1.1
Lag om informationshantering inom den offentliga förvaltningen
1 kap. Allmänna bestämmelser
1 §.Lagens syfte. Enligt beskrivningen av lagens syfte i 1 § ska lagen för sin del främja de grundläggande rättigheterna på lagnivå. Enligt paragrafen är syftet med lagen att säkerställa en enhetlig och kvalitativ hantering samt informationssäker behandling av myndigheternas informationsmaterial så att offentlighetsprincipen förverkligas, att möjliggöra ett tryggt och effektivt utnyttjande av myndigheternas informationsmaterial så att myndigheterna kan sköta sina uppgifter och tillhandahålla förvaltningskunderna tjänster i enlighet med god förvaltningssed och på ett effektivt resultatgivande sätt, samt att främja interoperabiliteten mellan informationssystem och informationslager. Myndigheternas verksamhet är huvudsakligen informationsintensiv. Av denna anledning är skötseln av myndighetsuppgifter och tjänsteproduktionen beroende av den information som finns tillgänglig. Myndigheterna måste ha tillgång till uppdaterad information för att kunna fastställa förvaltningskundernas intressen, rättigheter och skyldigheter. För att en myndighet ska kunna sköta sina uppgifter på ett effektivt sätt ska den ha tillgång till sådan uppdateras information som behövs för uppgifterna. I och med att myndigheternas verksamhet blir nätbaserad och de använder gemensamma informationssystem för produktion av gemensamma tjänster, ökar också behovet att koordinera de förfaranden som avser myndigheternas informationshantering. En förutsättning för tillgång till information i elektroniskt format är att informationssystemen och informationslagren är interoperabla och att informationsöverföring mellan myndigheternas informationssystem är möjlig endast då de har rätt att få information från andra myndigheter.
I paragrafens 1 mom. 1 punkten föreskrivs att lagens syfte är att säkerställa en enhetlig och kvalitativ hantering av informationsmaterial. I nuläget har informationshanteringen med stöd av olika författningar genomförts på olika sätt, vilket bland annat har ökat problemen i anslutning till informationstillgången samt medfört problem för interoperabiliteten mellan myndigheternas informationslager och informationssystem. Genom lagen koordineras förfarandena i fråga om myndigheternas informationshantering samt föreskrivs om genomförandet av interoperabiliteten mellan informationssystemen på ett mera förpliktande sätt än tidigare, så att interoperabiliteten mellan informationssystemen och informationslagren säkerställs i myndigheternas verksamhet. Med kvalitativ hantering av informationsmaterial avses i momentets 1 punkt att det har säkerställts att de informationsmaterial som myndigheterna utnyttjar är uppdaterade, felfria och lämpliga för sitt användningsändamål. I lagen föreskrivs också om de administrativa, funktionella och tekniska krav som myndigheterna ska genomföra för att säkerställa miniminivån på informationssäkerheten i samband med hantering av handlingar och informationsmaterial. Syftet med lagen är att med dessa åtgärder effektivisera förfarandena i anslutning till myndigheternas informationshantering samt att minska behovet av flerfaldig informationshantering och reglering av informationshantering. Avsikten med lagen är också att understryka ansvarsförhållandena mellan myndigheterna när det gäller att förverkliga förfarandena inom informationshanteringen på ett enhetligt och datasäkert sätt, vilket innebär att myndigheterna särskilt, såsom nu är fallet, behöver ställa olika säkerhetskrav på varandra. Det egentliga syftet med informationshantering är att främja offentlighetsprincipen så att myndigheternas offentliga handlingar blir lättillgängliga. Enligt grundlagens 12 § 2 mom. har var och en rätt att ta del av offentliga handlingar och upptagningar. Enligt 9 § 1 mom. i lagen om offentlighets i myndigheternas verksamhet har var och en rätt att ta del av en offentlig myndighetshandling. Rätten till information enligt offentlighetslagen gäller såväl fysiska och juridiska personer som myndigheter. Enligt offentlighetslagens 14 § 4 mom. ska ärenden som gäller rätten till information behandlas utan dröjsmål, vilket understryks genom ovillkorliga tidsfrister för utlämnande av handlingar. En kvalitativ och effektiv informationshantering främjar målsättningen att ärenden som gäller utlämnande av information ska behandlas utan dröjsmål. En reglering som leder till en effektiv informationshantering främjar således genomförandet av offentlighetsprincipen. Riksdagens revisionsutskott har förutsatt att informationsutbytet mellan myndigheterna ska utvecklas (ReUU 5/2015 rd). Den föreslagna lagen effektiviserar det elektroniska informationsutbytet mellan myndigheterna via tekniska gränssnitt och elektroniska förbindelser, men i lagen föreskrivs inte i övrigt om informationsrättigheter eller beslutsförfaranden mellan myndigheter. Sådana bestämmelser ingår i offentlighetslagstiftningen.
Till grunderna för en god förvaltning enligt förvaltningslagen hör att förvaltningen ska vara effektiv och med gott resultat. En effektiv informationshantering i anslutning till skötsel av myndigheternas uppgifter och produktionen av tjänster förbättrar resultatet av myndighetsverksamheten. Då man inom informationshanteringen övergår från behandling och hantering av pappersdokument till en elektronisk verksamhetsmiljö måste också förfarandena i samband med informationshanteringen och informationsöverföring utvecklas för att förvaltningskunderna ska uträtta sina ärenden hos myndigheterna på ett effektivt sätt och så att myndigheterna kan behandla ärendena på med gott resultat sätt.
Enligt paragrafens 1 mom. 2 punkten ska den föreslagna lagen om informationshantering främja genomförandet av en god förvaltning då myndigheterna sköter sina uppgifter och producerar tjänster, i och med att informationshanteringsförfarandena blir effektivare. I lagen föreskrivs bland annat om myndigheternas skyldighet att planera processerna för produktion av tjänster så att man i mindre utsträckning samlar in onödig information hos kunderna, om informationen redan finns tillgänglig inom ramen för befintliga informationsrättigheter via tekniska gränssnitt och elektroniska förbindelser. Till informationshanteringen hör att organisera hanteringen av ärenden och tjänster. Genom förfarandena för ärende- och informationshantering är det möjligt att styra skötseln av myndighetsuppgifterna samt att följa upp ärendehanterings- och tjänstetiderna. Regleringen kommer också i detta avseende att främja förverkligandet av en god förvaltning inom myndighetsverksamheten. Syftet med lagen är framför allt att genom effektivisering av informationshanteringen och förbättring av kvaliteten främja kvaliteten och effektiviteten i fråga om de tjänster som myndigheterna producerar för sina förvaltningskunder.
Enligt paragrafens 1 mom. 3 punkten är det tredje centrala syftet med lagen att främja interoperabiliteten mellan informationssystem och informationslager. Riksdagen har förutsatt att regeringen vidtar åtgärder som borgar för kompatibla datasystem, gemensamma tillämpningar och öppna gränssnitt för ett friktionsfritt informationsutbyte mellan datasystemen inom den offentliga sektorn (Rsk 21/2008 rd). Dessutom har riksdagen förutsatt att regeringen lägger fram förslag till lagstiftningslösningar och andra behövliga åtgärder för att effektivisera statens informationshantering och definiera finansministeriets styrningsbehörighet (Rsk 11/2008 rd). I lagen om styrning av informationshanteringen inom den offentliga förvaltningen som trädde i kraft 2011 föreskrivs om finansministeriets styrningsbehörighet och informationssystemens interoperabilitet. Riksdagens revisionsutskott har emellertid uppmärksammat den långsamma verkställigheten av lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen och andra problem i samband därmed (ReUB 2/2012 rd och ReUU 7/2013 rd). Riksdagen har således förutsatt att regeringen vidtar åtgärder och snabbt utnyttjar den möjlighet som informationsförvaltningslagen ger att bland annat föreskriva om öppna gränssnitt. Enligt riksdagens skrivelse är det skäl att man samtidigt som man beslutar om servicestrukturerna och ansvaret för ordnande av social- och hälsovård drar upp riktlinjerna för de behörighets- och ansvarsförhållanden som informationsförvaltningsstrukturen kräver, för att det inte ska bli oklart vilken aktör som i sista hand ansvarar för ett ärende (Rsk 10/2012 rd).
Syftet med den föreslagna lagen är att främja interoperabiliteten mellan informationssystemen och informationslagren på så sätt att de bestämmelser i informationsförvaltningslagen som förhindrar en effektiv verkställighet förnyas och tas in i den nya lagen samt upphävs i informationsförvaltningslagen. Dessutom ska i informationshanteringslagens föreskrivas om interoperabilitet samt om finansministeriets styrningsbehörighet på det sätt som riksdagen har förutsatt. Vidare föreslås mera bindande bestämmelser om bland annat användning av gränssnitt, i syfte att effektivisera myndigheternas utnyttjande av informationssystem och informationslager samt minska parallell insamling av information. Det föreslås nya bestämmelser om styrning av interoperabiliteten mellan informationssystem på så sätt att målsättningarna för interoperabiliteten främjas på ett effektivare sätt än i informationsförvaltningslagen. I lagen föreslås mera detaljerade bestämmelser om vilken information som ska beskrivas i informationshanteringsenheterna och hur ändringarna ska bedömas i syfte att genomföra interoperabiliteten. I lagen finns också bestämmelser om finansministeriets behörighet i förhållande till de statliga ämbetsverken och inrättningarna i samband med reformerna inom informationshanteringen. Styrningsmekanismen effektiviseras genom att det dras upp riktlinjer för informationshanteringen, genom bedömning av riktlinjernas inverkan på de statliga ämbetsverkens eller inrättningarnas informationshantering och genom finansministeriets yttrande till de statliga ämbetsverken och inrättningarna om bedömningen av förändringarnas betydelse och om andra utredningar som angetts i begäran om yttrande. I lagen föreslås bestämmelser om finansministeriets rätt att få information för behandling av remissärenden. Interoperabiliteten mellan informationssystemen och informationslagren ska enligt förslaget främjas genom bestämmelser om planering och upprätthållande av gränssnitt samt om skyldigheten att använda gränssnitt för regelbundet informationsutbyte mellan myndigheter. I lagen föreslås bestämmelser om en sådan allmän, för allmänheten avsedd informationshanteringskarta för vars underhåll finansministeriet ska ansvara. Ministeriets uppgift ska enligt förslaget vara att innehållsmässigt upprätthålla informationshanteringskartan så att finansministeriets och ministeriernas styrning av ansvarsområdena inom informationshanteringen ska kunna skötas på ett koordinerat sätt och för att genomförandet av informationshanteringen inom den offentliga förvaltningen ska utgöra en helhet, bland annat för bedömning av revideringen av lagstiftningen och de därtill anslutna förändringskonsekvenserna.
Enligt paragrafens 2 mom. genomförs med denna lag till vissa delar Europaparlamentets och rådets direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn, sådant det lyder genom ändrat Europaparlamentets och rådets direktiv 2013/37/EU om ändring av direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn. Detta så kallade PSI-direktiv har redan länge varit i kraft och de krav som direktivet ställer på den nationella lagstiftningen har huvudsakligen genomförts med lagen om offentlighet i myndigheternas verksamhet. Kraven i PSI-direktivets artikel 5 har emellertid inte uttryckligen genomförts i Finland i fråga om tillgången till informationsmaterial. I syfte att förtydliga genomförandet av direktivet har i lagen tagits in en bestämmelse i syfte att uppfylla det krav på tillgänglighållande av handlingar som föreskrivs i PSI-direktivets artikel 5.
2 §.Definitioner. I denna paragraf definieras de viktigaste begreppen som används i lagen. Enligt paragrafens 1 punkt avses myndigheterna enligt 4 § 1 mom. i lagen om offentlighet i myndigheternas verksamhet. Med myndigheter avses enligt offentlighetslagens 4 § 1 mom.
1) statliga förvaltningsmyndigheter samt övriga statliga ämbetsverk och inrättningar,
2) domstolar och övriga lagskipningsorgan,
3) statens affärsverk,
4) kommunala myndigheter,
5) Finlands Bank jämte Finansinspektionen samt Folkpensionsanstalten och andra självständiga offentligrättsliga inrättningar, dock så att denna lag i fråga om Pensionsskyddscentralens och Lantbruksföretagarnas pensionsanstalts handlingar tillämpas endast på det sätt som föreskrivs i 2 mom.,
6) riksdagens ämbetsverk och inrättningar,
7) myndigheter i landskapet Åland när de i landskapet utför uppgifter som ankommer på riksmyndigheterna,
8) nämnder, delegationer, kommittéer, kommissioner, arbetsgrupper, förrättningsmän och revisorer i kommuner och samkommuner samt andra därmed jämförbara organ som med stöd av en lag, en förordning eller ett beslut fattat av en myndighet som avses i 1, 2 eller 7 punkten har tillsatts för att självständigt utföra en uppgift.
Enligt 4 § 2 mom. i offentlighetslagen gäller vad som sägs om en myndighet även sammanslutningar, inrättningar, stiftelser och enskilda personer som utövar offentlig makt och som enligt en lag, en bestämmelse eller en föreskrift som meddelats med stöd av en lag eller en förordning utför ett offentligt uppdrag. I samma moment konstateras det att det bestäms särskilt om offentlighet för evangelisk-lutherska kyrkans handlingar.
Den föreslagna regleringen i informationshanteringslagen sammanhänger med de allmänna lagarna om förvaltning, i synnerhet med offentlighetslagen, vilket innebär att informationshanteringslagens och offentlighetslagens myndighetsdefinitioner i fråga om det organisatoriska tillämpningsområdet motsvarar varandra, men när det gäller begränsning av den föreslagna lagens tillämpningsområde föreskrivs det om vissa begränsningar som gäller tillämpning av lagens 3 kap. samt till vissa delar också övriga paragrafer. Informationshanteringslagen ska i vissa avseenden också gälla fysiska personer och juridiska personer som har uppdrag av en myndighet eller för en myndighets räkning samt i sådana situationer där det uttryckligen föreskrivs om offentlighetslagen någon annanstans i lagstiftningen.
En del av den föreslagna lagens förpliktelser avser myndigheter som är behöriga att behandla informationsmaterial och besluta om utnyttjande av dem så som föreskrivs i offentlighetslagen eller i speciallagstiftning. Offentlighetsregleringen utgår från principen om separata myndigheter, vilket innebär att en del av de statliga ämbetsverken består av flera myndigheter eller att kommunerna består av myndigheter som är indelade i kommunala organ. I lagen föreskrivs särskilt om skyldigheten att ordna informationshantering som en förpliktelse på organisationsnivå, vilket innebär att skyldigheterna i anslutning till ordnande av informationshantering gäller bland annat statliga ämbetsverk, kommuner eller samkommuner. Offentlighetslagens undantag i fråga om myndighetsdefinitionen och det organisatoriska tillämpningsområdet som är beroende av den innebär att den föreslagna informationshanteringslagen inte ska tillämpas på myndigheter som är verksamma i landskapet Åland. Bestämmelser om begränsning av tillämpningsområdet finns till denna del i 3 § 5 mom. och motsvaras av informationsförvaltningslagens begränsning av tillämpningsområdet så att det omfattar landskapsmyndigheterna. Den föreslagna lagen ska delvis tillämpas på domstolar, på riksdagens ämbetsverk och på självständiga offentligrättsliga inrättningar.
Enligt paragrafens 2 punkt avses med informationssystem ett helhetsarrangemang som består av databehandlingsutrustning, programvara och annan databehandling. Avsikten är att begreppet informationssystem ska vara heltäckande. Definitionen av databehandlingsutrustning motsvarar 2 § 1 punkten i lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011). Begreppet informationssystem innefattar således olika typer av terminalutrustning för behandling av programvaror. Programvarorna används för behandling av informationsmaterial för att utarbeta eller söka handlingar med olika sökkriterier. Begreppet informationssystem har ett nära samband med genomförande av interoperabilitet. Med interoperabilitet mellan informationssystem avses deras förmåga att utnyttja samma information eller fungera tillsammans med ett eller flera andra informationssystem via ett gränssnitt eller på något annat sådant sätt att informationens betydelse och användbarhet bevaras.
I paragrafens 3 punkt hänvisas i fråga om begreppet myndighetshandling till offentlighetslagen. I offentlighetslagen föreskrivs på allmän lagnivå om hantering, sekretess och rätten att få uppgifter om myndighetshandlingar. Definitionen innebär att föremålet för informationshanteringen delvis sammankopplas med föremålet för offentlighetslagens reglering, dvs. myndighetshandlingar. I annan lagstiftning föreskrivs om andra definitioner av begreppet handling. Exempelvis i lagen om offentlighet vid rättegång i förvaltningsdomstolar (381/2007) och i lagen om offentlighet vid rättegång i allmänna domstolar (370/2007) definieras begreppet rättegångshandling och i lagen om offentlighet och sekretess i fråga om beskattningsuppgifter (1346/1999) föreskrivs om beskattningshandlingar. De handlingarna är emellertid i myndigheternas besittning och ingår sålunda i begreppet myndighetshandlingar enligt offentlighetslagen. Dessa handlingar, som det föreskrivs om i speciallagstiftning, ingår således också i begreppet handling, med beaktande av de i lagen föreslagna begränsningarna i fråga om tillämpningsområdet, vilket innebär att lagens alla bestämmelser inte ska tillämpas på rättskipningen. Alla bestämmelser ska således inte tillämpas på informationshantering av rättegångshandlingar. enligt den föreslagna lagen. Också klienthandlingar inom socialvården är jämställda med myndighetshandlingar och även patienthandlingar är myndighetshandlingar då de hanteras av en myndighet som avses i offentlighetslagen eller av någon annan aktör som hör till det organisatoriska tillämpningsområdet för offentlighetslagen.
Avsikten är att begreppet handling som används i den föreslagna informationshanteringslagen ska vara heltäckande och omfatta dokument som uppkommer i samband med skötsel av inom informationshanteringsenheter verksamma myndigheters uppgifter, så som i offentlighetslagen föreskrivs om myndighetshandlingar, oberoende av vad som i speciallagstiftning föreskrivs om begreppet handlingar och hantering av sådana. Begreppet handling i den föreslagna lagen får sin innebörd via begreppet myndighetshandling i offentlighetslagen. Tillämpningen av den föreslagna lagen gäller således sådana myndighetshandlingar som avses i offentlighetslagen medan begreppet handling delvis definierar lagens materiella tillämpningsområde. I lagen används utöver begreppet handling också begreppet information varmed i detta sammanhang avses information som kan jämställas med handlingar och varav genom olika på förhand bestämda sökkriterier kan skapas handlingar. Inom informationshanteringen hanteras utöver handlingar också enskilda uppgifter varav för skötsel av myndighetsuppgifter med olika sökkriterier kan skapas handlingar. Sökkriterier kan baseras också på produktion av informationstjänster. Med övriga uppgifter som motsvarar handlingar avses information varav kan skapas handlingar. I lagen föreslås ingen definition av begreppet information eftersom det på annat håll föreskrivs om utlämnande av information om myndighetshandlingar eller annars om utlämnande eller erhållande av information, utan att begreppet information är bundet uteslutande till begreppet handling eller att det särskilt definierats vad som avses med föremålet för erhållande eller utlämnande av information. Begreppet information får sin innebörd via begreppet handling som är föremål för en konkret behandlingsåtgärd.
I den föreslagna paragrafens 4 punkt föreskrivs om begreppet informationsmaterial, varmed avses en datauppsättning som består av handlingar och annan motsvarande information som har samband med en viss myndighetsuppgift eller -tjänst. Med sådan annan information som nämns i definitionen avses information som ingår i handlingar, dvs. information som en myndighet i samband med skötseln av sina uppgifter har lagrat i ett informationssystem i form av dataenheter och som vid behov enligt olika kriterier kan omvandlas till handlingar. Myndigheterna har övergått till att i många avseenden hantera strukturerade dokument som skapas i samband med ärendehantering eller tjänsteproduktion i respektive hanteringsskede eller skede av tjänsteproduktionen med hjälp av informationssystemens sökkriterier. Begreppet handling som avses i offentlighetslagen inkluderar i och för sig också informationsenheter som lagras i strukturerade informationssystem. Datamängder i informationssystem kan också betraktas som sådana upptagningar enligt grundlagens 12 § 2 mom. (se GrUU 3/2009 rd) vilka ingår i den definition av begreppet handling som avses i offentlighetslagen. Eftersom en handling i olika sammanhang kan betraktas som ett konkret databehandlingsobjekt är det skäl att utförligare beskriva informationshanteringen av dataenheter som ska behandlas i informationsmaterial och på ett begreppsmässigt bättre sätt information som avser hänvisningar till informationsmaterial. Att innehållet i ett informationssystem i sin helhet skulle betraktas som en handling är en främmande tanke i den verksamhetsmiljö som är föremål för regleringen och som omfattar framför allt dokumentförvaltning och informationshantering. Begreppet dokumentär information har redan länge använts inom förvaltningen för att på ett bättre sätt än behandling och hantering av dataenheter beskriva begreppet handling. Det föreslås emellertid att i lagen inte tas in begreppet dokumentär information, utan att i stället uppgifter som ingår i informationsmaterial definieras som information som uppkommit i samband med skötsel av myndigheters uppgifter eller tjänster och som hos myndigheterna behandlas som handlingar då de med olika sökkriterier som programvaran möjliggör ombildas till handlingar. Den föreslagna lagen opererar med begreppen handling, informationsmaterial och informationslager när det gäller att definiera olika ansvarsförhållanden och skyldigheter. De konkreta behandlingsobjekten hos myndigheterna är enligt förslaget fortfarande de handlingar som en myndighet behandlar i samband med skötseln av sina uppgifter. Begreppet informationsmaterial är inte nytt utan till exempel i offentlighetslagens 21 § hänvisas till informationsmaterial och i lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) föreskrivs särskilt om känsligt informationsmaterial.
Enligt paragrafens 5 punkt avses med informationslager en uppsättning informationsmaterial som används för en myndighets uppgifter och verksamhet och som hanteras med hjälp av informationssystem eller manuellt. Ett informationslager består såväl av information i informationssystem som av annat material, exempelvis handlingar i pappersform. Ett informationslager är en logisk helhet bestående av informationsmaterial som uppkommer som ett resultat av att myndigheterna sköter sina uppgifter. Informationen i ett informationslager ska användas för att definiera och tillgodose förvaltningskunders och andra aktörers intressen, rättigheter och skyldigheter samt för att sköta myndighetsuppgifter. Begreppet informationslager har samband med genomförande av informationshantering men också med genomförande av interoperabilitet. Informationsmaterialen i ett lager ska användas i det aktiva skedet till dess att informationsmaterialet eller en del av det efter förvaringstidens utgång överförs till ett arkiv ett förstörs, om det inte har bestämts att informationsmaterialet ska arkiveras. Med förvaring i ett aktivt skede avses förvaring av informationsmaterial i syfte att definiera, genomföra och övervaka individers, sammanslutningars och myndigheters intressen, rättigheter och skyldigheter.
Logiska informationslager som innehåller flera informationsmaterial är till exempel i befolkningsdatasystemet ingående uppgifter om personer, byggnader och lokaler, som har sammanställts till ett informationslager för befolkningsdata, eller sådana uppgifter om fastigheter som ingår i fastighetsdatasystemet (fastighetsregistret) samt uppgifter om lagfarter och inteckningar (lagfarts- och inteckningsregistret) som bildar ett informationslager för fastighetsdata. I samband med beskattningen bildas i anslutning till skötsel av olika beskattningsuppgifter informationsmaterial som bildar ett informationslager för beskattningsuppgifter. Avsikten är att i ett senare skede samordna informationshanteringslagens begreppsapparat med speciallagstiftningen, till de delar som det är behövligt.
I paragrafens 6 punkt definieras begreppet gemensamt informationslager. Med gemensamt informationslager avses ett för användning av flera aktörer planerat och upprätthållet informationslager vars uppgifter kan lämnas ut och utnyttjas för olika ändamål. Informationen samlas in endast en gång och uppdateras vid behov, varefter den kan utnyttjas för informationstjänster av olika slag. Gemensamma informationslager har bildats bland annat av befolkningsdatasystemet, fastighetsdatasystemet samt företags- och organisationsdatasystemet. I gemensamma informationslager finns också infrastrukturell geografisk information. Inom hälso- och sjukvården består det gemensamma arkivlagret av Kanta-arkivtjänsten, av informationshanteringstjänsten för patienter och av receptcentret. I speciallagstiftning föreskrivs om administreringen av dessa gemensamma informationslager och om informationshämtning från informationslager. Gemensamma informationslager kan inte definieras som förteckningar, eftersom en del av de gemensamma informationslagren betjänar hela samhället och en del endast informationsbehoven inom ett visst område.
I paragrafens 7 punkt definieras begreppet informationssäkerhetsåtgärder, varmed avses säkerställande av informationsmaterials tillgänglighet, integritet och tillförlitlighet genom administrativa, funktionella och tekniska åtgärder. Med tekniska åtgärder avses tekniska förfaranden genom vilka det med lämpliga och tillräckliga tekniska lösningar säkerställs att informationsmaterial är tillgängliga, integrerade och tillförlitliga. Med administrativa åtgärder avses ordnande av förvaltningen av informationsmaterial så att materialen behandlas på ett tryggt sätt som betjänar myndighetsverksamheten och offentlighetsprincipen. Med funktionella åtgärder avses förfaranden varmed det i myndigheternas verksamhet säkerställs att informationsmaterial behandlas på ett tryggt sätt. Med tillgänglighet avses en egenskap varmed det säkerställs att informationsmaterial, informationssystem eller tjänster finns tillgänglig för behöriga mottagare och kan utnyttjas vid en önskad tidpunkt och på valfritt sätt. Med integritet avses att en uppgift är korrekt och autentisk på så sätt att informationen i dess helhet, exempelvis i fråga om ändringar som gjorts eller skett i en handling, kan verifieras i efterhand. Med integritet avses också informationens semantiska interoperabilitet på så sätt att informationsöverföring från ett system till ett annat i samband med informationsutbyte mellan myndigheter kan genomföras med bevarande av informationens integritet genom att säkerställa informationsutbytets semantiska interoperabilitet. Med tillförlitlighet avses att utnyttjandet av informationen vid behov kan begränsas så att informationen får behandlas endast av behöriga personer. Med informationssäkerhetsåtgärder avses till exempel åtgärder för säkerställande av verksamhetens säkerhet, kommunikationssäkerheten, den fysiska säkerheten, utrustnings- och programvarusäkerheten samt informationsmaterialsäkerheten. Dessa åtgärder ska genom riskhantering enligt 13 § anpassas bland annat till hotens allvarlighetsgrad, tekniska utvecklingsnivå och kostnader.
I paragrafens 8 punkt definieras begreppet informationshantering. Med begreppet avses åtgärder baserade på behov som uppkommer i samband med en myndighets uppgifter eller i samband med dess verksamhet och som syftar till hantering av myndighetens informationsmaterial, oberoende av hur informationsmaterialet lagras och behandlas i övrigt. Med informationshantering avses uppgifter eller handlingar som ingår i informationsmaterial samt hantering av sådana informationsmaterial bland annat genom insamling av metadata om behandlingsskeden i syfte att genomföra och säkerställa styrningen och ändamålsenligheten i fråga om ärendebehandlingen. En väsentlig del av informationshanteringen utgörs av de informationssäkerhetsåtgärder som vidtas för att säkerställa att en myndighet kan sköta sina uppgifter och förpliktelser på ett effektivt sätt, men som samtidigt skyddar genomförandet av parters och övriga förvaltningskunders rättigheter. Informationshanteringen avser alla behandlingsskeden i fråga om information och informationsmaterial. Det är inte fråga om ett begrepp som beskriver en organisationsstruktur, utan begreppet är funktionellt. Avsikten med en effektiv och ändamålsenlig informationshantering är att främja förverkligandet av offentlighetsprincipen och uppfylla kraven på en god förvaltning.
I paragrafens 9 punkt definieras begreppet verksamhetsprocess, varmed avses en myndighets ärendehanterings- och tjänsteprocesser. I en verksamhetsprocess inleds ärendena hos en myndighet antingen på en parts eller på en myndighets initiativ. I förvaltningslagen föreskrivs uttryckligen om ärenden som inletts av parter. Till kategorin ärenden som inletts av myndigheter hör till exempel tillsynsrelaterade ärenden. Behandlingsprocesserna utmynnar i allmänhet i en åtgärd som innehåller ett myndighetsbeslut och som kan vara ett förvaltningsbeslut, en registeranteckning, en allmän anvisning, ett förordnade eller någon annan motsvarande åtgärd. Tjänsteprocesser utgår för sin del från en förvaltningskunds tjänstebehov som en myndighet eller en aktör som handlar för myndighetens räkning tillgodoser genom att producera en tjänst på det sätt som föreskrivs i lagen. Ärendebehandlings- och tjänsteprocesser hör till kategorin verksamhetsprocesser som resulterar i att det uppkommer informationsmaterial för myndigheterna. I den föreslagna informationshanteringslagen föreskrivs om hantering av informationsmaterial och uppgifter som beskriver materialen till den del som de består av handlingar eller information som kan omvandlas till handlingar som avses i lagen.
Enligt definitionen av begreppet tekniskt gränssnitt i paragrafens 10 punkt avses med tekniskt gränssnitt en kommunikationsmetod för elektroniskt informationsutbyte mellan två eller flera informationssystem. Genomförandet av ett tekniskt gränssnitt möjliggör elektronisk och kompatibel dataöverföring mellan informationssystem. I ett tekniskt gränssnitt ingår också definitioner av informationsinnehåll som gör det möjligt att överföra information mellan informationssystem. Det är fråga om integration mellan två eller flera system. Ett tekniskt gränssnitt kan bestå av en teknisk lösning för dataöverföring, om data överförs mellan informationssystem. Gränssnittet kan genomföras t.ex. som ett kommunikationsunderlag, en så kallad online-förbindelse, eller som ett filbaserat meddelande eller en satsvis dataöverföring med vissa intervall. Begreppet tekniskt gränssnitt är inte bundet till överföringsmetoden eller formatet, utan ett tekniskt gränssnitts genomförande och teknologi bestäms utifrån respektive tekniska lösning. I den föreslagna lagens 5 kap. föreskrivs om användning av tekniska gränssnitt.
I paragrafens 11 punkt definieras begreppet elektronisk förbindelse. Därmed avses en begränsad vy som genomförs i ett informationssystem och möjliggör visning av informationsmaterial. I den föreslagna lagen föreskrivs om förutsättningarna för öppnande av en elektronisk förbindelse i en myndighets informationssystem i situationer där en annan myndighet har rätt att få informationen och har en grund för behandling av den. Med detta nya begrepp avses uttryckligen situationer där information inte lämnas ut mellan informationssystem utan en annan myndighet med en begränsad vy kan ta del av uppgifter som finns i en annan myndighets informationssystem. Med genomförande av en elektronisk förbindelse avses i praktiken det sätt på vilket den myndighet som lämnar ut informationen utför en informationstjänst till en annan myndighet, då rätten att få och behandla informationen har säkerställts.
