Tiedonhallinnan lainsäädännön kehittäminen 11.10.2017, erityisasiantuntija Tomi Voutilainen JulkICT-osasto
Työryhmän tehtävät Työryhmän toimikausi 17.11.2016-31.5.2017 (jatkoaika 15.9.2017 asti) Työryhmän tehtävänä on selvittää julkisen hallinnon tiedonhallinnan ja tietojen luovuttamista koskevan sääntelyn ja tiedonhallintakäytäntöjen nykytila ja kehittämistarpeet; selvittää, onko eri hallinnonaloille syntynyt julkisuuslain kanssa tarpeetonta tai päällekkäistä erityislainsäädäntöä salassapidosta; selvittää julkisen hallinnon rekisterien laajemmista hyödyntämismahdollisuuksista ja rekisteröinnin tarpeista; laatia ehdotus lainsäädännön kehittämiseksi Lisäksi asettamispäätökseen sisältyy toimeksianto, jonka mukaan valtiovarainministeriö sekä opetus- ja kulttuuriministeriö yhteistyössä kuvaavat tutkijoiden tarpeista lähtevän tavoitetilan, jossa määritetään periaatteelliset lähtökohdat sille, että tutkimusta voidaan tehdä joustavasti ja kustannustehokkaasti. Työssä tulee selvittää tavoitetilan vaatimat toteuttamisvaihtoehdot ja niiden kustannukset sekä esittää selvityksen perusteella eri näkökohdat huomioon ottava vaihtoehto, sen vaatimat kehittämishankkeet ja lainmuutokset. Työryhmän työn aikana valtiovarainministeriössä selvitetään virkatyönä EU:ssa hallintojen yhteentoimivuuteen tähtäävät hankkeet ja niiden vaikutus kansalliseen tiedonhallintaan. 2
Valmistelun aikataulu Työryhmä asetettiin 17.11.2016 Työryhmän ehdotukset loppuraporttina 15.9.2017 HE:n Valmistelu 9/2017-2..4/2018 HE eduskuntaan kevät 2018 Laki voimaan 1.1.2019 3
Tiedonhallinnan yleislainsäädännön nykytila Hallintolaki Kuntalaki Laki sähköisestä asioinnista viranomaistoiminnassa Julkisuuslaki Arkistolaki Henkilötietolaki Rekisterilainsäädäntö Tietohallintolaki Yleinen tietosuojaasetus 4
Nykytilanteesta Tiedonhallintaan vaikuttavien lakien soveltamisalat vaihtelevat Lainsäädännön tiedonhallinnan käsitteistö ei kaikilta osin vastaa toimialoilla käytettävää käsitteistöä Lainsäädännössä käytettävien termien merkityssisältö vaihtelee eri laeissa tai samasta asiasta käytetään eri termejä Salassapitolainsäädäntö monitulkintainen. Jonkin verran myös tarpeetonta erityislainsäädäntöä tai lainsäädäntöä, joka voisi olla yleislaissa. Asiakirjajulkisuuden hämärtyminen tiedonhallinnan digitalisoituessa Tiedonsaanti asiakirjoista on eri asia kuin tietopalvelun tuottaminen Tiedonsaantioikeuksien toteuttaminen hyvän tiedonhallintatavan toteuttamiseksi unohtunut tietojärjestelmien kehittämisessä (JulkL 18.1 1 k, 3k, 4 k). Kynnys vedota tietopalvelua koskeviin säännöksiin on madaltunut viranomaisissa. Kuitenkin asiakirjajulkisuus ja tiedonsaanti asiakirjoista koskee myös tietojärjestelmissä olevia tallenteita. Asianhallinnan toteuttamisessa puutteita à hallintodiaarit kunnossa, mutta muussa operatiivisessa toiminnassa puutteita à estää julkisuusperiaatteen toteuttamisen Tietohallintolaki on tullut voimaan 1.9.2011 Tietohallintolain täytäntöönpano on vielä kesken Tietohallintolain optimaalinen täytäntöönpano edellyttäisi asetuksentasoista sääntelyä tietojärjestelmien yhteentoimivuuden edistämiseksi Tiedon ja tietojärjestelmien yhteentoimivuus edelleen ongelmana niin toiminnallisista kuin teknisistäkin syistä 5
Tiedonhallinnan muutos 1900-luku 2000-luku Asiakirjapohjainen Tietoaineistopohjainen Viranomaiskeskeinen Asia- ja palvelukeskeinen 6
Lähtökohta tiedon elinkaaren sääntely Ennakkoon suunnittelu Tietojen kerääminen Tietojen käyttö ensisijaiseen käyttötarkoitukseen Tietojen säilyttäminen Tietojen arkistointi Käyttötarkoitus, tarpeellisuus à elinkaaren määrittäminen Käyttötarkoitus, tarpeellisuus Käyttötarkoitus, tarpeellisuus, ajantasaisuus sekä käytön kontrolli ja rajoittaminen Tietojen hyödyntäminen Käyttötarkoitus, tarpeellisuus, ajantasaisuus sekä käytön kontrolli ja rajoittaminen sekä säilytysajat - Julkisuuslaki - Julkisuusasetus - Tietohallintolaki - Arkistolaki - Henkilötietolaki/ tietosuoja-asetus - Julkisuuslaki - Julkisuusasetus - Hallintolaki - Kuntalaki - Laki sähköisestä asioinnista viranomaistoiminn assa (asiointilaki) - Arkistolaki - Henkilötietolaki/ tietosuoja-asetus - Julkisuuslaki - Julkisuuslaki - Tietoturva-asetus - Julkisuusasetus - Hallintolaki - Tietoturva-asetus - Asiointilaki - Asiointilaki - Arkistolaki - Arkistolaki - Henkilötietolaki/ tietosuoja-asetus - Henkilötietolaki/ tietosuoja-asetus - Erityislainsäädäntö - Erityislainsäädäntö - Julkisuuslaki - Julkisuusasetus - Tietoturva-asetus - Asiointilaki - Arkistolaki - Henkilötietolaki/ tietosuoja-asetus 7
