YRITTÄJÄ, tule mukaan omiesi pariin! Liity Yrittäjiin.
Lausunto julkisen hallinnon tietojärjestelmien sääntelyn nykytilan ja kehittämistarpeiden arviomuistiosta
1. Kommenttinne arviomuistiossa tehdystä nykytilan kuvauksesta
Julkisten tietojärjestelmien nykytila on kuvattu muistiossa kattavasti erityisesti lainsäädännön näkökulmasta. Arviomuistio huomioi myös kiitettävästi EU-tasolla valmistelussa olevan, julkisiin tietojärjestelmiin kohdistuvan sääntelyn sekä tarpeen välttää päällekkäisyyksiä ja ristiriitaisuuksia kansallisen ja EU-sääntelyn välillä.
Sääntelynäkökulmaa olisi kuitenkin kannatettavaa monipuolistaa käsittelemällä tarkemmin tietojärjestelmiä koskevaa myötä- ja itsesääntelyä, joka muodostaa merkittävän osan järjestelmien tosiasiallisesta sääntökehikosta niin kansallisesti kuin kansainvälisesti.
Tilannekuvaa olisi jatkovalmistelussa lisäksi täydennettävä kuvaamalla astetta tarkemmin tietojärjestelmien, erityisesti kokonaan tai osin automaattiseen päätöksentekoon nojaavien järjestelmien, teknistä ja toiminnallista ulottuvuutta. Tämä käsittää ensinnäkin järjestelmien kehittämisen, käyttöönoton ja yhteentoimivuuden niin viranomaisten kuin yksityisten järjestelmätoimittajien näkökulmasta. Toisekseen se käsittää järjestelmien ja niihin perustuvien asiointipalvelujen käytön niin viranomaisten kuin asiakkaiden, mukaan lukien pk-yrityskäyttäjien, näkökulmasta.
2. Kommenttinne tietojärjestelmistä sääntelykohteena
Tietojärjestelmien taustalla oleva tieto- ja viestintäteknologia kehittyy nopeasti, minkä tähden järjestelmiä tai niiden automatisoituja prosesseja ei ole tarkoituksenmukaista säädellä yksityiskohtaisesti tai tekniikkasidonnaisesti. On otettava huomioon, että myös prosesseissa, tarpeissa ja itse tietojärjestelmissäkin voi olla merkittäviä eroavaisuuksia, joita on vaikea säännellä joustamattomalla lainsäädännöllä. Tietojärjestelmien sääntelyssä olisi keskityttävä järjestelmiltä edellytettäviin keskeisiin toimintaperiaatteisiin ja niiltä odotettaviin yleisiin lopputuloksiin, jotka yhdessä takaavat hyvän hallinnon ja oikeusturvan toteutumisen. Teknologianeutraliteetin on oltava tietojärjestelmien sääntelyn peruslähtökohta. Tekoälyn eri muotojen tai minkään muunkaan automaattisen tiedonkäsittelytekniikan käytölle julkisissa tietojärjestelmissä ei siten tule asettaa kansallisella tai EU-tason sääntelyllä perusteettomia ja kohtuuttomia esteitä. Teknologianeutraaliin sääntelyyn olisi pyrittävä myös, koska samalla kyse on sääntelyn kattavuudesta eli aukottoman ja aikaa kestävän sääntelyn saavuttamisesta. Jotta automatisoidun päätöksenteon yli- ja ohisääntelyltä vältytään, on lainvalmistelijoiden tunnistettava aiempaa kirkkaammin automatisaation vaaranpaikkojen lisäksi myös sen asiakkaille ja laajemmalle yhteiskunnalle tuottamat hyödyt. Sääntelyn on pyrittävä yhtäältä minimoimaan automaattisten käsittelyprosessien haittoja mutta toisaalta myös maksimoimaan niiden hyötyjä sekä sovittamaan näitä kahta tasapainoisesti yhteen sikäli, kun niiden välillä on jännitteitä. Lainsäädännöllä luotavien turvatakeiden avulla voidaan poistaa automaattiseen käsittelyyn ja päätöksentekoon liittyviä riskejä rajaamatta sen käyttömahdollisuuksia liikaa.
