Lausunto Arviomuistiosta julkisen hallinnon tietojärjestelmiä koskevan sääntelyn kehittämistarpeista

VALTIOVARAINMINISTERIÖLLE

1. Kommenttinne arviomuistiossa tehdystä nykytilan kuvauksesta

Arviomuistion erittelemä julkisen hallinnon tietojärjestelmien sääntelyn nykytilan kuvaus on arvokas ja nähdäksemme tarpeellinen lähtökohta sääntelyn kehittämistarpeiden arvioinnille. Kun olennaista on kuvauksen keskittyminen julkisen hallinnon tietojärjestelmiin, on myös tämän Suomen Asianajajaliiton lausunnon näkökulman kohdistuttava tilanteeseen, joissa tietojärjestelmiä käytetään hallintoasioiden käsittelyssä tai tosiasiallisessa hallintotoiminnassa palveluja tuotettaessa.

Käytännössä tietojärjestelmäkehitys ei kuitenkaan kansainvälisesti tai edes paikallisella tasolla rajaudu tai määräydy tämän käyttörajauksen tai kohteen mukaisesti. Näin ollen onkin nähdäksemme merkityksellistä huomioida, että (a) sääntelyä kohdistuu nykytilanteessa tietojärjestelmiin yleisesti – myös ilman edellä todettua rajausta – ja (b) merkittävä osa tietojärjestelmien kehitystä ohjaavista lähtökohdista perustuu muuhun kuin kansalliseen laintasoiseen sääntelyyn. Tosiasiallinen lähtökohta siis onkin, että julkisen hallinnon tietojärjestelmiin kohdistettava kansallinen lainsäädäntö voi muodostaa vain varsin marginaalisen lähtökohdan tietojärjestelmien kehityksen ohjautumiselle.

Asianajajaliitto toteakin nykytilan kuvauksen osalta käsityksenään, että nykysääntelyn noudattaminen tietojärjestelmien kehityksen tai niihin kohdistuvien vaatimusten tosiasialliseksi toteutumiseksi on varsin vajavaista. Joko sääntelyn yleistasoisuudesta, jäsentymättömyydestä tai tuoreudesta taikka julkishallinnon vajavaisista resursseista tai valvonnan puutteesta johtuen on tavallista, että nykytilan kuvauksessa esiteltyjä vaatimuksia ei tosiasiallisesti viedä tänä päivänä täytäntöön. Lisäksi nykytilan kuvauksessa ei nähdäksemme täysin välity se, että tietojärjestelmien toteutuksen ja kehityksen kannalta käytännössä keskeisintä ohjaavaa vaikutusta on tänä päivänä ylikansallisella tietosuoja-asetuksella, jo sen kattavuudesta, mutta myös erityisesti sen poikkeavan ankarasta sanktiomekanismista johtuen. Tämä vaikutus kohdistuu myös julkisen hallinnon tietojärjestelmiin, joissa lähes poikkeuksetta käsitellään merkittävästi henkilötietoja.

2. Kommenttinne tietojärjestelmistä sääntelykohteena

Kuten arviomuistiossa on tuotu esille, muodostaa tietojärjestelmä jo käsitteellisesti haastavan lähtökohdan sääntelylle. Ensiksi, tunnistetut mahdolliset sääntelytarpeet kohdistuvat viranomaisen prosesseihin ja toimintaan. Tietojärjestelmä on vain keino tai konteksti tällaisten toteuttamisessa. Toiseksi, jo nykyinen sääntelykehikko asettaa varsin kattavat vaatimukset ja muodostaa jo nyt haastavan operointiympäristön viranomaistoiminnalle. Haastavuus toki välittyy jo nykysääntelyn seurauksena ohjelmistohankintojen mahdollisille toimittajille, jos lakiperusteisia vaatimuksia sellaisinaan (hankintailmoituksissa, tarjouspyynnöissä tai hankintayksikön sopimusehdoissa niihin vain yleisesti viitaten) olisi käytäntönä välittää sellaisinaan hankintojen vaatimusmäärittelyihin. Käsityksemme mukaan tämä on ainakin toistaiseksi ollut kuitenkin suhteellisen epätyypillistä eikä siten ole aiheuttanut ongelmia, joita tällaisesta menettelystä potentiaalisille tarjoajille ja hankinnan kustannuksille aiheutuu ja joihin tämän lausunnon kohtaan 3 annetussa vastauksessa tarkemmin palataan.

