Lausunto selvityksestä tietoturvan ja tietosuojan parantamiseksi yhteiskunnan kriittisillä toimialoilla

Liikenne- ja viestintäministeriölle
tunniste: VN/24348/2020
Annettu lausunto.fi-palvelussa

KIRJALLINEN LAUSUNTO TYÖRYHMÄN VÄLIRAPORTTIIN KOSKIEN SELVITYSTÄ TIETOTURVAN JA TIETOSUOJAN PARANTAMISEKSI YHTEISKUNNAN KRIITTISILLÄ TOIMIALOILLA

Ehdotukset poliittisiksi linjauksiksi, kommentit:

Kuluttajaliitto – Konsumentförbundet ry (jälj. Kuluttajaliitto) kiittää mahdollisuudesta lausua väliraportista.
Kuluttajaliitto kannattaa työryhmän ehdotuksia poliittisiksi linjauksiksi. Kuluttajaliitto katsoo, että
toteutuessaan työryhmän esittämät ehdotukset parantavat tunnistetuilla kriittisillä toimialoilla kansalaisten
arkaluonteisten tietojen suojaa ja yhteiskunnan tietoturvallisuutta monipuolisesti.

Kuluttajaliitto katsoo myös, että Kyberturvallisuuskeskuksen sekä muiden keskeisten viranomaistahojen
roolin vahvistaminen sekä vastuutahojen tarkka määrittely edesauttaa yhteiskunnan tietoturvallisuuden
toteutumista. Kansalaisille olisi tärkeää, että tietomurtotapauksissa viranomaisilmoitukset ja -kiellot voisi
tehdä yhdeltä alustalta. Raportissa olisi voinut tuoda esiin pohdintoja mahdollisesta ns. yhden luukun
periaatteesta. Psykoterapiakeskus Vastaamoon kohdistunut tietomurto opetti, että panostuksia erityisesti
viranomaisten yhteistyöhön tarvitaan ja tietojen vaihtaminen on mahdollistettava
tietoturvaloukkaustilanteissa. Selvitys ottaa tämän asian hyvin huomioon.

Kriittisten toimialojen ominaispiirteiden sekä tietoturvariskien tunnistaminen on tärkeää tietoturvauhkiin
vastaamisessa. On hyvä, että työryhmä on nostanut esiin säännöllisten auditointien keskeisen merkityksen tieturvauhkiin vastaamisessa.

Väliraportin muut osat, kommentit:

Väliraportti on ansiokkaasti taustoittanut ehdotuksia poliittisiksi linjauksiksi. Kuluttajaliitto kiinnittää
kuitenkin huomiota, että raportissa ei huomioida sitä, että todellisuudessa Vastaamon asiakkaiksi on
ohjattu lukuisia potilaita myös julkisen terveydenhuollon puolelta. Raportin mukaan: ”Viime kädessä
yritykset ja viranomaiset kuitenkin vastaavat omien palveluidensa, tuotteidensa ja tietojärjestelmiensä
tietoturvan ja tietosuojan tasosta”. Väliraportti ei ota suoranaisesti kantaa niihin tilanteisiin, joissa vastuu
ei ole yksistään yksityisen toimijan vaan myös yksityiseltä yritykseltä palvelua ostavan julkisen tahon, joka toimii myös rekisterinpitäjänä. Tämän asian voisi nostaa myös raportissa esiin sekä pohtia asiaa myös tästä näkökulmasta.