Koska julkisten tietojärjestelmien kehittämiseen, käyttöönottoon ja ylläpitoon osallistuu laaja joukko yksityisiä yrityksiä, on järjestelmien sääntelyä kehitettäessä otettava huomioon myös näiden asema ja vastuut sekä uuden sääntelyn vaikutukset niihin. Erityisen tärkeätä on varmistaa, ettei sääntely muodosta esteitä pk-yrityskokoluokan järjestelmäkehittäjille osallistua julkisten järjestelmien hankintakilpailutuksiin ja toteutuksiin.
3. Millaisia yleisiä vaatimuksia tietojärjestelmien toiminnallisuuksille pitäisi lainsäädännöllä asettaa?
Käytettävästä tietojenkäsittelytekniikasta tai sen automaatioasteesta riippumatta on tärkeätä, että julkiset tietojärjestelmät toteuttavat toiminnallisuuksineen niille asetetut asianmukaisuustavoitteet luotettavasti, ymmärrettävästi ja kustannustehokkaasti ja että ne ovat kokonaisuutena tietoturvallisia ja toimintavarmoja. Myös tietojärjestelmien yhteentoimivuutta pitäisi pyrkiä edistämään lainsäädännöllä. Lainsäädännöllä on myös huolehdittava siitä, että viranomaiset ovat riittävän varautuneita tietojärjestelmien vikaantumiseen ja että varsinkin kriittisten järjestelmien ja varantojen toiminnan jatkuvuus pystytään varmistamaan.
On julkisen vallan käytön luotettavuuden kannalta perusteltua, että henkilö- tai yritysasiakas saa aina mahdollisimman varhaisessa vaiheessa asiointi- ja hallintoprosessissa tiedon, mikäli asian käsittelyssä sovelletaan automatisoitua käsittelyä. Teknisestä toteutustavasta riippumatta viranomaisen on myös pystyttävä yleisluontoisesti ja ymmärrettävästi selittämään ja perustelemaan asianosaiselle, miten automatisoidut päätökset ovat syntyneet eli miten ja mitä tietoja on käsitelty ja miten päätökseen on päädytty. Tässä yhteydessä on luontevaa informoida asiakasta myös prosessiin liittyvistä vastuutekijöistä ja muutoksenhakumahdollisuuksista.
4. Millaisia olennaisia teknisiä vaatimuksia hallintoasioita käsitteleville tietojärjestelmille pitäisi lainsäädännöllä säätää?
Automatisoitujen tietojärjestelmien teknisistä kehittämismenetelmistä tai teknisistä lopputuloksista ei ole mielekästä säätää yksityiskohtaisesti. Sen sijaan on tärkeätä, että menetelmistä riippumatta kehittämistyön lopputulos täyttää tietyt laatuvaatimukset, jotka voivat vaihdella järjestelmän tärkeyden ja riskien perusteella.
Lisäksi on tärkeätä varmistaa, että järjestelmät toimivat teknisesti saumattomasti yhteen toistensa kanssa yli standardoitujen ohjelmointirajapintojen. Tämä vähentää viranomaisten moninkertaista työtä ja asiakkaiden asiointitaakkaa ja lisää myös yritysten mahdollisuuksia rakentaa julkisiin järjestelmiin ja niiden taustalla oleviin tietovarantoihin pohjautuvia lisäarvopalveluita.
5. Millaisia vaatimuksia, kuten dokumentointivaatimuksia, tietojärjestelmien kehittämiselle pitäisi lainsäädännöllä säätää?
Tietojärjestelmäkehityksen dokumentointivaatimusten vahvistamista on syytä tarkastella erityisesti automatisoituja päätöksentekoprosesseja käsittävien järjestelmien kohdalla. Dokumentaation on oltava sillä tasolla, että se edistää järjestelmän käyttöönotossa tai käytössä ilmenneiden ongelmien jäljitettävyyttä ja korjattavuutta, muttei kuitenkaan muodosta pienemmille järjestelmätoimittajille kohtuutonta taakkaa tai estettä osallistua järjestelmähankintojen kilpailutuksiin.
6. Miten lainsäädännöllä tulisi varmistua virkavastuun toteutumisesta ja kohdistumisesta, mitä tulee tietojärjestelmien kehittämiseen, käyttöönottoon ja käyttöön, sekä tietovarantojen käyttöön?