Asianajajaliitto pitää luonnollisesti kannatettavina kaikkia sääntely- ja viranomaistoimia, joilla pyritään parantamaan kansalaisten oikeusturvaa ja luomaan paremmat edellytykset lainkäytölle ja hallintotoiminnalle jatkuvasti digitalisoituvassa ympäristössä. Tietojärjestelmien merkityksen tunnistaminen arviomuistiossa eriteltyjen arvokkaiden tavoitteiden toteutumisessa on ilmeinen. Kuitenkin on nähdäksemme selvää, että lisäsääntely ei ole se keskeisin keino, jolla kannatettavat tavoitteet todennäköisimmin saadaan toteutumaan käytännössä.

Kuten edellä lausunnossamme on todettu, viranomaisten resurssien vajavaisuus (sekä henkilöresurssien, osaamisen että laadukkaiden teknisten hankintojen edellyttämien varojen osalta) sekä muut vastaavan kaltaiset käytännön toimintaan kytkeytyvät syyt ovat nähtävissä merkityksellisinä sen kannalta, miten hyvän hallinnon ja kansalaisten oikeuksien näkökulmasta tärkeät seikat toteutuvat sähköisessä toimintaympäristössä tapahtuvassa viranomaistoiminnassa. Se, että tietojärjestelmille, mukaan lukien niiden hankinnoille, asetettaisiin laintasoisia uusia lisävaatimuksia, ei olisi nähdäksemme omiaan itsessään lisäämään kaikkien velvoittavien vaatimusten toteutumista. Riskinä on oikeuskirjallisuudessa syvemmin eritellyn niin sanotun lainsäädäntöriskin realisoituminen. Erityislainsäädännön laajuus ja yhteensopimattomuus ovat digitaalisessa toimintaympäristössä johtaneet tilanteeseen, jossa yleis- ja erityislainsäädännön selkeyden ja havainnollisuuden puute sekä oikeuden hajoaminen liian laajasti eri erityislakeihin aiheuttaa haasteen niin oikeuden soveltamiselle kuin lainsäädännöllä tavoiteltavien päämäärien toteutumiselle.

Keskeisen jatkovalmistelussa arvioitavan kysymyksen tulisikin olla se, mitä ovat ne sisällölliset vaatimukset ja niillä edistettävät päämäärät, joita uudella lailla voitaisiin tehokkaasti edistää ja joita ei vielä nykysääntelyn perusteella olisi voimassa? Tämä arvio tulisi tehdä myös valmistelussa ja odotettavissa oleva EU-sääntely huomioiden ja ymmärtäen erityisesti näistä EU-säädöksistä suoraan suunnitellun uuden lain keskeiseen sisältöön seuraavien välittömästi vaikuttavien elementtien keskeinen merkitys. Tämä liittyy erityisesti tekoälyn hyödyntämisen sääntelyyn ja sen kehityksen saralla tulevaisuudessa odotettavissa oleviin hyvin merkityksellisiin toimintaympäristöä muuttaviin vaikutuksiin.

On myös syytä huomioida, miten haastavaksi digitaalisessa toimintaympäristössä operointi on jatkuvasti laajentuvan uuden sääntelyn myötä muuttumassa. Asianajajakunnan kokemuksen myötä erityisesti tietosuojalainsäädännön soveltamiseen liittyy myös julkisella sektorilla merkittävää osaamisvajetta. Jos mahdollinen uusi lainsäädäntö ei olennaisella tai käytännöllisellä tavalla joko selkeytä tai kevennä toimintaan kohdistuvia vaatimuksia, on sen käyttöönottoa vaikeaa nähdä perusteltuna.

