Lausunto arviomuistiosta julkisen hallinnon tietojärjestelmiä koskevan sääntelyn kehittämistarpeista
Valtiovarainministeriö | 12.07.2021 | VN/4400/2021
Kiitämme lausuntopyynnöstä ja toteamme lausuntopyynnössä esitetyistä kysymyksistä seuraavaa:
1. Kommenttinne arviomuistiossa tehdystä nykytilan kuvauksesta
Käsityksemme mukaan nykytilan kuvaus vastaa kohtalaisen hyvin tilannetta. Kiinnitämme kuitenkin huomiota siihen, että muistiossa ei ole huomioitu, että Suomessa julkisia hallintotehtäviä hoitavat myös muut kuin viranomaiset. Myös yksityiset toimijat julkisen hallintotehtävän hoitajina ja julkisen vallan käyttäjinä tulisi huomioida kuvauksessa. Esimerkiksi varsin merkittävä osa sosiaaliturvasta on järjestetty lakisääteisin yksityisissä vakuutusyhtiöissä. Vakuutusperusteisia sosiaaliturvan muotoja ovat muun muassa työeläke sekä työtapaturma- ja ammattitautivakuutus. Sosiaalivakuutusten lisäksi liikennevakuutuksen toimeenpano on kansallisen vakiintuneen tulkinnan mukaan julkisen hallintotehtävän hoitamista ja tietyiltä osin myös julkisen vallan käyttöä.
Sääntelyn laajentaminen nykyisestä yksityisten toimijoiden osalta vaatisi nähdäksemme laajempaa taustaselvitystä. Yllättävä laajentaminen voisi tuoda isoja kustannuksia muutostarpeista johtuen ja vaatia pidemmän ajan muutosten implementoinnille, vaikka osa asioista on jo toteutettuna alan oman sääntelyn perusteella.
Lisäksi tulisi harkita, onko ajateltu sääntely tarpeen ottaen huomioon tietosuoja-asetuksen ja kansallisen tietosuojalainsäädännön sekä esim. lakisääteistä vakuuttamista ohjaavan erityissääntelyn ja viranomaismääräykset. Lisäsääntely saattaa luoda riskin epäselvästä oikeustilasta ja johtaa käytännössä hankaliin tulkintatilanteisiin.
Arviomuistiossa todetaan, että olisi analysoitava tarkemmin, missä määrin automatisoinnin toteuttaminen on julkisen hallintotehtävän toteuttamista ja jopa merkittävän julkisen vallan käyttöä ja missä määrin on kyse teknisestä toimenpiteestä. Tämä pohdinta on tärkeää, jotta voidaan ymmärtää mm. kehittämiseen liittyvät vastuut. Muistiossa todetusta analyysitarpeesta huolimatta useassa kohdassa katsotaan, että automatisoinnin kehittäminen itsessään olisi vähintäänkin julkisen hallintotehtävän hoitamista. Mielestämme tällaisten johtopäätösten tekeminen on ennenaikaista ja ongelmallista. Asiaa tulisi selvittää paremmin ja analysoida laajemmin.
Arviomuistiossa tietojärjestelmiä käsitellään yhtenä kokonaisuutena. Julkisen hallintotehtävän hoitamisessa käytetään useita erilaisia ja eri tavoin kriittisiä tietojärjestelmiä. Näkemyksemme mukaan mahdollisessa sääntelyssä tulee ottaa huomioon järjestelmien kriittisyys ja merkityksellisyys, jotta ei ylisäännellä vähemmän kriittisten järjestelmien kehittämistä, ylläpitoa ja käyttöönottoa. Ylisääntely johtaa hallinnollisen taakan lisääntymiseen niin julkisella kuin yksityisellä puolella ja helposti myös erittäin merkittäviin lisäkustannuksiin, joille ei ainakaan vähemmän kriittisten järjestelmien osalta ole perusteita.
Viittaamme Finanssiala Ry:n asiassa antamaan lausuntoon, jossa tässä todettuja asioita on tarkasteltu yksityiskohtaisemmin.
2. Kommenttinne tietojärjestelmistä sääntelykohteena
Arviomuistiossa todettu kuvaa mielestämme nykytilaa hyvin. Erityisesti tietojärjestelmiin liittyvät määritelmät nykysäännöksissä eivät ole riittävän selkeitä, tarkkarajaisia ja erottelevia. Niitä on syytä kehittää.
Painotamme kuitenkin tältäkin osin edellisessä kohdassa todetun merkitystä: on tärkeää, että myös määrittelyssä ja sen myötä sääntelyn kohdentamisessa huomioidaan järjestelmien tosiasiallinen kriittisyys.
