Lausunto Valtiovarainministeriölle 28.08.2019 (444/03/2019), Tuula Seppo

Lausunto luonnoksesta koskien valtioneuvoston asetusta asiakirjojen turvallisuusluokittelusta valtionhallinnossa

Kuntaliitto kiittää mahdollisuudesta antaa lausunto valtionvarainministeriön asetusluonnokseen koskien valtionhallinnon turvallisuusluokittelua. Asetus pohjautuu lakiin julkisen hallinnon tiedonhallinnasta (906/2019). Laissa 18§:ssä säädetään, että valtion hallintoviranomaisen, tuomioistuimen ja muun lainkäyttöelimen sekä muun valtion viraston ja laitoksen on turvallisuusluokiteltava asiakirjat ja tehtävä niihin turvallisuusluokkaa koskeva merkintä. Valtioneuvoston asetuksessa säädetään ko. asiakirjojen turvallisuusluokittelusta, turvallisuusluokiteltaviin asiakirjoihin tehtävistä merkinnöistä sekä turvallisuusluokiteltujen asiakirjojen käsittelyä koskevista turvallisuustoimenpiteistä. Tiedonhallintalain 18 § eikä siihen liittyvä asetus velvoita täten kunnallisia viranomaisia.

Pelastuslaitoksen aineistot

Kuntaliitto haluaa kuitenkin tuoda esiin sen, että pelastuslain 27 § mukaan pelastuslaitoksen tehtäviin kuuluu varoittaa väestöä onnettomuus- ja vaaratilanteissa sekä osallistua kunnan valmiussuunnitteluun, mikäli tästä on erikseen sovittu. Lisäksi pelastuslain 10. luku velvoittaa pelastuslaitoksia huolehtimaan väestönsuojelusta ja 11. luku velvoittaa huolehtimaan väestönsuojista. Lisäksi pelastuslaitosten on noudatettava lakia julkisen hallinnon turvallisuusverkkotoiminnasta (10/2015) ja he käyttävät turvallisuusviranomaisten kanssa yhteisiä tietojärjestelmiä. Näin ollen pelastuslaitokset joutuvat käsittelemään, luomaan sekä säilyttämään sellaista tietoaineistoa, mikä on salassapidettävää julkisuudesta annetun lain 24§ mukaan ja minkä oikeudeton paljastuminen ja oikeudeton käyttö voi aiheuttaa vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle sekä yleiselle turvallisuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle.

Jos lainsäädännössä on erilaiset vaatimukset kunnallisille ja valtiollisille turvallisuusviranomaisille, niin se aiheuttaa uhan tietojen vaihdolle ja viranomaisyhteistyölle. Erilaiset vaatimukset aiheuttavat myös erityisiä haasteita turvallisuusverkon palveluntuottajille sekä tietojärjestelmien omistajille. Kuntaliitto painottaa, että tiedot olisi suojattava yhtenäisin ja yhteisin menetelmin käytännössä ja lainsäädännössä.

Asetusluonnoksen 11§ kaipaa selvennystä

Asetusluonnoksen § 11 säädetään asiakirjojen sähköisestä käsittelystä. Pykälää tulee tarkentaa perusteluihin tai ohjeistamalla. Miten käytännössä valtionhallinnon viranomainen voi varmistaa asetuksen luonnoksen 6 §:ssä säädetystä velvollisuuden huolehtia asianmukaisesti siitä, että turvallisuusluokitellun asiakirjan suojaamisesta huolehditaan asianmukaisesti silloin, kun se annetaan muulle kuin valtionhallinnon viranomaiselle.

Kuntaliitto esittää huolen siitä, että valtiolliset viranomaiset eivät voi tai uskalla lähettää kuntasektorille esim. IV-luokan dokumentteja, koska ei voida varmistaa sitä, että tiedot on asianmukaisesti suojattu. Onko vaarana, etteivät valtiolliset viranomaiset voi antaa edes IV-luokan dokumentteja kunnalliselle viranomaiselle käsittelyyn, jos työasemalla on jokin ei-välttämätön toiminnallisuus (kohta 7). Estääkö se IV tai III luokan dokumenttien lukemisen.

Miten tulkitaan kohtaa 9, ”tietojärjestelmässä ja tietoliikennejärjestelyssä on toteutettu riittävät menettelyt turvallisuuteen liittyvien tapahtuminen jäljittämiseksi sekä turvallisuuspoikkeamien havaitsemiseksi”. Pitääkö työasemissa olla sellainen haittaohjelmien torjuntasovellus, joka osaa jäljittää tehtyjä asioita vai täyttääkö ihan perus virustorjunta tuon vaatimuksen. Lisäksi lause” käsiteltäessä turvallisuusluokan III—I asiakirjoja sähköisesti, on pidettävä huolta, että hajasäteilyyn ja elektroniseen tiedusteluun liittyviä riskejä on pienennetty riittävästi”, vaatii täsmennystä.

Yhteenveto

Pelastuslaitoksen osalta Kuntaliitto esittää, että tiedonhallintalain ja tätä kautta asetuksen sovellusalaa laajennetaan käsittämään sellaiset kunnalliset ja valtiolliset turvallisuusviranomaiset, joilla on tarve käsitellä turvallisuusluokiteltavaa aineistoa. Tällä tavoin turvataan turvallisuusviranomaisten välinen tietojen vaihto sekä viranomaisyhteistyö.

Lisäksi Kuntaliitto esittää, että asetuksen § 11 tarkennetaan joko asetuksen perusteluissa tai tulevissa ohjeistuksissa, siten että se mahdollistaa tietojen siirron valtiolliselta viranomaiselta kunnalliselle viranomaiselle, myös kunnalle. Tätä lausuntoa on tehty yhteistyössä kuntien sekä Pelastuslaitoksen kumppanuusverkoston kanssa.

Tommi Karttaavi                                        Tuula Seppo
johtaja, tietoyhteiskunta-asiat                   erityisasiantuntija