FiComin lausunto: Muiden palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavat vaatimukset

FiComin lausunto Findatan määräyksestä

Suomi on digitalisaation kärkimaa. Olemme jo toista vuotta peräkkäin EU-maista ensimmäisenä komission DESI-tutkimuksessa. Tulos perustuu niin suomalaisten digitaitoihin, viestintäverkkojen kattavuuteen kuin myös julkisiin digitaalisiin palveluihin. Digitalisoitumisasteemme on helpottanut myös COVID-19-epidemian hillitsemisessä töiden ja vapaa-ajan siirryttyä sujuvasti verkkoon.

Sosiaali- ja terveystiedon toissijaisesta käytöstä annetun lain hallituksen esityksen (HE 159/2017 vp) taustoittavassa alkukappaleessa todetaan, että ”erityisesti tutkimus-, kehittämis- ja innovaatiotoiminnan sekä Suomen kilpailukyvyn kannalta on olennaista, että kansallinen lainsäädäntö luo tähän tarkoitukseen soveltuvan joustavat ja joutuisat käyttölupa- ja luovutusmenettelyt, jotka kuitenkin samalla turvaavat rekisteröityjen yksityiselämän suojan ja luottamuksensuojan”.  Tavoite olisi hyvä ohjenuora mihin tahansa sääntelyyn, mutta nyt lausuttava määräys ei sitä valitettavasti täytä.

Mainitussa hallituksen esityksessä todetaan teknisen kehityksen luoneen uudenlaiset mahdollisuudet käsitellä arkaluonteisia asiakastietoja ja yhdistää niitä sallituissa käyttötarkoituksissa muihin henkilötietoihin tavalla, joka aiempaa paremmin turvaa asiakkaiden henkilötietojen- ja luottamuksen suojan. Findatan määräys pohjautuu vanhentuneeseen, tiedon fyysiseen sijaintiin perustuvaan ajatukseen tilanteessa, jossa tekninen kehitys on jo keskittynyt modernisti itse tiedon sekä käyttäjien identiteettien suojaamiseen ja hallintaan. 

Monissa määräyksen vaatimuksissa on päädytty luokittelemaan kategorisesti kaikki tieto jo etukäteen KATAKRI:n turvallisuusluokka III -luokitelluksi eikä määräyksessä ole huomioitu tiedon eri luokkia. Luokittelun tulee perustua tapauskohtaisesti käsiteltävään tietoon. Alun perin kansainvälisen turvallisuusluokitellun viranomaistiedon suojaamiseen tarkoitetut TLIII-vaatimukset pakottavat suljettuihin, julkisista verkoista erotettuihin pieniin käyttöympäristöihin, ja näin esimerkiksi julkipilven mahdollistama joustavuus, ketteryys, kustannustehokkuus, helppokäyttöisyys sekä uusimmat innovaatiot ovat käyttäjien ulottumattomissa. Pienten, irrallisten ja muuttumattomien ympäristöjen käyttäminen ei lisää tietoturvaa vaan päinvastoin monimutkaistaa asioita ja lisää inhimillisen erehdyksen riskiä.

Toisiolaki on säädetty tietosuoja-asetuksen mahdollistaman kansallisen liikkumavaran perusteella. Yleisen tietosuoja-asetuksen 5 artiklan mukaan jäsenvaltiot voivat sallia terveystietojen käsittelyn ilman suostumusta tieteellisen tutkimuksen tarkoituksia varten. Vastaavasti tietosuoja-asetuksen 9 artikla mahdollistaa tietojen käsittelyn tilanteissa, joissa se on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi. Lainsäätäjä on toisiolaissa nimenomaisesti viitannut tiedon pseudonomisointiin, mutta määräysluonnos ei ota huomioon pseudonymisointia salaamisen muotona, vaan edellyttää kaikelle tiedolle lisätoimia.

Pilvipalvelut mahdollistavat modernit tietojenkäsittelyalustat, tekoälyn, koneoppimisen sekä edistyneen analytiikan innovaatiot. Pilvipalvelujen tuotanto perustuu kansainvälisiin standardeihin, joten paikallisen ja alueellisen arviointikriteeristön käyttäminen johtaa päällekkäisyyteen ja tehottomuuteen globaalissa toimintaympäristössä. Kansallisen lainsäädännön tulee hyödyntää kansainvälisten sertifiointi- ja akkreditointijärjestelmien koko potentiaali. Ellei vaatimustenmukaisuuden arviointiin ole mahdollista hyödyntää kansainvälisiä standardeja, tulee KATAKRI:n sijaan käyttää pilvipalvelujen tietoturvallisuuden arviointiin tarkoitettua PiTuKRi-arviointikriteeristöä.

Mikäli tietoja ei ole saatavilla tarpeeksi ennustettavasti, nopeasti tai kustannustehokkaasti, tutkimustyötä jää tekemättä, mikä heikentää mahdollisuuksia ratkaista tärkeitä yhteiskunnallisia tarpeita. Toisiolain esitöissä on tunnistettu tarpeet joustaviin ja joutuisiin käytäntöihin, tietoturvaa ja yksityisyydensuojaa unohtamatta. Tarjolla on Suomen kilpailukyvyn varmistavia moderneja ratkaisuja, kunhan yhteentoimivuudelle ja tietojen yhteiskäytölle eri organisaatioiden välillä luodaan enemmän kannustimia ja otetaan käyttöön uusia teknisiä ratkaisuja tiedon vaihdon parantamiseksi ja yhteistyön sujuvoittamiseksi.