3. Millaisia yleisiä vaatimuksia tietojärjestelmien toiminnallisuuksille pitäisi lainsäädännöllä asettaa?
Katsomme, että vaatimusten asettamisessa tulisi olla pidättyväinen. Jos kuitenkin päädytään toiminnallisuuksia koskevien vaatimusten asettamiseen, ne tulisi kohdistaa korkeampiriskisiin järjestelmiin, ei kaikkiin. Parhaiten tämä on mahdollista toteuttaa erityislainsäädännössä. Mikäli toiminnallisia vaatimuksia siinä päätetään asettaa, niissä tulisi edellyttää lähinnä tietyn lopputuloksen tai toiminnallisuuden takaamista.
VM:n arviomuistiota valmistelleen työryhmän toimeksiantona oli valmistella asiaa koskevaa yleissääntelyä. Katsomme, että tätä toimeksiantoa tulee noudattaa ja keskittyä vain yleissääntelyyn. Yleisesti katsomme, että on ylipäätään pyrittävä välttämään liian yksityiskohtaista ja aivan erityisesti teknologiavalintoja ohjaavaa sääntelyä. Teknologia kehittyy tunnetusti erittäin nopeasti ja on suuri vaara, että sääntely olisi tällöin jo voimaan tullessaan vanhentunutta. Se voisi pahimmillaan muodostaa esteen toiminnan kehittämiselle, jos toimijat olisivat sääntelyn kautta sidottuja tiettyyn, jo vanhentuneeseen tai vanhentumassa olevaan teknologiaan.
On syytä kiinnittää erityistä huomiota myös siihen, miten tietojärjestelmien kehittäminen on muuttunut aiemmasta: nykyisin on hyvin tyypillistä, että järjestelmien kehitys on jatkuvaa, eikä näin ole ollenkaan selvärajaista, milloin järjestelmä on valmis tai vielä keskeneräinen. Käyttöönoton jälkeisetkin kehityssyklit ovat usein nopeita, ja järjestelmät ovat tässä mielessä usein kehitettävinä kaiken aikaa.
Mitä tulee automaattiseen päätöksentekoon, toteamme, että automaattisen tietojenkäsittelyn hyödyt ovat selvät. Kokonaisuutta kehitettäessä päätöksentekoprosesseja ja niiden vaiheita tulisi kuitenkin aina tarkastella riittävän eriytetysti. Vaikka esimerkiksi katsottaisiin, että tietynlaisia päätöksiä ei voida sallia tehtävän automaattisella päätöksenteolla, huomioiden erityisesti yleisen tietosuoja-asetuksen vaatimukset, tämän ei tulisi automaattisesti merkitä, ettei päätöksenteon valmisteluun liittyviä tai avustavia työvaiheita voitaisi toteuttaa automatisoidusti.
4. Millaisia olennaisia teknisiä vaatimuksia hallintoasioita käsitteleville tietojärjestelmille pitäisi lainsäädännöllä säätää?
Katsomme, että vaatimusten asettamisessa tulisi olla pidättyväinen. Jos kuitenkin päädytään teknisten vaatimusten asettamiseen, ne tulisi kohdistaa korkeampiriskisiin järjestelmiin, ei kaikkiin. Parhaiten tämä on mahdollista toteuttaa erityislainsäädännössä. Mielestämme siinäkin tulisi mieluummin harkita joustavampia vaihtoehtoja (esim. standardit, yhteensopivuusedellytykset).
VM:n arviomuistiota valmistelleen työryhmän toimeksiantona oli valmistella asiaa koskevaa yleissääntelyä. Katsomme, että tätä toimeksiantoa tulee noudattaa ja keskittyä vain yleissääntelyyn. Yleisesti katsomme, että on ylipäätään pyrittävä välttämään liian yksityiskohtaista ja aivan erityisesti teknologiavalintoja ohjaavaa sääntelyä. Teknologia kehittyy tunnetusti erittäin nopeasti ja on suuri vaara, että sääntely olisi tällöin jo voimaan tullessaan vanhentunutta. Se voisi pahimmillaan muodostaa esteen toiminnan kehittämiselle, jos toimijat olisivat sääntelyn kautta sidottuja tiettyyn, jo vanhentuneeseen tai vanhentumassa olevaan teknologiaan.
5. Millaisia vaatimuksia, kuten dokumentointivaatimuksia, tietojärjestelmien kehittämiselle pitäisi lainsäädännöllä säätää?