I paragrafens 12 punkt definieras begreppet interoperabilitet mellan informationslager, varmed avses utnyttjande och utbyte av information mellan olika informationssystem så att informationens relevans och användbarhet bevaras. I interoperabiliteten ingår dels av tekniken för överföring mellan informationssystem, men också den semantiska interoperabiliteten på så sätt att den information som överförs har samma innehåll då den tolkas i olika informationssystem. I interoperabiliteten ingår också att informationens användbarhet säkerställs på så sätt att informationen finns i ett för sitt användningsändamål lämpligt format i vilket den kan utnyttjas för planerade behandlingsåtgärder. Interoperabiliteten mellan informationslager inkluderar således kraven på interoperabilitet mellan sätten för det tekniska genomförandet, standardisering av informationslagrens begreppsinnehåll samt definition av informationsstrukturen så att lagrens informationsmaterial av myndigheterna kan utnyttjas för planerade användningsändamål. Interoperabiliteten förutsätter definition av terminologier och informationsstrukturer, koduppsättningar och överföringsmetoder samt i anslutning därtill interoperabilitet mellan de tekniska metoderna.
I paragrafens 13 punkt definieras begreppet maskinläsbart format. Definitionen är baserad på artikel 2.6 i direktivet om vidareutnyttjande av information från den offentliga sektorn (PSI-direktivet), enligt vilken med maskinläsbart format avses ett filformat som är strukturerat på så sätt att datorprogram enkelt kan identifiera, känna igen och extrahera specifika uppgifter, inklusive enskilda faktauppgifter, och dessas interna struktur. Maskinläsbart format innebär att både informationsmaterialets innehåll och de metadata som beskriver detta är i en form som kan läsas och tolkas maskinellt så att de kan behandlas inom informationssystem. Maskinläsbart format innebär att informationsmaterialet har presenterats i ett inom branschen standardiserat filformat eller på ett sätt som annars uppfyller vedertagna krav inom branschen.
3 §.Lagens tillämpningsområde och begränsningar i det. I denna paragraf föreskrivs om lagens tillämpningsområde som delvis bestäms utifrån de begrepp som definieras i 2 §. Lagen ska enligt 1 mom. tillämpas på informationshantering och användning av informationssystem då myndigheterna behandlar informationsmaterial. Lagen ska tillämpas på informationshantering med beaktande av de begrepp som definieras i 2 §. Bestämmelserna i denna lag ska inte tillämpas på informationshantering av information som innehas av vilken som helst myndighet, utan regleringen avser sådana informationsmaterial som består av handlingar eller information varav kan skapas handlingar. Regleringen gäller således sådana informationsmaterial och handlingar på vilka tillämpas lagen om offentlighet i myndigheternas verksamhet. Den föreslagna informationshanteringslagen ska vara en allmän lag om informationshantering och den ska i princip iakttas i all myndighetsverksamhet. Inom vissa verksamhetsområden, exempelvis social- och hälsovården, kan informationshanteringen medföra speciella regleringsbehov som inte kan beaktas i en allmän lag. Av denna anledning ska, om det i någon annan lag ingår bestämmelser som avviker från informationshanteringslagen, den andra lagen tillämpas i stället för den föreslagna informationshanteringslagen till den del som regleringen avviker från bestämmelserna i den. Om det i en speciallag ingår avvikande bestämmelser ska speciallagen tillämpas i dessa situationer till den del som bestämmelserna innehåller avvikelser jämfört med den föreslagna informationshanteringslagen. I det föreslagna 1 mom. föreskrivs det att lagen ska tillämpas på högskolor. Vad som i den föreslagna informationshanteringslagen föreskrivs om myndigheter ska tillämpas också på universitet som avses i universitetslagen och på yrkeshögskolor som avses i yrkeshögskolelagen, eftersom det i de lagarna hänvisas till lagen om offentlighet i myndigheternas verksamhet, så att det på universitet och yrkeshögskolor tillämpas vad som i offentlighetslagens 4 § 1 mom. föreskrivs om myndigheter.
Lagens 3 § 2 mom. är en informativ bestämmelse om förhållandet mellan informationshanteringen och den föreslagna lagens bestämmelser om myndigheternas verksamhet, men i den ingår förtydligande bestämmelser om olika regleringsobjekts inbördes förhållanden. I förvaltningslagen finns det bestämmelser på allmän lagnivå om behandling av förvaltningsärenden hos myndigheter, men procedurbestämmelser finns också i annan lagstiftning, exempelvis i lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003), utsökningsbalken (705/2007), förundersökningslagen (805/2011), polislagen (872/2011), i lagarna om domstolarnas verksamhet samt i lagen om beskattningsförfarande (1558/1995). Bestämmelser om produktion av tjänster finns bland annat i lagstiftningen om social- och hälsovården samt undervisningsväsendet. Informationshanteringslagen kommer inte i egentlig mening att påverka procedurbestämmelserna, men med hjälp av informationshantering kommer det att insamlas uppgifter om hur myndigheternas handlar eller har handlat i samband med behandlingen av ärenden eller produktionen av tjänster. Av denna anledning kan åtgärder i samband med informationshanteringen inverka också på genomförandet av procedurbestämmelser, bland annat i syfte att genomföra informationssäkerhetsåtgärder. I momentets andra mening hänvisas också till regleringen av rätten till information, enligt vilken det finns bestämmelser om saken på allmän lagnivå i lagen om offentlighet i myndigheternas verksamhet, men det finns bestämmelser om rätten till information också i annan speciallagstiftning, exempelvis i lagarna om rättegångens offentlighet. Bestämmelser om sekretess finns huvudsakligen i lagen om offentlighet i myndigheternas verksamhet. Dessutom ska det föreskrivas särskilt om arkivering av handlingar. Bestämmelserna om arkivering är baserade på EU:s allmänna dataskyddsförordning, på den nationella dataskyddslagen, på arkivlagen samt på övriga bestämmelser om arkivering och arkivverket. Informationshanteringslagens bestämmelser om informationssäkerhet och informationssystem gäller enligt förslaget samtliga informationsmaterial oberoende av om de har bildats för skötsel av myndighetsuppgifter och ingår i informationslager eller har överförts till arkiv, men den föreslagna lagen inverkar inte i övrigt på de grunder på vilka handlingar arkiveras samt hur arkivverkets uppgifter sköts i enlighet med arkivlagen.
I lagens 3 § 2 mom. andra meningen konstateras det att i kyrkolagen (1054/1993) föreskrivs om informationshanteringen inom Finlands evangeliska-lutherska kyrka. Enligt grundlagens 76 § 1 mom. föreskrivs det i kyrkolagen om den evangelisk-lutherska kyrkans organisation och förvaltning. I den föreslagna lagen föreskrivs om informationshantering som har samband med offentlighetslagens bestämmelser. I kyrkolagens 25 kap. 8 § föreskrivs det om tillämpning av offentlighetslagen inom kyrkoförvaltningen. Den evangelisk-lutherska kyrkans möjligheter att sköta sina offentliga förvaltningsuppgifter och genomföra handlingsoffentligheten i enlighet med grundlagen förutsätter en tillräcklig reglering av informationshanteringen i kyrkolagen, men regleringen i kyrkolagen är beroende av kyrkans prövning och förutsätter lagstiftningsåtgärder i enlighet med grundlagen.
I lagens 3 § 3 mom. föreskrivs det om begränsningar som gäller tillämpning av den föreslagna informationshanteringslagen. Begränsningarna beror huvudsakligen på vissa till den offentliga sektorn hörande organisationers grundlagsfästa ställning, som innebär att till statens centralförvaltning hörande myndigheters styrningsbefogenheter inte kan utsträckas till dessa organisationers interna förvaltning. En orsak är dessutom att det i den föreslagna lagen finns bestämmelser som i synnerhet avser förvaltningsverksamheten och vilkas tillämpning på rättsskipningen inte kan anses vara motiverad. Av dessa skäl ska 19, 20, 26 och 27 § enligt den första meningen i 3 mom. inte tillämpas på rättskipning. Bestämmelserna ska emellertid tillämpas på domstolarnas förvaltningsverksamhet. Eftersom offentlighetslagens 18 § har tillämpats på domstolars verksamhet ska den preciserande regleringen som till innehållet motsvarar offentlighetslagens 18 § gälla också rättskipning. Den med stöd av offentlighetslagen utfärdade förordningen om informationssäkerheten inom statsförvaltningen har tillämpats på domstolarnas verksamhet. Också lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen har tillämpats på domstolarna och på andra rättskipningsorgan då de sköter administrativa uppgifter. Offentlighetslagen och informationsförvaltningslagen har stiftats med grundlagsutskottets medverkan. Av denna anledning ska informationshanteringslagens reglering som faller utanför begränsningen av tillämpningsområdet, av domstolarna tillämpas också när det gäller rättskipningsuppgifter, eftersom motsvarande regleringen också tidigare har gällt domstolarna. Domstolarna använder i rättskipningen myndigheternas informationssystem och i deras verksamhet ska sålunda genomföras de krav som garanterar en grundläggande nivå på informationssäkerheten också när det gäller rättskipningen, för att det ska vara möjligt att för domstolarna öppna tekniska gränssnitt och elektroniska förbindelser. Informationshanteringsnämndens bedömningsuppgift gäller emellertid inte heller domstolarna i fråga om de administrativa uppgifter, vilket bidrar till att i domstolarnas verksamhet trygga oberoendet av de statliga förvaltningsmyndigheternas verksamhet. I paragrafens andra mening föreskrivs det om denna begränsning. Regleringen gäller emellertid till exempel Rättsregistercentralen som är en myndighet som producerar tjänster för domstolarna. Bestämmelsen om begränsning av tillämpningsområdet gäller således inte Rättsregistercentralens tjänsteproduktion eller övriga verksamhet. Behörigheten när det gäller informationshanteringsnämndens bedömningsuppgift sträcker sig således till Rättsregistercentralens verksamhet, trots att centralen producerar tjänster för domstolarna, men den är ändå en självständig myndighet. Den begränsning i fråga om rättskipningen som avses i bestämmelsen har ett direkt samband med informationshanteringen i anslutning till rättskipningsuppgifter.
Enligt momentets andra mening ska bestämmelserna i 3 kap. inte tillämpas på justitieombudsmannens och justitiekanslerns verksamhet, på domstolarnas och övriga rättskipningsorgans verksamhet, på riksdagens ämbetsverk, på Folkpensionsanstalten, på Finlands Bank, på övriga självständiga offentligrättsliga inrättningar, på universitet som avses i universitetslagen och inte heller på yrkeshögskolor som avses i yrkeshögskolelagen. Begränsningen av tillämpningsområdet i fråga om finansministeriets styrningsbehörighet och informationshanteringsnämndens uppgifter är behövlig på grund av dessa aktörers och organisationers huvudsakligen statsförfattningsrättsliga ställning, som grundlagsutskottet har uppmärksammat (GrUU 46/2010 rd). Dessutom inkluderar begränsningen yrkeshögskolorna eftersom dessas verksamhet kan jämföras med universitetens, trots att yrkeshögskolorna inte har en statsförfattningsrättslig ställning som motsvarar universitetens. Också andra självständiga offentligrättsliga inrättningar än sådana som står under riksdagens ledning ska uteslutas från tillämpningsområdet för bestämmelserna om styrning och informationshanteringsnämndens uppgifter, för tydlighetens skull och av den anledningen att de inte hör till kärnan av de aktörer som genomför informationshanteringen inom den offentliga förvaltningen. Trots att tillämpningsområdet för 3 kap. inte utsträcks till organisationer som hör till den offentliga förvaltningen kan dessa i sin egen verksamhet tillämpa exempelvis informationshanteringsnämndens rekommendationer eller ställningstaganden i anslutning till koordineringen av förfarandena inom informationshanteringen samt annat material som producerats som informationsstyrning. I momentet föreskrivs också om begränsning av tillämpningen av 3 kap. när det gäller landskap, kommuner och samkommuner så att 3 kap. ska tillämpas på landskap, kommuner och samkommuner då de sköter lagstadgade uppgifter. Bestämmelsen motsvarar den i informationsförvaltningslagen föreskrivna begränsningen som gäller finansministeriets styrningsbehörighet. Bestämmelsen motsvarar också grundlagsutskottets ställningstagande när det gäller omfattningen av styrningsbehörigheten (GrUU 46/2010 rd).
Enligt paragrafens 4 mom. utvidgas tillämpningsområdet organisatoriskt på den grunden att informationshanteringslagen i en ändamålsenlig utsträckning ska tillämpas också hos andra aktörer än sådana myndigheter som föreskrivs i offentlighetslagen. Enligt momentets första mening ska lagens 4 kap. och 22—25 § tillämpas på privatpersoner eller sammanslutningar eller på andra offentligrättsliga sammanslutningar som verkar som myndigheter till den del som de handlar på uppdrag av en myndighet eller för en myndighets räkning. På handlingar som behandlas på uppdrag av dessa myndigheter eller för deras räkning ska offentlighetslagen tillämpas via definitionen av begreppet myndighetshandling. I offentlighetslagen föreskrivs likaså om dessa aktörers tystnadsplikt och om en myndighets rätt att ge dessa aktörer sekretessbelagd information. Bestämmelsen innebär att också då aktörer som är utomstående i förhållande till förvaltningen handlar på uppdrag av en myndighet eller annars för en myndighets räkning ska de centrala bestämmelserna om informationshantering tillämpas i sådan verksamhet direkt med stöd av lag, också utan ett separat avtal. Informationssäkerhetskraven ska emellertid åtminstone delvis beaktas som en hänvisning till avtalsvillkoren när det gäller köptjänster, så att underlåtenhet att iaktta villkoren tydligt kan behandlas också som en avtalsrättslig fråga exempelvis då avtalsvite föreläggs. Avtalets innehåll påverkas också av den allmänna dataskyddsförordningens krav som ska tillämpas i första hand.
Enligt momentets andra mening ska lagens 4 §, 4 kap. samt 22—25 och 28 § tillämpas på privatpersoner eller sammanslutningar då på dessas verksamhet i övrigt ska tillämpas lagen om offentlighet i myndigheternas verksamhet. I dessa lagar har tillämpningen av offentlighetslagen utsträckts till privatpersoner, privata sammanslutningar eller till andra än som myndigheter verksamma offentligrättsliga sammanslutningar då dessa sköter förvaltningsuppgifter eller annars i deras verksamhet. Exempelvis på Finlands ortodoxa kyrkas och dess församlingars verksamhet tillämpas offentlighetslagen med stöd av lagen om ortodoxa kyrkan (985/2006). På den ortodoxa kyrkans och dess församlingars verksamhet ska således tillämpas informationshanteringslagen i fråga om 4 §, 4 kap. samt 22–25 och 28 §, eftersom på deras verksamhet ska tillämpas offentlighetslagen. Regleringen ger den ortodoxa kyrkan och dess församlingar rörelseutrymme när det gäller hur de organiserar sig som en eller flera informationshanteringsenheter. Studentkårerna är för din del offentligrättsliga föreningar och på deras verksamhet tillämpas offentlighetslagen på det sätt som föreskrivs i universitetslagen.
Också i offentlighetslagens 4 § 2 mom. föreskrivs det om tillämpning av offentlighetslagen på vissa aktörer som inte är sådana myndigheter som avses i offentlighetslagen. I offentlighetslagens 4 § 2 mom. föreskrivs att vad som sägs om en myndighet även gäller sammanslutningar, inrättningar, stiftelser och enskilda personer som utövar offentlig makt och som enligt en lag, en bestämmelse eller en föreskrift som meddelats med stöd av en lag eller en förordning utför ett offentligt uppdrag. Informationshanteringslagens bestämmelser ska således med de begränsningar som framgår av lagen tillämpas bland annat i sådana försäkringsbolags verksamhet som tillhandahåller lagstadgade försäkringar samt av offentligrättsliga föreningar till den del som de i sin verksamhet sköter offentliga uppgifter och i samband med dem utövar offentlig makt eller då det i speciallagstiftning föreskrivs om tillämpning av offentlighetslagen till exempel i anslutning till en reglering som gäller skötsel av en offentlig förvaltningsuppgift.
I paragrafens 5 mom. föreskrivs det också om begränsning av lagens tillämpningsområde i fråga om myndigheter som är verksamma i landskapet Åland. Enligt förslaget ska lagen inte tillämpas på landskapsmyndigheter och inte heller på statliga eller kommunala myndigheter i landskapet Åland. Begränsningen av tillämpningsområdet stämmer överens med informationshanteringslagens begränsning av tillämpningsområdet till landskapsmyndigheterna. Den föreslagna bestämmelsen om tillämpningsområdet behövs eftersom med myndigheter enligt 4 § 1 mom. 7 punkten i lagen om offentlighet i myndigheternas verksamhet avses myndigheterna i landskapet Åland när de i landskapet utför uppgifter som ankommer på riksmyndigheterna. Begreppet myndighet som definieras i den föreslagna lagens 2 § 1 punkten täcker med en direkt hänvisning till offentlighetslagen också in myndigheterna i landskapet Åland när de utför uppgifter som hör till riksmyndigheterna.
2 kap. Ordnande av informationshantering
4 §. Ordnande av informationshanteringen i informationshanteringsenheter. I denna paragraf föreskrivs om informationshanteringsenheter och om skyldigheten att ordna informationshantering i samband med dem. Enligt paragrafens 1 mom. första meningen ska en myndighet höra till en informationshanteringsenhet. Syftet med denna bestämmelse är att reglera myndighetens förhållande till en informationshanteringsenhet som svarar för ordnande av informationshanteringen inom hela organisationen. I lagen föreskrivs att en del av skyldigheterna gäller den organisation som består av en eller flera myndigheter. Avsikten med bestämmelsen är att förtydliga nuläget, eftersom organiseringen av informationshanteringen de facto huvudsakligen har ordnats på organisationsnivå, trots att organisationen består av flera myndigheter. Exempelvis en kommun utgör en organisatorisk helhet, men den består av myndigheter. I kommunerna har uppgifterna i anslutning till informationshanteringen organiserats utifrån förvaltningsstadgor på basis av kommunallagen (410/2015), i enlighet med kommunorganisationens interna servicestruktur. Inom ett statligt ämbetsverk kan det också finnas flera myndigheter, men ordnandet av deras informationsförvaltning har genomförts som ämbetsverkets gemensamma funktion. Också arbetsgivaransvaren hänför sig inom statsförvaltningen till arbetsgivarverk som kan bestå av självständiga myndigheter som sist och slutligen behandlar information samt producerar information i anslutning till informationshanteringen. Enligt momentet ska en informationshanteringsenhet ordna informationshanteringen i enlighet med denna lag.
I paragrafens 1 mom. ingår också en förteckning över vad som hör till en informationshanteringsenhet. Med en informationshanteringsenhet avses ett statligt ämbetsverk eller en statlig inrättning. I fråga om dessa informationsförvaltningsenheter används i lagen begreppet statlig informationshanteringsenhet, då bestämmelserna avser statsförvaltningen. Informationshanteringsenheter är dessutom riksdagens ämbetsverk, statliga affärsverk, kommuner, samkommuner, självständiga offentligrättsliga inrättningar, universitet som avses i universitetslagen och yrkeshögskolor som avses i yrkeshögskolelagen. Riksdagens ämbetsverk är i egenskap av självständiga organisationer egna informationshanteringsenheter. Kommunerna och samkommunerna består av myndigheter som är indelade i organ. Varje kommun och samkommun som består av kommuner är enligt förslaget sina egna informationshanteringsenheter, oberoende av hur de har organiserat sin verksamhet. Självständiga offentligrättsliga inrättningar, exempelvis Folkpensionsanstalten, Finlands Bank, Arbetshälsoinstitutet, Keva, Kommunernas garanticentral, Finlands viltcentral och Finlands skogscentral är organisationer som är fristående från statsförvaltningen och det föreskrivs särskilt i lag om deras verksamhet och uppgifter. Självständiga offentligrättsliga inrättningar jämställs i de allmänna förvaltningslagarna med myndigheter. De utgör i egenskap av separata juridiska personer sina egna informationshanteringsenheter. På universitetens och yrkeshögskolornas verksamhet tillämpas offentlighetslagen och de jämställs på basis av universitetslagen (558/2009) och yrkeshögskolelagen (932/2014) med offentlighetslagens myndigheter. En del av universiteten är självständiga offentligrättsliga inrättningar och andra är stiftelser. De är självständiga juridiska personer. Yrkeshögskolorna är för sin del aktiebolag. Var och en av dem utgör sin egen informationshanteringsenhet. Informationshanteringsenheterna kan samarbeta och gemensamt organisera funktioner i anslutning till informationshanteringsförpliktelser.
Uppgifterna som avser ordnande och genomförande av statliga ämbetsverks och inrättningars samt vid dessa verksamma myndigheters informationshantering kan inte i sin helhet organiseras utifrån ämbetsverken eller inrättningarna. Av denna anledning föreskrivs i 2 mom. om ett förordningsbemyndigande som innebär att det genom förordning av statsrådet kan föreskrivas om skötsel av sådana uppgifter mellan informationshanteringsenheterna som avses i denna lag. Bemyndigandet ändrar inte behörighetsförhållandena mellan de myndigheter som är verksamma inom informationshanteringsenheterna, vilket innebär att det genom förordningen inte är möjligt att avvika från vad som enligt lagen är en myndighets uppgift eller skyldighet. Genom förordningen är det inte heller möjligt att utvidga informationsrättigheterna över myndigheternas gränser. Sådana bestämmelser måste tas in i en särskild lag, om information inte får lämnas ut med stöd av allmänna lagar. Exempelvis ministeriernas gemensamma dokumentförvaltning och informationsförvaltning har centraliserats till statsrådets kansli, i enlighet med lagen om statsrådet (175/2003) och reglementet för statsrådet (262/2003). Enligt speciallagen om statsrådet svarar statsrådet för ministeriernas gemensamma förvaltnings- och sakkunnigtjänster. Till statsrådets kanslis ansvarsområde hör enligt reglementets 12 § 1 mom. 9 punkten statsrådets och ministeriernas gemensamma dataadministration, inklusive grundläggande tjänster inom informations- och kommunikationsteknik vid utrikesförvaltningens beskickningar i utlandet, och dokumenthantering samt styrning, utvecklande och samordning av god informationshantering och interoperabilitet i anknytning till dessa och uppgifter som arkivbildare. Till statsrådets kanslis uppgifter hör i praktiken bland annat ledningen, utvecklingen och samordningen av ministeriernas dokumentförvaltning, registratorstjänster, ärendebehandling, informationsstyrning och arkivering med tillhörande funktionella uppgifter, inklusive behandling av sekretessbelagda material, utarbetande av statsrådets gemensamma informationsstyrningsplan i samråd med ministerierna samt anvisningar om ordnande av utbildning för ministeriernas personal. Eftersom den bestämmelse om ansvaret för statsrådets och ministeriernas gemensamma förvaltnings- och sakkunnigtjänster som ingår i lagen om statsrådet, enlig vad som anges i reglementet för statsrådet är en specialbestämmelse också om informationshanteringens uppgifter i förhållande till den föreslagna lagens principiella definition av ämbetsverkens ansvar, kommer regleringen i den föreslagna lagen inte att innebära någon ändring i fråga om bestämmelserna om organisering av statsrådets och ministeriernas funktioner. Det föreslås således ingen ändring i nuläget utan statsrådets kansli ska fortsättningsvis svara för statsrådets och ministeriernas gemensamma informationshantering. Regleringen möjliggör fortfarande organisering av funktionerna genom särskilda bestämmelser, antingen med stöd av informationshanteringslagens förordningsbemyndigande eller i en speciallag eller med stöd av bestämmelser som utfärdas med stöd av den. I fråga om en reglering på förordningsnivå måste det emellertid säkerställas att exempelvis ledningens faktiska ansvar kan förverkligas när det gäller den del av informationshanteringen som har organiserats i de statliga informationshanteringsenheterna. Sålunda kan i förordningen med stöd av denna lags förordningsbemyndigande föreskrivas endast om organisering av informationshanteringsenheternas uppgifter mellan dem, i syfte att producera tjänster eller för de statliga informationshanteringsenheternas gemensamma tjänster. Begreppet statlig informationshanteringsenhet ska enligt den föreslagna lagen användas för att inrikta vissa förpliktelser så att de gäller endast statliga ämbetsverk och inrättningar, om inte något annat följer av de begränsningar som gäller tillämpningsområdet.
Enligt paragrafens 3 mom. ska en informationshanteringsenhets ledning se till att informationshanteringen ordnas på ett ändamålsenligt sätt så som föreskrivs i momentet. Med informationshanteringsenhetens ledning avses den verkschef eller det ledande organ som nämns i ämbetsverkens och inrättningarnas arbetsordning samt i olika aktörers förvaltningsstadgar. Med ledning avses ett statligt ämbetsverks eller en statlig inrättnings chef vars tjänstebenämning vanligen är generaldirektör eller överdirektör. Enligt kommunallagens (410/2015) 38 § 2 mom. leder kommunstyrelsen kommunens verksamhet, förvaltning och ekonomi. Kommunstyrelsen leder således i princip informationshanteringsenheten på det sätt som avses i informationshanteringslagen, om inte ansvaret i kommunens förvaltningsstadga har delegerats till något annat organ eller till en tjänsteinnehavare, exempelvis kommundirektören. Inom organisationer enligt andra lagar avses i fråga om universitet och yrkeshögskolor rektorn, om inte universitetet eller yrkeshögskolan genom interna instruktioner har definierat ansvaret för informationshanteringen på något annat sätt. När det gäller självständiga offentligrättsliga inrättningar avses den ledning som definieras enligt bestämmelserna om respektive inrättning och som kan delegera sitt ansvar till den övriga ledningen.
Enligt 3 mom. 1 punkten ska ledningen se till att det vid enheten har definierats ansvaren för de uppgifter i anslutning till informationshanteringen som föreskrivs i denna eller i någon annan lag. Enligt bestämmelsen ska de konkreta ansvarsförhållandena fastställas utifrån på vilket sätt och vems ansvar det är att förpliktelserna och tjänsterna enligt denna lag genomförs. Ansvaret ska definieras i fråga om upprätthållandet av informationshanteringsmodellen och skapandet av informationsmaterial, ordnandet av informationssäkerheten och ärendehanteringen, tryggandet av informationssystemens interoperabilitet samt ordnandet av förvaringen och vid behov arkiveringen av datamaterialen. Informationshanteringsenhetens ledning ska sålunda definiera och i praktiken genom arbetsordningar eller förvaltningsstadgar bestämma hur ansvaret för informationshanteringen och uppgifterna i samband därmed ska fördelas inom informationsenheten, exempelvis i ett statligt ämbetsverk eller hos en kommun. Med organisering av uppgifter avses att ansvaret för dokumenthanteringen och informationshanteringen samt övriga funktioner definieras i samband med att de förpliktelser och tjänster som är förenade med informationshanteringen genomförs. I lagen föreskrivs inte vilka uppgifter som hör till förvaltningen av information och handlingar, utan ledningen för respektive informationshanteringsenhet ansvarar för organiseringen av den. I lagen föreslås inga bestämmelser om organisationernas interna administrativa strukturer.
Enligt paragrafens 3 mom. 2 punkten ska ledningen se till att det vid enheten finns uppdaterade anvisningar om hantering av informationsmaterial, om användning av informationssystem, om hanteringslicenser, om ansvaret för hanteringen, om rätten till information, om informationssäkerhetsåtgärder samt om beredskap för undantagsförhållanden. Informationshanteringsenheten ska ha anvisningar om hur informationsmaterial ska hanteras inom verksamhetsprocesserna. Anvisningarna om användningen av informationssystem bör vara uppdaterade för att de som använder systemen ska kunna veta och få reda på hur informationssystemen på ett informationssäkert sätt ska hanteras för lagenliga användningsändamål. Dessutom ska anvisningar upprättas så att rättigheterna i fråga om databehandlingen kan anpassas till informationssystemen, till de informationslager som opererar via dem samt till de informationsmaterial som finns i lagren. I anvisningarna ska anges på vilken grund licenserna definieras och vem som beviljar dem. I anvisningarna ska vidare definieras hur ansvaren för informationshanteringen i praktiken genomförs inom en informationshanteringsenhet, i enlighet med de interna uppgiftsansvar som avses i 1 punkten. Informationshanteringsenheten ska ha anvisningar om hur och vem som ansvarar för att besvara informationsbegäran med stöd av offentlighetslagen eller någon annan lag samt på vilken sätt informationen ges. Anvisningarna ska också innehålla beskrivningar om beredskap för undantagsförhållanden som innebär att normal informationsbehandling och informationshantering inte är möjlig, till exempel på grund av störningar i datakommunikationen, driftsavbrott i informationssystemet eller av någon annan orsak. I anvisningarna ska också ingå heltäckande beskrivningar av informationssäkerhetsarrangemangen. Alla som är verksamma inom en informationshanteringsenhet ska känna till hur ansvaren i anslutning till informationssäkerheten är fördelade inom enheten och vilka arrangemang som vidtas för att tillgodose informationssäkerheten när det gäller informationshanteringen och databehandlingen. Skyldigheten att utarbeta anvisningar är inte ny, men regleringen preciseras i den nya lagen. Enligt offentlighetslagens 18 § 1 mom. 5 punkten ska myndigheten se till att dess anställda har nödvändig kunskap om offentligheten för de handlingar som behandlas och om förfarandet, datasäkerhetsarrangemangen och uppgiftsfördelningen vid utlämnande och behandling av uppgifter samt vid skyddandet av uppgifter, handlingar och datasystem. I fråga om statsförvaltningen finns det dessutom bestämmelser om skyldigheten att utarbeta anvisningar i 4 § i förordningen om offentlighet och god informationshantering i myndigheternas verksamhet (1030/1999). I den allmänna dataskyddsförordningen föreskrivs om de personuppgiftsansvarigas skyldighet att utarbeta anvisningar om behandling av personuppgifter.
Enligt paragrafens 1 mom. 3 punkten ska en informationshanteringsenhet erbjuda utbildning varmed det säkerställs att de anställda och personer som arbetar för enhetens räkning är tillräckligt förtrogna med gällande författningar, bestämmelser och enhetens anvisningar om informationshantering, databehandling samt handlingsoffentlighet och -sekretess. Utbildning ska anordnas för personalen men också för andra som är verksamma inom informationshanteringsenheten, exempelvis företags sakkunniga, om dessa deltar i genomförandet av informationshanteringen eller behandlar myndigheters informationsmaterial. Den föreslagna nya bestämmelsen har också samband med genomförandet av offentlighetslagens 18 § 1 mom. 5 punkten.
Enligt paragrafens 1 mom. 4 punkten ska ledningen ansvara för att informationshanteringsenheten har för ändamålet lämpliga instrument så att myndigheterna inom den ska kunna sköta sina informationshanteringsuppgifter på ett effektivt och resultatgivande sätt så som en god förvaltning förutsätter. Genom bestämmelsen understryks vikten av att de redskap som behövs för informationshanteringen, exempelvis terminalutrustning, servrar och programvaror, når upp till den nivå som uppgifterna förutsätter och är tillräckligt skyddade så att användningen av dem stödjer skötseln av myndighetsuppgifterna på det sätt som en god förvaltning förutsätter. Med tanke på en ändamålsenlig redskapshantering ska informationshanteringsenheterna planera utrustningens och informationssystemens livscykler så att myndigheten med hjälp av dem inom informationshanteringsenheten kan sköta sina lagstadgade uppgifter på ett ändamålsenligt sätt.
