Laki digitaalisten palvelujen tarjoamisesta, luku 2: Viranomaisten digitaalisten palvelujen järjestäminen yleisölle

Laki digitaalisten palvelujen tarjoamisesta sisältää digitaalisten palvelujen saavutettavuusvaatimukset sekä viranomaisten digitaalisten palvelujen suunnittelua ja ylläpitoa sekä sähköisen tunnistamisen perusteita koskevat vaatimukset. Useimmat lain sisältämät perusvaatimukset ovat yleisellä tasolla ja niitä on tulkittava samaan aikaan muun muassa tiedonhallintalain, julkisuuslain ja tietosuojalainsäädännön kanssa.
Tietokone

Lain toinen luku keskittyy digitaalisiin palveluihin yhdeksästä näkökulmasta:

  • palveluista tiedottamiseen
  • palveluiden saatavuuteen
  • palveluiden suunnitteluun ja ylläpitoon
  • palveluiden yhteensopivuuteen tukipalvelujen ja muiden palvelujen kanssa
  • palveluiden yhteensopivuuteen ohjelmistojen ja tietoliikenneyhteyksien kanssa
  • palvelujen käyttökatkoihin
  • palvelun käyttäjän tunnistamiseen
  • sähköisten viestien ja asiakirjojen lähettämiseen ja vastaanottamiseen
  • digitaalisen palvelun käytön tuen järjestämiseen

Lakiin kirjattua tiivistä vaatimusta on täydennetty alla olevilla suosituksilla. Suositukset eivät velvoita, mutta toimivat ohjenuorana lain toteuttamiseksi.

 

4 § Digitaalisten palvelujen suunnittelu ja ylläpito

Digitaalisten palveluiden yhteensopivuus ohjelmistojen ja tietoliikenneyhteyksien kanssa Laajenna
Viranomaisen on varmistettava digitaalisten palvelujensa yhteensopivuus yleisesti käytettyjen ohjelmistojen ja tietoliikenneyhteyksien kanssa.

Viranomaisen on tarjottava asiakkaille tasapuolinen mahdollisuus saada palveluita. Tasapuolisen mahdollisuuden tarjoaminen koskee myös digitaalisia palveluita.

Käytännössä tämä tarkoittaa sitä, että palvelun käyttäjän tulisi ajasta ja paikasta riippumatta:

  • voida käyttää digitaalisia palveluita esimerkiksi yleisesti käytetyillä selain- ja ruudunlukuohjelmistoilla
  • voida käyttää digitaalisia palveluita erilaisilla tietoliikenneyhteyksillä suuntaa-antava yleisen nopeuden ollessa saapuvassa liikenteessä 2 Mbit/s.

 

Digitaalisten palveluiden suunnittelu ja ylläpito Laajenna
Digitaaliset palvelut on suunniteltava ja ylläpidettävä siten, että niiden tietoturvallisuus, tietosuoja, löydettävyys ja
helppokäyttöisyys on varmistettu.

Digitaalisen palvelun ylläpitäminen ja tietoturvan- ja suojan varmistaminen säännöllisillä auditoinneilla ovat olennaisia palvelun luotettavuuden varmistamiseksi.

Tietoturvan osalta riskejä tulisi arvioida jatkuvasti ja palvelua kehittää jatkuvasti ainakin seuraavista näkökulmista:

  • asiakastiedon luottamuksellisuus
  • tietojen eheys, eli tietoa muutetaan ainoastaan tiedon todennetun luojan toimesta
  • palvelun saatavuus, eli palvelun käytettävyydestä on varmuus ilman, että esimerkiksi järjestelmävirheet haittaavat käyttöä
  • suoritettujen toimien ja tehtyjen päätösten kiistämättömyys, eli esimerkiksi päätöksissä osallisena ollut henkilö ei voi myöhemmin kiistää osallisuuttaan, sillä hänen osallisuutensa pystytään todistamaan

Tietosuojan osalta olennaista on, että palvelussa huomioidaan

  • rekisteröityjen oikeudet ja vapaudet
  • henkilötietojen käsittelyn luonne ja laajuus,
  • asiayhteys ja tarkoitus, jossa henkilötietoja käsitellään
  • tekniikan, teknologian ja käsittelyn aiheuttamat riskit
  • se, että palvelussa käytetään vain tarvittavia tietoja, eikä ylimääräisiä tietoja kerätä

