Arviomuistio julkisen hallinnon tietojärjestelmiä koskevan sääntelyn kehittämistarpeista
Annoimme lausunnon valtiovarainministeriölle koskien arviomuistiota, joka koskee julkisen hallinnon tietojärjestelmien kehittämistarpeita. Arviomuistion on laatinut julkisen hallinnon tietojärjestelmiä koskevan yleislainsäädännön tarkistamista valmisteleva työryhmä.
Otimme lausunnossamme kantaa seuraaviin kysymyksiin.
Kommentit arviomuistiossa tehdystä nykytilan kuvauksesta
Muistiossa kuvataan laajasti nykytilan lainsäädäntöä ja siihen liittyviä haasteita. Julkisen hallintotehtävän ja julkisen vallan käyttäjiä käsitellään kuitenkin vain viranomaistoimijoiden näkökulmasta. Julkista hallintotehtävää hoitavat myös sellaiset tahot kuten työeläkevakuutusyhtiöt sekä eläkesäätiöt ja -kassat, jotka eivät ole viranomaisia. Arviomuistiossa ei ole huomioitu viranomaisten ja muiden julkista hallintotehtävää hoitavien toimijoiden eroja.
Työeläkevakuuttamisen toimeenpanoa ohjaa erityislainsäädäntö, ja yksityisiä työeläkevakuuttajia koskevat lisäksi Finanssivalvonnan määräykset. Pidämme tärkeänä välttää päällekkäistä lainsäädäntöä ja valvontaa. Valtaosaan työeläkevakuuttajista tiedonhallintalakia ja julkisuuslakia sovelletaan vain osittain. Siksi tarkastelussa tulisi ottaa huomioon, miltä osin tällaiset toimijat voidaan jättää mahdollisen uuden säätelyn ulkopuolelle. Mielestämme työeläkevakuuttajien tietojärjestelmien ja tiedonhallinnan sääntely on jo nykyisellään riittävää.
Työeläkevakuuttajat käyttävät julkisen hallintotehtävän hoitamisessa useita erilaisia ja eri tavoin kriittisiä tietojärjestelmiä. Sääntelyssä olisi hyvä ottaa huomioon järjestelmien kriittisyys ja merkityksellisyys, jotta ei ylisäännellä vähemmän kriittisten järjestelmien kehittämistä, ylläpitoa ja käyttöönottoa. Lisäksi tiettyjä tietojärjestelmiä käytetään myös muissa toiminnoissa kuin tehtäessä varsinaisia julkisia hallintopäätöksiä. On haasteellista erottaa julkiseen hallintotoimintaan ja yksityiseen toimintaan liittyvien tietojärjestelmien kehittäminen toisistaan, kun ne käytännössä kytkeytyvät toisiinsa.
Muistiossa useassa kohdassa katsotaan, että automatisoinnin kehittäminen itsessään olisi vähintäänkin julkista hallintotehtävää. Pidämme tällaista tulkintaa turhan yksipuolisena ja tiukkana. Siinä ei huomioida vaikutuksia yksityisiin toimijoihin eikä järjestelmien kehittämisen nykytodellisuuteen, jossa kehittämistä ja ylläpitoa on välttämätöntä hankkia myös ulkopuolelta.
Kommentit tietojärjestelmistä sääntelykohteena
Kokonaisuutena on vaikea hahmottaa, mitä ongelmia ja miten niitä voidaan ratkaista sääntelemällä tietojärjestelmiä. Tietojärjestelmiä käytetään hyvin erilaisissa toimintaprosesseissa ja ympäristöissä. Tietojärjestelmien kehittämisen tavat ja teknologiset ratkaisut ovat eri toimijoilla erilaisia. Erityisesti yksityisellä sektorilla asiakaskokemus ja kilpailu sekä taloudelliset indikaattorit ohjaavat omaehtoisesti laadukkaaseen tietojärjestelmien kehittämiseen.
Tietojärjestelmän määrittely lienee keskeistä, jos suunnitellaan niihin kohdistuvia sääntelytoimenpiteitä. Olisi kuitenkin hyvä pohtia kriteeristöä sille, mihin tietojärjestelmiin lainsäädännön mahdolliset uudet vaatimukset kohdistuvat. Ei liene tarkoituksenmukaista, että kaikkiin järjestelmiin kohdistuu samanlaiset vaatimukset.
Sääntelyssä on tärkeä tunnistaa, että nopeasti etenevän tietoteknisen kehityksen lisäksi myös tietojärjestelmissä käsiteltävää tietoa ja sen käyttötarkoituksia koskeva sääntely kehittyy. Tietojärjestelmiin liittyvän sääntelyn ei mielestämme pidä olla päällekkäistä tiedon käytön sääntelyn kanssa. Tietojärjestelmiin liittyvän sääntelyn pitää olla riittävän yleistä ja teknologiariippumatonta.
Millaisia yleisiä vaatimuksia tietojärjestelmien toiminnallisuuksille pitäisi lainsäädännöllä asettaa?
Emme näe tarvetta asettaa lainsäädännöllä vaatimuksia toiminnallisuuksille. Tietojärjestelmien toiminnallisuudet riippuvat tietojärjestelmien käyttötarkoituksista, joten lainsäädännöllä on vaikea asettaa sellaisia yleisiä vaatimuksia, joita ei olisi jo huomioitu työeläkealan erityislainsäädännön ja erilaisten yleisten standardien kautta.
