Aloitteen sisältö

Kriittisten digitaalisten palveluiden rakentaminen suomalaisten ja eurooppalaisten toimijoiden varaan on välttämätön askel itsemääräämisoikeuden, turvallisuuden ja demokratian vahvistamiseksi. Suomen tulee varmistaa, että kansalaisten perusoikeudet, demokratia ja kansallinen turvallisuus eivät ole riippuvaisia toimijoista, jotka ovat EU/ETA-alueen ulkopuolisten hallitusten määräysvallassa.

Suomalaisen yhteiskunnan toimivuuden kannalta kriittisen tärkeitä palveluita on siirretty tai suunnitellaan toteutettavaksi EU/ETA-alueen ulkopuolisten yritysten hallitsemiin järjestelmiin ja palveluihin. Esimerkiksi Kela suunnittelee siirtävänsä sotilasavustusten, perhe-eläkkeiden ja kuntoutusrahojen käsittelyn järjestelmät amerikkalaisille palvelimille vuodesta 2027 alkaen, Verohallinto on siirtämässä verotietoja Microsoft Azureen, ja oikeusministeriö suunnittelee siirtävänsä vaalidatan Amazon Web Servicesiin.

Yhteiskunnan kannalta kriittisten tietojen käsittely Suomen ja EU/ETA-alueen ulkopuolella omistetun yrityksen tuottamassa järjestelmässä muodostaa kuitenkin merkittäviä riskejä. Esimerkiksi Yhdysvaltain lainsäädäntö edellyttää maansa yrityksiä antamaan yhdysvaltalaisille viranomaisille pääsyn yritysten hallinnoimaan tietoon, vaikka palvelimet sijaitsisivat fyysisesti Euroopassa. EU/ETA-alueen ulkopuolisen hallituksen määräysvalta palveluita toteuttaviin yrityksiin mahdollistaa myös esimerkiksi kriisitilanteissa suomalaisten toimijoiden ja koko yhteiskunnan painostuksen, ja saattaa vaarantaa yhteiskunnan keskeisten perustoimintojen jatkuvuuden.

Esitämme säädettäväksi lain, joka edellyttää sitä, että Suomen julkisen hallinnon kriittiset tiedot ja digitaaliset palvelut kuten esimerkiksi vaalijärjestelmät, sosiaaliturvatiedot ja muut demokratian, kansallisen turvallisuuden tai perusoikeuksien kannalta olennaiset järjestelmät toteutetaan yksinomaan suomalaisten ja eurooppalaisten toimijoiden omistamille palvelimille, ja eurooppalaisten tai avointen ohjelmistoratkaisujen päälle.

Valmisteltavan lainsäädännön keskeinen sisältö:

• Suomalaisen yhteiskunnan kannalta kriittiset digitaaliset palvelut tulee toteuttaa suomalaisten ja eurooppalaisten toimijoiden omistamilla ja hallinnoimilla EU/ETA-alueella sijaitsevilla palvelimilla, ja eurooppalaisten tai avointen ohjelmistoratkaisujen päällä.
• Yhteiskunnan toiminnan kannalta kriittiset tiedot tulee olla säilöttynä sellaisella tavalla, että niihin sovelletaan vain EU:n tai sen jäsenvaltioiden lainsäädäntöä, eikä EU/ETA-alueen ulkopuolisella viranomaisella tai muulla taholla ole lainsäädäntöön perustuvaa oikeutta saada pääsyä tietoihin tai vaikuttaa niiden saatavuuteen, käsittelyyn ja käyttöön.
• Viranomaiset tulee velvoittaa tunnistamaan ja minimoimaan riippuvuus EU/ETA-alueen ulkopuolisista toimijoista kriittisissä palveluissa. On esimerkiksi pystyttävä osoittamaan riittävät selvitykset tietojärjestelmien toteuttajien omistus- ja hallintarakenteesta, lainsäädännöllisestä alisteisuudesta ja keskeisistä tietoturva- ja tietosuojariskeistä.
• Julkisten toimijoiden tulee laatia jatkuvuussuunnitelmat ja toteuttaa säännöllinen testaus kriittisten palveluiden saatavuuden varmistamiseksi myös poikkeusoloissa.
• Julkisten viranomaisten tulee huolehtia siitä, että julkisen hallinnon kannalta olennaisissa tietojärjestelmissä vältetään kohtuutonta riippuvuutta yksittäisestä palveluntarjoajasta, ja tiedot ja toiminnot ovat kohtuullisin kustannuksin ja teknisin keinoin siirrettävissä toiseen vastaavat vaatimukset täyttävään järjestelmään.
• Tämän lainsäädännön vaatimukset tulee sisällyttää julkisia hankintoja koskeviin lain soveltamisalaan kuuluviin tarjouspyyntöihin ja sopimusehtoihin. Perustelut

