Digitalisoituva yhteiskunta haastaa julkista sektoria. Strategisen tason puheet ja tavoitteet, ihmisten tottumus hyviin mobiilipalveluihin erityisesti yksityisissä palveluissa, ja toisaalla tiukat tietosuoja- ja -turvavaatimukset sekä tietosuojaosaamisen ja -resurssien vähyys iskevät kovaa yhteen tuottaen turhautumisia ja pettymyksiä.
Julkisella sektorilla, erityisesti edelläkävijäkunnilla, on oikea ja todellinen halu digitalisoida palveluja. Digitalisaation ja datan käytön edistäminen ei ole kuitenkaan mahdollista ilman tiedon hyödyntämiseen liittyvien esteiden poistamista. Esimerkiksi ”yhden luukun” -tavoitteet törmäävät olemassa oleviin lainsäädännöllisiin haasteisiin, lainsäädännön tulkinnan puuttumisesta johtuvaan varovaisuuteen ja eettisiin ongelmiin.
Lähtötilanne: tavoitteita ei saavuteta
Valtiovarainministeriö on rahoittanut kuntien digitalisaation edistämistä hankerahoituksella miljoonilla euroilla. Eri hankkeiden tavoitteena on ollut toimintatapojen tai palveluprosessien uudistaminen esimerkiksi auttamalla kuntia tulkitsemaan yhdenmukaisesti tietoturvaan ja -suojaan liittyvää lainsäädäntöä sekä luomaan niitä huomioivia ohjeistuksia palvelujen kehittämisen tueksi.
Turun ja Espoon kaupungit saivat rahoituksen valtiovarainministeriöltä projektiin, jonka tavoitteena oli kehittää ja luoda kunnille yhdenmukainen lainsäädännöllinen tietoturva- ja -suojan tulkintakehys, niille soveltuvia tietoturva- ja tietosuojaseikat huomioivia tiedolla johtamisen työkaluja ja toimintamalleja, sekä tietosuojan ja tietoturvan huomioivat strategisen, taktisen ja operatiivisen tason työkalupakit palvelujen kehittämisen tueksi.
Hyvistä resursseista ja yrityksistä huolimatta kunnat eivät ole pystyneet edistämään mm. elämäntapalähtöistä palveluiden kehittämistä. Tämä ei yllättäne ketään samantyyppisissä hankkeissa toimineita. On yleistä, että rahoittaja olettaa ja rahoittajalle luvataan korjata ongelmia, joita ei pelkästään hankkeen voimin voi ratkaista. Avustusrahoitusmalli ei välttämättä aina ole resurssiviisain julkisen sektorin kehittämistapa.
Ongelmien esiintuominen ehkäisee kehitysvelkaa
Kuntien tietoturvaan ja -suojaan liittyvässä kehittämishankkeen keskusteluissa nostettiin esiin digitalisaation kehitystä ja toimeenpanoa estäviä datankäytön ongelmia. Näitä olivat esimerkiksi tietosuojasäädösten tulkinta, tiedon käytön luvittaminen, tiedon käytön salliva suostumuksen antaminen sekä rekisterinpitäjien asennemuutosta vaativa ajattelu- ja tulkintatavan muutos datan käytön suhteen, jolloin datan käytön estämisen sijaan tavoitteena olisikin datan käytön turvallinen mahdollistaminen.
Elämäntapahtumalähtöinen palveluiden kehittäminen voisi tarkoittaa samaan aihepiiriin liittyvien palveluiden tuomisen samaan verkkosivunäkymään. Palvelun helppokäyttöisyyttä auttaisi, jos kuntalaisen asiointien tai esimerkiksi lasten iän perusteella voitaisiin suositella tiettyjä palveluita kuntalaisen luvalla. Tämä ei nykylainsäädännön ja tulkinnan perusteella ole mahdollista. GDPR:n lisäksi julkista sektoria ja erityisesti kuntia rajaa eri toimialojen erilliset substanssilainsäädännöt, jotka lisäävät tulkinnan vaikeuskerrointa sekä estävät asiakas- ja palvelutietojen hyödyntämisen eri lähdejärjestelmistä.
Edellä kuvatun problematiikan ratkaisemiseksi tulisi paneutua aiemmin mainittujen datan käytön luvituksen ja suostumuksen mahdollistamiseen. Näissä julkisen sektorin tiedon käytön kehittäjän haasteena on muun muassa luvan antajan tahdon ja ymmärryksen suostumuksen varmistaminen. Miten tämän voi osoittaa ja varmistaa? Suostumuksen antamisen tulkintaan tulisi paneutua kansallisesti, jotta ratkaisu palvelisi yhdenmukaisesti kaikkia. Lisäksi tulisi pohtia, miten suostumuksen antamisen prosessi olisi tehtävissä siten, että sen uusiminen ja varmistaminen eri käyttökerroilla tai palvelun esimerkiksi laajetessa, olisi käyttäjän kannalta sujuvaa ja luottamusta herättävää.
Kiinnostavaa on, että vaikka suomalaiset yleisesti luottavat julkiseen sektoriin, niin yksityisen sektorin digitaalisten palveluiden tarjoajien Hyväksytkö käyttöehdot -kysymykseen napautetaan hyväksyntä useimmiten ehtoja lukematta, mutta julkisen sektorin datan käyttöön suhtaudutaan varauksella.
Kun projektissa todennettiin tietosuojaan ja -turvaan liittyviä ongelmia, heräsi varovaisuus sen suhteen, miten tämä valvovaan tai rahoittavaan tahoon suunnattu, mahdollisesti kritiikiksi tulkittava tuotos saattaisi vaikuttaa projektia toteuttavaan tahoon. Toisaalta, mikäli selkeäksi kehityksen esteeksi koettuja asioita ei koeteta ratkaista, muodostuu julkiselle sektorille valtava digitalisaation kehittämisvelka.