Jos mahdollisessa arviomuistion pohjustamassa tulevassa hankkeessa sen sijaan on mahdollista samalla päätyä kokonaisvaltaiseen eri ministeriöiden hallinnonalat ylittävän sääntelyn uudelleenarviointiin, muokkaamiseen ja selkeyttämiseen, voi sääntelyn kohdistamista tietojärjestelmiin pitää edellä todettua perusteltavampana. Tällainen sinänsä tavoiteltava, lopputuloksenaan nykyistä paremmin julkisen hallinnon tietojärjestelmiin ja niihin liittyviin toimintaprosesseihin kohdentuvan sääntelyn aikaansaaminen olisi kuitenkin mahdollista vain merkittävän systematisointi- ja uudelleenarviointityön perustalta, eikä sellaiseen hankkeeseen olisi Asianajajaliiton käsityksen mukaan perusteltua lähteä ilman riittävää ymmärrystä ja konsensusta hankkeella tavoiteltavan lainsäädännön muutostyön merkittävästä laajuudesta ja vaativuudesta.

 3. Millaisia yleisiä vaatimuksia tietojärjestelmien toiminnallisuuksille pitäisi lainsäädännöllä asettaa?

Edellä kuvatuista syistä johtuen Asianajajaliitto katsoo, että kaiken tietojärjestelmiin kohdistettavan sääntelyn tulisi ehdottomasti olla teknologianeutraalia.

Eräs keskeisistä Asianajajaliiton mahdolliseen sääntelyhankkeeseen keskittyvistä huolista kytkeytyy sen mahdollisiin negatiiviisin vaikutuksiin julkisen hallinnon tulevien tietojärjestelmähankintojen toteutukselle. Edes julkishallinnon tietojärjestelmien kehitystyössä ei voida tulevaisuudessa ajatella voitavan rajoittautua kansallisella tasolla tehtävään ohjelmistokehitystyöhön. Päinvastoin, suomalaisen julkishallinnon laadukkuuden, tehokkuuden ja tarkoituksenmukaisuuden edellytyksenä on mahdollisuus tarvittaessa turvautua myös Suomen ulkopuolella kehitettyihin tietojärjestelmäratkaisuihin. Näiden toteutustavat saattavat tulevaisuudessa poiketa merkittävästikin siitä, miten nykyisiä tietojärjestelmiä alalla toteutetaan ja käyttöönotetaan.

Tämä tarkoittaa käytännössä sitä, että julkisissa hankinnoissa toteutettavien ohjelmistoratkaisujen osalta tulisi välttää asemoitumista tavalla, joka rajoittaisi potentiaalisiin tarjoajiin lukeutuvien kansainvälisten yritysten edellytyksiä tai intressiä tarjota ratkaisuvaihtoehtojaan suomalaiselle julkishallinnolle. Olisi valitettavaa ja kansantalouden kannalta epäedullista, jos Suomi – kansainvälisessä vertailussa todennäköisesti poikkeavaksi muodostuvalla lainsäädännöllä – loisi tietojärjestelmille vaatimuksia, jotka käytännössä siirtyisivät sellaisinaan hankintojen vaatimustenmäärittelyyn ja saattaisivat sen myötä luoda esteen potentiaalisen tarjoajan osallistumiselle kilpailutukseen. On erittäin tärkeää hahmottaa, että jokaisella hankinnassa asetettavalla ehdolla on aina hintavaikutuksensa. On ollut havaittavissa, että itse prosessiensa tasolla vajavaisesti nykyisiä arviomuistiossa eriteltyjä viranomaistoimintaan kohdistettuja vaatimuksia hallitsevat hankintayksiköt pyrkivät siirtämään tietojärjestelmähankinnoissa epävarmuutensa ja sääntelyn toteutumatta jäämisen osalta tunnistamansa riskit hankinnan ehdoissa tulevan järjestelmätoimittajan tai -kehittäjän kannettaviksi. Tällaiset ehdot ovat omiaan rajoittamaan potentiaalisten tarjoajien kiinnostusta hankkeisiin sekä ennen kaikkea nostamaan annettavien tarjousten hintoja tavalla, jossa epätarkoituksenmukaisella tavalla syntyvät kustannukset siirtyvät Suomen julkistalouden ja veronmaksajien kustannuksiksi. Tämä näkökohta olisi toivottavaa tulla huomioiduksi mahdollisessa jatkovalmistelussa, huomioiden myös sen, että aihekokonaisuuden tarkasteluun on väistämättä liityttävä hankintaoikeudellinen ulottuvuus sekä – mahdollisesti sääntelyyn edettäessä – käytännön toimenpiteitä, joilla julkishallinnon tietojärjestelmähankintoja ohjataan nykyistä paremmin toteutumaan tavalla, jolla edellä todettu epätarkoituksenmukainen menettely vältetään.