1. Demokratian ja oikeusvaltion turvaaminen on yksi valtion tärkeimmistä tehtävistä

Vaalitulosten laskenta, kansalaisten perusoikeuksien toteutuminen ja viranomaisten toiminta edellyttävät, että tietojärjestelmät ovat luotettavia, läpinäkyviä ja Suomen tai EU:n lainsäädännön alaisia.

2. Riippuvuus kolmansien maiden toimijoista heikentää Suomen itsemääräämisoikeutta

Suomen kriittiset digitaaliset palvelut ovat tällä hetkellä voimakkaasti riippuvaisia yhdysvaltalaisista ja muista EU/ETA-alueen ulkopuolisista pilvipalveluista. Tämä luo turvallisuusriskejä, sillä ulkomaiset toimijat voivat joutua lakien, kuten Yhdysvaltojen CLOUD Actin, alaisuuteen. Tällöin Suomen viranomaiset eivät voi taata, että tietoja ei luovuteta tai että palvelut pysyvät saatavilla kaikissa tilanteissa.

3. Heikko neuvotteluasema ja epävarmuus asettavat Suomen alttiiksi vaikuttamiselle

Erityisesti Yhdysvaltojen, mutta myös muiden suurvaltojen politiikka on viime vuosina muuttunut epävakaammaksi. Yhdysvaltojen sisäpolitiikka, kauppasodat ja sanktiot voivat vaikuttaa suoraan Suomen digitaalisten palveluiden saatavuuteen ja turvallisuuteen. Jos kriittiset palvelut sijaitsevat EU/ETA-alueen ulkopuolella, Suomella ei ole riittävää vaikutusvaltaa niiden hallintaan tai jatkuvuuteen.

4. Turvallisuus- ja jatkuvuusriskit jäävät Suomen ongelmaksi

EU/ETA-alueen ulkopuolisilla toimijoilla on omat etunsa ja prioriteettinsa, jotka eivät aina vastaa Suomen kansallisia etuja. Kriittisten palveluiden siirtäminen suomalaisten ja eurooppalaisten toimijoiden varaan vähentää riskejä, kuten tietovuotoja, palvelukatkoksia tai poliittisesti motivoituja päätöksiä, jotka voivat vaarantaa Suomen digitaalisen itsemääräämisoikeuden.

5. Digitaalisen itsemääräämisoikeuden vahvistaminen vahvistaa myös Suomen taloutta

Digitaalisen itsemääräämisoikeuden vahvistaminen edistää myös entistä kilpailukykyisemmän tietoteknisen kotimarkkinan synnyttämistä. Esimerkiksi vuonna 2024 suomalainen julkinen sektori maksoi yksin Microsoftille lähes 1,2 miljardia euroa erilaisten ohjelmistojen käyttöoikeuksista. Tämä summa kohdistuessaan edes osin kotimaisten palvelujen ostamiseen edistäisi siten myös kotimaisen tietoteknisen alan yritystoimintaa ja luo uusia työpaikkoja.

Kotisivu: https://digitaalinenitsenaisyys.fi/

Mastodon: @digitaalinenitsenaisyys@mementomori.social