Työryhmän toimeksiantona oli tarkastella tarpeita kehittää asiaan liittyvää yleislainsäädäntöä. Katsomme, että dokumentointivaatimuksista ja muiden vastaavantyyppisistä muista vaatimuksista säätäminen kuuluu erityislainsäädäntöön. Näin on esimerkiksi siitä syystä, että monissa tietojärjestelmissä käsitellään henkilötietoja, jolloin dokumentointivaatimuksissa tulee huomioida tietosuojalainsäädännön vaatimukset ja toisaalta rajoitteet. Tällaiset vaatimukset, mikäli niitä perustellusti tarvitaan, on järkevintä toteuttaa erityislainsäädännössä. Näin niiden kohdentaminen onnistuu parhaiten ja vältetään myös turhat kustannukset.
Muutoinkin on tarpeen pyrkiä välttämään liian yksityiskohtaista ja aivan erityisesti teknologiavalintoja ohjaavaa sääntelyä, kuten edellä olemme todenneet.
6. Miten lainsäädännöllä tulisi varmistua virkavastuun toteutumisesta ja kohdistumisesta, mitä tulee tietojärjestelmien kehittämiseen, käyttöönottoon ja käyttöön, sekä tietovarantojen käyttöön?
Emme näe tarvetta virkavastuusäännösten muuttamiselle.
7. Mitä edellytyksiä tietovarannoille, niiden laadulle tai niiden käytölle tulisi lainsäädännössä asettaa, jotta niitä voidaan käyttää osin tai täysin automaattisessa päätöksenteossa?
Emme näe tarvetta uusien tai nykyistä tarkempien edellytysten säätämiselle. Keskeistä tietovarantojenkin osalta on tiedostomuotojen yhteensopivuus. Katsomme, että lain tasolla tulisi määrittää ainoastaan tavoitetila, mutta ei toteutustapaa.
On mielestämme erittäin tärkeää, että tietojärjestelmiä koskevaa lainsäädäntöä uudistaessa otetaan huomioon myös yksityisten palveluntuottajien luoma lisäarvo tietovarantojen käytössä.
Esimerkkinä edellä kerrotusta voidaan mainita työnvälitysjärjestelmän kokonaisuus, jonka kannalta olisi erittäin tärkeää, että TE-palvelu-uudistuksen ja sitä koskevan palvelualustaa koskevan uudistamistyön yhteydessä voitaisiin työttömät työnhakijat saavuttaa nykyistä tehokkaammin avaamalla yksityisille palveluntuottajille pääsy rajatusti TE-palvelujen asiakastietojärjestelmän olennaisiin tietoihin, joista selviäisi määriteltävät työnhakijan perustiedot. Työnhakijan perustiedot syötettäisiin tällaiseen ”väliportaaliin” alkuhaastattelun yhteydessä hakijan suostumuksella. Tästä tietokannasta henkilöstöpalvelualan yrityksen ammattilainen etsisi sopivia osaajia ja pystyisi tarjoamaan työtä työnhakijalle, joka on sallinut julkaista omat tietonsa tähän tietokantaan. Työnhakija antaisi näin ollen mahdollisuuden tulla löydetyksi ja hyväksyy sen, että hänelle voidaan tarjota myös henkilöstöpalveluyritysten toimesta ja välittämänä työtä.
EK:n jäsenliitto Palta Ry on esittänyt mallia, jonka mukaisesti työnhakijoista muodostettu työnhakuprofiilin data sijaitsisi vain viranomaisverkossa, johon henkilöstöpalveluyrityksen ammattilaisilla olisi katseluoikeus. Näin henkilöstöpalvelualan ammattilaisten mahdollisuus ottaa yhteyttä potentiaalisiin työnhakijoihin paranisi ja suorat työtarjoukset lisääntyisivät. Samalla syntyisi arvokasta dataa työtarjousten määrästä ja laadusta TE-hallinnon käyttöön palveluiden parantamiseksi.
Nykyisen erillisen kahden työnvälitysjärjestelmän – julkisen ja yksityisen – hyödyt kohtaisivat paremmin, kun työnhakija saisi omien syöttämiensä ennakkotietojen perusteella yhä kohdistetumpia työtarjouksia omien hakujensa lisäksi myös nykyisen hyvin rajallisen julkisen työnvälitysalustan ulkopuolelta.
8. Miten tietoturvallisuuden arviointia ja arviointijärjestelmää koskevaa lainsäädäntöä tulisi kehittää? Entä erityisesti viranomaisten tietojärjestelmien arvioinnin osalta?