 4. Millaisia olennaisia teknisiä vaatimuksia hallintoasioita käsitteleville tietojärjestelmille pitäisi lainsäädännöllä säätää?

 Viittaamme tämän osalta edellisiin kysymyksiin 2 ja 3 annetuissa vastauksissa todettuun – ennen kaikkea tällaisten vaatimusten säätämisestä mahdollisesti seuraavien negatiivisten vaikutusten osalta.

 5. Millaisia vaatimuksia, kuten dokumentointivaatimuksia, tietojärjestelmien kehittämiselle pitäisi lainsäädännöllä säätää?

 Viittaamme tämän osalta edellisiin kysymyksiin 2 ja 3 annetuissa vastauksissa todettuun – ennen kaikkea tällaisten vaatimusten säätämisestä mahdollisesti seuraavien negatiivisten vaikutusten osalta.

6. Miten lainsäädännöllä tulisi varmistua virkavastuun toteutumisesta ja kohdistumisesta, mitä tulee tietojärjestelmien kehittämiseen, käyttöönottoon ja käyttöön, sekä tietovarantojen käyttöön?

 Virkavastuulla ja siihen kytkeytyvällä tehokkaalla valvonnalla on normiston käytännön toteutumisen näkökulmasta erittäin keskeinen merkitys. Asianajajaliitto katsookin arviomuistion ansiokkaimmiksi ja käytännössä kipeimmin käytännön muutoksia edellyttäviksi ehdotuksiksi ne tunnistetut muutostarpeet, jotka on liitetty tähän ulottuvuuteen.

Arviomuistion toteamukset siitä, että (a) viranomaisen toimintaan pitäisi kohdistaa selkeitä toimintavelvollisuuksia tietojärjestelmien kehittämisessä ja käyttöönotossa siten, että hyvän hallinnon ja oikeusturvan vaatimukset on varmistettu ennakollisesti toimintaprosesseissa ja että (b) virkavastuun asianmukainen toteuttaminen edellyttää sitä, että automatisoitujen toimintaprosessien kehittämiseen, käyttöönottoon sekä käytön seurantaa tukisi normisto, jonka perusteella virkamiesten ja muiden vastuullisten virkavelvollisuudet ovat selvästi määriteltyjä, ovat ehdottomasti perusteltuja.

Hallinnon lainalaisuusperiaatteen, kansalaisten oikeusturvan, hyvän hallinnon takeiden sekä hyvän henkilötietojen käsittelytavan toteutumisen kannalta olisi tärkeää, että jo nykylainsäädäntöön perustuvat velvoitteet kohdentuisivat tavalla, joka johtaisi myös tosiasiallisesti niiden nykyistä parempaan toteutumiseen. Virkavastuun lisäksi tätä tukisi arviomuistiossa todetulla tavalla myös viranomaisen vahingonkorvausvastuu sekä asianmukainen muutoksenhaku- tai uudelleenkäsittelyjärjestelmä.

On asianajajaliiton näkökulmasta ilmeistä, että nämä tavoitteet eivät tällä hetkellä toteudu riittävällä tavalla julkisten tietojärjestelmien toteutuksen ja käytön piirissä tapahtuvien laiminlyöntien tapauksissa, millä on negatiivinen vaikutus niin kansalaisten oikeuksien kuin hallintotoiminnan tehokkuudenkin kannalta. Näin ollen tähän ulottuvuuteen kohdistuu myös Asianajajaliiton näkökulmasta ilmeinen muutostarve.