Enligt paragrafens 1 mom. 5 punkten ska ledningen ordna tillräcklig övervakning när det gäller iakttagandet av författningarna, föreskrifterna och anvisningarna om informationshanteringen. Ledningen ska således se till att informationshanteringsenheten har tillräckliga kontroller för att säkerställa att myndigheterna inom enheten beaktar de krav gällande informationshanteringen som föreskrivs i denna lag eller i någon annan lag och att informationshanteringsenhetens interna föreskrifter och bestämmelser om informationshanteringen iakttas. I övervakningen ingår också kontroll av att personalen har tillräckliga kunskaper för att förverkliga informationssäkerheten och den övriga informationshanteringen. Ordnandet av övervakningen ska utgöra en del av informationshanteringsenhetens interna tillsynsarrangemang och av informationssäkerhetsåtgärderna. Denna bestämmelse är inte ny eftersom det i offentlighetslagens 18 § 1 mom. 5 punkten, som föreslås bli upphävd, föreskrivs om ordnande av övervakning i överensstämmelse med god informationshantering.
5 §.Informationshanteringsmodell och konsekvensbedömning. I denna paragraf föreskrivs om en informationshanteringsenhets skyldighet att i sin verksamhetsmiljö utarbeta och upprätthålla en informationshanteringsmodell. Syftet med bestämmelsen är att informationshanteringsenheten ska ha en kravbeskrivning av verksamhetsmiljöns informationshantering för att betjäna informationssystemens interoperabilitet, öppenheten och offentligheten i fråga om behandlingen av informationslager samt för förhandsplanering av hanteringen av informationsmaterial med tanke på skötseln av myndighetsuppgifterna. Genom att skyldigheterna i fråga om planering, bedömning och beskrivning av informationshanteringen sammanställs till en paragraf i samma lag eftersträvas koordinering av de nuvarande förpliktelserna som är splittrade mellan olika författningar, samt allokering av de bindande beskrivningsförpliktelserna på objekt som är väsentliga med tanke på informationshanteringen. Paragrafen ska delvis ersätta offentlighetslagens 18 § 1 mom. 2 punkten där det föreskrivs om kravet att göra upp och tillhandahålla beskrivningar på de datasystem som myndigheten upprätthåller och på de offentliga uppgifter som kan tas fram ur dessa. Paragrafen ska också främja en aktiv uppdatering av informationsinnehållet i sådana register över behandling som avses i dataskyddsförordningens artikel 30. Vidare ska paragrafen ersätta bestämmelsen i informationsförvaltningslagens 7 § om en myndighets skyldighet att beskriva sin övergripande arkitektur. Bestämmelsen föreslås bli upphävd. I informationshanteringsmodellen ska också ingå information om arkiveringsinformation som gäller avslutandet av livscykeln för informationsmaterial som uppkommit i samband med skötsel av operativa myndighetsuppgifter eller om förstöring av informationsmaterialet. Enligt arkivlagens 8 § 2 mom. ska arkivbildaren bestämma förvaringstiderna och förvaringssätten för handlingar som inkommer och uppkommer i samband med skötseln av uppgifterna och ha en arkivbildningsplan över dem. Eftersom förvaringstiderna och förvaringssätten för informationsmaterial samt uppgifter om arkivering och arkiveringssätt ingår i informationshanteringsmodellen, motsvarar informationshanteringsmodellen också de krav som i arkivlagen föreskrivs i fråga om innehållet i arkivbildningsplanen. Arkivbildningsplanens lagstadgade innehåll kan således integreras i informationshanteringsmodellen. På detta sätt minskas informationshanteringsenheternas administrativa börda och överlappande beskrivningsskyldigheter. I propositionen föreslås inga ändringar i arkivlagen, vilket innebär att bestämmelsen om arkivbildningsplanen kvarstår i arkivlagen. Eftersom det inte finns några formkrav för arkivbildningsplanen kommer informationshanteringsmodellens minimiinnehåll att uppfylla också de krav som ställs på planen. Detta innebär att informationshanteringsmodellen i egenskap av en helhetsbeskrivning av informationshanteringen kommer att utgöra en integrerad helhet. I lagen föreskrivs om minimikraven i fråga om informationshanteringsmodellens innehåll. Informationshanteringsenheterna kan således vid behov anpassa sin informationshanteringsmodell och komplettera den med tilläggsbeskrivningar, till exempel i syfte att sköta uppgifter i anslutning till dokumentförvaltningen. Informationshanteringsplaner, eAMS-planer eller informationsstyrningsplaner som är i användning hos informationshanteringsenheterna kan således fogas till informationshanteringsmodellen, dock så att de tas in i informationshanteringsmodellens övriga innehåll på så sätt att informationshanteringsmodellen utgör en integrerad helhet varav framgår bland annat myndighetens processer och informationslager samt vilken information som behandlas i dem.
För att de beskrivningar som avses i paragrafen ska stämma överens med offentlighetsprincipen, informationssäkerheten, genomförandet av tjänster som förutsätts för en god förvaltning samt interoperabiliteten mellan informationslagren och informationssystemen, måste informationshanteringsmodellen beskriva den helhet som utgörs av service- och verksamhetsprocesserna, informationssystemen för dessa samt de informationslager som behandlas i dem och deras inbördes relationer. Med verksamhetsmiljö avses i paragrafen informationshanteringsenhetens egen beskrivning av verksamheten samt identifiering av de för informationshanteringsenhetens verksamhet centrala referensgrupperna i förhållande till informationshanteringsenhetens verksamhet. Referensgrupper kan uppkomma genom en informationshanteringsenhets kunder, av andra informationshanteringsenheter som deltar i verksamheten eller av tjänsteproducenter i anslutning till informationshanteringsenhetens serviceverksamhet. Beskrivningen av verksamhetsmiljön omfattar således informationshanteringsenhetens tjänster, processer, informationslager och informationssystem samt förhållandena mellan dessa och anslutningarna till informationshanteringsenhetens externa aktörer. Beskrivningen underlättar också uppfyllandet av förpliktelser i anslutning till informationssäkerheten. Myndigheterna inom informationshanteringsenheten genomför utifrån informationshanteringsmodellen informationshanteringen i enlighet med enhetliga och planerade förfaranden och informationshanteringen ska i förslaget genomföras på det sätt som informationshanteringsmodellen anger. Informationshanteringsmodellen är i praktiken en förvaltningsintern föreskrift som informationshanteringsenheten ska iaktta i fråga om organiseringen av ärendebehandlingen, tjänsteproduktionen och informationshanteringen i anslutning därtill. Av informationshanteringsmodellen framgår vilka verksamhetsprocesser informationshanteringsenheten har, inom vilka informationssystem de handlingar och annan motsvarande information som bildas i verksamhetsprocesserna behandlas samt till vilka informationslager handlingarna hör. Beskrivningar som kompletterar informationshanteringsmodellen kan vara till exempel informationssystemens verksamhetsbeskrivningar samt för processtyrningen skapade informationssystems definitioner i form av informationsstyrningsplaner, men i lagen finns inga bestämmelser om dessa. Informationshanteringsenheterna kan således bedöma beskrivningsnivån utifrån sina behov, förutsatt att de i lagen angivna minimikraven uppfylls.
Beskrivningen av uppgifterna och tjänsterna i informationshanteringsmodellen gör det möjligt att sammankoppla informationshanteringen med de uppgifter som åläggs informationshanteringsenheterna. Detta skulle tjäna den i förslagets 28 § föreskrivna förpliktelsen att ordna den informationshantering som uppkommer i samband med ärendebehandlingen på ett sådant sätt att information kan sökas med hjälp av olika identifieringsuppgifter eller koder. Det skulle också främja genomförandet av förvaltningskundernas övriga rättigheter, bland annat rätten att hämta information om sig själv ur handlingar eller motsvarande upptagningar.
Enligt paragrafens 1 mom. ska en informationshanteringsenhet upprätthålla en informationshanteringsmodell som definierar och beskriver informationshanteringen i dess verksamhetsmiljö. I 1 mom. föreskrivs också om grunderna för utarbetande av en informationshanteringsmodell. En informationshanteringsmodell ska utarbetas och upprätthållas för planering och genomförande av hanteringen av tjänster, ärendebehandling och informationsmaterial, för genomförande av rättigheter och begränsningar i fråga om tillgången till information, för att minska överlappande insamling av information, för genomförande av interoperabilitet mellan informationssystem och informationslager samt för upprätthållande av informationssäkerhet. I detta syfte föreskrivs i 2 mom. i detalj om de element i informationshanteringen som gör det möjligt att bilda sig en helhetsuppfattning om genomförandet av varje informationshanteringsenhets informationshantering.
I paragrafens 2 mom. föreskrivs om informationshanteringsmodellens innehåll. Enligt den föreslagna bestämmelsen ingår i informationshanteringsmodellen beskrivningar av informationshanteringsenhetens verksamhetsprocesser, informationslager, informationsmaterial, informationssystem och säkerhetsarrangemang. Momentet innehåller en förteckning över de omständigheter som ska beskrivas i informationshanteringsmodellen i syfte att säkerställa genomförandet av informationshanteringen på rätt sätt. I förteckningen nämns informationshanteringsmodellens minimiinnehåll, som informationshanteringsenheten kan komplettera utifrån sina egna informationsbehov, exempelvis i enlighet med beskrivningen av den övergripande arkitekturen. I lagen föreskrivs inte med vilken metod eller i vilken form beskrivningarna ska upprättas. Detta blir beroende av informationshanteringsenheternas prövning. Informationshanteringsmodellen kan i tillämpliga delar beskrivas t.ex. med användning av en metod som utgår från den övergripande arkitekturen eller med någon annan beskrivningsmetod.
Enligt paragrafens 2 mom. 1 punkten ska i informationshanteringsmodellen beskrivas informationshanteringsenhetens verksamhetsprocesser. I fråga om verksamhetsprocesserna ska av modellen framgå uppgifter om beteckningarna som beskriver en verksamhetsprocess, om den processansvariga myndigheten, om processens syfte samt om sambandet mellan processen och andra processer. Syftet med bestämmelsen är att säkerställa att informationshanteringsenheten utifrån genomförandet av informationshanteringen aktivt upprätthåller en övergripande beskrivning av sina verksamhetsprocesser på ett ändamålsenligt sätt och med beaktande av övriga omständigheter som har samband med informationshanteringsmodellen som en helhet. Beskrivningen och den preciserande informationen betjänar främjandet av interoperabiliteten mellan informationslagren och informationssystemen samt underlättar uppfyllandet av lagens interna förpliktelser. Myndigheternas informationshantering är baserad på information som uppkommer och behandlas i samband med verksamhetsprocesser. Genom att verksamhetsprocesserna sammanställs till en informationshanteringsmodell ger de informationshanteringsenheten en helhetsbild av var och hur myndigheternas informationsmaterial uppkommer i informationshanteringsenheten samt hur de behandlas. Verksamhetsprocesserna utgör en oskiljaktig del av genomförandet av informationshanteringen. Sammankopplingen av verksamhetsprocesserna med informationssystemen och informationslagren främjar också informationsledningens syften. På vilken nivå och hur processerna eventuellt beskrivs närmare blir beroende av informationshanteringsenheternas bedömning av ändamålsenligheten. I lagen föreskrivs endast om minimikraven så att organiseringen av informationshanteringen på ett ändamålsenligt sätt kan förverkligas i syfte att genomföra de i paragrafen nämnda målsättningarna. Förteckningarna och beskrivningarna av verksamhetsprocesserna har redan tidigare gjorts i samband med övergripande arkitekturbeskrivningar och i informationsstyrningsplaner som genomförts i samband med dokumentförvaltningen, och utarbetandet av dem har baserats uteslutande på praxis inom branschen och inte på bestämmelser i lag. I informationsstyrningsplanerna beskrivs verksamhetsprocesserna på uppgiftsnivå i form av förteckningar som klassificerar uppgifterna. Skyldigheten att beskriva processerna på en allmän nivå är således inte ny.
Enligt paragrafens 2 mom. 2 punkten består informationslagrens innehållsbeskrivningar av beteckningar på informationslager och av beskrivningar av sambanden mellan informationslager samt verksamhetsprocesser och informationssystem som utnyttjar dem. Genom denna beskrivning ställs informationslagren i samband med verksamhetsprocesserna och informationssystemen. I praktiken utarbetas beskrivningarna av informationslager hos myndigheterna redan nu i form av sådana register över behandling som avses i dataskyddsförordningens artikel 30.1. I dataskyddsförordningen föreskrivs inte om formen för utarbetande av register, vilket innebär att innehållet kan utnyttjas som en beskrivning av informationshanteringsmodellen då det är fråga om ett informationslager. Ett sådant register som avses i dataskyddsförordningens artikel 30.1 ska upprättas över behandling av personuppgifter, vilket innebär att skyldigheten att upprätta register inte gäller annan information. Av denna anledning föreskrivs i 2 punkten alternativt att informationen i registret ska beskrivas om något register inte behöver utarbetas i enlighet med dataskyddsförordningen. Således ska informationslager som inte innebär behandling av personuppgifter beskrivas enligt den föreslagna lagen så att det av beskrivningen framgår uppgifter om den myndighet som svarar för informationslagret, om informationslagrets användningsändamål, om centrala uppgiftskategorier i informationsmaterialen, om de ändamål för vilka information får lämnas ut samt om förvaringstiderna för informationen. Innehållsbeskrivningarna av informationslager främjar lagrens interoperabilitet, identifieringen av därtill anslutna behov och utvecklingen av interoperabiliteten, genomförandet av de förpliktelser som ansluter sig till informationssäkerheten samt offentlighetsprincipen. Beskrivningarna av informationslagren beskriver de informationsmaterial som myndigheterna har och för vilka ändamål de används samt vilket sambandet är mellan den verksamhet som avser utnyttjande av informationslagren respektive olika processer och informationssystem. Då informationshanteringsenheterna har beskrivningar av informationslagren kan de uppfylla den i denna lags 28 § föreskrivna skyldigheten att i syfte att förverkliga offentlighetsprincipen utarbeta en beskrivning utifrån vilken allmänheten och parterna inom ramen för informationsrättigheterna kan begära uppgifter ur informationen i informationslagren.
Enligt paragrafens 2 mom. 3 punkten ska det av beskrivningen av informationsmaterial framgå vilka material som efter förvaringstiden överförs till arkiv, om arkiveringssättet och om arkiveringsplatsen samt om planer på förstöring av informationsmaterial. Beskrivningsskyldigheten omfattar till denna del det i arkivlagen föreskrivna kravet att upprätthålla en arkivbildningsplan. I informationshanteringsmodellen ingår också uppgifter om informationsmaterial och om förvaringstiderna för handlingar som ingår i materialen med stöd av 2 punkten. I dataskyddsförordningen finns särskilda bestämmelser om arkivering och ansvaret för att bestämma förvaringstiderna för information och till den del som dataskyddsförordningen inte kommer att tillämpas i arkivlagen. Frågan om hur de beskrivningar och planer ska utarbetas som behövs för planeringen och genomförandet av informationssystemen blir beroende av de förfaranden som utvecklas inom branschen. Informationshanteringsmodellen är inte avsedd som en definition av logiken i ett enskilt informationssystem eller en del av det.
Enligt paragrafens 2 mom. 4 punkten ska i fråga om informationssystemen beskrivas systemens beteckningar, den systemansvariga myndigheten, informationssystemets användningsändamål, anslutning till andra informationssystem och sättet för överföring av information i samband därmed, eventuellt till andra informationssystem, exempelvis om informationsöverföringen sker via tekniska gränssnitt eller elektronisk förbindelse. Informationssystemens samband med informationslager och informationsmaterialet i dem samt verksamhetsprocesserna ska beskrivas med stöd av 1 och 2 punkten. Beskrivningen av informationssystem främjar informationssystemens interoperabilitet och identifieringen av därtill anslutna behov samt utvecklingen av interoperabiliteten, förpliktelserna i anslutning till informationssäkerheten och genomförandet av offentlighetsprincipen.
Skyldigheten att utarbeta beskrivningar av informationssystem är inte ny eftersom sådana förutsätts enligt offentlighetslagens 18 § 1 mom. 2 punkten, men också i fortsättningen ska myndigheterna utarbeta sin egen beskrivning i syfte att förverkliga offentlighetsprincipen såsom föreskrivs i föreslagna 28 §. I fråga om beskrivningen av informationssystem har tidigare i samband med statsmyndigheter använts begreppet datasystembeskrivning enligt en särskild rekommendation gällande den offentliga förvaltningen, dvs. JHS 146. Rekommendationen har gällt såväl statliga som kommunala myndigheter eftersom det i offentlighetslagen inte finns några uttryckliga bestämmelser om innehållet i sådana beskrivningar som gäller informationssystem. Också kommunerna har varit tvungna att upprätta beskrivningar enligt offentlighetslagen.
Enligt paragrafens 2 mom. 5 punkten ska i informationshanteringsmodellen tas in beskrivningar av informationssäkerhetsåtgärder. Avsikten är att understryka att en myndighet på förhand ska planera hur informationssäkerheten ska genomföras och vilket förfarande som man har genomfört eller avsett att genomföra i syfte att trygga informationsbehandlingens, informationssystemens och informationsmaterialens säkerhet. Myndigheterna har med stöd av personuppgiftslagens (523/1999) 10 § ålagts att beskriva säkerhetsarrangemang i personregister. Också i ett sådant register över behandling som avses i dataskyddsförordningens artikel 30 ska beskrivas tekniska och organisatoriska säkerhetsåtgärder. Skyldigheten att beskriva informationssäkerhetsåtgärder är således inte ny utan den kompletteras utifrån gällande krav.
I paragrafens 3 mom. föreslås bestämmelser om bedömningsskyldigheten i fråga om förändringar i informationshanteringen. Riksdagens revisionsutskott har i sitt betänkande 7/2014 rd konstaterat att ministeriernas och ämbetsverkens projekt samt uppföljningen och utvärderingen av projektens effektivitet ska ledas av ledningen för ministerierna och ämbetsverken. Avsikten med den föreslagna paragrafen är att förbättra förutsägbarheten i fråga om de ekonomiska och funktionella riskerna i samband med projektverksamhet som berör informationssystem och att uppgöra planerna på en realistisk grund. Avsikten är också att främja genomförandet av interoperabiliteten och informationssäkerheten. Styrningen av ändringar som gäller informationshanteringen ingår i en ändamålsenlig styrning av informationshanteringsenheterna. I paragrafen föreslås emellertid inte någon uttrycklig bestämmelse som innebär att ledningen åläggs ansvaret för godkännande av ändringsplaner som gäller informationshantering, eftersom ledningen med stöd av 4 § ansvarar för ordnande av informationshanteringen i dess helhet. Det är inte fråga om en ny skyldighet eftersom offentlighetslagens 18 § 1 mom. 3 punkten har förutsatt bedömning av de konsekvenser för informationshanteringen som sammanhänger med administrativa och legislativa reformer samt ibruktagning av informationssystem. Enligt paragrafens 3 mom. ska vid planeringen av administrativa reformer som är relevanta för informationshanteringsmodellen och i samband med att informationssystem tas i bruk, informationshanteringsenheten bedöma de förändringar som hänför sig till dessa åtgärder och konsekvenserna i förhållande till:
- ansvaren för informationshanteringen, varmed avses förändringar som kan bero på förändringar i ansvaret för ordnande av verksamheten, förändringar i tjänsteproduktionen eller förändringar i produktionen av informationssystem. I fråga om ansvaren för informationshanteringen är det skäl att bedöma om det sker förändringar i en personregisteransvarigs ansvar, i en myndighets ansvar eller i en tjänsteproducents ansvar och hur förändringarna inverkar på de ansvar för informationshanteringen som regleras i denna eller i någon annan lag. Bedömningen ska framför allt avse hur behörigheten i anslutning till genomförandet av informationsrättigheter bestäms efter ändringarna. Exempelvis i en situation där en informationshanteringsenhet beslutar lägga ut tjänster ska det beskrivas hur ansvaren för informationshanteringen förändras i samband därmed. På motsvarande sätt är det skäl att vid anlitande av servicecenter beskriva deras ansvar i förhållande till informationshanteringsenheten,
- de informationssäkerhetskrav och -åtgärder som nämns i 4 kap., varmed avses bedömning av de risker som en förändring kan innebära för informationshanteringen, informationsbehandlingen, informationssystemen och informationsmaterialen. Utifrån en riskkartläggning planeras i informationshanteringsmodellen åtgärder för minimering av riskerna. Syftet med förhandsplaneringen är att säkerställa tillgången till information samt myndigheternas verksamhet för skötsel av lagstadgade uppgifter och produktion av tjänster,
- de krav på bildande och utlämnande av informationsmaterial som föreskrivs i 5 kap., varmed bland annat avses en bedömning av huruvida det på de grunder som föreskrivs i lagen är möjligt att avvika från skyldigheter som föreskrivs i denna lag. Av bedömningen ska framgå grunderna ifall det på det sätt som avses i denna lag görs avvikelse från bestämmelserna om omvandling till elektroniskt format eller förvaring. Av bedömningen ska likaså framgå vilken information som finns tillgänglig i maskinläsbart format, på det sätt som föreskrivs i lagen. Vidare ska av bedömningen framgå på vilka grunder en myndighet har behov att hos förvaltningskunder samla in utdrag och intyg, trots att tillförlitlig och uppdaterad information på det sätt som lagen avser kunde fås via tekniskt gränssnitt eller elektronisk förbindelse. Genom bedömningen kan informationshanteringsenheten eller myndigheten visa att det för undantag från de lagstadgade skyldigheterna finns bedömningsbaserade grunder,
- de krav på informationshantering av ärenden och tjänster som föreskrivs i 6 kap. samt sådana handlingars offentlighet, sekretessbeläggning, skydd och informationsrättigheter enligt vad som föreskrivs någon annanstans i lag. Det är skäl att vid bedömningen särskilt uppmärksamma den omständigheten att offentligheten och sekretessbeläggningen också efter ändringarna förverkligas på det sätt som lagstiftningen förutsätter. Vid bedömningen är det likaså skäl att beakta de krav på informationsskydd som ställs på annat håll i lagstiftningen. Förändringar i informationshanteringen när det gäller ärendehantering och tjänster kan avse funktionaliteter i ärendehanteringen som ska göras i ett nytt informationssystem samt definitioner av metadata gällande ärendehantering. Om det till följd av en förändring uppkommer helt nya informationsmaterial är det skäl att redan i bedömningsskedet säkerställa att de i enlighet med informationsrättigheterna kan utnyttjas av informationsberättigade myndigheter och av andra aktörer.
Enligt paragrafens 3 mom. ska informationshanteringsenheten i sin bedömning av förändringar som avser informationshantering beakta interoperabiliteten mellan informationslager samt möjligheterna att utnyttja informationslager för skapande och utnyttjande av informationsmaterial. Avsikten med bestämmelsen är att informationshanteringsenheten ska utreda om det inom ramen för existerande informationsrättigheter och tillgänglig teknologi är möjligt att utnyttja andra myndigheters befintliga informationslager eller gemensamma informationslager eller om informationen ska samlas in hos parten eller kunden. Syftet med bedömningen av möjligheterna att utnyttja information är att förbättra informationshanteringsenheternas förutsättningar att utveckla och automatisera sina egna processer för utlämnande och mottagning av information samt främja automatiseringen av utlämnandet så att det i regel sker via tekniska gränssnitt. Avsikten med bedömningsskyldigheten är också att styra informationshanteringsenheterna så att de effektivt utnyttjar redan insamlad information samt att säkerställa att det skapas tillräckliga förutsättningar för att aktörer som behöver information ska få tillgång till sådant.
Bedömningens innehåll beror på vilka ändringar informationshanteringsenheten gör och vilken verksamhet som blir föremål för reformer. Exempelvis ändringar som avser förvaltningsverksamhet och behovet att utvärdera dem kan avvika från behovet att bedöma ändringar som har samband med rättskipning. Bedömningens omfattning och närmare innehåll blir beroende av informationshanteringsenheternas prövning, men informationshanteringsnämnden kan i syfte att förenhetliga informationshanteringsförfarandena till exempel ge en rekommendation om hur bedömningen ska göras. I lagen ska enligt förslaget också föreskrivas att bedömningen ska göras i samband med väsentliga administrativa reformer eller i samband med att informationssystem tas i bruk. Det blir således beroende av informationshanteringsenhetens prövning till vilken del och i vilken omfattning bedömningen görs. Exempelvis ibruktagning av en ny version av ett informationssystem förutsätter inte nödvändigtvis att det görs en bedömning, men ibruktagning av ett nytt informationssystem är en sådan väsentlig reform som avses i lagen. Också de administrativa reformernas relevans har betydelse för genomförandet av bedömningsskyldigheten och dess innehåll. Förändringar som inte påverkar informationshanteringsmodellens minimiinnehåll förutsätter inte bedömning av förändringarna. Den bedömningsskyldighet som föreskrivs i lagen är kompletterande i förhållande till sådan konsekvensbedömning som avses i dataskyddsförordningens artikel 35.
Enligt paragrafens 3 mom. ska informationshanteringsenheten på basis av bedömningen vidta de åtgärder som behövs för att ändra informationshanteringsmodellen och genomföra ändringarna. Avsikten med bestämmelsen är således att de myndigheter som är verksamma inom en informationshanteringsenhet är skyldiga att vidta åtgärder på basis av bedömningen, för att myndigheternas verksamhet ska kunna säkerställas samt för att individernas intressen, rättigheter och skyldigheter ska kunna uppfyllas. Momentet innehåller dessutom för tydlighetens skull behövliga hänvisningar till dataskyddslagstiftning. I dataskyddsförordningens artikel 35 föreskrivs det om konsekvensbedömning avseende dataskydd, och i artikel 36 föreskrivs det om förfarandet för förhandssamråd med tillsynsmyndigheten i samband med konsekvensbedömningen. De skyldigheter och förfaranden som föreskrivs i dataskyddsförordningen ska beaktas vid bedömningen av hur ändringarna inverkar på informationshanteringen. Bestämmelser om motsvarande konsekvensbedömning avseende dataskydds finns i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (RP 31/2018 rd). Dataskyddslagstiftningen och bestämmelserna i informationshanteringslagen kompletterar varandra och bildar en bedömningshelhet.
3 kap. Allmän styrning av informationshanteringen inom den offentliga förvaltningen
6 §.Allmän styrning av interoperabiliteten mellan informationslager. I denna paragraf föreskrivs det om den allmänna styrningen av interoperabiliteten mellan den offentliga förvaltningens informationslager. Varje myndighet svarar inom ramen för sin behörighet för upprätthållandet och utvecklingen av sina egna informationslager. Inom den nätverksbaserade förvaltningen har det emellertid utvecklats gemensamma informationslager som är avsedda antingen för myndigheternas gemensamma användning eller för allmän användning i samhället. Informationslagren utnyttjas i elektroniskt format för olika samhällsfunktioner. För att interoperabiliteten mellan myndigheternas informationslager ska kunna säkerställas och koordineras på nationell nivå behövs det en myndighet som styr detta arbete. I den föreslagna paragrafen föreskrivs om myndighetens uppgifter.
Enligt paragrafens 1 mom. ska finansministeriet svara för den allmänna styrningen av interoperabiliteten mellan den offentliga förvaltningens gemensamma informationslager. I momentet föreskrivs också om de uppgifter genom vilka styrningen framför allt ska genomföras. Uppgifterna begränsar för sin del finansministeriets behörighet när det gäller styrningen av de i lagen definierade uppgifterna. Den föreslagna regleringen ändrar eller begränsar emellertid inte finansministeriets ansvarsområde enligt statsrådets reglemente. Finansministeriets uppgift i fråga om den allmänna styrningen av interoperabiliteten är enligt 1 mom. andra meningen 1 punkten att sörja för uppdateringen av den offentliga förvaltningens informationshanteringskarta. Syftet med den offentliga förvaltningens informationshanteringskarta är att ge en översiktlig bild av den offentliga förvaltningens informationshantering för att det ska vara möjligt att planera och utveckla interoperabiliteten mellan den offentliga förvaltningens informationslager och informationssystem. Informationshanteringskartans syfte är att ge en tillräckligt omfattande och heltäckande beskrivning av hur informationshanteringen organiseras på ett sätt som stöder verksamheten inom den offentliga förvaltningen samt av informationsströmmarna mellan informationslagren för att bedöma de centrala problempunkterna med interoperabiliteten och deras konsekvenser. Beskrivningen av den offentliga förvaltningens informationshantering och organiseringen av den kommer dessutom i fortsättningen att ge de myndigheter som svarar för informationshanteringen bättre utgångspunkter för bedömningen av konsekvenserna av omfattande administrativa eller strukturella förändringar. Ministerierna ansvarar för upprätthållandet av innehållet i den offentliga förvaltningens informationshanteringskarta. Ministerierna ska enligt förslaget upprätthålla motsvarande information om sitt ansvarsområde och uppdatera informationshanteringskartan till exempel då lagstiftningen, verksamhetsmetoderna eller informationssystemen revideras så att det i de informationslager som informationshanteringskartan beskriver görs ändringar till följd av reformerna.
I 1 mom. 2 punkten föreskrivs om finansministeriets uppgift att upprätthålla de allmänna riktlinjerna för utvecklingen av informationshanteringen inom den offentliga förvaltningen i syfte att främja interoperabiliteten mellan de gemensamma informationslagren och informationssystemen. Riktlinjerna har i praktiken betydelse för utvecklingen av de informationslager som de statliga ämbetsverken och inrättningarna ansvarar för. Finansministeriet kan styra utvecklingen genom det remissförfarande som avses i föreslagna 9 §. Riktlinjerna innebär att andra informationshanteringsenheters verksamhet än sådana som hör till statsförvaltningen kommer att styras endast indirekt, till den del som dessa övriga informationshanteringsenheter utnyttjar gemensamma informationslager och informationssystem. Upprätthållandet av riktlinjerna kan i praktiken genomföras inom ramen för Befolkningsregistercentralens uppgifter och i samarbete mellan myndigheterna. Med upprätthållande av riktlinjerna avses sammanställning av informationsdefinitioner som behövs för säkerställande av interoperabiliteten mellan den offentliga förvaltningens informationslager till en gemensam tjänst, harmonisering av definitioner som uppkommer i samband med utvecklingsprojekt och länkar till definitionsarbetet på EU-nivå samt en hanteringsmodell som säkerställer definitionernas användbarhet. Utnyttjandet av riktlinjerna och utvecklingen som baseras på gemensamma definitioner förbättrar genomslaget när det gäller styrningen av interoperabiliteten. I paragrafens 2 mom. föreskrivs om ministeriernas uppgift att inom sitt eget ansvarsområde upprätthålla motsvarande riktlinjer för interoperabiliteten.
I paragrafens 2 mom. föreskrivs om uppdatering av innehållet i den offentliga förvaltningens informationshanteringskarta. Enligt momentet ska varje ministerium inom sitt eget ansvarsområde sköta uppdateringen av innehållet i den offentliga förvaltningens informationshanteringskarta. Momentet ger statsrådet behörighet att utfärda en förordning om innehållet i och upprätthållandet av den offentliga förvaltningens informationshanteringskarta. Avsikten är att finansministeriet ska upprätthålla hemsidor, exempelvis i portalen Avoindata.fi, för informationshanteringskartans information. I den offentliga förvaltningens informationshanteringskarta ingår samma element som i beskrivningen av den offentliga förvaltningens övergripande arkitektur enligt informationsförvaltningslagen.
