvat kyberuhat. Ilman pilvipalveluja kyberuhkien torjunta olisi Kelalle liian kallista. Pilvi on siis myös tärkeä investointi turvallisuuteen.