Arviomuistiossa sivutetaan kuitenkin se, että virkavastuun vahingonkorvausvelvollisuuden aidon toteuttamisen rinnalla saattaisi olla tunnistettavissa myös muita tehokkaita keinoja tavoitteiden tehostamiseen jo ilman kokonaisvaltaista uutta julkisiin tietojärjestelmiin kohdistettavaa lainsäädäntöä. Erityisesti tällaisen keinon saattaisi taata kaikessa tietojärjestelmien piirissä tapahtuvassa tietojenkäsittelyssä relevantin tietosuoja-asetuksen vaatimusten nykyistä tehokkaampi voimaansaattaminen.

Käytännössä kyse olisi tietosuoja-asetuksen sanktiomekanismin käyttöönotosta tavalla, joksi se asetuksen valmistelu- ja sääntelyvaiheessa suurimmassa osassa muuta Eurooppaa tunnistettiin. Tietosuoja-asetuksen 83 artiklan määrittelemä sakkoriski on keskeinen osa tietosuoja-asetuksen sääntelyjärjestelmää. Tietosuoja-asetusta säädettäessä huomattavan taloudellisen sanktion (jopa 20.000.000 euroa tai, yrityksen kohdalla, 4 % sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi) tarkoituksena on ollut vahvistaa sääntelyn vaikuttavuutta, ja varmistaa, että kussakin yksittäisessä tapauksessa valvovalla viranomaisella on käytettävissään sanktio, joka tekee valvonnasta 8 artiklan 1 kohdan mukaisesti tehokasta, oikeasuhteista ja varoittavaa.

Niissä jäsenvaltioissa, joissa tietosuojaviranomaisella on jo tietosuoja-asetusta edeltävän kansallisen tietosuojasääntelyn nojalla ollut käytettävissään hallinnollisen seuraamusmaksun mahdollistama toimivalta, on tästä sanktiotoimivallan harkitusta käytöstä muodostunut vaikuttavuudeltaan tehokkain valvonnan keino, ja tätä valvontaa on myös kohdistettu yhtä lailla tietosuojavelvoitteitaan laiminlyöneisiin yksityisen kuin julkisenkin sektorin toimijoihin. Valvontatoiminnan kohteina ovat käytännössä olleet myös tietojärjestelmät, joiden toteutuksessa tai kehittämisessä tehtyjen virheiden seurauksena kansalaisten tietosuojaan liittyvät oikeudet eivät ole toteutuneet.

Suomessa säädetyssä kansallisessa tietosuojalaissa jätettiin kuitenkin lähes kaikki viranomaiset ja julkishallinnon elimet hallinnollisen seuraamusmaksun mahdollisten kohteiden piirin ulkopuolelle. Tätä voidaan Asianajajaliiton näkökulmasta pitää epäonnistuneena ratkaisuna jo siitä syystä, että niiden yli kolmen vuoden aikana, jonka tietosuoja-asetus on ollut voimassa, ei vielä yhdessäkään tilanteessa olla käsitelty ainakaan lainvoimaisen tuomion tasolle saakka virkamiehen virkavastuuta, vaikka tietosuoja-asetuksen mukaiset – esimerkiksi tietojärjestelmän toteutukseen tai käyttöön liittyvät laiminlyönnit – olisivat tulleet viranomaisen kohdalla todetuiksi. Tällä on Asianajajaliiton kokemuksen mukaan ollut myös ilmeinen vaikutus siihen, että julkishallinnon toimijoiden tietosuojaan kohdistetut resurssit eivät ole kehittyneet ja vahvistuneet samassa suhteessa kuin yksityisellä sektorilla ollaan oltu pakotettuja kehittämään organisaatioissa aivan uudenlaisia vahvoja lainsäädännön toteutumista edistäviä tietosuojafunktioita. Yksityisellä sektorilla tietosuoja-asetus onkin johtanut – uskoaksemme juuri vahvasta sanktiojärjestelmästä johtuen – merkittäviin investointeihin ja sääntelyn toteutumisen tehostumiseen, ja samanaikaisesti Suomen julkishallinnossa resurssit eivät ole kehittyneet läheskään vastaavalla tavalla ja onkin monien organisaatioiden kohdalla ilmeistä, että tietosuoja-asetuksen velvoitteita joudutaan edistämään erityisesti tietosuoja-asetuksesta seuraavat tietojärjestelmien merkittävät kehitystarpeet tunnistaen auttamattoman vajavaisin resurssein.