Genom finansministeriets allmänna styrning främjas den semantiska interoperabiliteten. Därmed avses att de mellan informationssystemen överförda informationsmaterialens format och innebörd tolkas på ett enhetligt sätt. Styrningen innebär också att finansministeriet koordinerar och styr bland annat den terminologiska definitionen i fråga om den offentliga förvaltningens gemensamma informationslager samt riktlinjerna för interoperabiliteten mellan ansvarsområdena så att interoperabilitet mellan informationssystemen möjliggörs. I 22—24 § föreskrivs närmare om interoperabiliteten i samband med användningen av tekniska gränssnitt. Enligt föreslagna 22 § ansvarar respektive myndighet för beskrivningen av informationsstrukturen. Vid planeringen av informationsöverföring mellan flera myndigheter via tekniska gränssnitt ska det ansvariga ministeriet eller motsvarande ministerier i samarbete styra definitionen av de gränssnitt som möjliggör teknisk interoperabilitet.
Genom informationshanteringskartan som avses i paragrafens 1 mom. 1 punkten och genom uppgifter i anslutning till finansministeriets allmänna styrning skapas en nationell referensram för interoperabiliteten, varmed avses anpassning av det Europeiska ramverket för interoperabilitet (EIF) till de nationella särdragen samt de europeiska referensramarna för interoperabiliteten mellan olika områden (t.ex. INSPIRE). Syftet med de europeiska principerna i detta avseende är att i medlemsstaterna främja produktionen av kompatibla offentliga tjänster.
Genom den föreslagna regleringen ändras styrningsmekanismen för interoperabiliteten mellan myndigheternas informationssystem inom den offentliga förvaltningen, som det föreskrivs om i lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011, informationsförvaltningslagen) så att den bättre motsvarar regleringen av de informationssystems interoperabilitet och gränssnitt som riksdagen förutsätter (RSk 30/2009 rd och RSk 10/2012 rd). I informationsförvaltningslagen har styrningen av interoperabiliteten mellan den offentliga förvaltningens informationssystem baserats på lagens 7 § enligt vilken myndigheterna inom den offentliga förvaltningen vid planering och upphandling av informationssystem ska iakttas ministeriernas beskrivningar av interoperabiliteten mellan informationssystemen enligt ansvarsområde, samt 9 § där det föreskrivs om förpliktelsen att ändra informationssystemen i enlighet med de beskrivningar och definitioner för interoperabiliteten mellan informationssystemen som utarbetats av ministerierna i enlighet med statsrådets eller ministeriets förordningar. Med stöd av informationsförvaltningslagen har under den tid lagen varit i kraft inte utfärdats några förordningar om interoperabiliteten mellan myndigheternas informationssystem inom den offentliga förvaltningen och inte heller närmare definierats innehållet i de beskrivningar och definitioner av interoperabiliteten som bestämmelserna avser. I syfte att förenkla och effektivisera styrningen ingår i lagen inte längre informationsförvaltningslagens flerstegs beredningsprocess för beskrivningar och definitioner av informationssystems interoperabilitet och den därtill anslutna förordningsbehörigheten. I fortsättningen ska den föreslagna allmänna styrningen av informationslagrens interoperabilitet genomföras i enlighet med de riktlinjer för främjande av interoperabiliteten som utarbetas av finansministeriet och upprätthålls av ministerierna och genom vilka det i fråga om utvecklingsobjekt inom statsförvaltningen säkerställs att remissförfarandet enligt föreslagna 9 § och i fråga om den övriga offentliga förvaltningen enligt föreslagna 24 § föreskrivs om den gemensamma planeringen under ledning av ministerierna. Den föreslagna regleringen kommer delvis att skärpa kraven på genomförande av teknisk interoperabilitet, i och med skyldigheten att beskriva gränssnitten. Bestämmelser om detta finns i den föreslagna lagens 22 §.
7 §.Samarbetet mellan den offentliga förvaltningens informationshantering och produktionen av informations- och kommunikationstekniska tjänster. I denna paragraf föreskrivs om finansministeriers skyldighet att ombesörja samarbetet mellan den offentliga förvaltningens informationshantering samt de informations- och kommunikationstekniska tjänsterna. Samarbetsförpliktelsen gäller utöver sådan informationshantering som regleras i den föreslagna lagen också produktionen av informations- och kommunikationstekniska tjänster inom den offentliga förvaltningen. Till finansministeriets ansvarsområde hör dessutom, i enlighet med bestämmelserna om statsrådets ansvarsområde och ministeriernas uppgifter, styrningen av statsförvaltningen och kommunernas samarbete i fråga om informationsförvaltningen. Produktionen av informations- och kommunikationstekniska tjänster och över huvud taget användningen av informations- och kommunikationstekniska förfaranden i organisationernas verksamhet har ett nära samband med hur dessa målsättningar enligt lagen förverkligas inom den offentliga förvaltningen. Enligt bestämmelsen ska finansministeriet se till att det ordnas samarbetsmetoder och -förfaranden för statliga myndigheter samt för landskapens och kommunernas myndigheter. I bestämmelsen föreskrivs inte hur samarbetet ska ordnas och inte heller om också andra aktörer kan delta i samarbetet än de i bestämmelsen uttryckligen nämnda myndigheterna, exempelvis Folkpensionsanstalten. I praktiken kan verksamheten ordnas på samma sätt som för närvarande med hjälp av en delegation eller andra samarbetsorgan.
Enligt den föreslagna paragrafens 1 mom. är syftet med samarbetet att främja genomförandet av denna lag samt utvecklingen av den offentliga förvaltningens förfaranden och tjänster genom utnyttjande av informationslager samt informations- och kommunikationsteknik. Samarbetet ska framför allt gå ut på uppföljning av utvecklingen, förändringarna och konsekvenserna i fråga om den offentliga förvaltningens informationshantering samt informations- och kommunikationstekniska tjänster. Avsikten med samarbetet är således att följa upp bland annat utvecklingen i fråga om den offentliga förvaltningens informationshantering samt bedöma vilka konsekvenser de planerade ändringarna i fråga om den offentliga förvaltningens uppgifter, tjänstestrukturer, administrativa strukturer och informationssystem får för myndigheternas verksamhet inom den offentliga förvaltningen.
Delegationen för informationsförvaltningen inom den offentliga förvaltningen har verkat sedan år 1988. Bestämmelserna om delegationen lyftes år 2011 upp till lagnivå genom lagen om styrningen av informationsförvaltningen inom den offentliga förvaltningen. Delegationen har fungerat som ett permanent samarbets- och förvaltningsorgan för statens myndigheter, Folkpensionsanstalten och de kommunala myndigheterna.
Den föreslagna bestämmelsen möjliggör tillsättning av en rådgivande delegation, en arbetsgrupp eller motsvarande samarbetsorgan för styrningen av informationsförvaltningen inom den offentliga förvaltningen. Enligt den föreslagna paragrafens 2 mom. kan statsrådet tillsätta ett sådant samarbetsorgan. I samband med tillsättningen kan statsrådet samtidigt besluta om samarbetsorganets uppgifter, mandatperiod och ledamöter.
Inrättandet av en informationshanteringsnämnd i enlighet med den föreslagna lagens 10 § får betydelse för verksamheten när det gäller den nuvarande delegationen för informationsförvaltningen inom den offentliga förvaltningen. Detta skulle i synnerhet påverka styrningen med hjälp av en delegation eller motsvarande samarbetsorgan på så sätt att den inte längre i fortsättningen skulle ge sådana rekommendationer (JHS) om informationsförvaltningen inom den offentliga förvaltningen som berör informationshanteringen. Rekommendationer om informationshanteringen ska i fortsättningen ges av informationshanteringsnämnden. Rekommendationer som avser informationsförvaltningen inom den offentliga förvaltningen har beretts och koordinerats av delegationen för informationsförvaltningen inom den offentliga förvaltningen. Referensgrupper som deltar i styrningen och utvecklingen av informationsförvaltningen inom den offentliga förvaltningen har i stor utsträckning deltagit i arbetet. De rekommendationer som givits av delegationen för informationsförvaltningen inom den offentliga förvaltningen har inte enbart gällt informationsförvaltning, utan också dokumentförvaltning och annan informationshantering. Arbetet har utförts vid sidan av deltagarnas egentliga arbete, utan särskilda ersättningar. Beredningsarbetet har delvis upphandlats genom finansministeriets och Befolkningsregistercentralens försorg. Det har ansetts vara utmanande att ordna arbetet på ett effektivt sätt. Vidare har det inte över huvud taget utfärdats några sådana standarder för den offentliga förvaltningens informationsförvaltning som är baserade på rekommendationer gällande beskrivningar och definitioner av gemensam övergripande arkitektur och interoperabilitet. Orsaken har i praktiken varit den att den beredningsprocess som avses i informationsförvaltningslagen inte har fungerat när det gällt att utfärda standarder av en mera bindande karaktär. Också i fortsättningen kan beredningen av andra rekommendationer än sådana som gäller informationshantering koordineras och genomföras inom ramen för det samarbetsorgan som avses i bestämmelsen eller också genom finansministeriets eller någon annan behörig myndighets, exempelvis Befolkningsregistercentralens försorg.
Avsikten är att verksamhet som sker via samarbetsorgan i fortsättningen ska utvecklas i en mera strategisk och proaktiv riktning. Digitaliseringen av informationsförvaltningen och verksamheten inom den offentliga förvaltningen innebär att det blir ännu viktigare att värna om det så kallade tväradministrativa samarbetet. Det kommer således att också i fortsättningen vara ändamålsenligt att samarbetet mellan de statliga myndigheterna, kommunernas och landskapens myndigheter samt övriga offentligrättsliga inrättningar, exempelvis Folkpensionsanstalten, organiseras i anslutning till finansministeriet. Det är skäl att samarbeta också med andra aktörer som deltar i främjandet av produktionen av informations- och kommunikationstekniska tjänster inom den offentliga förvaltningens informationshantering. Vidare är det skäl att utsträcka samarbetet också till landskapen. Det är emellertid ändamålsenligt att statsrådet på ett mera flexibelt sätt får avgöra hur samarbetet ska organiseras då det är fråga om en snabbt föränderlig verksamhetsmiljö och ett mångsidigt utvecklingsarbete. Delegationsstrukturen kan fortfarande vara funktionsduglig.
Det är fortfarande skäl att i fortsättningen i samarbete mellan de statliga myndigheterna, kommunernas och landskapens myndigheter främja utvecklingen av verksamhetsmodellerna inom den offentliga förvaltningen samt metoderna för tjänsteproduktion genom utnyttjande av informations- och kommunikationsteknik. Den delegation eller det motsvarande samarbetsorgan som skapas kring denna gemensamma målsättning kan ges i uppgift att följa den allmänna utvecklingen när det gäller digitaliseringen av den offentliga förvaltningen och informationsförvaltningen samt att följa hur de planerade förändringarna i den offentliga förvaltningens uppgifter, i tjänste- och förvaltningsstrukturerna samt i informationssystemen inverkar på den offentliga ekonomin och på myndigheternas verksamhet inom den offentliga förvaltningen eller på produktionen av informations- och kommunikationstekniska tjänster. Syftet med uppföljningsuppgifterna är att i det skede då reformerna bereds förbättra bedömningen av reformer som har långtgående konsekvenser, med utgångspunkt i den offentliga förvaltningens samtliga sektorer. En omfattande bedömning av betydande reformer skulle stödja deras uppdrag som svarar för beredningen av utvecklingsprojekt eller lagstiftningsprojekt genom att redan i det skede då förändringarna planeras skapa en uppfattning om hur ett förslag kommer att påverka informationsförvaltningen inom den offentliga förvaltningen. Inom verksamheten skulle det vara möjligt att behandla för den offentliga förvaltningens funktion principiellt viktiga och omfattande utvecklingsprojekt i anslutning till den offentliga förvaltningens funktion, informationshantering och informationssystem samt lagstiftningsprojekt och strukturella reformer. Delegationen kunde bilda sig en uppfattning i dessa avseenden och underrätta de för projekten och reformerna ansvariga om saken. Delegationen skulle kunna göra utredningar och ta initiativ i syfte att genomföra sina uppgifter. Bedömningen och förvaltningen av gemensamma och omfattande förändringar på ett koordinerat sätt, exempelvis på initiativ av delegationen, kunde genomföras också samtidigt med separata utrednings- och forskningsåtgärder samt utvecklingsförslag.
Den föreslagna bestämmelsen förutsätter å ena sidan att finansministeriet i stor utsträckning ombesörjer samarbetet. Å andra sidan innebär bestämmelsen att det kan finnas flera samarbetsorgan beroende på vad som behövs för ärendehelheterna. För närvarande har för samarbetet i fråga om de ärendehelheter som avses i bestämmelsen och till stöd för finansministeriet tillsatts en ledningsgrupp för informationssäkerheten inom den offentliga förvaltningen (VAHTI) samt en samarbetsgrupp för direktörerna inom ministeriernas informationsförvaltning, dvs. utvecklings- och koordineringsgruppen för informationsförvaltningen. Den föreslagna bestämmelsen innebär också att det blir möjligt att vid behov genom förordning av statsrådet utse och tillsätta aktörer av detta slag antingen separat eller i anslutning till den ovan nämnda delegationens verksamhet, exempelvis som sektioner under delegationen.
8 §. Statliga informationshanteringsenheters bedömning av förändringar i informationshanteringen. I paragrafens 1 mom. föreskrivs om statliga informationshanteringsenheters skyldighet att för genomförande av lagens syfte bedöma dels förändringar som inverkar på informationshanteringsmodellen enligt lagens 5 § 3 mom. och dels också de ekonomiska konsekvenserna av förändringarna. Bedömningen av de ekonomiska konsekvenserna ska göras i samband med bedömningen av de konsekvenser som berör informationshanteringen.
Med ekonomiska konsekvenser avses här de ekonomiska konsekvenserna för en informationshanteringsenhet eller en myndighet som är verksam i den samt också mera omfattande konsekvenser för statsfinanserna och olika delar av den offentliga ekonomin. Konsekvenserna kan vara besparingar eller utgiftsökningar. Utgångspunkten för bedömningen är de anslagsbehov som genomförandet av en ändring medför samt förändringens ekonomiska konsekvenser för den informationshanteringsenhets verksamhet som genomför en reform. Informationshanteringsenheten ska i syfte att beskriva ändringens sammanlagda konsekvenser sträva efter att bedöma konsekvenserna också för andra informationshanteringsenheter i samband med ändringsobjektet och sektorvis specificera konsekvenserna för den offentliga ekonomin (staten, landskapen, kommunerna, lagstadgade arbetspensionsbolag och -anstalter samt övriga socialskyddsfonder). Bedömningen av en ändrings betydelse för den offentliga ekonomin är viktig för att informationshanteringsenheten ska kunna förutse de ekonomiska konsekvenserna i god tid före det egentliga genomförandet av planen och innan den integreras i verksamhets- och ekonomiplanen.
Avsikten med den föreslagna paragrafen är att förbättra förutsägbarheten när det gäller de ekonomiska och funktionella risker som är förenade med projekt som berör informationssystemen och att skapa en realistisk grund för planerna. Riksdagens revisionsutskott konstaterade i sitt betänkande 7/2014 rd att ministeriernas och ämbetsverkens projekt samt uppföljningen och utvärderingen av projektens effektivitet ska ledas av ledningen för ministerierna och ämbetsverken. Dessutom förutsatte riksdagen att regeringen bedömer resultaten av, kostnaderna för och produktivitetsnyttan av de viktigaste ICT-projekten. Bedömningen av förändringar som berör de statliga informationshanteringsenheternas informationshantering och bedömning av de ekonomiska konsekvenserna av en förändring redan i samband med planeringen av ändringarna skulle dels stödja planeringen av projektgenomförandet och dels också planeringen av de bedömningsmetoder och indikatorer som används vid projektuppföljningen.
Enligt paragrafens 2 mom. ska det ministerium som ansvarar för verksamhetsområdet göra en bedömning då bestämmelser som är under beredning återverkar på informationsmaterial och informationssystem. Syftet med bestämmelsen är att säkerställa att man i det skedet då lagstiftningen bereds anger konsekvenserna av informationshanteringsbestämmelserna för myndigheternas verksamhet och att det med stöd av ändringsplanen blir möjligt att mera noggrant planera ändringarna i informationshanteringen. Med hjälp av ändringsplanen blir det vid lagberedningen möjligt att analysera nuläget och göra en bedömning av måltillståndet utifrån den lag som är under beredning. Motsvarande ändringsplan för informationshanteringen borde göras upp också i anslutning till beredningen av förordningar, om de gäller informationshantering.
Paragrafen ligger också till grund för finansministeriets utlåtande enligt föreslagna 9 § om utnyttjande, interoperabilitet och informationssäkerhet i fråga om gemensamma informationslager och informationssystem.
9 §.Utlåtande om bedömning av förändringar inom statsförvaltningen. I denna paragraf föreskrivs om finansministeriets behörighet att styra utnyttjandet, interoperabiliteten och informationssäkerheten i fråga om de informationslager och informationssystem som används inom statsförvaltningens informationshantering.
Riksdagens revisionsutskott konstaterade i sitt betänkande 7/2014 rd att ministeriernas och ämbetsverkens projekt samt uppföljningen och utvärderingen av projektens effektivitet ska ledas av ledningen för ministerierna och ämbetsverken. Riksdagen förutsatte i betänkandet att regeringen som ett led i uppföljningen av projektportföljen bedömer resultaten av, kostnaderna för och produktivitetsnyttan av de viktigaste ICT-projekten och rapporterar om dem till riksdagen. Riksdagen har förutsatt att regeringen för att öka effektiviteten i statens informationsförvaltning bereder behövlig lagstiftning om finansministeriets behörighet i fråga om styrningen och andra behövliga frågor (ReUB 1/2008 rd och RSk 11/2008 rd). Finansministeriet styrningsbehörighet har baserats bland annat på remissförfarandet enligt vad som föreskrivs i informationsförvaltningslagen.
Enligt förslaget ska finansministeriet på basis av en statlig informationshanteringsenhets bedömning ge ett utlåtande om utnyttjandet, interoperabiliteten och informationssäkerheten i fråga om informationslager och informationssystem. Genom remissförfarandet säkerställs det att i de informationslager som utvecklas för statsförvaltningen och för den offentliga förvaltningens gemensamma användning har beaktats den semantiska interoperabiliteten och ett effektivt utnyttjande av informationen samt att informationssystemens interoperabilitet och informationssäkerhet och användningen av gemensamma informations- och kommunikationstekniska tjänster har beaktats på vederbörligt sätt.
Finansministeriets styrningsbehörighet enligt den föreslagna paragrafen kommer inte längre att i enlighet med informationsförvaltningslagen vara bunden till informationssystemanskaffningar, utan utlåtande ska ges om den bedömning av ändringar i fråga om informationshanteringsenheternas informationshantering inom statsförvaltningen som föreskrivs i lagförslagets 8 §. Det är fråga om styrningen i ett tidigt skede av utvecklingsarbetet vilket innebär att det egentliga planeringsprojektet för genomförande av ändringen inte ännu har inletts. Bedömningen av förändringar i informationshanteringen ska tillställas finansministeriet om de får betydande ekonomiska eller funktionella konsekvenser för informationshanteringen eller verksamheten eller om det är fråga om väsentliga förändringar i informationsstrukturer som berör informationslagrens gränssnitt. Med väsentliga förändringar i gränssnittens informationsstrukturer avses i fråga om gemensamma informationslager sådana situationer där ändringar i anslutning till innehållet i ett informationslager eller funktionella eller tekniska ändringar i de gränssnitt som används för överföring av ett informationslagers information, för de aktörer som utnyttjar informationslagren innebär ändringsbehov som kräver ekonomiska resurser. Syftet med det avsnitt i utlåtandet som gäller gränssnitten för gemensamma informationslager är att säkerställa att konsekvenserna av de ändringar som har samband med informationsöverföring mellan informationslager utvärderas tillräckligt heltäckande i fråga om alla de aktörer som utnyttjar lagrens information. Detta innebär att alla ändringsplaner som avser informationshantering inte behöver sändas till finansministeriet för utlåtande, utan endast sådana betydande och till sina verkningar omfattande ändringsplaner som beror på ändringar i informationshanteringen.
Finansministeriet ska styra genomförandet av informationssystemprojekt i ekonomiskt hänseende också med stöd av lagen om statsbudgeten (423/1988) och förordningen om statsbudgeten (1243/1992). För denna styrningsmodell planeras på basis av de gällande bestämmelserna om planering av statsekonomin och tillämpning av budgeten en sådan styrningsmodell för investeringar som ska gälla bedömning av investeringar i informationssystem.
Enligt den föreslagna paragrafen ska finansministeriet trots sekretessbestämmelserna ha rätt att från myndigheter i informationshanteringsenheter få nödvändig information för utlåtandet. Syftet med bestämmelsen är att säkerställa att finansministeriet i tillräcklig utsträckning har rätt att få tillräcklig information om ändringsplaner som eventuellt är sekretessbelagda. Paragrafen innehåller också ett bemyndigande för statsrådet att utfärda preciserande bestämmelser om förfarandet i remissärenden.
10 §.Den offentliga förvaltningens informationshanteringsnämnd. I Finland finns det inte en enda myndighet som är inriktad på utveckling och bedömning av informationshanteringen inom hela den offentliga förvaltningen, utan utvecklingen av informationsförvaltningen genomförs i stället av flera myndigheter inom sina respektive ansvarsområden. Samarbetet i anslutning till informationshanteringen inom den offentliga förvaltningen har vid olika tidpunkter koordinerats i olika samarbetsgrupper mellan myndigheterna och i den ledningsgrupps arbete som svarar för informationssäkerheten inom statsförvaltningen samt i delegationen för informationsförvaltningen inom den offentliga förvaltningen. De grundläggande registermyndigheterna har under olika tider på olika sätt samarbetat i anslutning till Registerpoolen och delegationen för grundläggande registerärenden. Också inom social- och hälsovården har informationshanteringssamarbetet organiserats inom ramen för gemensamma projekt samt i samband med delegationen för elektronisk informationsförvaltning inom social- och hälsovården. Riksarkivet har gett anvisningar och föreskrifter på grundval av arkivlagen och lagen om elektronisk kommunikation i myndigheternas verksamhet, men det har förekommit problem i samband med utfärdandet av föreskrifter, med avseende på bestämmelsen om delegering av lagstiftningsbehörighet i grundlagens 80 § 2 mom. Bestämmelserna har också inneburit krav bland annat när det gäller iakttagandet av förordningen om offentlighet i myndigheternas verksamhet och god informationshantering i kommunerna, trots att inte heller statsrådets förordningsbehörighet enligt offentlighetslagen ger någon möjlighet att genom förordning reglera dessa frågor i kommunerna. Informationsstyrningen är såtillvida splittrad att en övergripande utveckling av informationshanteringen inte i arbetsgrupper och delegationer har kunnat genomföras på ett i förhållande till förändringarna i verksamhetsmiljön tillräckligt effektivt och ansvarsfullt sätt. Man har försökt organisera informationsstyrningen i fråga om informationsförvaltningen och dokumentförvaltningen i enlighet med de JHS-rekommendationer som utfärdats av delegationen för informationsförvaltningen inom den offentliga förvaltningen. En del av rekommendationerna har blivit allmän praxis inom dessa områden.
Informationshanteringen är baserad på ett mångsektoriellt samarbete mellan sakkunniga och flera myndigheter inom informationsförvaltningsenheterna, vilket innebär att utvecklingen av informationshanteringen och informationsstyrningen borde organiseras som ett organ med mångsektoriell kompetens. Det finns inget kontinuerligt behov av mångsektoriell kompetens, utan sådan behövs i samband med att beslut bereds och fattas. Det finns således ingen anledning att säkerställa till exempel mångsektoriell kompetens som baseras på permanent tilläggsresursering, utan modellen med en nämnd kan i stället fungera som ett ändamålsenligt sätt att beakta olika synpunkter och grundläggande rättigheter, exempelvis offentlighetsprincipen, rättsskyddet och andra garantier för en god förvaltning inom informationshanteringen. Nämndernas uppgift är i allmänhet att inom sitt eget verksamhetsområde styra, främja och övervaka verksamheten, medan syftet med delegationer i allmänhet är att permanent bereda ärenden i samarbete mellan olika referensgrupper eller i övrigt utveckla verksamheten inom området. De föreslagna uppgifterna i anslutning till styrningen av informationshanteringen ankommer i allmänhet på en nämnd.
Det har inte gjorts någon systematisk bedömning av hur de lagstadgade kraven inom informationshanteringen har genomförts och bedömningen har inte kunnat göras i form av en tydlig styrning. Att det förekommer problem inom informationshanteringen framgår emellertid av de högsta laglighetsövervakarnas avgöranden i klagomålsärenden, där myndigheterna uppmärksamgörs på vikten av att iaktta de krav som föreskrivs i offentlighetslagens 18 § bland annat då information inte har lämnats ut på grund av att personalen inte känt till procedurbestämmelserna om tillgång till information eller då handlingar inte har registrerats på ett korrekt sätt (se till exempel OKV/1553/1/2014, 28.10.2015; OKV/1225/1/2012, 5.11.2014; OKV/1156/1/2013, 13.10.2014; OKV/1138/1/2013, 13.10.2014; OKV/1640/1/2012 och OKV/1645/1/2013, 19.8.2014; EOAK/6253/2017, 5.7.2018; EOAK/4311/2017, 7.12.2017; EOAK/1473/2016, 18.9.2017). För koordinering av informationshanteringsförfarandena, förverkligande av offentlighetsprincipen samt med tanke på verkställigheten och iakttagandet av bestämmelserna om informationshantering föreslås att det i lagen tas i bestämmelser om informationshanteringsnämnden för den offentliga förvaltningen.
Enligt lagens 10 § 1 mom. ska i anslutning till finansministeriet inrättas en informationshanteringsnämnd för den offentliga förvaltningen (informationshanteringsnämnden) med uppgift att bedöma hur statliga ämbetsverk och inrättningar, kommuner, samkommuner samt landskap genomför och iakttar 4 § 3 mom., 5, 19 och 22—24 § samt 6 kap. Bedömningen behövs eftersom bestämmelserna om dem kommer att främja genomförandet av informationsrättigheterna och kraven på en god förvaltning. Bedömningen behövs också med tanke på förverkligandet av de grundläggande rättigheterna inom informationshanteringen. De klagomål som kommer in till de högsta laglighetsövervakarna indikerar att det relativt allmänt förekommer brister i myndigheternas informationshantering. Bristerna kommer till synes som problem när det gäller genomförandet av informationsrättigheterna samt, på grund av brister i informationssystemen, i tjänsternas tillgänglighet. Bedömningen av förfarandena inom informationshanteringen främjar dels säkerställandet av att de i lagen angivna förpliktelserna verkställs, men gör det möjligt att bilda sig en uppfattning om hur informationshanteringslagen fungerar i praktiken samt hur informationshanteringsförfarandena kan utvecklas inom ramen för den gällande lagstiftningen. Bedömningsuppgiften ska således inte ses enbart som en form av övervakning utan den ska också utveckla och styra informationshanteringen.
I informationshanteringsnämnden integreras synpunkterna i anslutning till informationshanteringen som ett samarbete mellan sakkunniga, vilket innebär att de synpunkter som inverkar på informationens livscykel blir mera heltäckande beaktade. Eftersom livscykelns olika delområden ställer varierande krav på informationshanteringen är det motiverat att styrningen och utvecklingen av dem genomförs hos en myndighet som formellt är en organisation.
Enligt momentets 1 punkt innebär bedömningsuppgiften att informationshanteringsnämnden ska säkerställa att informationshanteringsförfarandena genomförs hos myndigheterna och att administrativ handledning kan ges vid tolkningsproblem. Avsikten med bedömningsförfarandet är att samla in information om hur informationshanteringsförfarandena fungerar men också att säkerställa att centrala lagstadgade förfaranden i anslutning till informationshanteringen iakttas. Till bedömningsuppgifterna hör inte att övervaka iakttagandet av rekommendationer, eftersom rekommendationer är en form av informationsstyrning som inte innehåller förpliktande element. Med hjälp av bedömningsuppgiften kan informationshanteringsnämnden också framföra tolkningar som gäller tillämpningen av sådana bestämmelser i informationshanteringslagen som är föremål för bedömning. Tillämpningen styr för sin del koordineringen av informationshanteringsförfarandena. I den föreslagna lagens 11 § föreskrivs närmare om genomförandet av bedömningsuppgiften. Bedömningsuppgiften hänför sig till statliga ämbetsverks och inrättningars informationshantering samt till kommunernas, samkommunernas och landskapens informationshantering till den del som den gäller skötsel av lagstadgade uppgifter. Denna begränsning av tillämpningsområdet konstateras i 3 § där det föreskrivs om tillämpningsområdet. Behörigheten när det gäller bedömningsuppgiften begränsas också i övrigt i 3 § där det föreskrivs om begränsningar som gäller tillämpningen av 3 kap. Bedömningsuppgiften sträcker sig således inte till andra informationshanteringsenheter inom lagens tillämpningsområde eller till myndigheterna inom dem, utan bedömningen avser centrala organisationer som genomför informationshantering. I informationshanteringsnämndens bedömningsbehörighet ingår inte bedömning av hur informationssäkerhetsbestämmelserna genomförs. Sådana bestämmelser ingår i lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation. Till bedömningsbehörigheten hör inte heller ärenden som enligt den allmänna dataskyddsförordningen och dataskyddslagen hör till tillsynsmyndighetens uppgifter.
Enligt momentets 2 punkt ska informationshanteringsnämndens också främja förfarandena och en god praxis samt genomföra kraven när det gäller informationshanteringen och informationssäkerheten. Konkret betyder detta att skötseln av en uppgift kan innebära bland annat förfaranden som myndigheternas sakkunniga i samarbete utvecklar för informationshanteringen och på grundval av vilka nämnden som ett resultat av att uppgiften skötts kan ge rekommendationer om uppfyllandet av de krav som föreskrivs i informationshanteringslagen. Rekommendationerna är inte förpliktande utan informationshanteringsenheterna ska genom att handla i enlighet med dem fullgöra förpliktelser som har samband med informationshanteringen i enlighet med en god praxis. Informationshanteringsenheterna ska således besluta i vilka avseenden de följer informationshanteringsnämndens rekommendationer, men de kan också avvika från dem förutsatt att de lagstadgade kraven i fråga om informationshanteringen uppfylls. Informationshanteringsnämnden styr således inte informationshanteringsenheternas verksamhet utan stödjer fullgörandet av deras förpliktelser i anslutning till informationshanteringen genom att i mångsektoriellt samarbete med sektioner bestående av sakkunniga organisera projekt i syfte att utveckla informationshanteringsförfarandena. Jämfört med nuläget ska informationshanteringsnämnden sammanjämka olika intressen i syfte att genomföra informationshanteringen.
