Arviomuistio julkisen hallinnon tietojärjestelmiä koskevan sääntelyn kehittämistarpeista

VN/4400/2021

Seuraava otsikointi ja sisällöt vastaavat FA:n lausuntopalvelu.fi-palvelussa antamia vastauksia.

1        Kommenttinne arviomuistiosta tehdystä nykytilan kuvauksesta

Huomioitava yksityiset toimijat julkisen hallintotehtävän hoitajina ja julkisen vallan käyttäjinä

Arviomuistiossa ei ole huomioitu, että Suomessa julkista hallintotehtävää hoitavat myös muut kuin viranomaiset. Suomessa merkittävä osa sosiaaliturvasta on järjestetty lakisääteisin vakuutuksin yksityisissä vakuutusyhtiöissä. Vakuutusperusteisia sosiaaliturvan muotoja ovat muun muassa työeläke sekä työtapaturma- ja ammattitautivakuutus. Sosiaalivakuutusten lisäksi liikennevakuutuksen toimeenpano on kansallisen vakiintuneen tulkinnan mukaan julkisen hallintotehtävän hoitamista ja tietyiltä osin myös julkisen vallan käyttöä.

Arviomuistio käsittelee julkisen hallintotehtävän ja julkisen vallan käyttäjiä yhtenä kokonaisuutena. Julkista hallintotehtävää hoitavat toimijat ovat kuitenkin erilaisia. Lakisääteisiä vahinkovakuutuksia toimeenpannaan yksityisissä vahinkovakuutusyhtiöissä osana vakuutusyhtiön muuta vakuutustuotetarjontaa ja toimeenpanoon sovelletaan kilpailulainsäädäntöä. Myöskään työeläkeyhtiöt eivät ole julkisyhteisöjä, vaan keskenään kilpailevia yksityisiä yhtiöitä. Etenkin liikennevakuutuksen osalta huomioitavaksi tulee myös se, että liikennevakuutustoimintaa harjoitetaan Suomessa myös ulkomaalaisten vakuutusyhtiöiden toimesta.

Yksityisellä toimijalla ei ole yksinoikeutta julkisen hallintotehtävän hoitoon, vaan eri toimijat kilpailevat keskenään tehtävien hoidossa. Niiden asiakkaat voivat valita palveluidensa tuottajan. Tämä itsessään luo paineita järjestelmien toimivuuden tehokkuudelle ja oikeellisuudelle, koska se on kilpailutekijä. Tietojärjestelmiä kehitetäänkin liiketoiminnallisista lähtökohdista, ja niihin liittyy usein liikesalaisuuden piiriin kuuluvia seikkoja.

Samoilla järjestelmillä voidaan hoitaa myös muuta tuote- ja palvelutarjontaa kuin lakisääteisten vakuutusten toimeenpanoa. Osaa vakuutusyhtiön järjestelmistä ei välttämättä käytetä ollenkaan asiakasrajapinnassa, vaan esimerkiksi yrityksen työntekijöiden asiainhoidossa.

Myös erityislainsäädännön lainsäädännön vaatimukset ja valvontaviranomaisen toimintavaltuudet vaikuttavat merkittävästi toimintaan ja tietojärjestelmille asetettaviin vaatimuksiin. Mikäli tietojärjestelmät eivät täytä niille asetettuja vaatimuksia, voi valvoja puuttua asiaan käyttäen omia toimivaltuuksiaan.

FA:n näkemyksen mukaan sääntelyn laajentaminen yksityisiin toimijoihin vaatisikin laajempaa taustaselvitystä. Yllättävä laajentaminen voisi tuoda isoja kustannuksia muutostarpeista johtuen ja vaatia pidemmän ajan muutosten implementoinnille, vaikka osa asioista on jo toteutettuna alan oman sääntelyn perusteella.

Lisäksi FA korostaa, että olisi tarkoin harkittava, onko ajateltu sääntely tarpeen ottaen huomioon tietosuoja-asetuksen ja kansallinen tietosuojalain sekä lakisääteistä vakuuttamista ohjaavan erityissääntelyn ja viranomaismääräykset. Lisäsääntely saattaa luoda riskin epäselvästä oikeustilasta ja johtaa käytännössä hankaliin tulkintatilanteisiin.