Järjestelmiin kohdistuu enenevässä määrin myös tietoturvallisuusvaatimuksia. Arviointi kohdistuu aina lainsäädännössä ja sopimuksissa edellytettyihin vaatimuksiin ja arviointi on näin vain menetelmä varmistua niiden vaatimustenmukaisuudesta. Näin myös arvioinnin ja arviointijärjestelmän kehittämisen tarve on sidoksissa vaatimuksia muuttavaan lainsäädäntöön. Olemme edellä todenneet, että yleislainsäädännössä tulisi mielestämme olla pidättyväinen toiminnallisia tai teknisiä vaatimuksia tulisi kohdistaa korkeintaan korkeampiriskisiin järjestelmiin. Tämä tulisi huomioida myös arviointia ja arviointijärjestelmää kehitettäessä, mikäli sille nähdään perusteita, erityisesti siltä osin kuin muutokset kohdistuisivat valtionhallinnon ulkopuolelle yksityisiin toimijoihin. Yksityisillä toimialoilla järjestelmien oikeellisuus ja luotettavuus perustuu ja sen tulee mahdollisimman pitkälti perustua toimialan sektorikohtaiseen sääntelyyn ja kilpailutekijöihin.
Korostamme tietoturvavaatimusten osalta yksityisten palveluntarjoajien kannalta edellä tässä lausunnossa todetun lisäksi myös seuraavia näkökohtia, jotka pätevät pitkälti myös muihin kuin tietoturvallisuutta koskeviin vaatimuksiin:
- Siltä osin kuin yksityisiin palveluntarjoajiin kohdistetaan tietoturvallisuusvaatimuksia, niiden tulee perustua arvioituun riskiin ja lisäksi niiden tulee olla täsmällisiä, riskiin nähden oikeasuhteisia, tarkkarajaisia ja hyvin kohdennettuja.
- Olisi kaikkien etu, että vaatimukset perustuisivat yhtenäiseen tietojen luokitteluun ja olisivat näin saman sisältöisiä viranomaisesta riippumatta tietojenluokittelun kautta perustellun riskin ollessa samanlainen.
- Tietoturvallisuusvaatimuksia tulisi ensisijaisesti kehittää EU-tasolla silloin kun se on mahdollista. Näin parhaiten turvataan kotimaisten yritysten kilpailukyky suhteessa tärkeimpiin kilpailijamaihin ja niiden yrityksiin. Tietoturvallisuusvaatimusten osalta tulee huomioida myös käsittelyssä oleva kansainvälinen, EU-tasoinen lainsäädäntö, mm. NIS2-direktiivi ja CER-direktiivi. Sääntelyn hajautumista tulee välttää, vaan siltä osin kuin sääntelyä tarvitaan, tulee pyrkiä siihen, että ensisijaisesti asiaa hallitaan mahdollisimman pitkälle EU-tasoisella tai siihen perustuvalla regulaatiolla ja kotimainen sääntely vastaa, eikä tiukenna tätä tasoa.
- Yrityksillä on halu ja oma intressi kehittää tietoturvallisuuttaan. Ensisijaisesti tarvitaan tukea, neuvoja ja yksinkertaisia työkaluja tiukkojen vaatimusten ja sanktioiden asemesta. On syytä muistaa, että suurin osa suomalaisyrityksistä on pk-yrityksiä, joiden resurssit ovat rajalliset.
- Vaatimukset merkitsevät usein isoja kustannuksia. Valmistelun on siksi oltava avointa ja tiukentuvat vaatimukset eivät saa tulla yllätyksenä. Yritysvaikutukset on analysoitava hyvin ja niiden tulee näkyä sääntelyssä. Uusien vaatimusten aiheuttamien kustannusten on oltava kohtuullisia, myös pk-yritysten kannalta.
- Tietoturvallisuusvaatimusten ja turvallisuusvaatimusten yleisestikin tulee kohdistua haluttuun turvallisuuden tasoon. Toteutuskeinot tulee jättää mahdollisimman pitkälle toimijoiden itsensä valittaviksi.
9. Kommenttinne muistiossa todetuista sääntelytarpeista yleensä
Toteamme yleisesti edellä kerrotun kiteyttäen, että lisäsääntely tulee toteuttaa ensisijaisesti sektorilainsäädännössä ja liian yksityiskohtaisia ja päällekkäisiä sekä erityisesti teknologiavalintoihin liittyviä säännöksiä tulee välttää, jotta sääntely ei hidasta kehitystä ja jotta sääntely kestää aikaa.
10. Muut yleiset kommentit arviomuistiosta
Mielestämme käsiteltävää asiakokonaisuutta tulisi lähestyä järkevällä, riskiperusteisella tavalla, riittävän konkreettisella ohjeistuksella ja valvonnalla. Ohjeiden ja parhaiden käytäntöjen mahdollisuutta vaihtoehtona sääntelylle tulisi harkita aina, kun se on mahdollista.
Mahdollisten lainsäädäntöuudistusten implementoinnille tulee varata riittävät siirtymäajat.
Sääntelyssä tulisi pyrkiä siihen, että esim. kansainvälisten pilvipalvelujen käyttöä ei suljeta pois, vaan sääntely olisi realistinen niidenkin käytön suhteen.