Lausunto arviomuistiosta julkisen hallinnon tietojärjestelmiä koskevan sääntelyn kehittämistarpeista

Oikeuskansleri totesi lausunnossaan, että tietojärjestelmät ja tietovarannot sekä niissä tehtävät ja tietojärjestelmiin kohdistuvat toiminnot ovat digitalisaation seurauksena yhä laajemmin ja voimakkaammin merkityksellisiä eri oikeuksien toteutumiselle, perusoikeuksien tasapainolle sekä erityisesti hyvän hallinnon ja sitä yleisesti määrittävien hallinnon yleisten oikeusperiaatteiden toteutumiselle. Tämän vuoksi perusoikeuksien ja ihmisoikeuksien aktiiviseen toteuttamiseen velvoitetussa oikeusvaltiossa datan ja tiedon käsittelyn infrastruktuuria, tiedonhallintaa ja tietojärjestelmiä sekä niitä koskevia ja niissä tehtäviä toimintoja on tarpeen säädellä lainsäädännössä. Tarvetta osaltaan lisää automaatio, jossa hallinnon asiakas ja varsinkin myös hallinnon sisäiset käyttäjät, asiaa käsittelevät virkamiehet, tulevat teknologisen järjestelmän osiksi. Ihmisen vuorovaikutus tietojärjestelmien kanssa tulee tällöin yhä ratkaisevammaksi palveluperiaatteen toteutumisen sekä hallintotoiminnan laadun ja tuloksellisuuden sekä yleensä oikeuksien toteutumisen kannalta.

Oikeuskansleri yhtyi arviomuistion johtopäätökseen sääntelyn osittaisesta hajanaisuudesta ja tietyistä epäjohdonmukaisuuksista esimerkiksi keskeisten käsitteiden käytössä. Tämä osaltaan korostaa tiedonhallintalain merkitystä yleisen oikeudellisen sääntelyn välineenä. Tietojärjestelmiä ja niiden toimintoja sekä tiedon käsittelyä koskevaa sääntelyä ei saisi pirstoa liian moniin säädöksiin, jolloin säädösten soveltamisalat ja keskinäiset suhteet muodostuvat helposti epäselviksi.

Oikeuskansleri yhtyi arviomuistiossa esitettyihin näkemyksiin siitä, että perustuslaissa säädetyt asian käsittelyn asianmukaisuuden sekä hallintolaissa säädetyt asian käsittelyn ja palvelun asianmukaisuuden vaatimukset luovat välttämättömän ja ehdottoman perustan myös hallinnon tietojärjestelmiltä ja viranomaisen digitaalisilta palveluilta edellytettäville kriteereille. Viranomaisten tietojärjestelmien ja sähköisten palvelujen toimivuus ja niiden vaikutus asiakkaiden perusoikeuksien ja hyvän hallinnon periaatteiden toteutumiseen on noussut ja nousee toistuvasti esille oikeuskanslerille tehdyissä kanteluissa. Laillisuusvalvonnassa on havaittu puutteita esimerkiksi TE-hallinnon ja Kansaneläkelaitoksen (Kelan) järjestelmissä ja palveluissa.

Oikeuskanslerin mukaan tietojärjestelmille asetettavien yleisten toiminnallisuuksien tai teknisten vaatimusten säätämiselle laintasoisessa sääntelyssä on haasteita. Toimijoiden kirjo on moninainen, ja eri viranomaisten toimivaltaan kuuluvien hallintoasioiden käsittely ja päätöksenteko sekä niissä käytettävät tietojärjestelmät eroavat toisistaan. Oikeuskansleri yhtyi arviomuistiossa esitettyyn huomioon siitä, että tietojärjestelmissä käytettävän tieto- ja viestintäteknologian nopean kehittymisen vuoksi sääntelynkin tulisi olla riittävän joustavaa ja teknologianeutraalia. Tähän nähden laintasoinen sääntely ei ole oikeuskanslerin arvion mukaan soveliain säädösperusta ainakaan tietojärjestelmille asetettaville yksityiskohtaisille vaatimuksille. Toiseen suuntaan painavana näkökohtana voidaan kuitenkin ottaa huomioon, että yleinen ja kaikilla julkishallinnon aloilla sovellettava sääntely tietojärjestelmien laatua koskevista vähimmäisvaatimuksista voisi tuoda vahvempaa velvoittavuutta sekä yhtenäisyyttä ja selkeyttä nyt osin hajanaiseen sääntelyyn.

Oikeuskanslerin käsityksen mukaan tiedonhallintalakiin voisi harkita sisällytettäväksi joitakin yleisluonteisia periaatteita vaatimustenmukaisuudesta. Uudemman erityislainsäädännön ja Euroopan unionin lainsäädännön säännöksistä saa yleiselle tasolle vietynä johtoa siihen, minkä tyyppisiä periaatteita ja velvoitteita voitaisiin nostaa lain tasolle.