Jämfört med nuläget ska informationsstyrningen i form av rekommendationer, som tidigare skett via delegationen för informationsförvaltning inom den offentliga förvaltningen, överföras till informationshanteringsnämnden. JHS-rekommendationerna har gällt både informationsförvaltning och dokumentförvaltning, vilket innebär att situationen till denna del inte kommer att förändras väsentligt. Det nya arrangemanget kommer att ytterligare understryka betydelsen av samarbetet mellan informationsförvaltningen och dokumentförvaltningen samt sammanjämkningen av deras intressen i syfte att genomföra informationshanteringen. Informationshanteringsnämnden kan också ta ställning till viktiga frågor i anslutning till informationshanteringen samt på andra sätt främja informationshanteringens förfaranden. Lagen fastställer således inte en viss form för uppgifterna att främja informationshanteringens förfaranden och krav, utan nämnden kan ta ställning till ändamålsenliga sätt att genomföra sin uppgift. Till informationshanteringen hör också arkiveringen, som emellertid inte föreslås bli reglerad i denna lag. Den ska regleras i ett annat sammanhang. Det finns inget hinder för att informationsstyrningen i anslutning till aktiveringen, när det gäller arkivverkets uppgifter samt genomförandet av informationsskyddet, ska göras i samband med nämndens verksamhet i samarbete med arkivmyndigheten och den myndighet som övervakar informationsskyddet, utan detta hör till samarbetet mellan de myndigheter som främjar genomförandet av en god förvaltning. Det finns inget behov att föreskriva om samarbetet i en särskild lag. Enligt förvaltningslagens 10 § 1 mom. ska varje myndighet inom ramen för sin behörighet och i den omfattning ärendet kräver på andra myndigheters begäran bistå dessa i skötseln av en förvaltningsuppgift, och även i övrigt sträva efter att främja samarbetet mellan myndigheterna. Förvaltningslagens målsättning när det gäller samarbetet mellan myndigheterna räcker för samordning av informationsstyrningens intressen i anslutning till olika myndigheters informationshantering. Syftet med de förfaranden som utvecklas i samband med informationshanteringsnämndens verksamhet är att förenhetliga informationshanteringens förfaranden och föreslå en god praxis för genomförande av informationshanteringens skyldigheter.
I paragrafens 2 mom. föreskrivs hur nämnden ska utses och om dess sammansättning samt om behörighetskraven. Enligt förslaget utser statsrådet informationshanteringsnämnden för fyra år i sänder på föredragning från finansministeriet. Nämnden ska ha en ordförande, en vice ordförande samt ledamöter med sakkunskap när det gäller den offentliga förvaltningens informationssäkerhet, interoperabiliteten mellan informationssystem och informationslager, statistik eller hanteringen av informationsmaterial. Nämndens medlemmar ska företräda sakkunskap i fråga om staten, kommunerna, samkommunerna och landskapen. Genom förordning föreskrivs närmare om nämndens medlemsantal och sammansättning samt om medlemmarnas behörighet. På förordningsnivå ska föreskrivas vilken typ av sakkunskap som ska vara företrädd i nämnden, likväl med beaktande av vilken sakkunskap nämnden ska ha enligt den föreslagna bestämmelsen. I förordningen ska således beaktas att den sakkunskap ska vara företrädd i nämnden som avses i lagen och att det då nämnden utses säkerställs att nämnden har tillräcklig sakkunskap. I momentet ingår också ett förordningsbemyndigande där det närmare anges vad som ska föreskrivas i förordningen. Genom förordningen kan föreskrivas närmare om sammansättningen, organiseringen, beslutsförfarandet och behörighetskraven. I förordningen kan föreskrivas om organisering av verksamheten till den del som det är fråga om ledningen av organet, ordförandens och vice ordförandens uppgifter, organiseringen av nämndens arbete, sammankallande av nämnden och rapportering. På nämndens verksamhet ska tillämpas den allmänna förvaltningslagen, vilket innebär att förvaltningslagens bestämmelser är direkt tillämpliga på nämndens verksamhet. Genom förordning föreskrivs om beslutsförfarandet, dvs. hur nämnden ska besluta om olika ställningstaganden, rekommendationer, bedömningar och slutsatser i fråga om dem. Behörighetskraven innebär att mångsektoriell sakkunskap säkerställs i nämndens verksamhet.
Enligt paragrafens 3 mom. utser finansministeriet för nämnden bland sina tjänstemän sekreterare i bisyssla för nämndens mandatperiod. Genom förordning av statsrådet ska föreskrivas närmare om sekreterarnas uppgifter. I lagen föreskrivs inte om uppgiftsfördelningen mellan sekreterarna eller om antalet sekreterare, utan dessa frågor ska regleras på förordningsnivå. Finansministeriet får också prövningsrätt i fråga om antalet sekreterare i nämnden. Detta beror i sin tur på antalet ärenden som är anhängiga i nämnden.
Eftersom nämnden kommer att vara en myndighet föreskrivs i 4 mom. om de ansvar som följer av detta. På nämndens medlemmar och ersättare tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de utför uppgifter som hör till nämnden. Med straffrättsligt tjänsteansvar avses här att nämndens medlemmar och ersättare jämställs med tjänstemän. I skadeståndslagen (412/1974) föreskrivs om skadeståndsansvar. Till nämndens medlemmar och ersättare betalas arvode för skötseln av uppgifterna. Finansministeriet fastställer arvodesbeloppen, eftersom de kostnader som nämnden orsakar ska täckas av finansministeriets anslag. Nämndens utgifter ska täckas med befintliga anslag som har reserverats för utarbetande av de rekommendationer som ges av delegationen för informationsförvaltningen inom den offentliga förvaltningen samt delvis för utarbetande av anvisningar för informationssäkerheten inom statsförvaltningen. I momentet föreskrivs inte om sekreterarnas tjänsteansvar, eftersom de kommer att vara tjänstemän vid finansministeriet och således på grundval av sin ställning också annars ha tjänsteansvar.
I paragrafens 5 mom. föreslås bestämmelser om organiseringen i anslutning till utvecklandet och upprätthållandet av rekommendationer gällande informationshanteringen inom den offentliga förvaltningen. Enligt momentet kan informationshanteringsnämnden tillsätta tillfälliga sektioner för utarbetande och upprätthållande av rekommendationer. Till sektionerna kan höra sakkunniga vid informationshanteringsenheter, dvs. sakkunniga vid informationshanteringsenheter inom riksdagen, staten, kommuner, samkommuner, landskap, självständiga offentligrättsliga inrättningar, universitet och yrkeshögskolor samt vid andra informationshanteringsenheter som avses i denna lag. I lagen föreskrivs om de organisationer som kan vara företrädda vid nämndens sektioner i enlighet med hur respektive sektions uppgift har definierats. I sektionerna kan alltså också finnas sådana företrädare för organisationer som inte i sig omfattas av nämndens behörighet. Med bestämmelsen framhävs det faktum att nämndens uppgift när det gäller att förenhetliga tillvägagångssätten i fråga om informationshantering till sitt syfte gäller hela den offentliga förvaltningen, varför en bred sakkännedom i sektionerna är behövlig. Nämndens sekreterare ska enligt förslaget vara ordförande i sektionerna, eftersom sekreterarna föredrar sektionernas förslag för nämnden. För sektionernas medlemmar har inte uppställts några behörighetsvillkor och på sektionernas verksamhet ska inte tillämpas bestämmelserna om tjänsteansvar, eftersom rekommendationerna ska vara ett sätt att styra förenhetligandet av förfarandena inom informationshanteringen och inte vara bindande. Sektionerna ska inte heller besluta om rekommendationerna. Sektionerna ska biträda nämnden vid utarbetandet av rekommendationer. Befolkningsregistercentralen har i uppgift att producera sakkunnigtjänster för nämnden när det gäller utvecklandet av tillvägagångssätt i fråga om informationshantering och informationssäkerhet. Utarbetandet och upprätthållandet av rekommendationerna för informationshanteringen inom den offentliga förvaltningen samt upprätthållandet av de informationssäkerhetsanvisningar som utarbetats av ledningsgruppen för digital säkerhet inom den offentliga förvaltningen (VAHTI) har organiserats i anslutning till Befolkningsregistercentralens verksamhet. De nuvarande uppgifterna ska således kvarstå hos Befolkningsregistercentralen, enligt vad som föreskrivs i statsrådets förordning om Befolkningsregistercentralens uppgifter. Befolkningsregistercentralen ska producera sakkunnigtjänster bland annat för upprättande och offentliggörande av rekommendationer, anvisningar och ställningstaganden, liksom den också tidigare uppdaterat JHS-rekommendationer.
11 §.Informationshanteringsnämndens bedömningsuppgift. I paragrafens 1 mom. föreskrivs vad bedömningsuppgiften baserar sig på. Enligt momentet ska genomförandet av bedömningar basera sig på en bedömningsplan som godkänts av informationshanteringsnämnden. Bestämmelsen innebär att bedömningarna genomförs i enlighet med en bedömningsplan som nämnden godkänt, vilket innebär att bedömningarna ingår i den planerade verksamhet som nämnden godkänt. En bedömningsplan innebär att nämndens sekreterare ges i uppdrag att verkställa en bedömning enligt bedömningsplanen. Nämnden kan godkänna en bedömningsplan för ett eller två år eller för hela sin mandatperiod. Nämnden kan också ändra bedömningsplanen under en pågående bedömningsperiod. Avsikten med bestämmelsen är att ange hur nämnden ska genomföra sin bedömningsuppgift. Informationshanteringsnämnden ska således inte göra bedömningar på uppdragsbasis eller på grundval av förfrågningar utan den ska självständigt besluta vad som ska bedömas och i vilka avseenden.
I paragrafens 2 mom. föreskrivs om informationshanteringsnämndens rätt till information i anslutning till bedömningsuppgiften. Informationsrätten sammanhänger med nämndens skötsel av bedömningsuppgifter och rätten att få information gäller således nödvändiga utredningar och behövlig information som har samband med bedömningsuppgifter av det slag som avses i denna lag. Informationshanteringsnämnden har ingen generell behörighet när det gäller ärenden i anslutning till informationshanteringen. Bestämmelser om sådana ärenden finns i speciallagstiftning. Bedömningen gäller således genomförande av vissa förfaranden som föreskrivs i informationshanteringslagen. I bestämmelsen föreskrivs att informationshanteringsnämnden trots sekretessbestämmelserna har rätt att för skötsel av en bedömningsuppgift, från de myndigheter som är föremål för bedömning kostnadsfritt få för uppgiften nödvändig information om informationshanteringsmodellen, bedömningen av förändringar i informationshanteringen, om den beskrivning som avses i 28 §, om de informationshanteringsförfaranden som används för ärendehanteringen och tjänsterna, om teknologin för omvandling av handlingar till elektroniskt format, om upprättande av en förbindelse för åtkomst till uppgifter och om beskrivningar av tekniska gränssnitt, om användning och administrering av tekniska gränssnitt samt om förfarandena för användning av gränssnitt, med undantag av säkerhetsklassificerade handlingar. Nämnden har således rätt att få utredningar om ärenden som hör till en bedömningsuppgift samt rätt att få i lagen angiven tillräcklig information för genomförande av bedömningsuppgiften. Myndigheten ska inom utsatt tid tillställa informationshanteringsnämnden begärd information. Nämnden kan således sätta ut en tidsfrist för informationen. Rätten att få information trots sekretessbestämmelserna baserar sig på informationshanteringsnämndens uppgift varmed det säkerställs att vissa av informationshanteringslagens bestämmelser genomförs i myndigheternas verksamhet så att de krav som offentlighetsprincipen och en god förvaltning innebär kan säkerställas inom informationshanteringen. Nämnden har inga inspektionsrättigheter utan den har rätt att av myndigheter få utredningar i syfte att genomföra informationshanteringen. Nämndens verksamhet i dessa avseenden är inte laglighetsövervakning eller ändringssökande i egentlig mening. De högsta laglighetsövervakarna ombesörjer inom ramen för sina existerande befogenheter i övrigt laglighetsövervakningen i anslutning till informationshanteringen, bland annat i samband med behandlingen av klagomålsärenden. Dataombudsmannen verkar för sin del som tillsynsmyndighet i fråga om personuppgifter.
I paragrafens 3 mom. föreskrivs om informationshanteringsnämndens behörighet att i anslutning till bedömningsuppgiften uppmärksamgöra en myndighet som är föremål för bedömning på konstaterade brister i fråga om iakttagandet av informationshanteringslagen. Bedömningen innebär således vid behov administrativ styrning. Enligt bestämmelsen kan informationshanteringsnämnden, om den konstaterar brister i fråga om iakttagandet av de bestämmelser som i enlighet med 10 § 1 mom. 1 punkten är föremål för bedömning, uppmärksamgöra informationshanteringsenheten på genomförandet av de till informationshanteringen anslutna förfarandena om uppfyllandet av kraven enligt denna lag. Syftet med bestämmelsen är att nämnden för att rätta till i anslutning till bedömningen gjorda iakttagelser om missförhållanden när det gäller iakttagandet av bestämmelserna ska kunna uppmärksamgöra myndigheter som är föremål för bedömning på verksamheten, så att eventuella brister hos myndigheterna kan avhjälpas på basis av informationshanteringsnämndens iakttagelser. Informationshanteringsnämnden kan inte administrativt eller på något sätt tvinga myndigheter att handla i enlighet med nämndens styrning, utan påpekandet i samband med bedömningen ska fungera som en informativ styrning vilket innebär att myndigheten ska justera sina förfaranden i överensstämmelse med de lagstadgade kraven. Det sätt på vilket myndigheten genomför de lagstadgade kraven blir beroende av myndighetens prövning, men i samband med påpekandet kan nämnden också anvisa hur myndigheten åtminstone kan genomföra de lagstadgade kraven eller genomföra sitt förfarande i enlighet med lagen.
Enligt paragrafens 4 mom. ska informationshanteringsnämnden vartannat år utarbeta en berättelse över bedömningsresultaten och överlämna den till finansministeriet. Syftet med denna rapport är att sammanställa informationshanteringsnämndens iakttagelser och slutsatser i fråga om den offentliga förvaltningens informationshantering, till den del som den har samband med nämndens bedömningsuppgift. Det är ändamålsenligt att vartannat år utarbeta en berättelse för att nämnden ska få tillräckligt med material för berättelsen. I praktiken kommer nämnden att under sin mandatperiod utarbeta två berättelser. Finansministeriet ska få uppgifter om berättelsen bland annat för utveckling av lagberedningen samt till stöd för de övriga uppgifter som föreskrivs i denna lag.
4 kap. Informationssäkerhet
12 §. Identifiering av uppgifter som förutsätter tillförlitlighet och säkerställande av tillförlitligheten. I denna paragraf föreskrivs om grunderna för genomförande av personalsäkerheten i anslutning till hantering av informationsmaterial. Enligt paragrafens första mening åläggs informationshanteringsenheter att vidta nödvändiga åtgärder för att säkerställa de anställdas och för enhetens räkning verksamma personers tillförlitlighet. Samma krav gäller också situationer där informationsmaterial hanteras för en myndighets räkning i något annat sammanhang än till exempel för tjänsteproduktion. Syftet med bestämmelsen är att säkerställa att informationshanteringsenheterna och de myndigheter som är verksamma inom dem bedömer de i informationshanteringen deltagande personernas arbetsuppgifter samt den tillförlitlighet som uppgifterna förutsätter. Syftet med bestämmelsen är inte att ålägga myndigheterna att göra tillförlitlighetsbedömningar, utan de ska bedöma uppgifter som innebär behandling av informationsmaterial som det med tanke på informationssäkerheten är skäl att behandla separat för att säkerställa en persons tillförlitlighet. Det föreskrivs särskilt om på vilken grund en informationshanteringsenhet och myndigheterna som är verksamma inom dem kan låta göra personbedömningar eller säkerhetsutredningar. Av denna anledning hänvisas i paragrafen till andra författningar enligt vilka det är möjligt att i vissa situationer göra säkerhetsutredningar och personbedömningar. Bedömningen av anställdas och tjänsteproducenters tillförlitlighet regleras i övrigt i säkerhetsutredningslagen (726/2014) samt, när det gäller annan bedömning av arbetstagare och arbetssökande, i lagen om integritetsskydd i arbetslivet (759/2004). I paragrafens andra mening hänvisas det till dessa författningar. De är informativa till sin karaktär men är viktiga för hela den reglering som avser personalsäkerheten i anslutning till hanteringen av informationsmaterial och grunderna för den. Bestämmelsen skapar inga nya skyldigheter när det gäller att göra personbedömningar. I stället ska informationshanteringsenheterna identifiera uppgifter vilkas genomförande förutsätter särskild tillförlitlighet i fråga om behandlingen av informationsmaterial.
13 §.Informationssäkerheten i fråga om informationsmaterial och informationssystem. I denna paragraf föreslås bestämmelser om säkerheten i fråga om informationsmaterial och informationssystem. Paragrafens 1 mom. gäller en informationshanteringsenhets och inom den verksamma myndigheters skyldigheter när det gäller organisering av informationssäkerheten för informationsmaterial och informationssystem. Enligt den första meningen i paragrafens 1 mom. ska en informationshanteringsenhet för informationsmaterial och informationssystem följa upp och säkerställa informationssäkerhetens tillstånd under deras hela livscykel, genom att identifiera de relevanta risker som är förenade med databehandlingen av informationsmaterial och informationssystem för hantering av materialet. Informationsförvaltningsenheten ska dimensionera informationssäkerhetsåtgärderna utifrån riskbedömningen. Informationshanteringsenheterna ska med stöd av bestämmelsen regelbundet bedöma de risker som är förenade med informationsmaterial och informationssystem under dessas hela livscykel. Bestämmelsen gäller sålunda bedömningen av de risker som är förenade med informationsmaterials och informationssystems livscykel från det att informationsmaterialen skapats till dess att de förstörs och likaså de risker som är förenade med anskaffning av datasystem ända tills de tas ur bruk och förstörs. Riskbedömningen ska identifiera sådana relevanta risker som kan påverka informationsmaterialens konfidentialitet, integritet och tillgänglighet eller användningen av datasystemen och deras feltolerans. Med relevanta risker avses risker som kan påverka en myndighets eller en förvaltningskunds verksamhet på ett menligt eller skadligt sätt. En informationshanteringsenhet bör på basis av riskbedömningen dimensionera informationssäkerhetsåtgärderna. Bestämmelsen utgör sålunda en helhet till vilken hör riskbedömning, planering av informationssäkerhetsåtgärder på basis av identifierade risker samt genomförande av informationssäkerhetsåtgärder. Riskbedömningen är inte en åtgärd av engångskaraktär utan den är en kontinuerlig verksamhet som bland annat innebär utvärdering av planer samt effekten av genomförda informationssäkerhetsåtgärder.
I paragrafens 2 mom. föreskrivs dessutom särskilt om specialkraven i anslutning till förverkligandet av informationssäkerheten. Informationssystemens feltolerans ska regelbundet säkerställas genom testning, i syfte att säkerställa verksamhetens kontinuitet och uppdatera informationssäkerhetsåtgärderna. Med relevanta informationssystem avses kritiska system med tanke på genomförandet av en myndighets lagstadgade uppgifter, i synnerhet i samband med produktion av tjänster för förvaltningskunder. Testningen ska således inte gälla system som används för stödfunktioner eller andra ibrukvarande system som inte har någon större betydelse för skötseln av myndighetsuppgifter. Myndigheternas informationssystems funktionella användbarhet ska enligt momentet likaså säkerställas genom testning, både i det skede då de anskaffas och i samband med betydande underhållsåtgärder. Med funktionell användbarhet avses att det från systemanvändarnas synpunkt säkerställs att man enkelt kan lära sig använda systemet och att funktionslogiken är lätt att komma ihåg, att informationssystemets funktion stödjer de arbetsuppgifter som användaren ska utföra med hjälp av systemet och att systemets feltolerans främjas. Informationssystemets funktionella användbarhet utgör en del av säkerhetsåtgärderna eftersom systemfunktioner som är svåra att lära sig och komma ihåg och som har en besvärlig funktionslogik kan leda till att systemet används på fel sätt, så att informationssäkerheten äventyras. Informationssystemens funktionella användbarhet effektiviserar myndigheternas verksamhet och har också samband med kravet att myndigheterna enligt grundlagens 21 § ska handla utan ogrundat dröjsmål.
Syftet med paragrafens 3 mom. är att främja tillgången på information från myndigheternas informationssystem och informationsmaterial. Kraven avser de myndigheter som i praktiken svarar för informationsmaterialens tillgänglighet. Genom bestämmelsen främjas genomförandet av en god offentlighets- och sekretesstruktur i myndigheternas informationssystem och i de databaser som bildas av informationsmaterialen. Enligt 3 mom. ska myndigheterna planera informationssystemen, strukturerna för informationslager och databehandlingen i samband med dem på ett sådant sätt att handlingsoffentligheten mödolöst kan tillgodoses. Genom bestämmelsen understryks det att informationen i en myndighets system med hjälp av informationssystemets sökfunktioner ska kunna omvandlas till myndighetsdokument. I informationssystemen och informationslagren ska ingå tillräckliga metadata för att det ska vara möjligt att med hjälp av dem enkelt i varje dokument särskilja offentliga respektive sekretessbelagda uppgifter. Syftet med bestämmelsen är att säkerställa tillgången på information i syfte att förverkliga offentlighetsprincipen, sköta myndigheternas uppgifter samt trygga sekretessintresset i fråga om sekretessbelagd information. Denna skyldighet är inte ny utan den har ingått i offentlighetslagens 18 § 1 mom. 4 punkten.
Enligt paragrafens 4 mom. ska myndigheterna i samband med sina upphandlingar säkerställa att det informationssystem som upphandlas innefattar lämpliga informationssäkerhetsåtgärder. Offentliga upphandlingar ska enligt upphandlingslagstiftningen genomföras av upphandlingsenheter, dvs. i praktiken av myndigheter som ingår i informationshanteringsenheter. Syftet med bestämmelsen är att understryka att man i samband med upphandling av informationssystem ska planera och säkerställ ändamålsenliga informationssäkerhetsåtgärder. Då myndigheternas informationsbehandling koncentreras till informationssystem är det skäl att i samband med anskaffningar säkerställa att de informationssystem som anskaffas uppfyller informationssäkerhetskraven i enlighet med de informationsmaterial som ska behandlas och att informationssystemen kan användas för att på ett resultatgivande och effektivt sätt sköta myndighetsuppgifter.
Paragrafens 5 mom. är en informativ hänvisning till lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011, bedömningslagen) och i samband med den till lagen om bedömningsorgan för informationssäkerhet (1405/2011). I de författningarna föreskrivs hur informationssäkerheten när det gäller myndigheternas informationssystem och datakommunikationssystem ska bedömas i vissa situationer. Paragrafens 5 mom. behövs för att planeringen av informationssystemens informationssäkerhet och signeringen av utvärderingen av planeringen ska bilda en tydlig helhet. I informationshanteringsnämndens bedömningsuppgift ingår inte bedömningsuppgifter i samband med genomförande av informationssäkerhet enligt detta kapitel, utan sådana uppgifter hör till den myndighet som avses i bedömningslagen. Å andra sidan övervakar dataombudsmannen och dataombudsmannens byrå, som verkar som tillsynsmyndighet i fråga om dataskydd, informationssäkerheten när det gäller personuppgifter. En sådan tillsyn och bedömning täcker således till betydande delar in också de till informationshanteringen anslutna behoven i fråga om säkerställandet av att informationssäkerhetsåtgärder genomförs inom den offentliga förvaltningen. Också informationshanteringsenheterna är skyldiga att med stöd av 4 § i denna lag övervaka genomförandet av informationssäkerhetsåtgärder.
14 §.Informationsöverföring i datanät. I denna paragraf föreskrivs om de grunder på vilka en myndighet kan överföra sekretessbelagd information i ett datanät. Enligt paragrafens 1 mom. första meningen ska myndigheterna överföra information elektroniskt i ett krypterat eller annat skyddat format, om informationen är sekretessbelagd. Enligt bestämmelsen har en myndighet prövningsrätt i fråga om överföringsmetoden för sekretessbelagd information i datanät. Överföringen kan skyddas till exempel genom kryptering eller också kan informationen överföras i ett allmänt datanät med en oskyddad förbindelse, om den kan överföras i ett krypterat format och avkrypteras endast med en särskild PIN-kod eller ett annat lösenord. I paragrafens andra mening nämns en ytterligare förutsättning för överföring av sekretessbelagd information i ett datanät. Enligt bestämmelsen ska överföringen ordnas så att mottagaren verifieras eller identifieras på ett tillräckligt datasäkert sätt innan mottagaren kommer åt att hantera överförd sekretessbelagd information. Om överföringen mellan informationssystem sker i ett datanät ska det mottagande informationssystemet verifieras till exempel med ett elektroniskt certifikat. Om mottagaren av sekretessbelagd information eller personuppgifter däremot är en fysisk person ska denna identifieras med någon tillförlitlig metod, exempelvis genom stark autentisering. Bestämmelsen ska i fråga om identifiering tillämpas närmast i samband med informationsutbyte mellan myndigheter, eftersom identifieringskraven när det gäller digitala tjänster som erbjuds allmänheten regleras separat i en lag om tillhandahållande av digitala tjänster. Lagförslaget ingår i en regeringsproposition (RP 60/2018 rd) som riksdagen behandlar samtidigt som denna proposition.
Av de skäl som nämns ovan ingår i paragrafens 2 mom. också en informativ hänvisning till den föreslagna lagen om tillhandahållande av digitala tjänster, där det föreskrivs om underlag för identifiering av användare av digitala tjänster som erbjuds allmänheten. Informationshanteringslagen ska vara en allmän lag i förhållande till den föreslagna lagen om tillhandahållande av digitala tjänster, där det framför allt föreskrivs om vissa förfaranden och krav i anslutning till utnyttjande av digitala tjänster, då sådana tjänster tillhandahålls allmänheten. Informationshanteringslagens bestämmelse om identifiering eller verifiering gäller således bland annat elektroniska överföringsförfaranden som används vid kommunikation mellan myndigheter, exempelvis e-post, eller sådan kommunikation mellan myndigheters informationssystem som sker via gränssnitt. När det är fråga om digitala tjänster som erbjuds allmänheten ska på identifieringen tillämpas de bestämmelser om elektronisk identifiering som ingår i den föreslagna lagen om tillhandahållande av digitala tjänster. Däremot ska kraven som gäller informationsöverföring i datanät och därtill anslutna krypterings- eller skyddskrav, enligt vad som föreskrivs i informationshanteringslagen, tillämpas också på erbjudande av digitala tjänster till allmänheten. Den informativa hänvisningsbestämmelsen behövs således för att förtydliga förhållandena mellan lagarna så att identifierings- eller verifieringskravet uppfylls.
15 §.Tryggande av säkerheten i fråga om informationsmaterial. I denna paragraf föreskrivs om tryggande av säkerheten i fråga om informationsmaterial. Säkerhetskraven ställs på myndigheter eftersom det är de som hanterar och utövar beslutanderätten i fråga om sina informationsmaterial. En informationshanteringsenhet ska emellertid ordna de i en enhet ingående myndigheternas verksamhet på ett sådant sätt att hanteringen av informationsmaterial stämmer överens med bestämmelserna. I paragrafen finns en förteckning över de informationssäkerhetsåtgärder med vilka informationssäkerheten i fråga om informationsmaterial säkerställs i alla informationshanteringsenheter och de myndigheter som ingår i dem. Bestämmelserna gäller myndigheternas samtliga informationsmaterial. Paragrafens 1 mom. är en förteckning över obligatoriska krav som gäller genomförandet av informationssäkerhetsåtgärder. Enligt momentets 1 punkt ska en myndighet säkerställa att informationsmaterialen är oföränderliga, till den del som detta är relevant. Säkerställandet av informationsmaterialets oföränderliga form är beroende av informationsmaterialets karaktär. Formen ska säkerställas i fråga om informationsmaterial som behandlar individers och sammanslutningars intressen, rättigheter och skyldigheter, för att de i informationsmaterialen ingående handlingarnas och övriga uppgifternas autenticitet och ursprung i efterhand ska kunna verifieras eller eventuella ändringar upptäckas. Bestämmelsen ger myndigheten prövningsmöjlighet när det gäller att säkerställa den oföränderliga formen och därför uppställs i bestämmelsen kravet att informationsmaterialens oföränderliga form ska säkerställas tillräckligt väl. Därmed avses att man i anslutning till informationsmaterialets karaktär överväger eventuella säkerhetsåtgärder. I fråga om vissa informationsmaterial är deras oföränderliga form viktig med tanke på bevisvärdet. Enligt momentets 2 punkt ska informationsmaterialen skyddas mot tekniska och fysiska skador. Detta krav gäller bland annat förvaringsutrymmen för informationssystem och tjänster i anslutning till dem samt platser där informationsmaterial i pappersform förvaras. I momentets 3 punkt ställs krav på informationsmaterialens ursprung, uppdatering och felfrihet. Dessa krav är viktiga för att säkerställa myndighetsverksamhetens behörighet samt för att förverkliga och säkerställa rättssäkerheten för de anställda och förvaltningskunderna. Det har i samband med laglighetsövervakningen som en självklar utgångspunkt konstaterats att handlingar som upprättats av en myndighet och dataregister som upprätthålls av en myndighet ska vara korrekta, felfria och uppdaterade (AOKS OKV/1242/1/2013, 28.4.2014). Enligt momentets 4 punkt ska också informationsmaterialens tillgänglighet och användbarhet säkerställas. Myndigheternas verksamhet är informationsintensiv och beroende av de material som finns i informationslagren. Med tanke på en behörig myndighetsverksamhet ska det säkerställas att informationen finns tillgänglig i en användbar form. Enligt momentets 5 punkt ska informationsmaterialens tillgänglighet vid behov begränsas. I praktiken begränsas tillgängligheten genom användarlicenser och beroende på vilken typ av informationsmaterial som ska hanteras. I fråga om offentliga informationsmaterial begränsas tillgängligheten inte, medan det i fråga om personuppgifter och i synnerhet när det gäller sekretessbelagd information måste vidtas åtgärder för att säkerställa att informationshanteringen sker på ett behörigt sätt. I momentets 6 punkt föreskrivs om kravet att se till att informationsmaterialen kan arkiveras till behövliga delar.
I den föreslagna paragrafens 2 mom. föreskrivs om grunderna för säkerheten i fråga om verksamhetslokalerna. Enligt bestämmelsen ska informationsmaterial hanteras och förvaras i verksamhetslokaler som är tillräckligt säkra med tanke på de krav som ställs på materialets konfidentialitet, integritet och tillgänglighet. Genom bestämmelsen understryks den omständigheten att det i fråga om de lokaler som används för förvaring av informationsmaterial ska beaktas alla de informationssäkerhetskrav som gäller i fråga om sådana material.
16 §.Kontroll av användarrättigheter för informationssystem. Syftet med denna paragraf är att reglera grunderna för rätten att utnyttja informationssystem så att bestämmelsen säkerställer tillträde till ett informationssystem endast för personer som har rätt att hantera systemets informationsmaterial och endast i den mån som respektive användares behov förutsätter detta. Paragrafens bestämmelser avser myndigheter men i praktiken är det informationshanteringsenheterna som på organisationsnivå utfärdar anvisningar om användarrättigheter samt utövandet av dem. Enligt paragrafen ska en enligt informationssystemet ansvarig myndighet definiera informationssystemens användarrättigheter, som ska fastställas utifrån användarnas uppgiftsrelaterade behov. Användarrättigheterna ska bestämmas utifrån varje systemanvändares uppgiftsrelaterade behov och de ska hållas uppdaterade. Bestämmelserna förutsätter att användarrättigheterna fastställs på förhand för varje systemanvändare. Användarrättigheterna kan fastställas utifrån användarens typiska arbetsuppgifter. Rättigheterna ska också hållas uppdaterade för att tillgången till informationen ska kunna säkerställas i aktuella situationer och å andra sidan förhindra att en användare med föråldrade användarrättigheter får tillgång till information i en större utsträckning än användarens arbetsuppgifter skulle förutsätta. Upprätthållandet av informationssystemen och de ansvar som är förenade med dem ska definieras i informationshanteringsmodellen. Således ska av den också framgå vem som ansvarar för att definiera användarrättigheterna och upprätthållandet av dem. Den myndighet som ansvarar för ett informationssystem ska inte nödvändigtvis upprätthålla användarrättigheterna, men den myndighet som använder ett informationssystem kan vara ansvarig för uppdatering av användarrättigheterna. Kännetecknande för sådana informationssystem är att fördelningen av ansvaret för användarrättigheterna sker i nätverksbaserade informationssystem som är i gemensam användning av flera myndigheter, exempelvis i enlighet med tjänsteproduktionsmodeller som organiserats som servicecentraler. Det är således servicecentralen som definierar användarrättigheterna i egenskap av den myndighet som ansvarar för informationssystemet, men den myndighet som använder informationssystemet ska hålla användarrättigheterna uppdaterade.