Selkiytettävä raja julkisen hallintotehtävän hoitamisen ja teknisen toteuttamisen välillä

Arviomuistiossa todetaan, että olisi analysoitava tarkemmin, missä määrin automatisoinnin toteuttaminen on julkisen hallintotehtävän toteuttamista ja jopa merkittävän julkisen vallan käyttöä ja missä määrin on kyse teknisestä toimenpiteestä. Tämä pohdinta on tärkeää, jotta voidaan ymmärtää mm. kehittämiseen liittyvät vastuut. Muistiossa todetusta analyysitarpeesta huolimatta useassa kohdassa katsotaan, että automatisoinnin kehittäminen itsessään olisi vähintäänkin julkisen hallintotehtävän hoitamista.

FA pitää tätä tulkintaa ennenaikaisena ja ongelmallisena. On huomioitava tulkinnan vaikutukset erilaisiin toimijoihin ja järjestelmien kehittämisen nykytodellisuus, jossa kehittämistä ja ylläpitoa on välttämätöntä hankkia myös organisaation ulkopuolelta. Tulkinnalla olisi vaikutusta mm. ulkoistamisen sääntelyyn, mahdollisesti tiedonhallintalain ja julkisuuslain soveltamiseen yksityisiin toimijoihin. Yksityisten toimijoiden osalta on myös otettava huomioon kilpailulliset näkökohdat. Voi myös olla haasteellista erottaa julkiseen hallintotoimintaan ja yksityiseen toimintaan liittyvien tietojärjestelmien kehittäminen toisistaan, kun ne käytännössä kytkeytyvät toisiinsa.

Sääntelytarve arvioitava tietojärjestelmien kriittisyyden suhteen

Arviomuistiossa tietojärjestelmiä käsitellään yhtenä kokonaisuutena. Julkisen hallintotehtävän hoitamisessa käytetään useita erilaisia ja eri tavoin kriittisiä tietojärjestelmiä. FA:n näkemyksen mukaan mahdollisessa sääntelyssä tulee ottaa huomioon järjestelmien kriittisyys ja merkityksellisyys, jotta ei ylisäännellä vähemmän kriittisten järjestelmien kehittämistä, ylläpitoa ja käyttöönottoa.

2        Kommenttinne tietojärjestelmistä sääntelykohteena

FA kannattaa tietojärjestelmien määrittelyn selkiyttämistä. Samalla tulisi kuitenkin arvioida eri tietojärjestelmien kriittisyyttä julkisen hallintotehtävän hoidon kannalta ja kohdistaa mahdollinen sääntely korkeariskisimpiin järjestelmiin.

3        Millaisia yleisiä vaatimuksia tietojärjestelmien toiminnallisuuksille pitäisi lainsäädännöllä asettaa?

Lähtökohtaisesti FA ei näe tarvetta asettaa lainsäädännöllä vaatimuksia toiminnallisuuksille. Jos sääntelyyn päädytään, tulisi sen kohdistua edellä kuvatulla tavalla korkeampiriskisiin järjestelmiin.

VM:n työryhmän toimeksiantona on valmistella asiaa koskevaa yleissääntelyä ja sellaisena sen tulee pysyä. On pyrittävä välttämään liian yksityiskohtaista sääntelyä, koske spesifinen tekninen sääntely vanhenee nopeasti ja voi muodostua esteeksi toiminnan kehittämiselle.

Huomioitavana yksityiskohtana FA toteaa, että ei ole ollenkaan selvää, milloin järjestelmä on valmis tai keskeneräinen. Järjestelmiä on kehitetty jo vuosia iteratiivisesti, eivätkä ne välttämättä ole koskaan ”valmiita”.

4        Millaisia olennaisia teknisiä vaatimuksia hallintoasioita käsitteleville tietojärjestelmille pitäisi lainsäädännöllä säätää?

Lähtökohtaisesti FA ei näe tarvetta asettaa lainsäädännöllä teknisiä vaatimuksia hallintoasioita käsitteleville tietojärjestelmille. Jos sääntelyyn päädytään, tulisi sen kohdistua edellä kuvatulla tavalla korkeampiriskisiin järjestelmiin.