Mielestämme on myös hyvä pyrkiä välttämään liian yksityiskohtaista sääntelyä, jotta sääntely ei vanhene tai asetu esteeksi toiminnan kehittämiselle. Kyse on yleissääntelystä.
Millaisia olennaisia teknisiä vaatimuksia hallintoasioita käsitteleville tietojärjestelmille pitäisi lainsäädännöllä säätää?
Emme näe tarvetta asettaa lainsäädännöllä teknisiä vaatimuksia. Työeläkevakuuttamisessa vaatimuksia tulee alaan sovellettavista ohjeista ja määräyksistä. Lisäksi tiedonhallintalaki ja tietosuojalainsäädäntö antavat riittävät puitteet teknisille vaatimuksille.
Millaisia vaatimuksia, kuten dokumentointivaatimuksia, tietojärjestelmien kehittämiselle pitäisi lainsäädännöllä säätää?
Emme näe tarvetta asettaa lainsäädännöllä lisävaatimuksia esimerkiksi dokumentoinnista. Tiedonhallintalaki ja tietosuoja-asetus asettavat riittävät perusvaatimukset. Työeläkevakuuttamisessa kehittämisen ja dokumentointivaatimuksia tulee alaan sovellettavista ohjeista ja määräyksistä.
Miten lainsäädännöllä tulisi varmistua virkavastuun toteutumisesta ja kohdistumisesta, mitä tulee tietojärjestelmien kehittämiseen, käyttöönottoon ja käyttöön, sekä tietovarantojen käyttöön?
Emme näe tarvetta virkavastuusääntöjen muuttamiselle.
Mitä edellytyksiä tietovarannoille, niiden laadulle tai niiden käytölle tulisi lainsäädännössä asettaa, jotta niitä voidaan käyttää osin tai täysin automaattisessa päätöksenteossa?
Emme näe tarvetta tarkempien tai uusien edellytyksien säätämiselle. Työeläkealalla on laissa yksityiskohtaisesti säädetty edellytykset eri etuuksien myöntämiselle. Tämä koskee sekä manuaalista että automaattista päätöksentekoa. Tältä osin automaattinen päätöksenteko ei ole miltään osin erityisasemassa eikä sitä varten ole tarkoituksenmukaista erityisesti säätää siitä, milloin tiedot ovat oikein.
Miten tietoturvallisuuden arviointia ja arviointijärjestelmää koskevaa lainsäädäntöä tulisi kehittää? Entä erityisesti viranomaisten tietojärjestelmien arvioinnin osalta?
Olisi tärkeää välttää päällekkäisten arviointivaatimusten asettamista ja sitä, että arviointitoiminnasta syntyy hidaste sekä lisäkustannus kehittämistoiminnalle.
Emme näe tarvetta arviointilainsäädännön soveltamisalan laajentamiseen valtionhallinnon ulkopuolelle.
Kommentit muistiossa todetuista sääntelytarpeista yleensä
On tärkeää erottaa viranomaiset muista toimijoista ja ottaa huomioon julkista hallintotehtävää ja julkista valtaa käyttävien toimijoiden erilaisuus sekä näihin kohdistuva erityislainsäädäntö ja ohjeistukset.
Sääntelytarvetta arvioitaessa tulee huomioida, että julkista hallintotehtävää hoitavat työeläkevakuuttajat toimivat erittäin säännellyssä ja lisäksi yksityisellä alalla kilpailulainsäädännön alaisessa toimintaympäristössä. Tietojärjestelmiä kehitetään myös liiketoiminnallisista lähtökohdista ilman julkista rahoitusta. Mielestämme työeläkevakuuttajiin nykyisin sovellettava erityislainsäädäntö, tietosuojalainsäädäntö ja tiedonhallintalaki siltä osin kuin sitä sovelletaan työeläkealan toimijoihin ovat riittävä perusta tietojärjestelmiä koskevalla sääntelylle.
Muistiossa kuvataan sääntelytarpeita, joiden tavoitteena on nykytilan ongelmien ratkaiseminen uudella sääntelyllä. Jatkovalmistelussa pitää mielestämme vielä tarkasti harkita, ovatko kaikki nykytilan ongelmat uudella sääntelyllä ratkaistavissa ja tarvitaanko todella näin monimutkaista ja raskasta sääntely-ympäristöä.
Muut yleiset kommentit arviomuistiosta
Arviomuistiosta saa käsityksen, että selvitettävää on lainsäädännössä paljon. Tämä tekee kokonaisuudesta monimutkaista ja herääkin kysymys, onko näin raskas lähestymistapa tarpeellista. Teoreettisesti täydellinen yhtenäinen ja kattava lainsäädäntö ja käsitteistö voi olla mahdollista, mutta onko sitä hyödyllistä käytännössä tavoitella suhteessa siihen vaadittaviin resursseihin.
Käsiteltävää asiakokonaisuutta tulisi mielestämme lähestyä riskipohjaisella lähestymistavalla. Ohjeiden ja parhaiden käytäntöjen mahdollisuutta vaihtoehtona sääntelylle tulisi harkita aina, kun se on mahdollista.
Mahdollisten lainsäädäntömuutosten voimaantulolle on varattava joka tapauksessa riittävästi siirtymäaikaa.