17 §. Insamling av logginformation. Logginformation ska samlas in, om användningen av ett informationssystem förutsätter identifiering eller annan registrering. Med stöd av informationshanteringslagen behöver logginformation samlas in om vilket som helst informationssystem. Logginformation ska samlas in om användningen av och utlämnandet av information från informationssystem, men insamlingen ska vara behovsrelaterad. Om sekretessbelagd information eller personuppgifter lämnas ut från ett informationssystem via gränssnitt eller elektronisk förbindelse ska logginformation samlas från det utlämnande systemet i syfte att säkerställa att det finns en laglig grund för utlämnandet. Dessutom ska logginformation om användningen samlas in åtminstone i datasystem där sekretessbelagd information behandlas. Med stöd av den föreslagna bestämmelsen ska insamlingen av logginformation om användningen bedömas endast utifrån om informationen behövs för felutredningar eller för genomförande av en individs intressen, rättigheter, skyldigheter och rättsskydd eller för konstaterande av tjänsteansvar. Det är skäl att i synnerhet ur dessa synvinklar bedöma behovet av logginformation, om man i ett informationssystem behandlar information som inte är sekretessbelagd eller information som kunde vara relevant med tanke på tillgodoseendet av en individs rättssäkerhet. En omständighet som inverkar på behovsprövningen är också de i den allmänna dataskyddsförordningen stadgade kraven som gäller genomförande av tekniska och organisatoriska åtgärder i syfte att skydda personuppgifter. Logginformation behöver inte med stöd av denna lag samlas in från öppna informationsmaterial som finns allmänt tillgängliga på webben, exempelvis på hemsidor. Insamlingen av logginformation ska baseras på ett behov som definieras av den systemansvariga myndigheten. Omfattningen och typen av logginformation som samlas in är beroende av behovsprövning. Logginformation behöver inte samlas in om det inte i denna eller i någon annan lag finns någon grund för insamlingen.
Logginformationen består huvudsakligen av personuppgifter, vilket innebär att de allmänna dataskyddsbestämmelserna ska beaktas vid regleringen. Logginformationen utgör en del av säkerhetsarrangemangen när det gäller myndigheternas informationssystem, vilket innebär att logginformationen enligt en tolkning som motsvarar vedertagen rättspraxis (HFD 2014:69 och HFD 27.5.2015 l. 1419) är sekretessbelagd med stöd av offentlighetslagens 24 § 1 mom. 7 punkten, om det inte är uppenbart att utlämnandet av uppgifter ur en handling inte äventyrar genomförandet av syftet med skyddsarrangemangen. Syftet med och grunden för insamling av logginformation är att genomföra informationssäkerheten i fråga om myndigheternas informationssystem så att det är möjligt att med stöd av logginformationen utreda felsituationer och övervaka användningen av systemen, bland annat i syfte att förverkliga rättssäkerheten och fastställa tjänsteansvaret. Syftet med logginformationen är också att dokumentera överföringar från informationssystem och samtidigt säkerställa att det funnits en laglig grund för utlämnandet. På detta sätt uppkommer informationssystemens användarloggar och överföringsloggar. Loggregistret beskriver informationssystemens och användarnas verksamhet och innehåller i regel personuppgifter. Av denna anledning definieras logginformationens användningsändamål i paragrafens andra mening. Logginformation samlas in om användningen av informationssystem, varmed avses lagring, ändring, avräknande, optisk granskning eller någon annan åtgärd som avser informationen. I paragrafen föreskrivs inte om logginformationens tillgänglighet, utan den frågan bestäms med stöd av offentlighetslagen eller speciallagar. Paragrafen innehåller inte heller någon bestämmelse om förvaringstiden för logginformation, utan förvaringstiden bestäms i stället med beaktande av behovet på samma sätt som när det gäller annan förvaring av information. Förvaringstiden för logginformation är i typfallet vanligen minst fem år, på grund av de straffrättsliga preskriptionstider som tillämpas i myndighetsverksamhet. I speciallagstiftning kan det föreskrivas särskilt om förvaringstiderna för logginformation, i synnerhet i sådana fall då logginformation förvaras under en längre tid än behövligt för att fullgöra myndighetens skyldigheter. I paragrafen föreskrivs inte heller om innehållet i logginformationen. Informationens användningsbehov avgör vilka uppgifter som kan samlas in som logginformation ur ett visst informationssystem.
18 §. Handlingar som ska säkerhetsklassificeras inom statsförvaltningen. Enligt paragrafens 1 mom. ska en handling eller informationen i den säkerhetsklassificeras och förses med anteckning om säkerhetsklass, om handlingen eller informationen i den är sekretessbelagd enligt offentlighetslagens 24 § 1 mom. 2, 5 eller 7—11 punkten och om obehörigt avslöjande eller obehörig användning av handlingen kan orsaka skada för försvaret, för förberedelser inför undantagsförhållanden, för internationella relationer, för brottsbekämpningen, för den allmänna säkerheten eller för stats- och samhällsekonomins funktion, eller på något annat jämförbart sätt för Finlands säkerhet.
Det föreslås att regleringen av säkerhetsklassificering ändras så att säkerhetsklassificering av handlingar blir obligatorisk och så att säkerhetsklassificeringen utsträcks till att omfatta också handlingar som avses i offentlighetslagens 24 § 1 mom. 5 och 11 punkten – dvs. bland annat handlingar som innehåller information om polisens taktiska och tekniska metoder och planer samt handlingar som innehåller information om penning- och valutapolitiska beslut eller åtgärder eller om beredningen av sådana beslut eller information om beredning av finans- och inkomstpolitik eller utredning av finans-, inkomst-, penning- eller valutapolitiska beslut eller åtgärder. Delvis beror detta på behov som framkommit i praktiken, delvis på att den föreslagna regleringen innebär att i fortsättningen andra än säkerhetsklassificerade handlingar inte längre ska klassificeras på olika skyddsnivåer. I stället kan de behandlas på ett sätt som uppfyller minimikraven i fråga om riskhantering.
Om en handling fortfarande är under beredning, dvs. inte ännu är färdig, kan man i den göra en anteckning om säkerhetsklass, om handlingen i fråga om dess innehåll är en sådan säkerhetsklassificerad handling som avses i denna bestämmelse.
Anteckningar kan göras också i kopior av en sådan handling. I informationssystem ska anteckning göras också i metadata om en handling. En anteckning kan göras på ett separat dokument som fogas till handlingen, om det inte tekniskt är möjligt att göra anteckningar på handlingen eller ändra en anteckning eller om det endast under en relativt kort tid behöver ställas behandlingskrav som motsvarar säkerhetsklassen. En anteckning om säkerhetsklass ska vara tydlig och korrekt och klassificeringen ska bevaras endast så länge som det behövs för intresset som ska skyddas. En säkerhetsklassificering kan göras också så att kraven i fråga om informationssäkerheten avser endast sådana handlingar eller sådana behandlingsskeden för vilka särskilda åtgärder behövs med tanke på det skyddade intresset. Klassificeringen får inte utsträckas till en sådan handling eller del av en handling för vilken behandlingskraven inte behöver iakttas på grund av det skyddade intresset.
Enligt föreslagna 2 mom. får en anteckning om säkerhetsklasser inte användas i andra fall än sådana som avses i 1 mom., om inte anteckningen behövs för att fullgöra en internationell förpliktelse som gäller informationssäkerheten eller om handlingen annars har samband med internationellt samarbete.
Enligt föreslagna 3 mom. ska sådana handlingar som avses i lagen om internationella förpliktelser som gäller informationssäkerhet förses med en anteckning om säkerhetsklass så som föreskrivs i den lagen.
Enligt föreslagna 4 mom. ska genom förordning av statsrådet föreskrivas närmare om säkerhetsklassificering samt om anteckningar i och behandling av säkerhetsklassificerade handlingar. Avsikten är inte att ändra de nuvarande säkerhetsklasserna som det föreskrivs om i förordningen om informationssäkerhet och som har fastställts så att de motsvarar de klassificeringar och anteckningar som i allmänhet används i internationella sammanhang. Bestämmelser om dessa anteckningar ska också i fortsättningen ingå i en förordning. Avsikten är också att på förordningsnivå möjliggöra behandling av handlingar som hör till den lägsta säkerhetsklassen, med iakttagande av de grundläggande krav i fråga om informationshanteringen som föreskrivs i den föreslagna lagen. Vid behandlingen ska naturligtvis beaktas också informationssäkerheten, på basis av en riskbedömning i enlighet med den föreslagna lagens 13 § 1 mom. Föreslagna 4 mom. innehåller också en informativ hänvisningsbestämmelse om sekretessanteckningar enligt offentlighetslagens 25 §, som också föreslås blir ändrad genom denna proposition.
5 kap. Skapande och elektronisk överföring av informationsmaterial
19 §. Omvandling av informationsmaterial till elektroniskt format och materialens tillgänglighet. I denna paragraf föreskrivs om omvandling av informationsmaterial till elektroniskt format. Syftet med paragrafen är att styra myndigheterna så att de behandlar sina informationsmaterial endast i elektroniskt format, oberoende av i vilket format materialet inkommit. I paragrafen nämns myndigheten som subjekt i stället för informationshanteringsenheten, eftersom handlingarna inkommer till en myndighet och behandlas av en behörig myndighet.
I paragrafens 1 mom. första meningen föreskrivs det att om en handling inkommer till en myndighet i annat än elektroniskt format ska den omvandlas till elektroniskt format, om det i eller med stöd av lag föreskrivs att handlingen ska förvaras varaktigt eller arkiveras. Vissa handlingar och informationsmaterial ska enligt lag förvaras varaktigt. Varaktig förvaring innebär i fråga om behandling av personuppgifter att informationen ska förvaras för sitt ursprungliga användningsändamål så att den inte förstörs eller över huvud taget arkiveras i egentlig mening. För förvaringen ska då finnas en varaktig grund som anger intressena, rättigheterna eller skyldigheterna. I vissa situationer föreskrivs det med stöd av lag om varaktig förvaring. Också i regleringen av arkivering används begreppet varaktig förvaring som på grund av sin speciella innebörd är problematiskt när det gäller förvaring av personuppgifter. Den föreslagna bestämmelsen innebär således att varaktig förvaring av information för sitt ursprungliga användningsändamål eller för arkivering som bestämts på förhand utgör en grund för omvandling av en handling till elektroniskt format. Tidpunkten då en inkommen handling ska omvandlas till elektroniskt format blir beroende av myndighetens prövning. När en myndighet omvandlar en handling till elektroniskt format ska den värna om den omvandlade handlingens beviskraft på så sätt att den till elektroniskt format omvandlade handlingens tillförlitlighet och integritet kan säkerställas. Av denna anledning måste myndigheten ha sådana tekniska arrangemang som behövs för att på ett tillförlitligt sätt omvandla pappershandlingar till elektroniskt format på ett sådant sätt att den i handlingarna ingående informationens beviskraft bevaras. Den teknik som används ska garantera att omvandlade handlingars informationsinnehåll har granskats och verifierats av myndigheten. Omvandlade handlingar ska till exempel verifieras elektroniskt genom den persons försorg som har gjort omvandlingen. Verifieringen ska vara sådan att det i efterhand är möjligt att konstatera om det har gjorts ändringar i en handling som har omvandlats till elektroniskt format. En omvandlad handling är en kopia av originalet och det är därför särskilt viktigt att säkerställa att informationsinnehållets integritet i samband med omvandlingen kontrolleras tillräckligt noggrant och att integriteten bevaras också i det elektroniska formatet. Med en omvandlad handlings beviskraft avses att det med stöd av den kan konstateras vad som krävts av en myndighet eller vad handlingens informationsinnehåll berättigar eller förpliktar till och att handlingens informationsinnehåll inte har ändrats från det ursprungliga.
Enligt paragrafens 1 mom. tredje meningen ska handlingar som en myndighet upprättat förvaras i elektroniskt format. Detta är utgångspunkten men det är också möjligt att göra en avvikelse från den. I momentets fjärde mening nämns situationer där det är möjligt att avvika från bestämmelsen om elektronisk förvaring av en handling som inkommit till en myndighet eller som en myndighet upprättat. Avvikelse får göras från kravet på omvandling till elektroniskt format och förvaring om det är nödvändigt på grund av behandlingskraven för säkerhetsklassificerade handlingar, övriga informationssäkerhetskrav eller av någon annan nödvändig orsak som har samband med handlingens karaktär. En sådan nödvändig orsak som avses i bestämmelsen kan ha samband med handlingens form eller innehåll på så sätt att handlingen inte kan omvandlas till elektroniskt format på grund av säkerhetsfaktorer eller innehållets format. En handling kan också ha ett sådant innehåll att det är nödvändigt att behandla den i pappersformat utan att den kopieras till elektroniskt format. I paragrafens 1 mom. föreskrivs inte vad som ska göras med originalpappershandlingar som omvandlats till elektroniskt format. Bedömningen av till vilka delar handlingar är av ett sådant slag att det är skäl att bevara deras originalformat för senare vetenskaplig eller historisk forskning eller för bevarandet av kulturarvet. ska enligt arkivlagstiftningen göras av arkivverket.
I paragrafens 2 mom. föreskrivs om skyldigheten att hålla elektroniska informationsmaterial tillgängliga. Bestämmelsen har samband med det nationella genomförandet av Europaparlamentets och rådets direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn (PSI-direktivet) och det ändringsdirektivet 2013/37/EU. Enligt direktivets artikel 2.6 avses med maskinläsbart format ett filformat som är strukturerat på så sätt att datorprogram enkelt kan identifiera, känna igen och extrahera specifika uppgifter, inklusive särskilda faktauppgifter, och dessas interna struktur. Enligt direktivets artikel 5.1 ska offentliga myndigheter göra sina handlingar tillgängliga i alla befintliga format och språkversioner samt, om möjligt och lämpligt, i ett öppet och maskinläsbart format tillsammans med tillhörande metadata.
Enligt paragrafens 2 mom. ska myndigheten, med beaktande av vad som särskilt föreskrivs om rätten till information och om skyddet av personuppgifter, se till att informationsmaterialet är tillgängligt och att det inklusive beskrivningsuppgifter kan utnyttjas i ett allmänt maskinläsbart format, om materialet direkt från originalformatet kan omvandlas till maskinläsbart format. Bestämmelsen innebär att myndigheten har omfattande prövningsrätt när det gäller vilka informationsmaterial som ska omvandlas till maskinläsbart format. Bestämmelsen är inte självständig utan den ska tolkas tillsammans med bestämmelserna om informationsrättigheter och behandlingsrättigheter. I bestämmelsen föreskrivs inte heller på vilket sätt informationsmaterial ska hållas tillgängliga utan den blir beroende av bestämmelserna om rätten till information och skyddet av personuppgifter.
En myndighet är skyldig att ombesörja informationens tillgänglighet och användbarhet då det föreligger rätt att ta del av och behandla informationen. Informationens tillgänglighet och möjligheterna att utnyttja den sammanhänger med formatet på så sätt att elektroniska informationsmaterial ska omvandlas till ett sådant format att allmänheten kan utnyttja dem i maskinläsbart format. Med allmänt tillgängligt format avses en standard, ett filformat eller en filstruktur som är i allmän användning. Myndighetens skyldighet enligt 2 mom. avser omvandling av material till elektroniskt format. Materialet ska då vara tillgängligt i ett format som är i allmän användning och till materialet ska fogas beskrivande uppgifter (metadata). Dessa krav ska tas i beaktande redan då informationsmaterial omvandlas till elektroniskt format.
Bestämmelsen ska i samband med utnyttjande av informationsrättigheter tillämpas så att den som har rätt till information kan få informationsmaterialet, inklusive metadata, i ett maskinläsbart format som är i allmän användning. Hur informationen sa lämnas ut, eller om informationen kan fås från en offentlig webbadress, blir huvudsakligen beroende av annan reglering och i vissa avseenden också av myndighetsprövning. En myndighet är inte skyldig att bearbeta handlingar på ett sådant sätt att samtliga material finns i maskinläsbart format, om det finns något tekniskt skäl därtill, exempelvis om en skannad handling inte kan läsas maskinellt eller inte på ett tillförlitligt sätt omvandlas till maskinläsbart format. Kravet att information ska finnas i maskinläsbart format gäller i synnerhet informationsmaterial som finns i strukturerat format som dokumentär information. Bestämmelsen innebär inte heller för myndigheterna någon skyldighet att hålla informationsmaterial i elektroniskt format allmänt tillgängliga, utan tillgängligheten avser i detta moment det format i vilket information lämnas ut till behöriga mottagare.
Enligt paragrafens 3 mom. kan en informationshanteringsenhet ge en privat aktör i uppdrag att omvandla tekniska handlingar till ett elektroniskt format. Grundlagsutskottet har i ett av sina utlåtanden (GrUU 30/2012 rd) konstaterat att sådana offentliga förvaltningsuppgifter som avses i grundlagens 124 § är mottagning och sortering av deklarationer och andra handlingar som ges in till Skatteförvaltningen samt lagring av handlingarna och registrering av de upplysningar som ingår i dem. Eftersom omvandling av handlingar till elektroniskt format är detsamma som lagring av handlingar, är också detta en offentlig förvaltningsuppgift. Enligt grundlagens 124 § kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Uppgifter som innebär betydande utövning av offentlig makt får dock ges endast myndigheter. Enligt föreslagna 3 mom. kan en privat aktör av en myndighet ges i uppdrag att omvandla handlingar till elektroniskt format. De allmänna förvaltningslagarna ska tillämpas i fråga om sådana bestämmelser som direkt enligt respektive lags tillämpningsområde avser privata aktörer. I momentet hänvisas till straffrättsligt tjänsteansvar och till skadeståndslagen, för att en uppgift ska kunna ges i uppdrag åt en privat aktör. Omvandling av handlingar till elektroniskt format innebär inte utövning av offentlig makt utan det är då fråga om att sköta en biträdande uppgift i anslutning till utövning av offentlig makt. Strafflagens bestämmelser om tjänstebrott ska således inte tillämpas direkt med stöd av strafflagens (39/1889) 40 kap. utan det krävs speciallagstiftning för att straffrättsligt tjänsteansvar ska kunna utsträckas till andra offentliga förvaltningsuppgifter än sådana som innebär offentlig makt. Grundlagsutskottet har förutsatt att det straffrättsliga tjänsteansvaret utsträcks också till sådana offentliga förvaltningsuppgifter som inte innebär utövning av offentlig makt (se t.ex. GrUU 11/2006 rd, GrUU 3/2009 rd och GrUU 30/2012 rd). Omvandling av handlingar till elektroniskt format är en uppgift av teknisk karaktär som emellertid förutsätter särskild omsorgsfullhet. Dessa tekniska och rutinmässiga uppgifter kan det, beroende på myndigheten, anses vara ändamålsenligt att anlita en privat aktör, bland annat med tanke på myndighetsverksamhetens effektivitet och en effektiv resursanvändning samt för att jämna ut arbetstoppar. Varje myndighet ska särskilt bedöma om det är ändamålsenligt att utkontraktera uppgiften till en privat aktör, även om lagen tillåter sådan utkontraktering (FiUB 10/2006 rd). Grundlagsutskottet har ansett det vara möjligt att inom ramen för de regleringskrav som gäller i fråga om offentliga förvaltningsuppgifter lägga ut uppgifter som avser lagring av handlingar till enskilda aktörer (GrUU 30/2012 rd). I bestämmelsen ingår emellertid tilläggskravet att myndigheten då den upphandlar en tjänst av en sådan privat aktör ska säkerställa att aktören har tillräckliga tekniska förutsättningar för omvandling av handlingar till elektroniskt format och att aktören har tillräckliga kunskaper för omvandling av pappershandlingar till elektroniskt format. I kompetensen ingår ett särskilt krav på omsorgsfullhet när det gäller att säkerställa att handlingarnas integritet, oföränderliga form och användbarhet bevaras. Också informationssäkerheten ska säkerställas på det sätt som föreskrivs i denna lag och i andra lagar. I momentet ingår emellertid inte en sådan hänvisning utan informationssäkerhetsbestämmelserna ska beaktas vid all behandling av informationsmaterial.
20 §. Insamling av informationsmaterial för myndighetsuppgifter. I denna paragraf föreskrivs om metoderna för insamling av material som ska användas för skötsel av myndighetsuppgifter. Syftet med bestämmelsen är att minska myndigheternas insamling av parallella och överlappande material hos förvaltningskunder samt att säkerställa att myndigheterna utnyttjar uppdaterad information från ursprungliga informationskällor. I bestämmelsen föreskrivs inte om informationsrättigheter utan i stället om begränsningar i myndigheters informationsinsamling. Enligt paragrafens 1 mom. är en myndighet skyldig att utnyttja en annan myndighets informationsmaterial om myndigheten med hjälp av dem kan sköta sina uppgifter på ett ändamålsenligt sätt, med beaktande av förvaltningskundernas rättssäkerhet. Skyldigheten gäller enligt bestämmelsen situationer där en myndighet har rätt att få tillgång till en annan myndighets information via ett tekniskt gränssnitt eller en elektronisk förbindelse. Bestämmelsen innebär att en myndighet i sin planering av verksamhetsprocesser ska bedöma vilken information som den från befintliga informationslager kan få i uppdaterad form inom ramen för sina rättigheter att få behandla information utan att särskilt behöva be en part eller någon annan förvaltningskund om informationen. Syftet med bestämmelsen är att styra förvaltningsverksamheten till ändamålsenliga verksamhetsprocesser och att samtidigt uppmärksamma parter och andra förvaltningskunder på vikten av rättssäkerhet vid utnyttjande och användning av information. En myndighet kan inte enbart på basis av insamlad information fatta sådana beslut rörande en förvaltningskund som får direkta rättsverkningar, utan förvaltningskunden måste bland annat höras före beslutsfattandet eller också måste ärendebehandlingen eller tjänsteproduktionen ordnas så att parten eller kunden redan i samband med ärendebehandlingen eller tjänsteproduktionen kan säkerställa att de uppgifter som myndigheten har är korrekta. Bestämmelsen innebär således ingen ovillkorlig skyldighet för myndigheten att utnyttja en annan myndighets informationsmaterial, som den andra myndigheten behöver för skötsel av sina egna uppgifter. Avsikten med bestämmelsen är att styra planeringen, i vilken ska beaktas de procedurkrav som gäller för ärendebehandling och tjänsteproduktion.
I paragrafens 2 mom. föreskrivs om insamling av information när det är fråga om information som samlas in i form av utdrag eller intyg. I många situationer kan information som ingår i utdrag eller intyg för myndighetsbruk fås direkt från en annan myndighet via ett tekniskt gränssnitt eller en elektronisk förbindelse, bland annat från befolkningsdatasystemet (ämbetsbevis), handelsregistret (handelsregisterutdrag) och fastighetsdatasystemet (fastighetsregisterutdrag). Bestämmelsen är inte ovillkorlig utan den innehåller villkor som innebär att bestämmelsen som begränsar insamling av information ska tillämpas.
Med tillförlitlighet och uppdatering avses i bestämmelsen att uppdateringen av informationsmaterialen i den utlämnande myndighetens informationslager har kontrollerats och att informationens autenticitet och integritet har säkerställts i informationshanteringsprocesserna. Tillförlitligheten innebär också att en förvaltningskund ska ha möjlighet att bekanta sig med informationen i den myndighets informationslager som lämnar ut informationen till en annan myndighet.
Myndigheten har i de flesta situationer möjlighet att från en annan myndighet få uppdaterad information i anslutning till olika intyg och utdrag. Det finns av denna anledning inga skäl att förutsätta att en förvaltningskund ska lämna sådan information. Om en myndighet har rätt att för skötsel av sina uppgifter från en annan myndighets informationslager med hjälp av ett tekniskt gränssnitt eller en elektronisk förbindelse få sådan tillförlitlig och uppdaterad information som framgår av utdraget eller intyget, får utdrag eller intyg inte avkrävas förvaltningskunden. Förvaltningskunden får inte heller på något annat sätt avkrävas motsvarande information. Avsikten är att säkerställa att förvaltningskunden inte åläggs att på nytt inkomma med information som myndigheten redan fått eller annars registrerat. Avsikten är också att slopa förfaranden som innebär att en förvaltningskund ska inkomma med intyg eller utdrag som utfärdats av en annan myndighet. Ett sådant förfarande är redan möjligt med stöd av speciallagar, men avsikten är att också de ska upphävas i samband med reformen. Utgångspunkten är den att en myndighet för behandlingen av ett ärende eller produktionen av en tjänst själv ska skaffa all den information som finns i utdrag och intyg, om detta är möjligt inom ramen för myndighetens informationsrättigheter. Myndigheterna har emellertid inte i alla situationer någon möjlighet att få information i anslutning till utdrag om intyg, exempelvis när det är fråga om en utländsk förvaltningskund.
Avsikten med paragrafen är att minska onödig informationsinsamling och att effektivare utnyttja myndigheternas informationslager i myndigheternas verksamhet. En myndighet ska fortfarande be om utdrag och intyg, om den inte har rätt att få informationen direkt från en annan myndighet eller om den inte kan kontrollera att den andra myndighetens informationslager är uppdaterat. Bestämmelsen inverkar inte heller på skyldigheter som föreskrivs någon annanstans i lag, utan den ska tillämpas närmast i ansökningsärenden som inletts av parter.
21 §. Definition av behovet att förvara informationsmaterial. I denna paragraf föreskrivs på vilka grunder behovet att förvara informationsmaterial ska definieras i fråga om informationsmaterial eller handlingar vilkas förvaringstider inte bestäms i lag. Avsikten med paragrafen är att förenhetliga grunderna för definition av förvaringstiderna för handlingar och andra informationsmaterial. Informationsmaterial som är föremål för en sådan definition kan innehålla informationshelheter med varierande förvaringstider. Den föreslagna bestämmelsen gäller alla typer av informationsmaterial, oberoende av deras innehåll. I paragrafen föreskrivs inte om grunderna för arkivering av informationsmaterial, utan de baseras på annan reglering. Förvaringstiden avser således inte hur länge informationsmaterial hanteras hos en informationshanteringsenhet utan hur länge materialet förvaras för det användningsändamål för vilket handlingarna eller motsvarande information har samlats in. Syftet med paragrafen om bestämmande av förvaringstiderna är att säkerställa rättssäkerheten och det straffrättsliga tjänsteansvaret i fråga om myndigheternas informationsmaterial.
I Finland finns det cirka 300 bestämmelser om förvaringstiderna för handlingar och information som ska förvaras i personregister samt om bestämmande av förvaringstider. Regleringen av förvaringstiderna är emellertid inte heltäckande. I paragrafen föreskrivs om grunderna för definition av förvaringstiderna inom den offentliga förvaltningen. Paragrafen uppfyller de krav som grundlagsutskottet framför i sina utlåtanden gällande exakthet, täckning och noggrann avgränsning i fråga om de krav som i den allmänna lagen föreskrivs om behandling av personuppgifter. I fortsättningen är det skäl att i lag särskilt föreskriva om förvaringstiderna för informationsmaterial och handlingar, inklusive personuppgifter, endast om man i fråga om bestämmandet av förvaringstider avviker från de grunder som föreskrivs i denna paragraf eller om förvaringstiderna ska definieras på lagnivå exempelvis av skäl som sammanhänger med Europeiska unionens lagstiftning eller om det är fråga om information som hör till särskilda personuppgiftskategorier eller om förvaringstiderna för annan känslig information.
Grundlagsutskottet har upprepade gånger konstaterat att förvaringstiderna för personregister hör till den kategori av omständigheter som enligt grundlagens 10 § 1 mom. ska regleras genom lag (GrUU 14/1998 rd och GrUU 25/1998 rd). I fråga om varaktig förvaring av personuppgifter har grundlagsutskottet konstaterat att det inte är förenligt med personuppgiftsskyddet att förvara sådan information varaktigt (GrUU 51/2002 rd och GrUU 54/2010 rd). Om det emellertid finns en grund som är förenlig med informationssystemets karaktär eller syften får personuppgifter förvaras varaktigt (GrUU 3/2009 rd och GrUU 54/2010). Grundlagsutskottet har i sin senaste praxis konstaterat att det inte finns något hinder för att kravet, när det gäller regleringens täckning, exakthet och noggranna ansträngning i anslutning till skyddet för personuppgifter, till vissa delar kan uppfyllas också genom en allmän EU-förordning eller genom en allmän nationell lag (GrUU 14/2008 rd, GrUU 2/2018 rd, GrUU 31/2017 rd, GrUU 5/2017 rd och GrUU 38/2016 rd).
Den föreslagna bestämmelsen gäller alla typer av information och kompletterar således Europeiska unionens allmänna dataskyddsförordnings bestämmelser om förvaringstider. Enligt artikel 5.1 e i Europeiska unionens allmänna dataskyddsförordning får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Enligt artikeln får personuppgifter lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). Till inbyggt dataskydd och dataskydd som standard, som beskrivs i dataskyddsförordningens artikel 25, hör bland annat att den personuppgiftsansvarige fastställer lagringstiderna för personuppgifter och ser till att de iakttas. Den personuppgiftsansvarige ska således fastställa lagringstiderna i anslutning till behandlingen av personuppgifter med beaktande av nödvändighetskravet.
Behandlingen av personuppgifter inom den offentliga förvaltningen är baserad på de rättsliga förpliktelserna enligt dataskyddsförordningens artikel 6.1 c samt på att behandlingen enligt artikel 6.1 e är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Med tanke på den rättsgrund för behandlingen som avses i artikel 6.1 c och 6.1 e kan i den nationella lagstiftningen enligt dataskyddsförordningens artikel 6.3 föreskrivas bland annat om förvaringstiderna. I föreslagna 21 § föreskrivs inte om förvaringstiderna utan om de grunder som ska beaktas när förvaringstiderna fastställs. Förteckningen i paragrafens 1 mom. är inte uttömmande utan i den anges de förvaringsgrunder som utgår från individens intressen, rättigheter och skyldigheter, myndigheternas rättigheter och skyldigheter samt konstaterandet av tjänsteansvaret enligt grundlagens 118 § genom myndighetshandlingar. En viktig ställning med tanke på förverkligandet och konstaterandet av tjänsteansvaret intar i praktiken de hos en myndighet uppkomna handlingar som administreras i informationslager. Definitionen av förvaringstiderna är relevant med tanke på rättsskyddet enligt grundlagens 21 § samt förverkligandet av tjänsteansvaret enligt grundlagens 118 §, då man i efterhand bedömer en tjänstemans ansvar för sina åtgärder utifrån dokumentär information.
Informationshanteringsenheterna ska se till att de myndigheter och personregisteransvariga som verkar i samband med dem bestämmer förvaringstiderna i anslutning till informationsbehandlingen samt uppdaterar informationen om dem i informationshanteringsmodellen. I informationshanteringsmodellen ska informationen om förvaringstiderna för personuppgifter, handlingar, andra motsvarande uppgifter samt informationsmaterial sammanställas i myndighetens verksamhetsprocesser.