Suomessa eri viranomaiset toimivat rooleissa, joissa on sanktio-oikeus, mutta ohjaava viranomaistaho puuttuu. Kunnilla on yllättävän paljon vastuuta, mutta koska laki on vaikeasti tulkittava, eikä ohjaavaa viranomaista ole, tulee lain tulkinnasta vaikeaa, julkisen sektorin kulttuurin tukiessa riskien välttämistä. Keskusteluissa oleva tavoite virkamiessakko-sanktion tuomisesta Suomeen heikentänee julkisen sektorin toimijoiden halua toimia itse lainsäädännön tulkitsijana entisestään.
Ratkaisuehdotukset ja katse tulevaan
Saattaa olla, että projektiin osallistuneiden tahojen yhteisesti käytyjen keskusteluiden ja problematiikan näkyväksi tekemisen ansiosta useampi taho on aktivoitunut tarttumaan haasteisiin. Kuntaliitosta lähetettiin syksyllä oikeusministeriölle lausunto, jossa otetaan kantaa kuntien toimintaedellytysten rajoituksiin. Kuntaliitto on kuullut kuntia tietosuojan säätelyn kokonaisuudistukseen liittyen. Valtiovarainministeriön Julkisen hallinnon ICT -puolella valmistellaan poikkihallinnollista hanketta tiedon liikkumisen edistämiseksi. Hankkeen tavoitteena on kuitenkin esteiden kartoitus, ei niiden poistaminen.
Eettistä pohdintaa tulee jatkaa monelta eri näkövinkkeliltä. Asiakkaan edun kannalta aiheen tärkeyttä ei voi väheksyä. Esimerkiksi lastensuojelun ammattilaisten tulee nykyisellään käyttää niukkoja resurssejaan melkoisesti saadakseen kokonaiskuvan asiakkaan tilanteesta, kuten hänen saamistaan palveluista. Nykyiset tietotekniset ratkaisut eivät tue tiedon tehokasta keruuta, ja virkavastuu päätöksenteon oikeellisuudesta painaa jokaista viranomaista yksilönä. Kuitenkin lapsen oikeuksien mukaan lapsen etu vaatii, että päätöksen teon pohjana on riittävästi tietoa. Eettisen digitalisaation mahdollistamia ratkaisuja ammattilaisten työn tueksi todella tarvitaan.
Datan hyödyntämisessä eettiseen pohdintaan tulee paneutua suurella huolella. Ihmisestä kertyvä data kertoo paljon, mutta sen tulkinta vaatii pohdintaa, pelisääntöjä ja tätäkin pitää oppia johtamaan. Jo joitain vuosia sitten nostettiin esiin ehdotus ns. sandboxista, jossa luvan antaneiden henkilöiden henkilötietojen avulla testattaisiin tietojen yhteen tuomista ja hyödyntämistä parempien palvelujen rakentamisessa proaktiivisesti tulkiten. Suomessa on erinomaisia datan eettisen käytön parissa työskenteleviä ammattilaisia. Olisi viisasta tarjota tälle joukolle mahdollisuus kokeilla ja etsiä tietosuojan tulkinnan ratkaisuja, jotka edistäisivät yhteiskunnan eettistä ja resurssiviisasta digitalisaatiota.
Haasteena tällä hetkellä tietosuoja-asioiden tulkinnassa on se, että meillä on valvova viranomainen (Tietosuojavaltuutetun toimisto), mutta meillä ei ole ohjaavaa viranomaista/elintä. Valtiovarainministeriön yhteydessä toimii Julkisen hallinnon tiedonhallintalautakunta, joka ohjaa viranomaisia toteuttamaan hyviä käytäntöjä pohjautuen tiedonhallintalaissa säädettyihin vaatimuksiin. Vastaavanlainen ohjauselin (”tietosuojalautakunta”) olisi suositeltava myös tietosuoja-asioiden edistämiseen. Tietosuojalautakunta antaisi rohkaisua ja tukea palveluiden kehittämiseen ristiriitaisten lakien tulkinnan ja riittämättömien resurssien ristipaineessa.
Tietosuojalautakunnan tarjoamat yksityiskohtaiset ohjeet olisivat hyödyllisiä erityisesti tietojohtamisessa ja uusia digitaalisia palveluja kehitettäessä. Tällaisia ohjeita pidettäisiin hyväksyttävänä perusteena, johon paikalliset päätökset voisivat nojata. Näitä ohjeita noudattamalla paikalliset viranomaiset eivät syyllistyisi virheeseen, vaikka tietosuojavaltuutetun antama lausunto myöhemmin muuttaisi tietosuojalautakunnan alkuperäistä tulkintaa. Digitalisaatio ja datan käyttöön liittyvä ymmärrys ja mahdollisuudet kehittyvät nopeasti, jolloin ratkaisuja niiden esiin nostamiin esteisiin tulisi etsiä yhteistyössä kokeilemalla, tavoitteena turvallinen ja eettisesti kestävä datan käyttö sekä entistä paremmat julkisen sektorin palvelut.
Asiat eivät aina mene niin kuin on suunniteltu. Ei tässäkään tapauksessa. Mutta oikeiden asioiden parissa ollaan, ja töitä riittää. Syvällisten ja vaikeidenkin keskustelujen jälkeen Turun ja Espoon projektin suurimpia ansioita ovat tietosuojaan ja -turvaan liittyvien ongelmien esiin nostaminen ja niihin liittyvä eettinen pohdinta.