Löydettävyyden kannalta tärkeää on

  • muodostaa verkko-osoite, joka on yksinkertainen ja muistettava (esimerkiksi organisaation nimi tai yleisesti tunnettu lyhenne)
  • verkko-osoitteen vaihtuessa eteenpäinohjata käyttäjä uuteen osoitteeseen
  • jäsentää verkkopalvelu niin, että digitaaliset palvelut ovat sieltä helposti löydettävissä
  • muodostaa keskenään yhdenmukaisia verkkopalveluita
  • kuvata organisaation digitaaliset palvelut suomi.fi-palvelutietovarantoon
  • varmistaa se, että palvelu ja sen tietosisällöt ovat löydettävissä hakukoneiden avulla

Lisäksi digitaalisen palvelun kehittämisessä tulisi huomioida käyttäjälähtöisyyden periaatteet.

Digitaalisten palvelujen ja muiden sähköisten tiedonsiirtomenetelmien käyttökatkot Laajenna
Digitaalisten palveluiden käyttökatkot on ajoitettava sellaiseen hetkeen, jolloin palveluiden käyttö on vähäistä. Käytökatkoista tulee tiedottaa etukäteen ja käyttökatkon ajaksi asioiden hoitamiseen on järjestettävä korvaava tapa.

Palvelun käyttöä tulisi seurata esimerkiksi analytiikan tai lokitietojen avulla, jotta käyttökatko voitaisiin sijoittaa mahdollisimman vähäisen käytön aikaan. Ennen käyttökatkon aloittamista käyttökatkosta ja sen kestosta tulisi tiedottaa käyttäjille.

Palvelukatkoa suunnitellessa tulisi esimerkiksi:

  • arvioida keihin kaikkiin käyttökatko vaikuttaa
  • tunnistaa aikaisempiin käyttökatkoihin liittyneet tekijät ja esimerkiksi haasteet
  • tunnistaa maksimipalvelukatkon pituus
  • valmistautua käyttökatkon hallittuun lopettamiseen ilman, että tietoja menetetään

Käyttökatkon jälkeen katkon onnistumista tulisi arvioida ja mahdollisia kehityskohteita kirjata ylös.

Erilaiset häiriöt tai esimerkiksi tietomurrot saattavat aiheuttaa suunnittelemattomia käyttökatkoja. Tällaisia tilanteita varten tulisi olla olemassa erilliset poikkeamienhallintaa, jatkuvuus- ja toipumisuunnittelua sekä poikkeamatilanne- ja kriisiviestintää koskevat periaatteet ja suunnitelmat.

 

Digitaalisten palveluiden saatavuus Laajenna
Digitaalisten palvelut ja muut viranomaisen käytössä olevat sähköiset
tiedonsiirtomenetelmät on oltava saatavilla silloin kun niitä tarvitaan, ajasta ja paikasta riippumatta.

Saatavuuden voi varmistaa jo palvelun suunnitteluvaiheessa esimerkiksi:

  • tekemällä riskiarvio, jossa huomioidaan palvelun keskeiset käyttötapaukset sekä saatavuuden vaarantuminen näiden näkökulmasta
  • huomioimalla riskit ja riippuvuudet palvelun suunnittelussa
  • tekemällä suunnitelma eri sidosryhmien kanssa tehtävästä yhteistyöstä häiriötilanteessa
  • määrittämällä saatavuustavoitteet ja vaatimukset, eli esimerkiksi tavoiteaika häiriöstä toipumiselle, aikaväli jolloin tietojen menettäminen on hyväksyttävää ja pisin mahdollinen aika ennen kuin häiriöt palvelun saatavuudessa käyvät sietämättömiksi.

Saatavuuteen vaikuttavat erityisesti:

  • tekniset ja toiminnalliset ratkaisut, kuten palveluympäristön kahdennukset
  • varmuuskopiointi
  • tietojen hajasijoittaminen

Palveluiden tulee olla saatavana myös viranomaisen asiointipisteiden aukioloaikojen (virka-aika) ulkopuolella. Palvelun saatavuuden merkitys kasvaa, kun sähköisestä asioinnista muodostuu ensisijainen tapa asioida viranomaisessa ja palveluiden odotetaan olevan ajasta ja paikasta riippumatta saatavilla.