Virkavastuun on toteuduttava myös tietojärjestelmien, automatisoitujen päätöksentekoprosessien sekä tietovarantojen kohdalla, oli kyse sitten niiden kehittämisestä, käyttöönotosta tai käytöstä. Erityistä huomiota on kiinnitettävä osin tai kokonaan automatisoitujen tietojärjestelmien tai asiointi- ja ohjauspalvelujen vastuukysymyksiin. Viranomaisten kanssa asioivilla on kaikissa tilanteissa oltava tiedossa, miten vastuu asiointi- ja hallintoprosessin eri vaiheissa jakaantuu. Virkavastuun toteutumista automatisoiduissa prosesseissa voidaan edistää parhaiten sisäisiä ja ulkoisia arviointi- ja varmistusmenettelyitä vahvistamalla tietojärjestelmien elinkaaren kaikissa vaiheissa. Erityisen tärkeätä on varmistaa, että käyttöönottovaiheen testausmenettelyt kehittyvät siten, että viranomaiset eivät ota käyttöön järjestelmiä, joiden toimivuudessa tai turvallisuudessa on puutteita.
7. Mitä edellytyksiä tietovarannoille, niiden laadulle tai niiden käytölle tulisi lainsäädännössä asettaa, jotta niitä voidaan käyttää osin tai täysin automaattisessa päätöksenteossa?
Tiedon laadun ja oikeellisuuden merkitys korostuu automatisoiduissa päätöksentekoprosesseissa. Tiedon hyödyntäminen ja avaaminen -hankkeessa hahmotellut tiedon laatukriteerit ovat hyvä lähtökohta pohdittaessa tietovarantojen käsittämien tietoaineistojen laadun sääntelyä. Tietovarantojen laadun sääntelyn on kuitenkin oltava oikeasuhtaista ja vältettävä tilanteita, joissa ylikireät laatuvaateet tekevät viranomaispäätöksenteon tosiasiassa mahdottomaksi tai erittäin hankalaksi. Tietovarantojen laatukriteereitä ja vaatimuksia voidaan asettaa myös sen mukaan, millaisesta asiasta on kyse, kuullaanko asianomaista ja onko kyse kokonaan tai osittain automaattisesta päätöksenteosta.
Yksityiset tietovarannot ovat tulevaisuudessa yhä tärkeämpi tietolähde viranomaispäätöksenteolle. Vastaavasti julkisen sektorin tietovarannot tarjoavat yksityisille toimijoille mahdollisuuksia tuottaa innovatiivisia palveluita niin yritys- kuin henkilöasiakkaille näiden tietoihin ja suostumukseen perustuen. Siksi on tärkeätä edistää sektorirajojen yli jaettavan tiedon luotettavuutta ja oikeellisuutta varmistavien luottamusratkaisujen (esim. Findy) kehitystä ja käyttöönottoa yksityisen ja julkisen sektorin läheisenä yhteistyönä. Lainsäädännön on mahdollistettava, ei estettävä, tätä kehitystä.
8. Miten tietoturvallisuuden arviointia ja arviointijärjestelmää koskevaa lainsäädäntöä tulisi kehittää? Entä erityisesti viranomaisten tietojärjestelmien arvioinnin osalta?
Viranomaisten tietojärjestelmien toimivuuden ja tietoturvallisuuden vaatimustenmukaisuuden arvioinnista säädettäessä peruslähtökohtana on oltava, että arvioinnin suorittaa taho, jolla on siihen paras asiantuntemus. Taho voi tilanteesta riippuen olla viranomainen tai ulkopuolinen, myös yksityinen toimija. Tärkeää on, että tietoturvallisuuden arviointityö nähdään jatkuvana prosessina, ei pelkästään pistemäisinä tarkastuksina, jotta tietoturvallisuuden tasosta on jatkuvasti riittävä varmuus.
9. Kommenttinne muistiossa todetuista sääntelytarpeista yleensä
Muistiossa esitetyt sääntelytarpeet vaikuttavat yleispiirteissään perustelluilta. Jatkovalmistelussa on kuitenkin syytä selvittää sääntelyvaihtoehtojen vaikutuksia. Vaikutuksia on arvioitava myös suhteessa pk-yrityksiin, jotka voivat tilanteesta riippuen olla joko julkisten tietojärjestelmien kohteita tai niiden tuottajia ja ylläpitäjiä.
10. Muut yleiset kommentit arviomuistiosta
–
Suomen Yrittäjät
Karoliina Katila Joonas Mikkilä
asiantuntija digi- ja koulutusasioiden päällikkö