VM:n työryhmän toimeksiantona on valmistella asiaa koskevaa yleissääntelyä ja sellaisena sen tulee pysyä. On pyrittävä välttämään liian yksityiskohtaista sääntelyä, koska spesifinen tekninen sääntely vanhenee nopeasti ja voi muodostua esteeksi toiminnan kehittämiselle.

Jo tässä vaiheessa FA kuitenkin huomauttaa, ettei lokituksen pitäisi olla pakollista, mikäli vastaavat, esim. käyttövaltuushallintaan perustuvat kontrollit, on toteutettu. Lisäksi tulee huomioida, että voimakas tietosisältöjä sisältävien lokien luominen, lisäisi niihin liittyviä, uudentyyppisiä riskejä.

5        Millaisia vaatimuksia, kuten dokumentointivaatimuksia, tietojärjestelmien kehittämiselle pitäisi lainsäädännöllä säätää?

Lähtökohtaisesti FA ei näe tarvetta asettaa lainsäädännöllä lisävaatimuksia esim. dokumentoinnista. Finanssitoimialalla sovellettavat määräykset ja ohjeet sisältävät jo nykyisellään erilaisia dokumentointivaatimuksia.

VM:n työryhmän toimeksiantona on valmistella asiaa koskevaa yleissääntelyä ja sellaisena sen tulee pysyä. On pyrittävä välttämään liian yksityiskohtaista sääntelyä, koska spesifinen tekninen sääntely vanhenee nopeasti ja voi muodostua esteeksi toiminnan kehittämiselle.

6        Miten lainsäädännöllä tulisi varmistua virkavastuun toteutumisesta ja kohdistumisesta, mitä tulee tietojärjestelmien kehittämiseen, käyttöönottoon ja käyttöön, sekä tietovarantojen käyttöön?

FA ei näe tarvetta virkavastuusääntöjen muuttamiselle.

7        Mitä edellytyksiä tietovarannoille, niiden laadulle tai niiden käytölle tulisi lainsäädännössä asettaa, jotta niitä voidaan käyttää osin tai täysin automaattisessa päätöksenteossa?

FA ei näe tarvetta tarkempien tai uusien edellytysten säätämiselle.

8        Miten tietoturvallisuuden arviointia ja arviointijärjestelmää koskevaa lainsäädäntöä tulisi kehittää? Entä erityisesti viranomaisten tietojärjestelmien arvioinnin osalta?

FA:n mukaan olisi tärkeää välttää päällekkäisten arviointivaatimusten asettamista ja sitä, että arviointitoiminnasta syntyy mahdollinen hidaste tai lisäkustannus kehittämistoiminnalle.

FA ei näe tarvetta arviointilainsäädännön soveltamisalan laajentamiseen valtionhallinnon ulkopuolelle. Yksityisillä toimialoilla järjestelmien oikeellisuus ja luotettavuus perustuu toimialan sektorikohtaiseen sääntelyyn ja kilpailutekijöihin.

9        Kommenttinne muistiossa todetuista sääntelytarpeista yleensä

FA korostaa julkista hallintotehtävää hoitavien ja julkista valtaa käyttävien toimijoiden erilaisuuden sekä niihin kohdistuvan erityislainsäädännön ja ohjeistuksen huomioimista. Mahdollista päällekkäistä sääntelyä on vältettävä.

Kun kyse on tietojärjestelmien sääntelystä, on pyrittävä välttämään liian yksityiskohtaista sääntelyä, jotta se ei aiheuta esteitä kehittämiselle ja kestää ajan kulumisen.

10     Muut yleiset kommentit arviomuistiosta

FA:n mielestä käsiteltävää asiakokonaisuutta tulisi lähestyä järkevällä, riskiperusteisella tavalla, riittävän konkreettisella ohjeistuksella ja valvontamenettelyllä. Ohjeiden ja parhaiden käytäntöjen mahdollisuutta vaihtoehtona sääntelylle tulisi harkita aina, kun se on mahdollista.

Mahdollisten lainsäädäntöuudistusten implementoinnille on varattava riittävät siirtymäajat.

Sääntelyssä olisi pyrittävä voimakkaasti tilanteeseen, joka ei poissulje esim. kansainvälisten pilvipalvelujen käyttöä, vaan olisi realistinen niidenkin suhteen.

FINANSSIALA RY

Hannu Ijäs
Johtaja, lainsäädäntö