Digitaalisten palveluiden yhteensopivuus tukipalveluiden ja muiden digitaalisten palveluiden kanssa Laajenna
Viranomaisen on varmistettava digitaalisten palvelujensa riittävä yhteensopivuus hallinnon yhteisten sähköisten tukipalvelujen ja muiden viranomaisten digitaalisten palvelujen kanssa.

Julkisen hallinnon viranomaiset ovat lähtökohtaisesti velvollisia ja oikeutettuja käyttämään yhteisiä sähköisen asioinnin tukipalveluita. Samalla viranomaisen tulisi varmistaa yhteensopivuus myös muiden olennaisten viranomaisten digitaalisten palveluiden kanssa. Siksi ennen uuden palvelun rakentamista samankaltaisten palveluiden toiminnallisuudet ja toimintalogiikka tulisi kartoittaa ja uusi palvelu tulisi toteuttaa niitä mahdollisuuksien mukaan noudattaen, jotta palvelut säilyvät käyttäjille mahdollisimman yhdenmukaisina ja helppokäyttöisinä. Muiden palvelujen käyttö on sallittua ainoastaan silloin, jos organisaation on teknisistä, toiminnallisista, kustannustehokkuus- tai tietoturvallisuuteen liittyvistä syistä välttämätöntä käyttää toiminnassaan tai sen osassa muuta palvelua

Yhteisten sähköisten tukipalvelujen käyttö koskee seuraavia hallinnon tukipalveluja:

  • Suomi.fi-verkkopalvelu
  • Suomi.fi-maksut
  • Suomi.fi-palvelutietovaranto
  • Suomi.fi-palveluväylä
  • Suomi.fi-tunnistus
  • Suomi.fi-valtuudet
  • Suomi.fi-viestit

5 § Digitaalisten palvelujen tarjoaminen

Sähköisten viestien ja asiakirjojen välittäminen Laajenna
Viranomaisen on tarjottava jokaiselle mahdollisuus toimittaa asiointitarpeeseensa liittyvät sähköiset viestit ja asiakirjat käyttäen
digitaalisia palveluita tai muita sähköisiä tiedonsiirtomenetelmiä. Viranomaisen on myös tarjottava mahdollisuus vastaanottaa sähköisiä viestejä tai asiakirjoja lain määrittämän viestinvälityspalvelun tai muun tietoturvallisen viestinvälityspalvelun kautta, mikäli viranomainen toimittaa sähköisiä viestejä tai asiakirjoja.

Viranomaisen on tarjottava jokaiselle mahdollisuus käyttää viranomaisten sähköisten viestien ja asiakirjojen vastaanottamiseen tarkoitettua viestinvälityspalvelua tai muuta riittävän tietoturvallista sähköistä tiedonsiirtomenetelmää, jos viranomainen voi toimittaa viestin tai asiakirjan sähköisessä muodossa. Käytännössä tämä tarkoittaa sitä, että digitaalista palvelua tarjoavan organisaation on aktiivisesti tarjottava mahdollisuutta vastaanottaa viranomaisen toimittamat asiakirjat ja viestit tietoturvallisella tavalla, silloin kun nämä ovat sähköisessä muodossa.

Julkisen hallinnon organisaatiot ovat hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain (KaPA-laki) mukaan lähtökohtaisesti velvollisia käyttämään yhteisiä sähköisen asioinnin tukipalveluita. Yksi näistä palveluista on viestinvälityspalvelu, joka toteutetaan keskitetysti Suomi.fi-viestien kautta

Kuten viestin toimittamista viranomaisen suuntaan, myös viranomaisen asiakkaan suuntaa toimittamaa viestiä koskee vaatimus riittävästä tietoturvallisuudesta. Viranomaisen asiakas voi lähettää viestin tai asiakirjan salaamattomalla sähköpostilla tai verkkopalvelussa olevalla lomakkeella.

Digitaalisista palveluista tiedottaminen Laajenna
Viranomaisen on tiedotettava digitaalisissa palveluissaan selkeästi, miten jokainen voi hoitaa asiansa viranomaisen kanssa
sähköisesti.