Rikosoikeudellinen virkavastuu suhteutuu rinnakkaisena ja vaihtoehtoisena sanktiokeinona erittäin huonosti hallinnolliseen seuraamusmaksuun: rikosoikeudellisen vastuun langettamisesta voi päättää vain tuomioistuin, eli eri viranomainen; sen kohteena on aina yksilö, ei organisaatio, mikä nähdäksemme voi myös sovellettaessa johtaa yksittäisen virkamiehen kannalta kohtuuttomaan tilanteeseen. Lisäksi rikosoikeudellisen vastuun toteutumiskynnys on näyttö- ja lakimääräisistä vaatimuksista johtuen huomattavasti korkeampi kuin tietosuojavaltuutetun langettaman hallinnollisen seuraamusmaksun.

On myös Asianajajaliiton näkökulmasta selvää, että viranomaisten budjettirahoituksen niukkuus ei saisi johtaa siihen, että kansalaisten henkilötietojen käsittelyä sekä tietojärjestelmiä ei tulla kehittämään tietosuojavaatimusten mukaisiksi – kuten nyt näyttää arviomuistiossakin todetulla tavalla Suomessa tapahtuvan. Sanktion olemassaolo luo organisaatioille välittömästi hahmottuvan investointien vaihtoehtoiskustannuksen, mikä on ollut tietosuoja-asetuksen sääntelyn taustalähtökohtana.

Nykyiseen – sitä valmistelleen oikeusministeriön työryhmässä erimielisyyden piirissä syntyneeseen – sääntelyvalintaan kytkeytyy myös ilmeinen ongelma julkisten tietojärjestelmähankkeiden toteutusta ja niiden piirissä tapahtuvien laiminlyöntien käytännön käsittelyä ajatellen. Tilanteissa, joissa valtio, kunta tai muu viranomainen, käytännössä hyvin tavanomaisella tavalla, on ulkoistanut julkisessa tietojärjestelmässä toteutettavia tietojen käsittelytoimintojaan yksityisen sektorin yritykselle, on käsillä samassa hankkeessa mukana oleviin toimijoihin kohdistuvan seuraamusjärjestelmän eriytyminen. Jos mainittu toimintojaan ulkoistanut viranomainen tulee laiminlyöneeksi tietosuoja-asetuksesta seuraavat velvoitteensa esimerkiksi ohjeistaa, seurata ja valvoa tietojenkäsittelyä, syntyy asetelma, jossa tietosuojavaltuutettu valvovana viranomaisena voisi kohdistaa sanktiotoimivaltaansa vain esimerkiksi palvelun toteuttamiseen osallistuneen teknisen virheen tehneen yksittäisen työntekijän työnantajayritykseen. Samanaikaisesti ulkoistuksen toteuttaneen ja tietojärjestelmän käytöstä vastuussa olevan viranomaisen ylin johto voisi päätyä rikostutkinnan kohteeksi. Vaikka yksittäisen virkamiehen virkavastuun toteutumiskynnys onkin arviomuistiossa ja edellä todetulla tavalla korkea, ei ole tarkoituksenmukaista, että sama vahinkotapahtuma johtaisi kahteen totaalisesti toisistaan poikkeavaan ja erilliseen prosessiin, joissa asian käsittely jo tutkintavaiheesta alkaen olisi eriytynyttä ja siten myös tehottomampaa. Jos kyseessä olisi yksityisen sektorin ulkoistus, tietosuojavaltuutettu olisi molempien organisaatioiden laiminlyöntejä tutkiva ja vastuuta arvioiva viranomainen, ja asia voitaisiin käsitellä yhtenä hallintoasiana.

Tietosuoja-asetuksen hallituksen esityksen perustelut (HE 9/2018, s. 105–106) ovat ehdotetun viranomaisten ja julkishallinnon elimien vapauttamisen osalta ylimalkaiset eivätkä ota kantaa useimpiin edellä esitettyihin kyseisestä sääntelyratkaisusta seuraaviin ongelmiin.