Sääntelykohteita I vaihe Todennäköisesti II vaihe Tiedonhallinnan ohjaus ja rakenteet Palvelu- ja asianhallinta Tietojen kerääminen Tietovarantojen kuvaukset Tietojärjestelmien kuvaukset Avoimet rajapinnat Standardoidut/vakioidut rajapintakuvaukset Tietoturvallisuus Tietojärjestelmien yhteentoimivuus Tietovarantojen hyödyntäminen (ml. perusrekisterit Tietojen säilyttäminen Arkistointi - Rekisteröidyn oma käyttö - Viranomaistoiminta - Elinkeinoelämä - Tutkimuskäyttö 8
Mahdollisesti tuleva sääntelykokonaisuus Julkisuuslaki Arkistolaki Tietohallintolaki Tietoturva-asetus Tietosuojalaki Tiedonhallintalaki Tietosuojaasetus Muita kumottavia: Asiointilaki 13 ja 21 Julkisuusasetus luvut 1-2 9
Tiedonhallinnan kuvausvelvollisuuksia Nykytila useita kuvausvelvollisuuksia Tavoitetila yksi kuvausvelvollisuus useisiin käyttötarkoituksiin Tietojen säilytys ja arkistointi käyttötarkoitus Yhteentoimivuuden edistämisen käyttötarkoitus Arkistonmuodostussuunnitelma Kokonaisarkkitehtuurikuvaukset Rekisteriselosteet Tietojärjestel mä-selosteet Rekisterinpido n avoimuuden toteuttaminen Tietojärjestelm ien julkisuuden toteuttaminen 10
Tiedonsiirto viestipohjaisesti ja kontrolloidusti (lähtökohta) Tapahtumapohjainen vastaus Rajapintakuvausten avoimuus Järjestelmä Järjestelmä Palveluun tai asiankäsittelyyn sidottu kontrolli Tapahtumapohjainen pyyntö Tekninen käyttöyhteys 11
Säilytysaikojen sääntely - Säilyttämiskriteerit laissa - Pysyvä säilyttäminen laissa säädetty erikseen (ei arkistoida) Laki Asetus TIETOVARANTO Määräys 12
Tiedon elinkaari Kulttuuriperintö Historiallinen tutkimus Tieteellinen tutkimus Tietoaineiston arkistointi Tietoaineiston muodostuminen Tietoaineiston hyödyntäminen Tietoaineiston säilyttäminen Tietoaineiston hävittäminen 13
Tietoturvallisuus osana tiedonhallintaa Tietosuoja-asetus edellyttää yleisellä tasolla: henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään ( tietojen minimointi ), TsA 5 (1) artikla c alakohta; henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten, TsA 5 (1) artikla e alakohta henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia ( eheys ja luottamuksellisuus ), TsA 5 (1) artikla f alakohta rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu ( osoitusvelvollisuus ), TsA 5 (2) artikla rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin, TsA 25 (1) artikla rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin, TsA 25 (2) artikla 14
Näkökohtia tietoturvallisuussääntelyn kansalliseen kehittämiseen Viranomaisten tiedonhallinnan säädöspohja ja tästä johtuvat menettelyt vaihtelevat erityisesti valtion ja kuntien välillä. Tämä on johtanut eri viranomaisten välillä raskaisiin tiedonhallintamalleihin, joissa samaa tietoa kerätään moneen kertaan eikä ole selvillä, mikä olisi luotettavin tiedonlähde. Tiedonhallinnan sääntelyn epäyhtenäisyys on johtanut tästä syystä tiedon saatavuuteen liittyviin ongelmiin, kun tiedon luottamuksellisuutta painotetaan liian paljon. Tiedonhallintalakia tarvitaan tiedon saatavuuden ja laadun turvaamiseksi sekä viranomaisten toiminnan tehostamiseksi. Tiedonhallintalain tavoitteena on muun muassa luoda julkiseen hallintoon toimintaympäristö, jossa tietoturvallisuuden perusteista on säädetty yhdessä yleislaissa. Samalla luodaan julkiseen hallintoon perusta sille, että tiedonhallinta toteutetaan samojen periaatteiden mukaisesti. Tällä mahdollistetaan viranomaisten välisen tiedonvaihdon tehostaminen, jonka tarkoituksena on palvelutuotannon laadun parantaminen oikeusturva ja hyvä hallinto huomioon ottaen. 15
Kiitos! Tomi.Voutilainen@vm.fi, 0295 530 453 JulkICT-osasto