Oikeuskansleri piti virkavastuun toteuttamiseen ja kohdistamiseen liittyvien kysymysten ja lainsäädännön selkiyttämistä ensiarvoisen tärkeänä myös tietojärjestelmien kehittämisen ja käytön osalta. Kuten arviomuistiossa on kuvattu, tietojärjestelmien suunnittelu-, valmistelu-, kehittämis-, testaus-, ylläpito- ja valvontatehtäviin osallistuu eri henkilöitä ja toimijoita, joiden vastuut ja roolit ovat hyvin erilaiset. Laissa ei kuitenkaan tällä hetkellä erikseen säädetä virkamiehen roolista tietojärjestelmän kehittämisen valvonnassa ja ominaisuuksien ja toiminnallisuuksien määrittelyssä, testaamisessa tai käyttöönotossa. Vastuuasemien selkeä erottelu ja määrittely olisi virkavastuun oikeanlaisen kohdentamisen kannalta keskeistä.

Oikeuskansleri totesi, että perustuslain mukaan julkisen vallan käytön tulee perustua lakiin ja kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Rikosoikeudellisen virkavastuun osalta lisäksi perustuslaissa säädetty rikosoikeudellinen laillisuusperiaate asettaa varsin tiukkoja vaatimuksia rikosoikeudellisen vastuun perustavan normikokonaisuuden selkeydelle, ymmärrettävyydelle, velvoitteiden ennakoitavuudelle sekä tarkkarajaisuudelle ja täsmällisyydelle. Huomiota onkin vielä kiinnitettävä siihen, onko säännöksissä tai määräyksissä asetettu kaikilta osin riittävän ennakoitavia ja täsmällisiä velvoitteita olennaisimpien tiedonhallintaan ja tietojärjestelmiin liittyvien velvollisuuksien osalta. Tämä koskee niin tiedonhallintalain nykyisiä, sinänsä hyvin hyvää hallintoa tietohallinnossa toteuttavia velvoitteita kuin työryhmän pohdinnassa olevia uusia säännöksiä eri lakeihin. Virkavastuuta sivuava tärkeä ja olennainen kysymys on myös tehokkaan oikeussuojan mahdollistavien menettelyiden riittävyys ja niiden riittävä ajantasaisuus.

Oikeuskansleri piti lausunnossaan tietoturvallisuuteen ja tietosuojan varmistamiseen liittyvien kysymysten selvittämistä myös tämän hankkeen yhteydessä erittäin tärkeänä ja olennaisena. Viranomaisten ja kriittisten toimialojen tiedon turvaaminen on olennaisen tärkeä osa yhteiskunnan tehokkaan toiminnan ja myös yksilön perusoikeuksien suojan varmistamista. Asiaan liittyy keskeisesti häiriötilanteisiin varautuminen. Viranomaisen on pystyttävä suorittamaan tehtävänsä myös tilanteissa, joissa tietojärjestelmää ei voida käyttää. Jatkovalmistelussa tulisi pohtia, mikä olisi soveliain säädös edellä mainittujen vaatimusten asettamiselle. Tiedonhallintalaissa on jo nykyisellään säännökset muun ohessa tietojärjestelmien ja tietoaineistojen tietoturvallisuudesta sekä tietojärjestelmien vikasietoisuuden ja toiminnallisen käytettävyyden varmistamisesta testauksilla. Tärkeää on myös, että tietoturvallisuuden ja vaatimustenmukaisuuden todentamisen menettelyt ovat riskeihin nähden oikeasuhtaisia.

Oikeuskansleri kiinnitti lisäksi huomiota datan ja tiedon sekä tietojohtamisen ja tiedolla johtamisen yleiseen yhteiskunnalliseen merkitykseen erilaisiin häiriötilanteisiin varautumisessa. Esimerkiksi covid-19 –pandemian yhteydessä on ilmennyt tilanteita, joissa ei ole ollut riittävän nopeasti saatavissa yhteiskunnan ja valtion kriisi- ja turvallisuusjohtamisen kannalta tärkeää, eduskunnan perustuslakivaliokunnan edellyttämää tietoa ja dataa. Yhteiskunnan tietovarantoihin, dataan ja tietoon sekä tietojärjestelmiin liittyvä häiriönsieto- ja palautumiskyky on jatkoa ajatellen tärkeä kehittämiskohde, jonka riittäviä oikeudellisia puitteita ja sääntelytarpeita olisi myös perusteltua tarkastella.

Oikeuskansleri piti lausunnossaan myös tärkeänä, että yhtäältä vaatimustenmukaisuutta ja toisaalta tietoturvallisuutta arvioidaan ja voidaan arvioida pätevien ulkoisten arvioitsijoiden toimesta riittävän laajasti ja kattavasti. Arvioinnissa ja tieto- ja kyberturvallisuuteen kohdistuvien riskien tunnistamisessa ja arvioinnissa tärkeää on myös hyvä yhteistyö ja tietojenvaihto tiedusteluviranomaisten kanssa.  Samoin tarvitaan niin tieto- ja kyberturvallisuuden kuin tietojärjestelmien olennaisten vaatimusten täyttymiseen myös selkeälle oikeudelliselle perustalle perustuvat arviointikriteeristöt, joita myös pidetään ajantasaisesti yllä.