I paragrafen föreskrivs inte separat om grunderna för beräkning av förvaringstiderna utan dessa blir beroende av branschens rekommendationer. Efter att förvaringstiderna har bestämts ska informationshanteringsenheterna bestämma hur förvaringstiderna ska räknas i respektive verksamhetsprocess. Förvaringstiden kan räknas bland annat från utgången av det år då ärendebehandlingen hos myndigheten har upphört eller tjänsteproduktionen för kunden har avslutats. Ärendebehandlingen anses ha upphört hos en myndighet efter det att exempelvis myndighetens beslut har vunnit laga kraft. Om ett beslut till exempel har överklagats inverkar detta på räknandet av förvaringstiden för de handlingar och den övriga dokumentära information som uppkommit under ärendebehandlingen. Dessutom kan förvaringstiden räknas från utgången av den räkenskapsperiod då informationsmaterialet i anslutning till bokföringen har uppkommit. Bestämmelsen gäller i synnerhet förvaringstiderna för handlingar som uppkommit inom ekonomiförvaltning. Informationshanteringsnämnden för den offentliga förvaltningen kan utfärda rekommendationer om grunderna för beräkning av förvaringstider.
I paragrafens 1 mom. föreskrivs om de grunder som ska beaktas när förvaringstiderna för informationsmaterial och handlingar bestäms. Av momentets förteckning framgår de grunder för bestämmande av förvaringstiderna som ska beaktas. Förteckningens kriterier utesluter inte utan snarare kompletterar varandra och förteckningen är inte uttömmande. I den nämns de synpunkter som ska beaktas när förvaringstiden bestäms. Således kan till exempel preskriptionstiden för det straffrättsliga straffansvaret i anslutning till en viss myndighets åtgärder vara fem år, men de uppgifter som finns i ett informationslager kan påverka en parts eller registrerads ställning också under en längre tid. I dessa fall är grunden för den längsta förvaringstiden avgörande för bestämmande av förvaringstiden.
Enligt förteckningens 1 punkt ska förvaringstiderna bestämmas med beaktande av i vilken utsträckning informationsmaterialet i myndighetens verksamhet behövs för det ursprungliga användningsändamålet. Därefter ska förvaringstiden bestämmas med beaktande av punkterna 2—5. Enligt förteckningens 2 punkt ska förvaringstiden bestämmas med beaktande av genomförandet och verifieringen av fysiska eller juridiska personers förmåner, rättigheter, förpliktelser och rättsskydd. Myndigheternas beslut, registrerade anteckningar samt registreringar i informationssystem skapar olika förmåner, rättigheter och skyldigheter för förvaltningskunderna och personalen. Myndigheterna har behov att i sina informationslager förvara olika informationsmaterial i syfte att verifiera och förverkliga olika rättigheter samt säkerställa rättsskyddet. Sådana informationsmaterial kan under en längre tid inverka på genomförandet eller verifieringen av olika personers rättigheter. I vissa situationer kan förvaringstiden vara kortare, till exempel vid betalning av engångsersättningar, då en handling som ansluter sig till ekonomiförvaltningen som en del av bokföringsmaterialet ska förvaras i 10 år.
Enligt förteckningens 3 punkt ska förvaringstiden bestämmas med beaktande av rättsverkningarna av avtal eller andra privaträttsliga rättshandlingar. Således ska avtalshandlingar och andra handlingar som beskriver rättshandlingar förvaras under en varierande tid, som påverkas av avtalets längd men också av därtill anslutna ekonomiska konsekvenser och kontrollen av dem. Trots att avtalsperioden är till exempel ett år måste informationshanteringsenheten förvara avtalet under en längre tid bland annat med tanke på efterhandsövervakningen eller för konstaterande av skadeståndsskyldigheten. Bestämmelser om denna regleringsgrund finns i förteckningens 4 punkt enligt vilken de skadeståndsrättsliga preskriptionstiderna inverkar på bestämmandet av förvaringstiden. I förteckningens 5 punkt hänvisas till de straffrättsliga preskriptionstiderna. När det gäller bestämmandet av förvaringstiderna ska i myndighetsverksamheten beaktas de straffrättsliga preskriptionstiderna som definieras i strafflagens (39/1889) 8 kap. Informationshanteringsenheterna ska således på basis av 1—5 punkten i fråga om varje informationsmaterial göra en helhetsbedömning av vilka omständigheter som är relevanta för förvaringen av informationsmaterial. I synnerhet rättssäkerhetsaspekter ska vägas in när förvaringstiden bestäms.
Enligt paragrafens 2 mom. ska informationsmaterialen, efter det att förvaringstiden gått ut, utan dröjsmål arkiveras eller förstöras på ett informationssäkert sätt. Då förvaringstiden för informationsmaterial eller handlingar som ingår i det har gått ut ska de arkiveras eller omedelbart förstöras på ett informationssäkert sätt. Bestämmelsen motsvarar i detta avseende offentlighetslagens 18 § 1 mom. 4 punkten. Genom bestämmelsen understryks det att myndigheten efter att förvaringstiden gått ut omedelbart ska arkivera informationsmaterial och handlingar. Frågan om hur arkiveringen ska genomföras blir beroende av myndighetens eller arkivbildarens prövning och av regleringen av arkiveringen. Informationsmaterial ska arkiveras eller förstöras på ett informationssäkert sätt så att utomstående inte har tillgång till informationsmaterialet och så att informationsmaterialet inte längre behandlas för sitt ursprungliga användningsändamål. Med förstöring avses att materialet ska tas ur bruk så att det inte längre kan vidareutnyttjas. Förstöring avser åtgärder varmed informationsmaterialet de facto förstörs. Informationsmaterial kan förstöras med olika tekniska åtgärder, exempelvis genom radering av hårddisken eller genom att fysiskt krossa den. Pappersmaterial kan förstöras till exempel genom att bränna det. Genom att enbart strimla papper förstörs dokumenten inte utan de blir oanvändbara. Bestämmelsen understryker att materialen de facto ska förstöras då det inte länger finns några grunder för att förvara dem eller om informationsmaterialet enligt vad som särskilt föreskrivs inte ska arkiveras.
Paragrafens 3 mom. är en informativ hänvisningsbestämmelse vars syfte är att förtydliga att det föreskrivs särskilt om ansvaren för bestämmande av förvaringstiderna och om arkivverkets uppgifter. Myndigheten förvarar informationsmaterial för skötsel av de uppgifter som föreskrivs ankomma på myndigheten. När det inte finns något behov av att förvara information för myndighetsuppgifter ska informationen antingen förstöras eller överföras till ett arkiv. Bestämmelser om arkivering finns åtminstone i Europeiska unionens allmänna dataskyddsförordning, dataskyddslagen, lagen om elektronisk kommunikation i myndigheternas verksamhet samt i arkivlagen, enligt vilken Riksarkivet beslutar om arkivering. Bestämmelserna i de ovan nämnda författningarna bildar lagstiftningen om arkivering. I momentet ingår för tydlighetens skull en hänvisning till arkivverkets uppgifter, som påverkas både av dataskyddslagstiftningen och av arkivlagen. I det föreslagna momentet hänvisas emellertid inte uttryckligen till dessa författningar.
Enligt arkivlagen är det arkivbildaren som bestämmer förvaringstiderna för handlingar. Enligt den allmänna dataskyddsförordningen är det den personregisteransvarige som bestämmer förvaringstiderna för personuppgifter. I den allmänna dataskyddsförordningen och i dataskyddslagen föreskrivs om grunderna för arkivering av personuppgifter. Arkiveringen utgör i förening med allmänt intresse sitt eget användningsändamål som bestäms utifrån den personregisteransvariges bedömning av frågan om det är förenligt med allmänt intresse att arkivera personuppgifter. Beroende på vilken lag som tillämpas i det enskilda fallet ska ansvaren för bestämmande av förvaringstiderna definieras på olika grunder. Om den allmänna dataskyddsförordningen inte ska tillämpas på behandlingen av informationsmaterial ska arkivbildaren således bestämma förvaringstiden med stöd av arkivlagen.
22 §. Informationsöverföring mellan myndigheter via tekniska gränssnitt. I denna paragraf föreskrivs om de förutsättningar under vilka en myndighet för en annan myndighet kan öppna ett tekniskt gränssnitt för utlämnande av information för skötsel av den andra myndighetens lagstadgade uppgifter. I paragrafen föreskrivs inte om informationsrättigheter utan de bestämmelserna finns fortfarande i offentlighetslagen eller i speciallagstiftningen. Avsikten med bestämmelsen är att ersätta de bestämmelser om tekniska anslutningar mellan myndigheter som ingår i speciallagstiftning. Grundlagsutskottet har upprepade gånger konstaterat att regleringsobjektet gällande skyddet av personuppgifter enligt grundlagens 10 § 1 mom. omfattar tekniska anslutningar (fr.o.m. GrUU 12/2002 rd), men i den senaste tidens utlåtandepraxis har grundlagsutskottet inte längre uttryckligen nämnt tekniska anslutningar som viktiga regleringsobjekt (se GrUU 14/2018 rd, GrUU 2/2018 rd och GrUU 31/2017 rd). Grundlagsutskottet har i sin senaste praxis ansett att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän unionsförordning eller genom en allmän nationell lag (se GrUU 14/2018 rd, GrUU 2/2018 rd, GrUU 31/2017 rd, GrUU 5/2017 rd och GrUU 38/2016 rd). Syftet med den föreslagna paragrafen och med 23 och 24 § i anslutning till den är att i allmän lag föreskriva om förutsättningarna för att en myndighet ska kunna lämna ut information med hjälp av tekniskt gränssnitt eller elektronisk förbindelse på motsvarande sätt som enligt det gällande begreppet ”teknisk anslutning”. Regleringen påverkar inte i och för sig informationsrättigheterna utan sättet för utlämnandet, så att den antingen förpliktar eller möjliggör användning av vissa tekniska lösningar för informationsutbyte mellan myndigheter. Regleringen uppfyller kraven på exakthet och noggrann avgränsning på det sätt som grundlagsutskottet har förutsatt.
I fortsättningen kan en myndighet till en annan myndighet lämna ut handlingar och information via ett tekniskt gränssnitt, om de förutsättningar för utlämnandet som föreskrivs i paragrafen är uppfyllda. Paragrafen möjliggör inte obegränsad tillgång till en annan myndighets informationslager och informationsmaterialen i dem, utan sådana överföringar ska övervakas med tekniska metoder på så sätt att man i den mottagande myndighetens informationssystem säkerställer att överföringen är korrekt och behövlig till exempel genom kontroller av kundförhållandet, den konkreta situationen eller andra verksamhetsprocesser.
Enligt paragrafens 1 mom. första meningen ska myndigheterna regelbundet via tekniska gränssnitt överföra periodisk och standardiserad elektronisk information mellan informationssystem, om den mottagande myndigheten enligt lag har rätt till informationen. Denna bestämmelse gäller situationer där en myndighet till en annan myndighet regelbundet lämnar ut information från sitt informationslager för den andra myndighetens informationsbehov. I sådana regelbundet återkommande i situationer är utlämnande av information via tekniska gränssnitt en regel som man kan avvika från endast om det föreskrivs något annat i denna lag eller i någon annan lag. Skyldigheten att ordna utlämnandet av information via tekniska gränssnitt gäller inte situationer där information sällan lämnas ut. Med regelbundet utlämnande av information avses situationer där information regelbundet, dagligen eller varje vecka, överförs mellan myndigheter. Vid utlämnande av information via gränssnitt krävs det dessutom att informationen lämnas ut i standardiserat format, vilket innebär att den kan lämnas ut automatiskt via gränssnitt.
Bestämmelsen gäller inte situationer där en myndighet med stöd av informationsskyldigheten eller annars överför information till en annan myndighet genom att, till exempel för ett meddelande, använda en teknisk tjänst eller någon annan elektronisk överföringsmetod. Det är då inte fråga om användning av tekniska gränssnitt och om överföring av information mellan informationssystem.
Både den utlämnande och den mottagande myndigheten är då skyldig att se till att trafiken mellan deras informationssystem sköts med hjälp av kompatibla tekniska gränssnitt. Bestämmelsen innebär bland annat att vardera myndigheten ska se till att i deras informationssystem kan införas de tekniska gränssnitt som behövs för informationsöverföringar. Myndigheterna ska således redan i samband med avtal om anskaffning av informationssystem beakta kraven när det gäller utlämnande av information via tekniska gränssnitt. I praktiken ska detta beaktas också i samband med skyldigheten att planera informationshanteringen, då informationshanteringsenheten förnyar sina förfaranden och skaffar eller förnyar sina informationssystem.
Paragrafens 1 mom. första meningen innehåller också villkoret att information kan lämnas ut via ett tekniskt gränssnitt endast om den mottagande myndigheten enligt lag har rätt till information som överförs via tekniska gränssnitt. I annan lagstiftning föreskrivs om informationsrättigheter. I offentlighetslagen eller i någon annan lag kan således tas in en bestämmelse som ger rätt att få information.
Enligt paragrafens 1 mom. andra meningen kan elektronisk överföring av periodisk och standardiserad information genomföras på något annat sätt om det inte är tekniskt eller ekonomiskt ändamålsenligt att genomföra eller använda ett tekniskt gränssnitt. Denna bestämmelse ska tillämpas då det för myndigheter har uppkommit en skyldighet att lämna ut information via tekniska gränssnitt, men informationen inte kan lämnas ut via gränssnitt till exempel på grund av särskilda förutsättningar som gäller informationssäkerheten eller i en ändringssituation där det inte är ekonomiskt lönsamt att för informationsutbyte via tekniska gränssnitt genomföra tekniska lösningar i ett gammalt system i slutet av sin livscykel. Om gränssnitt saknas förutsätter regleringen i praktiken i varje fall att myndigheterna inom övergångstiden överväger om det tekniskt eller ekonomiskt är mera ändamålsenligt att överföra information på något annat sätt än genom att bygga gränssnitt. Man borde emellertid sträva efter att inte sammanställa innehållet i ett ursprungligt informationslager till onödigt omfattande personuppgiftsregister i form av kopior, utan i stället överföra eller utnyttja informationen i ett informationslager som fungerar som en ursprunglig informationskälla endast då det finns ett konkret behov för ärendebehandling eller tjänsteproduktion. En teknisk orsak kan också vara olika service- och driftsavbrott eller ett inkörningsskede för ett förnyat informationssystem. Enligt den tredje meningen i paragrafens 1 mom. kan en myndighet också i andra situationer öppna ett tekniskt gränssnitt för en behörig myndighet. Syftet med den andra meningen är att möjliggöra informationsutbyte mellan myndigheters informationssystem också när det gäller andra än periodiska och standardiserade informationsöverföringar, men till denna del är det inte obligatoriskt att ordna med informationsöverföring mellan olika system. Här kommer sådana situationer i fråga där överföringarna inte är regelbundna men är standardiserade till innehållet.
Paragrafens 1 mom. ska inte tillämpas om myndigheternas informationsöverföringar är oregelbundna och informationsbehovet i anslutning till dem inte kan standardiseras utan i stället varierar i olika situationer, vilket innebär att informationsbegäran preciseras till exempel med användning av elektroniska överföringsmetoder, vilket i sin tur också innebär att informationen överförs elektroniskt eller på något annat lämpligt sätt.
Dessutom hänvisas det i momentet till de bestämmelser av överföring av handlingar och information i vilka det föreskrivs särskilt om överföring av information på annat sätt än via tekniska gränssnitt. Sådana bestämmelser är bland annat denna lags bestämmelser om elektroniska förbindelser och offentlighetslagens bestämmelser om lämnande av uppgifter som kopia eller utskrift eller i elektronisk form.
I paragrafens 2 mom. föreskrivs om ytterligare förutsättningar för att information ska kunna överföras via tekniska gränssnitt. De förutsättningar som nämns i 2 mom. innebär i praktiken skyldigheter för myndigheterna, eftersom de måste genomföras om det finns förutsättningar för att ordna informationsöverföringen via tekniska gränssnitt. Enligt momentets första mening ska informationsöverföring via tekniska gränssnitt mellan informationssystem genomföras så att man tekniskt säkerställer informationsmaterialens behövlighet och nödvändighet i det enskilda fallet med tanke på skötseln av den mottagande myndighetens uppgifter, om överlåtelsen avser personuppgifter eller sekretessbelagd information. Bestämmelsen förutsätter att överföringen kontrolleras när den myndighet som behöver informationen behandlar ett ärende eller producerar en tjänst och informationen utlämnas via tekniska gränssnitt. Exempelvis enligt gällande lagstiftning ska en patients vårdrelation verifieras datatekniskt innan informationen överförs mellan patientregister. Ett informationssystem som sänder en teknisk informationsbegäran ska ha en kontrollfunktion som säkerställer att användaren av den myndighets informationssystem som begär informationen behandlar ett sådant ärende eller producerar en sådan tjänst för att uttryckligen den begärda informationen behövs för att utreda ärendet eller producera tjänsten. Den myndighet som begär informationen ska med hjälp av teknisk kontroll och den andra myndighetens tekniska gränssnitt på basis av den överföra informationen och kunna sammankoppla informationen från den andra myndigheten med det ärende som behandlas eller den tjänst som produceras. Momentets bestämmelser gäller situationer där överföringen avser personuppgifter eller sekretessbelagd information. I andra situationer ska således inte tillämpas de ytterligare förutsättningar som föreskrivs i momentet i fråga om överföringar via gränssnitt.
I paragrafens 3 mom. föreskrivs hur sådana informationsstrukturer som är nödvändiga för genomförande av tekniska gränssnitt ska definieras hos myndigheterna. Syftet med bestämmelsen är att främja och säkerställa interoperabiliteten mellan informationssystemen. Enligt momentets första mening ska beskrivningen av strukturerna när det gäller information som överförs via ett tekniskt gränssnitt definieras av den myndighet som överför informationen. I många situationer är informationsutbytet mellan myndigheter via tekniska gränssnitt emellertid nätverksbaserat, vilket innebär att det inte nödvändigtvis på basis av den första meningen är möjligt att ange vilken myndighet som ska definiera informationsstrukturen. Sådana situationer förekommer i synnerhet i kommuner och hos andra myndigheter som sköter myndighetsuppgifter inom sitt eget område. Av denna anledning föreskrivs i momentets andra mening om den situationen att information överförs mellan flera myndigheter. I så fall ska informationsstrukturerna definieras under ledning av det ministerium som svarar för verksamhetsområdet, vilket innebär att det kan säkerställas att informationsstrukturerna definieras på ett koordinerat och effektivt sätt. Ministerierna ska sålunda bland annat i samband med lagberedningen utreda hur arbetet med att definiera informationsstrukturernas beskrivningar ska organiseras i samband med ändringar. Vid behov kan det med tanke på exceptionella situationer föreskrivas separat i en speciallag om ansvaret för att definiera och upprätthålla beskrivningar av informationsstrukturer, ifall exempelvis ett statligt ämbetsverk eller en statlig inrättning ska ansvara för definitionen. Den definition av informationen som ska göras under ledning av ministerierna har ett naturligt samband med finansministeriets och ministeriernas skyldighet att i enlighet med föreslagna 6 § upprätthålla riktlinjer för utvecklingen av de gemensamma informationslagren och informationssystemen i syfte att främja interoperabiliteten. Ministerierna kan i samband med planeringen av informationsöverföring mellan flera ministerier upprätthålla riktlinjer för sitt eget ansvarsområde samt göra ändringar i informationshanteringskartan för den offentliga förvaltningen. Styrningen av myndigheternas planering genom ministeriernas försorg kommer dessutom att förbättra ministeriernas möjlighet att på det sätt som kraven i 8 § 2 mom. förutsätter bedöma de konsekvenser som den lagstiftning som de bereder kommer att få för informationsmaterialen och informationssystemen samt för handlingsoffentligheten och sekretessbeläggningen av handlingar.
Med uttrycket ”beskrivningen av strukturen för information” avses i momentet ett framställningssätt som gäller ett visst användningsändamål och på basis av vilket myndigheten ska utforma den information som den lämnar ut i motsvarande syfte. Beskrivningen av informationsstrukturen består av den definition av genomförandet av informationsöverföringen varmed standardiseras bland annat de termer, begrepp och koder samt förhållandena mellan dem, som används för beskrivning av information som är föremål för överlåtelse. Syftet med den närmare definitionen av informationsstrukturerna är att säkerställa att informationsmaterialen är maskinläsbara och tillgängliga. Med tanke på tillgängligheten ska i samband med utlämnande av information utnyttjas sådana beskrivningsmetoder och teknologier som tryggar användningen av informationen med hjälp av allmänt tillgänglig och kostnadseffektiv utrustning. Den strukturella styrningen av informationsmaterialen ändrar inte myndigheternas ansvar för ordnande av den informationshantering som förutsätts för den uppgiftsrelaterade verksamheten.
23 §. Öppnande av elektronisk förbindelse till en myndighet. I denna paragraf föreskrivs om förutsättningarna för öppnande av en förbindelse, men öppnandet ger inte obegränsad tillgång till en myndighets informationslager och till informationsmaterialen och personregistren i det. Syftet med bestämmelsen är att ersätta regleringen av teknisk anslutning i sådana situationer där avsikten med en teknisk anslutning är att öppna en separat elektronisk förbindelse till en annan myndighet, exempelvis via en tjänst på dennas hemsidor. Enligt den första meningen i paragrafens 1 mom. kan en myndighet öppna en elektronisk förbindelse till en annan myndighet för överföring av sådan information i ett informationslager som den mottagande myndigheten har rätt att få tillgång till. I paragrafen föreslås inte någon bestämmelse om informationsrätten utan om det sätt på vilket information i vissa situationer kan ges en annan myndighet för påseende. En myndighet kan således inte öppna en elektronisk förbindelse i vilken situation som helst utan endast då den myndighet till vilken förbindelsen öppnas har lagstadgad rätt att få tillgång till information via den elektroniska förbindelsen. Rätten att få tillgång till information kan baseras på offentlighetslagen eller på speciallagstiftning.
Enbart rätten att få information räcker inte för öppnande av en elektronisk förbindelse, utan dessutom krävs skyddsåtgärder i anslutning till informationssystemen för att elektroniska förbindelser inte ska utnyttjas för onödig datainsamling och för att förhindra lagstridig informationsbehandling. Av denna anledning föreskrivs i paragrafens andra mening om ytterligare förutsättningar för att öppna en elektronisk förbindelse. Tilläggsförutsättningarna ska vara uppfyllda i alla avseenden för att en elektronisk förbindelse ska kunna öppnas.
Den första förutsättningen är att den elektroniska förbindelse kan begränsas till sådana behövliga eller nödvändiga uppgifter som informationsrätten förutsätter. Syftet med bestämmelsen är att begränsa den elektroniska förbindelsen till att omfatta endast information som är behövlig eller nödvändig för att den mottagande myndigheten ska kunna sköta sina egna uppgifter, med beaktande av de informationsrättigheter som uttryckligen föreskrivs i lagen. Öppnandet av en elektronisk förbindelse ska således först bedömas utifrån respektive myndighets informationsrättigheter och möjligheten att ta del av information ska begränsas till sådana uppgifter som myndigheten behöver inom ramen för sina informationsrättigheter. Möjligheten att ta del av information kan inte vara obegränsad och en elektronisk förbindelse får inte öppnas till vilken information som helst, utan endast efter en förhandsbedömning till vissa myndigheter, om det inte finns en förbindelse till registrerade uppgifter som är avsedda särskilt för lagstadgad allmän användning eller som var och en har rätt att ta del av. I sådana situationer kan öppnandet av en elektronisk förbindelse förverkligas för en större krets av informationsberättigade aktörer, exempelvis till att omfatta handelsregistret, föreningsregistret eller stiftelseregistret. Det bör föreskrivas särskilt om informationstjänster som möjliggör elektronisk förbindelse och är avsedda för allmänt bruk. Grundlagsutskottet har ansett att offentliggörande av personuppgifter inom ramen för grundlagen kan genomföras som en offentlig informationstjänst, om det med tanke på garantierna för rättssäkerheten och målsättningarna för systemet med grundläggande rättigheter finns goda grunder för detta (GrUU 2/2017 rd, GrUU 65/2014 rd och GrUU 32/2018 rd). Enligt utskottet har det emellertid med tanke på skyddet för privatlivet och personuppgifter relevans att det i personregister i datanätet inte går att söka uppgifter på stora grupper utan till exempel endast som enskilda sökningar (GrUU 2/2017 rd och GrUU 32/2008 rd). Den föreslagna första förutsättningen ligger i linje med att grundlagsutskottet har förutsatt att det genomförs ett system med öppna informationstjänster. I den paragraf som nu föreslås föreskrivs det dock inte om sådana informationstjänster i det allmänna datanätet som grundlagsutskottet avser, utan om elektroniska förbindelser mellan myndigheter inom ramen för deras rätt till information. Bestämmelser om informationstjänster för allmänt bruk utfärdas särskilt. I fråga om det här föreslås det i lagens 24 § 2 mom. en informativ hänvisning till informationstjänster till allmänheten och till behovet av bestämmelser om dem.
Enligt förslaget ska möjligheten till elektronisk förbindelse i enlighet med den andra förutsättningen begränsas till enskilda sökningar och med hjälp av den elektroniska förbindelsemodellen ska det inte vara möjligt att utan begränsning hämta mängder av information från en annan myndighets informationslager. Detta krav framgår också av den andra förutsättningen enligt vilken informationens användningsändamål datatekniskt ska utredas i samband med ansökan om information. Syftet med förutsättningen är att kontrollera för vilket användningsändamål den som söker information har gått in i en annan myndighets informationslager. Detta kan i praktiken genomföras så att en användare som söker information i en meny eller på något annat motsvarande sätt ska välja en grund för informationssökningen. Denna grund inklusive användaruppgifter ska framgå av de logguppgifter som samlas in med hjälp av den elektroniska förbindelsen, vilket innebär att det i efterhand är möjligt att ta reda på syftet med varje sökning som gjorts med hjälp av den elektroniska förbindelsen samt den rättsliga grunden för behandlingen. Samtidigt ska användaren i samband med varje sökning och innan den görs bedöma om sökningen är motiverad med tanke på skötseln av tjänste- eller arbetsuppgifter. Med hjälp av en elektronisk förbindelse är det möjligt att göra endast enskilda sökningar och användaren måste varje gång särskilt uppge användningsändamålet. På detta sätt förhindras det också att sökningar görs automatiskt till exempel med hjälp av en sökrobot.
Enligt paragrafens 2 mom. ska myndigheten upprätta en elektronisk förbindelse till sitt informationslager så att det informationssystem som möjliggör förbindelsen automatiskt identifierar avvikande informationssökning. Avsikten med bestämmelsen är att säkerställa att det i samband med förbindelserna inrättas tillräckliga kontroller för att förhindra storskalig sökning av information i en annan myndighets informationslager. Den elektroniska förbindelsen ska genomföras så att det informationssystem som möjliggör förbindelsen har kontrollfunktioner som identifierar avvikande informationssökningar exempelvis i fråga om en viss registrerad, eller en viss användares avvikande informationssökningar på grund av deras stora antal. Genom dessa kontrollfunktioner förhindras eller begränsas situationer där någon via en elektronisk förbindelse utan behörighet genomsöker information. Det informationssystem genom vilket sökningen görs kan då exempelvis till huvudanvändaren sända ett meddelande om avvikande sökningar för att huvudanvändaren ska kunna utreda orsaken till den omotiverat omfattande sökningen. Detta hindrar i sin tur automatiska sökningar till exempel med hjälp av en sökrobot.
24 §. Överföring av informationsmaterial via tekniska gränssnitt till andra än myndigheter. I denna paragraf föreskrivs om överföring av informationsmaterial via ett tekniskt gränssnitt till andra än myndigheter. Paragrafen möjliggör sådan överföring och i den föreskrivs inte om rättigheter till information. På grundval av paragrafen kan ingen kräva att ett tekniskt gränssnitt öppnas, utan detta blir beroende av respektive myndighets prövning och beslut. Ett tekniskt gränssnitt kan i enlighet med bestämmelsen öppnas också för information som överförs med stöd av särskilt föreskrivna rättigheter till information och som innehåller också sekretessbelagda uppgifter eller uppgifter om särskilda persongrupper. Enligt den första meningen i paragrafens 1 mom. kan en myndighet via tekniska gränssnitt överföra information till en aktör som inte är en annan myndighet, om den mottagande aktören uttryckligen enligt lag har rätt att få informationen och hantera den. Bestämmelsen innebär att det blir möjligt att via ett tekniskt gränssnitt överföra information också till informationssystem utanför förvaltningen, om förutsättningarna är uppfyllda och om myndigheten anser att överföringsmetoden är ändamålsenlig. I offentlighetslagen och speciallagstiftning föreskrivs om informationsrättigheter. En myndighet ska utöver informationsrätten särskilt utreda om informationsmottagaren med stöd av bestämmelserna om skydd för personuppgifter har rätt att behandla överförda personuppgifter. En överföring via ett tekniskt gränssnitt kan således ske först efter det att myndigheten har bestämt att mottagaren har rätt att få och behandla information vid sådan upprepad och kontrollerad informationsöverföring som sker via ett tekniskt gränssnitt. Bestämmelsen möjliggör informationsöverföring via tekniska gränssnitt utan att det behövs några särskilda bestämmelser om saken i speciallagstiftning. Sådana åtgärder kan ha samband exempelvis med näringsverksamhet, utvecklingsverksamhet eller forskningsverksamhet. Bestämmelserna om användning av tekniska gränssnitt för informationsöverföring ska i regel ingå i en enda lag. Genom bestämmelsen möjliggörs inte vidareöverföring av information med hjälp av tekniska gränssnitt till någon annan verksamhet, utan bestämmelser om saken ska tas in i speciallagstiftning. I paragrafens andra mening hänvisas till de allmänna förutsättningarna i 22 §. I praktiken ska samma krav uppfyllas i fråga om överföring av information via tekniska gränssnitt både mellan myndigheters informationssystem och mellan förvaltningsexterna informationssystem.
Enligt den tredje meningen i paragrafens 1 mom. ska den överlåtande myndigheten säkerställa att den mottagande aktören vid hanteringen av informationen vidtar motsvarande informationssäkerhetsåtgärder som en informationshanteringsenhet är skyldig att vidta enligt denna lag. En myndighet ska med stöd av bestämmelsen utreda och säkerställa att den verksamhet för vilken information överförs uppfyller motsvarande säkerhetskrav som informationsmaterialen i myndighetens informationslager och behandlingen av dem. Myndigheten kan be om en utredning av hur informationssäkerheten ordnats, ställa krav på den eller förutsätta en rapport om säkerhetsauditering av den aktör som får informationen. Om det är fråga om information som inte är belagd med begränsningar i fråga om tillgången eller användningen, kan myndigheten lämna ut informationen via ett tekniskt gränssnitt också utan någon särskild utredning. Av denna anledning nämns i den andra meningen att myndigheten vid behov ska säkerställa informationssäkerheten. Därför ska myndigheten särskilt bedöma vilka informationsmaterial som behöver förses med kontrollfunktioner. Om materialet i ett informationslager är helt offentligt finns det inga skäl för myndigheten att utreda grunderna för användningen av informationsmaterialet eller informationssäkerhetsarrangemangen i mottagarens verksamhet. Informationen kan i så fall överföras öppet utan någon särskild utredning.