Mahdollisuudesta asioida sähköisesti viranomaisen digitaalisia palveluita käyttäen tiedotetaan viranomaisen markkinointi- ja viestintäsuunnitelmien mukaisesti ja tiedottaminen huomioidaan osana viranomaisen asiakasviestintää. Palveluiden käyttömahdollisuudesta voidaan kertoa myös asiakaspalvelutilanteessa ja Kansalaisneuvonnassa.

Tiedottamisen lisäksi digitaalisten palveluiden käyttömahdollisuuksia ja sähköistä asiointia viranomaisen kanssa tukee digitaalisten palveluiden löydettävyys. Viranomainen huolehtii siitä, että palvelu tietosisältöineen on helposti löydettävissä ja käytettävissä sen omien verkkosivustojen kautta.

Yhteystiedot digitaalista palvelua koskevien neuvojen saamiseksi Laajenna
Viranomaisen on julkaistava digitaalisessa palvelussa yhteystieto, josta jokaisella on mahdollisuus saada neuvoja viranomaisen
digitaalisen palvelun käyttämiseksi.

Viranomaisen on toimivaltansa rajoissa annettava asiakkailleen tarpeen mukaan asioiden hoitamiseen liittyvää neuvontaa sekä vastattava asiointia koskeviin kysymyksiin ja tiedusteluihin. Neuvontaan liittyvä yhteystieto on julkaistava digitaalisessa palvelussa ja sen on löydyttävä helposti. Neuvonnan on oltava maksutonta. Lisäksi viranomaisen tulee järjestää asiakkailleen palvelun käyttöön liittyvää teknistä tukea, jonka viranomainen voi toteuttaa itse tai yhdessä useamman viranomaisen kanssa.

 

6 § Palvelun käyttäjän sähköinen tunnistaminen

Palvelun käyttäjän sähköinen tunnistaminen Laajenna
Viranomainen voi vaatia digitaalisessa palvelussa käyttäjältä sähköistä tunnistamista vain, jos se on tarpeen palvelun tai sen tietosisältöön liittyvien käyttöoikeuksien varmistamiseksi tai palvelussa tehtävään toimeen liittyvien oikeusvaikutusten vuoksi. Jos digitaalisesta palvelusta on mahdollista saada salassa pidettäviä tietosisältöjä nähtäväksi ja käytettäväksi, on palvelun käyttäjä tunnistettava käyttämällä Suomi.fi-tunnistusta, vahvaa sähköistä tunnistamista tai painavasta perustellusta syystä muuta vastaavaa tietoturvallista tunnistuspalvelua.

Viranomaisen tehtävä on arvioida,  milloin ja miten digitaalisen palvelun käyttäjä on tarpeellista tunnistaa. Syitä tunnistamiselle voivat olla:

  • digitaalisen palvelun käyttäjän käyttöoikeuksien selvittäminen ja varmistaminen
  • tilanteet, joissa palvelussa tehdyt toimet voivat aiheuttaa merkittäviä oikeudellisia vaikutuksia hallinnon asiakkaan tai tämän edustaman tahon etuihin, oikeuksiin tai velvollisuuksiin

Tunnistamistarve on arvioitava ja perusteltava tapauskohtaisesti kunkin palvelun ja siinä olevien toiminnallisuuksien luonteen ja niihin liittyvien riskien perusteella. Tunnistamista ei siten ole välttämätöntä aina tehdä.

Mikäli käyttäjä pääsee digitaalisen palvelun kautta esimerkiksi:

  • näkemään tai käsittelemään terveydentilaansa koskevia tietoja
  • muita erityisiin henkilötietoryhmiin kuuluvia tietoja
  • sosiaalihuollon asiakkuutta koskevia tietoja
  • oppilashuoltoon liittyviä tietoja
  • liike- ja ammattisalaisuuksia
  • muita salassa pidettäviä tietoja

on tunnistamisen tapahduttava Suomi.fi-tunnistuksella, vahvalla sähköisellä tunnistamisella, tai painavasta perustellusta syystä muuta vastaavaa tietoturvallista tunnistuspalvelua käyttäen esimerkiksi tilanteessa, jossa käyttäjät ovat ulkomaalaisia eivätkä voi käyttää vahvaa sähköistä tunnistamista.