Edellä todetun perusteella Asianajajaliitto toteaakin, että jatkovalmistelun yhteydessä tulisi ottaa uudelleenarvioitavaksi koko virkavastuuta ja sanktiomekanismia koskevan arvioinnin yhteydessä myös tietosuojalaissa tehty kansallinen ratkaisu.

 7. Mitä edellytyksiä tietovarannoille, niiden laadulle tai niiden käytölle tulisi lainsäädännössä asettaa, jotta niitä voidaan käyttää osin tai täysin automaattisessa päätöksenteossa?

Viittaamme tämän osalta edellisiin kysymyksiin 2 ja 3 annetuissa vastauksissa todettuun – ennen kaikkea tällaisten vaatimusten säätämisestä mahdollisesti seuraavien negatiivisten vaikutusten osalta.

 8. Miten tietoturvallisuuden arviointia ja arviointijärjestelmää koskevaa lainsäädäntöä tulisi kehittää? Entä erityisesti viranomaisten tietojärjestelmien arvioinnin osalta?

Tietoturvallisuuden sääntelyyn tulisi myös aina liittyä edellä kohdan 3 kysymykseen annetussa vastauksessa eritellyn mukaisesti teknologianeutraaliuden tavoite. Vastaavasti olisi olennaista arvioida, mitä olisivat ne tavoitellut sisällölliset vaatimukset tai uudet periaatteet, jotka nykysääntelyn velvoitteista ja mekanismeista poikkeavalla tavalla lisäisivät todennäköisyyttä tietoturvallisuuden toteutumiseksi?

Sikäli, kun tietoturvallisuuden arvioinnin ja arviointijärjestelmän kuitenkin katsottaisiin olevan toteutusmahdollisuuksien ulkopuolella ilman erillistä uutta sääntelyä, on tämä ulottuvuus – velvoitteiden käytännön toteutumisen ja nykylainsäädännön soveltamisen haasteet tunnistaen – sellainen, mikä perustellusti myös Asianajajaliiton näkökulmasta saattaa edellyttää uusia lainsäädäntötoimia arviomuistiossa tunnistetulla tavalla. Erityinen syy tälle on kyberturvallisuuden tilannekuvassa tapahtuva jatkuvasti huolestuttavammaksi muuttuva kehitys.

9. Kommenttinne muistiossa todetuista sääntelytarpeista yleensä

 Arviomuistiossa esitettyjen tavoitteiden ja tarpeiden toteuttamiseksi uutta lainsäädäntöä tarkoituksenmukaisempi ja tehokkaampi toteutuskeino vaikuttaisi olevan useiden tunnistettujen tarpeiden osalta nykyisen sääntelyn nykyistä parempi toteutuminen ja voimaansaattaminen. Olisikin suositeltavaa arvioida, olisiko tunnistettavissa keinoja, joilla nykysääntelyn tehokkuus pystyttäisiin turvaamaan paremmin?

Jos syyksi tunnistettaisiin esimerkiksi nykysääntelyn sisällöllisistä tekijöistä, kuten liian abstrakteiksi jätetyistä vaatimuksista taikka liian fragmentoituneesta normirakenteesta, johtuvat syyt, on uusi lainsäädäntöhanke perusteltavissa. Jos kuitenkin syiden tunnistetaan kytkeytyvän enemmän muihin tekijöihin, olisi ensi sijassa perusteltua pyrkiä vaikuttamaan tällaisiin tekijöihin (kuten mahdollisesti resurssien riittävyys, osaaminen, ohjaus sekä riittävä valvonta- ja sanktiomekanismi).

10. Muut yleiset kommentit arviomuistiosta

Viittaamme tämän osalta edellisessä kysymykseen 9 annetussa vastauksessa todettuun.

 

 

Helsingissä, 6. päivänä syyskuuta 2021

 

Suomen Asianajajaliitto

 

Hanna Räihä-Mäntyharju

Suomen Asianajajaliiton puheenjohtaja

 

Laatija           Asianajaja Jukka Lång, Helsinki

 

Suomen Asianajajaliiton lausunnot valmistellaan oikeudellisissa asiantuntijaryhmissä, joiden toiminnassa on mukana noin 120 asianajajaa. Tämä lausunto on valmisteltu teknologia, viestintä ja tietosuoja -asiantuntijaryhmässä.