I paragrafens 2 mom. föreskrivs det särskilt om överföring av information i annat elektroniskt format och om elektroniska förbindelser som erbjuds allmänheten som informationstjänster. Bestämmelsen är en allmän informativ hänvisning vars syfte är att förtydliga att det finns särskilda bestämmelser om informationsöverföring på annat elektroniskt sätt bland annat i lagen om offentlighet i myndigheternas verksamhet. En myndighet kan med stöd av paragrafen inte öppna allmänna informationstjänster i ett datanät när det gäller informationsmaterial som innehåller personuppgifter som ingår i myndighetens datalager, utan det måste föreskrivas särskilt om saken i lag, så som grundlagsutskottet i fråga om personuppgifter i olika sammanhang har förutsatt (GrUU 2/2017 rd, GrUU 65/2014 rd och GrUU 32/2008 rd).
6 kap. Ärendehantering samt informationshantering av tjänster
25 §. Registrering i ärenderegister. I denna paragraf föreskrivs om anteckningar i ärenderegister samt om informationshanteringsenhetens skyldighet att se till att offentliga anteckningar i ärenderegister eller dess delar kan användas för produktion av information som gör det möjligt att specificera begäran om information. Ärenderegistret är ett logiskt register bestående av metadata som uppkommer i samband med behandlingen i en informationshanteringsenhet, oberoende av i vilket informationssystem metadatan har uppkommit. Av denna anledning bildar metadata som enbart finns i ett informationshanteringssystem inte i alla situation ett ärenderegister. Till registret hör också metadata som uppkommer i ett operativt informationssystem och beskriver ärendebehandlingens förlopp. Ärenderegistret upprätthålls i syfte att förverkliga handlingsoffentligheten, specificera informationsbegäran, strukturera dokumentär information, organisera åtgärder i anslutning till ärendebehandlingen, följa upp offentlighetsprincipen och styra processerna. Ärenderegistret främjar således förverkligandet av offentlighetsprincipen samt uppföljningen och verifieringen av en ändamålsenlig och smidig ärendebehandling på det sätt som hör till en god förvaltning. Med ärenderegister avses myndighetsdiarier som stämmer överens med den tidigare terminologin och andra motsvarande förteckningar, men till ärenderegister hör också sådana uppgifter om ärendehantering som ingår i informationssystem. Paragrafens innehåll motsvarar huvudsakligen offentlighetslagens 18 § 1 mom. 1 punkten som föreslås bli upphävd samt 5—6 § i förordningen om offentlighet och god informationshantering i myndigheternas verksamhet, som också upphävs.
Enligt den första meningen i paragrafens 1 mom. ska en informationshanteringsenhet över de ärenden som behandlas hos en myndighet upprätthålla ett ärenderegister för registrering av information om ärenden, ärendebehandling och handlingar. Informationshanteringsenheterna och myndigheter inom dem är således skyldiga att upprätthålla informationen i ärenderegistret samt att koppla informationen till respektive ärende som behandlas. Enligt momentets andra mening ska myndigheten utan dröjsmål föra in sådana handlingar i ärenderegistret som har inkommit till myndigheten eller som den har upprättat, eftersom varje myndighet i praktiken ombesörjer registreringen av handlingar i ärenderegistret. Avsikten med bestämmelsen är att effektivisera myndigheternas registrering i anslutning till ärendehanteringen. En myndighet ska utan dröjsmål registrera ärenden som har inkommit till den eller som den har upprättat. Registreringen ska således göras då en handling har inkommit till myndigheten eller då myndigheten har upprättat en handling för sitt användningsändamål. Registreringsskyldigheten gäller handlingar som uppkommer i samband med att ett ärende inleds, behandlas och delges, men också andra handlingar som uppkommer i samband med myndighetens verksamhet. I 27 § föreskrivs uttryckligen om handlingar som uppkommer i samband med tjänsteproduktion och om informationshanteringen av dem.
Ärenderegistrets informationsinnehåll består av basmetadata om ärendebehandling. Bestämmelser om basmetadata finns i 26 §. I ärenderegistret finns således metauppgifter om ärenden och ärendebehandling samt om handlingar. Ärenderegistret är således inte nödvändigtvis ett informationssystem och information som hör till ett ärenderegister inte behöver tas in i ett enda informationssystem. Informationshanteringsenheterna ska ha en tydlig beskrivning av var det uppkommer information som hör till ärenderegistret och hur denna information kan fås i ett sådant format att handlingsoffentligheten kan förverkligas.
Den föreslagna bestämmelsen kan på ett heltäckande sätt tillämpas på informationshanteringsenheternas och de inom dessa verksamma myndigheternas verksamhet samt också på privata aktörer, till den del som de behandlar sådana handlingar som avses i denna lag. Bestämmelsen om registrering är brett tillämplig eftersom det på grund av informationen i ärenderegistren finns ett viktigt samband mellan specificeringen av informationsbegäran och förverkligandet av handlingsoffentligheten. Bestämmelsen främjar förverkligandet av den grundlagsfästa handlingsoffentligheten. Av denna anledning föreskrivs i paragrafens 2 mom. uttryckligen om informationshanteringsenhetens skyldighet att se till att ett ärenderegister som uppkommer i dess verksamhet eller delarna av ett sådant register gör det möjligt att producera information utifrån offentliga anteckningar som gör det möjligt att individualisera individualiseringsbegäran i enlighet med offentlighetslagen. Det räcker således inte att ärendehanteringssystemen har egenskaper som gör att de kan användas för att producera en vy av ärenderegistrets offentliga anteckningar, utan informationssystemen måste kunna användas för att skapa förteckningar eller vyer som gör det möjligt att specificera en handlingsbegäran. Bestämmelsen, som inte är ny, ingår i offentlighetslagens 18 § 1 mom. 1 punkten, men den preciseras så att det blir möjligt att i en elektronisk verksamhetsmiljö säkerställa att tillgången till information de facto förverkligas på det sätt som avses i offentlighetslagen.
26 §. Uppgifter som ska registreras i ärenderegister. I denna paragraf föreskrivs om hantering av ärenderelaterade basmetadata och om ärendekoder som används för specificering av basmetadata. I lagen definieras inte begreppet ärende, men därmed avses vanligen inom dokumentförvaltningen en helhet som inkommit till en myndighet för behandling eller som myndigheten tagit upp till behandling och som resulterar i att myndigheten i sin verksamhetsprocess (ärendehanteringsprocess) vidtar åtgärder som i slutändan leder till att myndigheten fattar ett beslut, exempelvis ett förvaltningsbeslut, ger ett förordnande, ett utlåtande, en proposition, en anvisning eller någon annat ställningstagande. I förvaltningslagen definieras inte uttryckligen begreppet förvaltningsärende, utan det har lämnats öppet. Av dessa skäl definieras begreppet ärende inte i den föreslagna informationshanteringslagen. På basis av ett ärendes basmetadata är det möjligt att identifiera handlingar och annan information som har samband med ett ärende.
Enligt paragrafens 1 mom. ska en informationshanteringsenhet förse de ärenden som myndigheten behandlar eller som tilldelats myndigheten med en ärendekod som gör det möjligt att identifiera uppgifter som rör ärendet. Med hjälp av ärendekoden ska det vara möjligt att identifiera metadata i anslutning till ärendet och med bestämmelsen uppställs för ärendekoden inga innehållsmässiga formkrav. De diarienummer, diariekoder och ärendenummer som myndigheterna använder motsvarar således syftet med en ärendekod om kodserierna som används specificerar metadata i anslutning till ärendet. Bestämmelsen får således inga direkta konsekvenser för de ärendekoder som är i användning. Bestämmelsen koordinerar terminologin i fråga om ärendekoder och metadata så att de metadata som avser ett ärende ska kunna sökas och specificeras på basis av ärendekoden. Ärendekodens innehåll blir beroende av informationshanteringsenhetens prövning, men vid behov kan metadata om ett ärende, liksom tidigare, utnyttjas i ärendekoden. Informationshanteringsenheten ska emellertid skapa en integrerad helhet av ärendekoderna så att ärendena kan identifieras på ett entydigt sätt.
Paragrafens 2 mom. är en förteckning över de basmetadata som en informationshanteringsenhet ska fastställa för varje ärende som behandlats i en verksamhetsprocess. Förteckningen är inte uttömmande utan den anger minimikraven när det gäller basmetadata i ett ärende. Bestämmelsen är ny i förhållande till den nuvarande regleringen, men motsvarar huvudsakligen vad som också hittills har registrerats i diarier och andra förteckningar.
Till basmetadata hör enligt förteckningen i paragrafens 2 mom. 1 punkten informationshanteringsenhetens företags- och organisationsnummer. Exempelvis kommuner och statliga ämbetsverk har FO-nummer som börjar användas som basmetadata för identifiering av den informationshanteringsenhet inom vars verksamhet de handlingar och annan information som ingår i informationsmaterialet har uppkommit. Via ett allmänt datanäts informationsservice om företag och sammanslutningar kan var och en ta redan på FO-nummer. FO-nummer kan vara behövlig metadata då man skapar mera omfattande informationslager av olika informationshanteringsenheters informationsmaterial, vilket innebär att den information som specificerar en organisation ska vara entydig och baserad på en permanent kod. I samband med fusion mellan informationshanteringsenheter, exempelvis kommunsammanslagningar och sammanslagningar av ämbetsverk, är det viktigt att specificera och göra åtskillnad mellan informationsmaterial som har uppkommit i en tidigare organisation respektive informationsmaterial som har uppkommit i en ny struktur. Också i samband med utvecklandet av centraliserade elektroniska arkivtjänster behövs det information på organisationsnivå. I fråga om centraliserade informationslager och arkiv ska informationen specificeras så att det kan verifieras hos vilken av en informationshanteringsenhets myndigheter informationsmaterialet har uppkommit och vem som svarar för behandlingen av informationen. För närvarande används identifieringskoder för myndigheter inte över hela linjen och inte heller bokstavskombinationer om utvecklats inom dokumentförvaltningen utgör en tillräckligt heltäckande och integrerad bas för specificering av informationsmaterial inom förvaltningen eller för hantering av information i anslutning till ärendebehandling.
Enligt paragrafens 2 mom. 2 punkten ska i basmetadata ingå en identifieringskod, dvs. information som gör det möjligt att utreda vilken myndighet i en informationshanteringsenhet som ska lämna information i ett ärende och i övrigt ansvara för hanteringen. Informationen ska vara i en så begriplig form att också en utomstående förstår till vilken myndighets informationsmaterial uppgifterna i ärendet hör. Också en allmänt använd förkortning av myndighetens namn kan identifiera myndigheten.
Enligt 3 punkten ska metadata förses med en kod som identifierar verksamhetsprocessen och som kan vara till exempel en beteckning som anger uppgiftsklassen eller motsvarande. I den nuvarande verksamhetsmiljön är det inte möjligt att standardisera verksamhetsprocessernas beteckningar, trots att informationshanteringsenheterna målmedvetet har arbetat för att utveckla uppgiftsklassificeringarna. I samband med lagberedningen har gjorts den bedömningen att myndigheterna i detta skede inte har beredskap att skapa enhetliga beteckningar för verksamhetsprocesserna, trots att det skulle förbättra interoperabiliteten och främja effektiviseringen av informationshanteringen. I och med att verksamheten utvecklas kan det vara skäl att ompröva beteckningarna i anslutning till specificeringen av verksamhetsprocesserna, då verkställigheten av den föreslagna lagen följs upp. En informationshanteringsenhet kan således själv besluta om de beteckningar som anger verksamhetsprocesserna, om inte något annat föreskrivs i speciallagstiftning. I förteckningens 4 punkt förskrivs om basmetadata som anger tidpunkten då ett ärende inleddes, dvs. den tidpunkt då en myndighet enligt vad som framgår av de handlingar som inkommit till den har inlett ärendet eller på eget initiativ har vidtagit åtgärder för att inleda ärendet.
I paragrafens 3 mom. föreskrivs om minimikraven när det gäller basmetadata som anger en handling som inkommit till en myndighet. Vid behov kan informationshanteringsenheterna definiera också andra metadata. I fråga om en handling ska enligt momentets 1 punkt registreras åtminstone sådana uppgifter att handlingen kan identifieras på något sätt. Identifieringen kan baseras på en numerisk kod eller på något annat kännetecken eller på handlingens rubrik. Enligt momentets 2 punkt ska också handlingens ankomsttidpunkt registreras. Den registreringen är delvis beroende av på vilket sätt handlingen inkommit, eftersom handlingar som kommit per post kan hänföras till ett visst ankomstdatum, medan handlingens ankomsttidpunkt i samband med elektroniska överföringsmetoder eller digitala tjänster kan hänföras till ett klockslag en bestämd dag. Registreringen av ankomsttidpunkten, som behövs bland annat för beräkning a tidsfrister, har således en särskild betydelse för rättsskyddet. Enligt 3 punkten ska det också registreras på vilket sätt handlingen inkommit, vilket har samband ankomsttidpunkten. Ankomstsättet har betydelse för hur ankomsttidpunkten ska anges då tidsfrister beräknas eller fastställs. I fråga om elektroniska metoder för informationsöverföring föreskrivs det på allmän lagnivå om ankomsttiden och om åtgärder gällande inkommande handlingar i lagen om elektronisk kommunikation i myndigheternas verksamhet, medan det i förvaltningslagen finns bestämmelser om åtgärder vid mottagande av en handling som inkommit till en myndighet per post eller på något motsvarande sätt, om bestämmande av ankomsttidpunkten och om inledande av ärenden. Registreringen av ankomstsättet har samband med säkerställande av avsändarens rättsskydd samt fastställande av tillämpningen av bestämmelserna om inkommande och inledande av ärenden i efterhand exempelvis i samband med laglighetsövervakningen eller räknande av tidsfrister. Enligt momentets 4 punkt ska i fråga om en handling registreras också dess avsändare eller ombud. Handlingen har eventuellt avsänts av någon annan än parten själv, vilket innebär att det med tanke på uppkomsten av dokumentärt material i olika skeden av ärendebehandlingen är viktigt att registrera uppgifter om avsändarna, i synnerhet om avsändaren inte är en part. Det finns bestämmelser om avsändare och ombud i annan lagstiftning.
I paragrafens 4 mom. föreskrivs om registrering av handlingar som upprättats av en myndighet. Handlingar som upprättats av en myndighet ska på basis av basmetadata kunna identifieras på något sätt, antingen med en identifieringskod eller på basis av rubrikuppgifter. I fråga om den som upprättat en handling ska registreras sådana uppgifter att det i efterhand är möjligt att verifiera vem som ansvarar för handlingens innehåll. Med tidpunkten för upprättandet avses den tidpunkt då en myndighetshandling registreras i ärenderegistret eller den tidpunkt då en handling har blivit färdig för sitt användningsändamål. Till metadata för en myndighetshandling kan dessutom fogas också annan information som kan gälla bland annat beslutsfattandet eller undertecknarna.
I paragrafens 5 mom. föreskrivs om andra uppgifter som har samband med ärendebehandlingen. Enligt momentets 1 punkt ska i ärenderegistret registreras vem som inlett ärendet och vid behov övriga parter. Uppgifter om vem som inlett ärendet och vilka parterna är behövs bland annat för delgivning i ett senare skede och således för tryggande av parternas rättsskydd. Om samtliga parter inte kan identifieras eller om det är fråga om en omfattande grupp av personer, ska i fråga om parterna registreras åtminstone vilka partskategorier det är fråga om, om de kan fastställas. Av ärenderegistret ska enligt 2 punkten framgå hur behandlingen framskridit. Denna bestämmelse sammanhänger med förvaltningslagens 23 § 2 mom. där det föreskrivs att en myndighet på en parts begäran ska ge en uppskattning om när ett beslut kommer att ges samt svara på förfrågningar om hur behandlingen framskrider. Uppgifterna om hur ett ärende framskridit underlättar kundbetjäningen eller också är det möjligt att på basis av dem tillhandahålla informationstjänst som gör det möjligt för en part att följa hur behandlingen av ett ärende har framskridit. Med uppgifter om hur ett ärende framskridit avses i lagen inte teknisk information om ett ärende eller en handling, utan sådana uppgifter som avser ärendebehandlingen. I momentets 3 punkt föreskrivs om myndighetens skyldighet att i ärenderegistret registrera förberedande åtgärder och behandlingsskeden så att det i efterhand kan konstateras hur behandlingen har genomförts och vilka åtgärder som har vidtagits i samband med den. Exempelvis en utredningsbegäran eller ett remissförfarande är förberedande åtgärder som inte utgör en egen ärendebehandlingsprocess. Myndigheterna ska således också ombesörja att i ärenderegistren inte i onödan registreras nya omständigheter som de facto har samband med åtgärder som avser redan existerande ärenden. Myndigheterna ska undvika att inom ramen för samma ärendebehandling inleda och registrera flera ärenden. Ärendebehandlingarna ska utgöra en integrerad helhet.
27 §. Hantering av informationsmaterial i samband med tjänsteproduktion. I myndighetsverksamhet produceras en hel del informationsmaterial också i andra sammanhang än ärendebehandling. Hittills har det i lagstiftningen inte funnits några allmänna bestämmelser om hur hanteringen av metadata som avser denna typ av informationsmaterial ska ordnas. I speciallagstiftning har det emellertid kunnat föreskrivas hur exempelvis enskilda dokument uppkommer i samband med tjänsteproduktion. I syfte att förverkliga handlingsoffentligheten måste informationshantering och informationsbegäran också säkerställas i samband med tjänsteproduktion. Enligt den föreslagna paragrafen ska en informationshanteringsenhet organisera hanteringen av informationsmaterial som uppkommer i annat sammanhang än ärendehantering på ett sådant sätt att de dokument som skapas utifrån informationsmaterialet kan sökas med en kod som anger informationsmängder, så att informationen utan svårighet kan överföras till behöriga personer. Syftet med bestämmelsen är att understryka handlingsoffentligheten i fråga om informationsmaterial som inte har uppkommit i samband med ärendebehandling. Information ska kunna hämtas också ur dessa material, bland annat i syfte att förverkliga handlingsoffentligheten och parternas rättigheter. Informationshanteringen när det gäller informationsmaterial som uppkommer i samband med produktion av sådana tjänster ska ordnas så att informationen kan sökas med hjälp av en identifieringskod. Det kan vara fråga om ett kundnummer, en personbeteckning, ett FO-nummer, en fastighetsbeteckning, ett studentnummer, en tjänstekod eller någon annan motsvarande identifieringsuppgift. Enligt paragrafens andra mening ska myndigheten utan dröjsmål registrera handlingar och övrig information som uppkommer i samband med tjänsteproduktion så att det i efterhand är möjligt att konstatera handlingar och övrig information sambandet med tjänsteproduktion. Vid skapandet av sådana metadata kan man utnyttja bestämmelserna om metadata, men metadata som uppkommer i samband med tjänsteproduktion blir beroende av speciallagstiftning och informationshanteringsenheternas egna definitioner. I paragrafen förutsätts således att informationsmaterial som uppkommer närmast i samband med tjänsteproduktion ska utformas så att man kan göra informationssökningar i dem. I samband med tjänsteproduktion ska i praktiken produceras samma typ av metadata om tjänsteprocesser som i fråga som ärendebehandlingsprocesser. Det ska vara möjligt att i informationsmaterialet ange i samband med vilken verksamhetsprocess det i informationsmaterialet har uppkommit handlingar eller annan motsvarande information. Sådana tjänster som avses i paragrafen är bland annat barndagvård, undervisning och hemvård. I samband med produktion av dessa tjänster kan det också förekomma verksamhetsprocesser som utgör en ärendebehandlingsprocess, exempelvis i samband med ansökan om dagvårdsplats.
28 §. Beskrivning i syfte att genomföra handlingsoffentligheten. I denna paragraf föreskrivs om en informationshanteringsenhets skyldighet att beskriva de informationslager och ärenderegister som den förvaltar. Beskrivningen ska ersätta offentlighetslagens gällande 18 § 1 mom. 2 punkten där det föreskrivs om skyldigheten att beskriva datasystem och de offentliga uppgifter som kan tas fram ur dessa. Genom beskrivningen genomförs offentlighetsprincipen, eftersom beskrivningen underlättar informationsbegäran. Enligt offentlighetslagens 13 § 1 mom. ska en begäran om att få ta del av innehållet i en myndighetshandling individualiseras tillräckligt noggrant så att myndigheten ska kunna utreda vilken handling den avser. Den som begär en handling ska med diarier och andra register bistås vid individualiseringen av de handlingar som han eller hon önskar ta del av. För att individualiseringen av en sådan informationsbegäran som avses i offentlighetslagen ska kunna genomföras hos en informationshanteringsenhet, ska enheten ha en beskrivning varav framgår tillräcklig information för att framställa en informationsbegäran. Med hjälp av beskrivningen kan var och en få information om i vilken omfattning och hur myndigheten behandlar information i anslutning till ärendebehandling och tjänsteproduktion.
Enligt paragrafens 1 mom. ska en informationshanteringsenhet för genomförande av offentlighetsprincipen upprätthålla en beskrivning av de informationslager och ärenderegister som den förvaltar. I momentet ingår en förteckning över vilka uppgifter som ska framgå av beskrivningen. Enligt momentets 1 punkt ska av beskrivningen framgå vilka informationssystem som innehåller uppgifter eller informationsmaterial som hör till ärenderegistret eller informationshanteringen för tjänsterna. Ärenderegistret i en informationshanteringsenhet utgör en logisk helhet i vilken ingår samtliga metadata om ärendebehandlingen. Hos de flesta informationshanteringsenheterna ingår ärenderegistrets uppgifter i ärendehanteringssystemet, men också i olika operativa informationssystem. Avsikten är att informationshanteringsenheterna bättre ska beskriva i vilka informationssystem och på vilka andra underlag de har uppgifter som hör till ärenderegistret. Av beskrivningen ska framgå hur informationshanteringsenhetens ärenderegister är uppbyggda. På motsvarande sätt ska informationshanteringsenheterna beskriva i vilka informationssystem det uppkommer information som hör till informationshanteringen för tjänsterna, för att det ska framgå hur informationshanteringen är uppbyggd. Enligt momentets 2 punkt ska av beskrivningen framgå vilken myndighet som beslutar om utlämnande av information från ärenderegistret och informationssystemet samt kontaktuppgifter för framställande av en informationsbegäran till myndigheten. Enligt offentlighetslagens 14 § ska beslut om att en myndighetshandling lämnas ut fattas av den myndighet som innehar handlingen, om inte något annat föreskrivs i 15 § 3 mom. eller någon annanstans i lag. Med hjälp av beskrivningen kan den som ber om information framföra sin begäran tydligt och mödolöst till den myndighet som fattar beslut om utlämnandet. Enligt momentets 3 punkt ska av beskrivningen framgå vilka kategorier av informationsmaterial som ingår i informationssystemen. Skyldigheten att offentliggöra systemens informationsmaterial kategorivis förbättrar offentligheten och möjliggör tillräcklig individualisering av informationsbegäran. Enligt momentets 4 punkt ska av beskrivningen framgå grunderna för sökning av offentliga handlingar eller annan information. Enligt 5 punkten ska av beskrivningen framgå om det finns öppen tillgång till informationsmaterial via ett tekniskt gränssnitt. Om det finns öppen tillgång till informationsmaterial via ett tekniskt gränssnitt ska det av beskrivningen framgå var informationen finns tillgänglig. Förteckningens 5 punkt innebär inte att i beskrivningen ska ingå vilken som helst information via gränssnitt, utan endast information om sådana gränssnitt som är allmänt tillgängliga och genom vilka det är möjligt att få och utnyttja informationsmaterial som uppkommit hos myndigheter. I 19 § 2 mom. finns en särskild bestämmelse om informationsmaterial i maskinläsbart format.
I paragrafens 2 mom. föreskrivs om informationshanteringsenhetens skyldighet att i ett allmänt datanät offentliggöra en sådan beskrivning som avses i 1 mom., till den del som informationen i beskrivningen inte är sekretessbelagd. Med stöd av bestämmelsen ska beskrivningen vara tillgänglig exempelvis på informationshanteringsenhetens webbsidor. Beskrivningens tillgänglighet betjänar genomförandet av offentlighetsprincipen.
7 kap. Särskilda bestämmelser
29 §. Ikraftträdande. I denna paragraf ingår en ikraftträdandebestämmelse. Avsikten är att lagen ska träda i kraft så snart som möjligt, på grund av att regleringen av informationshanteringen är föråldrad och i syfte att eliminera inkonsekvenser i regleringen. Enligt paragrafen om ikraftträdandet ska lagen om informationsförvaltning inom den offentliga förvaltningen upphävas.
30 §. Övergångsbestämmelser. I den föreslagna lagen ingår övergångsbestämmelser eftersom informationshanteringsenheterna när lagen träder i kraft inte har all den beredskap som behövs för tillämpning av den nya lagen och de nya bestämmelserna i den. Till den del som lagens bestämmelser motsvarar den gällande lagen, men lagstiftning som ska upphävas eller ändras eller om regleringen motsvarar redan gällande praxis ska det enligt förslaget inte föreskrivas om övergångstider.
Enligt paragrafens 1 mom. ska informationshanteringsenheterna utarbeta en informationshanteringsmodell enligt 5 § senast 12 månader efter att denna lag trätt i kraft. För närvarande har myndigheterna beskrivningar av behandlingsåtgärder och informationssystem, arkivbildningsplaner (informationsstyrningsplan) och arkitekturbeskrivningar, för vilkas sammanställande och koordinering det är skäl att reservera tillräckligt med tid. Eftersom en informationshanteringsmodell ska produceras på basis av existerande dokument kan 12 månader anses vara en tillräckligt lång tid för utarbetandet av informationshanteringsplanen.
I paragrafens 2 mom. föreskrivs om genomförande av andra myndigheters informationssäkerhetskrav än sådana som verkar inom statliga ämbetsverk och inrättningar. En del av informationssäkerhetskraven är baserade på gällande krav som föreskrivs i offentlighetslagens 18 § samt i EU:s dataskyddsförordning. För kraven har tidigare föreskrivits om egna övergångstider. Då kraven dessutom motsvarar myndigheternas gällande praxis, är de föreslagna ändringarna inte så betydande att det för dem skulle behövas en längre övergångstid än tre år. I fråga om de myndigheter som är verksamma vid statliga ämbetsverk och inrättningar förändras kraven inte på ett sätt som skulle förutsätta att det föreskrivs om en särskild övergångstid.
I paragrafens 3 mom. finns övergångsbestämmelser för genomförande av förfaranden i anslutning till elektroniskt format samt för tillgängligheten i fråga om informationsmaterial. En myndighet ska inom 18 månader efter det att lagen trätt i kraft genomföra de förfaranden som kraven avser när det gäller att till elektroniskt format omvandla handlingar som inkommer i annat än elektroniskt format, förvaring av handlingar i elektroniskt format samt utnyttjande av en annan myndighets informationsmaterial. Myndigheten ska ombesörja informationsmaterialens tillgänglighet och användningsmöjligheter i ett allmänt maskinläsbart format inom två år efter det att lagen trätt i kraft i enlighet med 19 § 2 mom. Genom övergångsbestämmelser ges myndigheterna tillräckligt med tid för att säkerställa förfarandenas lagenlighet. Bestämmelserna gäller nya informationsmaterial som uppkommer, vilket innebär att bestämmelserna inte tillämpas på informationsmaterial som uppkommit före utgången av övergångsperioderna. Det finns dock heller inget hinder för att lagens bestämmelser tillämpas vid myndigheterna redan före utgången av övergångsperioden. Dessutom innehåller momentet en övergångsperiod på 12 månader som gäller bestämmelserna i 20 § om insamling av uppgifter. Den föreslagna övergångsperioden på 12 månader gör det möjligt för myndigheterna att se över tillvägagångssätten för insamling av uppgifter.
I paragrafens 4 mom. föreskrivs om ministeriernas skyldighet att inom sina respektive ansvarsområden inom 12 månader från det att lagen trätt i kraft, med hjälp av tekniska gränssnitt mellan myndigheterna utreda vilka objekt som förutsätter reglering och upprätthållande av regelbunden och standardiserad informationsöverföring. Ministerierna ansvarar för beredningen av regleringen som gäller utlämnande av information och ministeriernas uppgift har ända till september 2011, i enlighet med 8 § 1 mom. i lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen, varit att utarbeta och upprätthålla beskrivningar och definitioner av interoperabiliteten mellan informationssystemen inom sitt eget ansvarsområde. Eftersom det finns sådan information som förutsätts för genomförande av den skyldighet som ministerierna ska ansvara för enligt föreslagna 22 § 3 mom., kan 12 månader anses vara en tillräckligt lång tid för utredning av de objekt för definition av gränssnitten som avses i lagen.
I paragrafens 5 mom. föreskrivs om tidsfristerna för ändringar i informationssystemen när det gäller myndigheternas insamling av logginformation, utlämnande av information via tekniska gränssnitt och öppnande av elektronisk förbindelse till myndigheter. Bestämmelserna ska tillämpas på informationssystem som anskaffas efter det att lagen trätt i kraft, vilket innebär att myndigheterna får tillräckligt med tid för att säkerställa att de krav som ställs på de framtida anskaffningarna motsvarar kraven enligt informationshanteringslagen. De krav gällande elektroniskt utlämnande av information som anges i lagens 22—24 § ska genomföras på informationssystem som anskaffats innan lagen trätt i kraft, i samband med uppdateringen av informationssystemens tekniska gränssnitt och elektroniska förbindelser. De ändringar som görs i samband med uppdateringar ska dock genomföras senast fyra år efter det att lagen trätt i kraft. De krav gällande insamling av logginformation som föreskrivs i lagens 17 § ska genomföras i informationssystemen senast två år efter det att lagen trätt i kraft. Övergångsbestämmelserna innebär att myndigheterna enligt prövning kan ändra sina informationssystem så att de blir lagenliga vid en ändamålsenlig tidpunkt, i samband med utvecklingen av systemanskaffningarna och utvecklingen under systemens normala livscykel. De lagar som innehåller sådana bestämmelser om tekniska anslutningar som enligt vad som föreslås i denna regeringsproposition ska upphävas träder enligt förslaget i kraft samtidigt som informationshanteringslagen, men på gamla tekniska anslutningar tillämpas i högst 48 månader de gamla, upphävda bestämmelserna. I enlighet med den nya informationshanteringslagen kan tekniska anslutningar moderniseras under övergångsperioden, varvid informationshanteringslagens bestämmelser börjar tillämpas efter ändringarna.
I paragrafens 6 mom. finns övergångsbestämmelser för förfarandena i fråga om ärendehanteringen och informationshanteringen av tjänster. Myndigheterna ska inom 12 månader efter det att lagen trätt i kraft ordna ärende- och handlingsregistreringen och hanteringen av informationsmaterial i samband med tjänsteproduktion och beskriva de informationslager och ärenderegister som de förvaltar i enlighet med kraven i 26—28 §. De krav gällande registrering av handlingar som inkommit till en myndighet och som myndigheten utformat är redan baserade på de krav som föreskrivs i den gällande offentlighetslagens 18 § och för vilka egna övergångstider gällde, så 25 § börjar tillämpas genast vid ikraftträdandet av lagen. Eftersom innehållet i beskrivningen av ärenderegister och informationslager motsvarar innehållet i beskrivningarna som gäller behandlingen av information som upprätthålls av myndigheter, informationssystembeskrivningarna, arkivbildningsplanerna (informationsstyrningsplanen) och arkitekturbeskrivningarna, kan övergångstiden på 12 månader anses vara tillräcklig för utarbetande av beskrivningen.