Regeringens proposition
RP
284
2018 rd
Regeringens proposition till riksdagen med förslag till lag om informationshantering inom den offentliga förvaltningen och till vissa lagar som har samband med den
PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL
I denna proposition föreslås en ny lag om informationshantering inom den offentliga förvaltningen. Lagen ska gälla all informationshantering som sker inom myndigheternas verksamhet. Genom lagen säkerställs en enhetlig förvaltning och en informationssäker behandling av myndigheternas informationsmaterial i syfte att genomföra offentlighetsprincipen. Dessutom föreskrivs i lagen om elektronisk överföring av information mellan olika myndigheters informationssystem. Genom regleringen effektiveras myndigheternas informationshantering så att myndigheterna kan tillhandahålla förvaltningskunderna sina tjänster på ett kvalitativt sätt som är förenligt med god förvaltning och kan sköta sina uppgifter på ett resultatgivande sätt. Syftet med lagen är att främja också interoperabiliteten mellan informationssystemen och informationslagren.  
Den föreslagna lagen ska ersätta och revidera bestämmelserna i den gällande lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen. Det föreslås att den nämnda lagen upphävs. Dessutom ska den nya lagen ersätta bestämmelserna om god informationshantering i lagen om offentlighet i myndigheternas verksamhet. Vidare föreslås att vissa bestämmelser i lagen om offentlighet i myndigheternas verksamhet, lagen om elektronisk kommunikation i myndigheternas verksamhet och säkerhetsutredningslagen ska upphävas eller ändras.  
I den föreslagna informationshanteringslagen föreskrivs om den offentliga förvaltningens allmänna förpliktelser när det gäller informationshantering och användning av datasystem samt om planering och beskrivning av informationshantering, informationssäkerhet, säkerhetsklassificering, skapande av informationsmaterial samt om informationshantering av ärenden och tjänster. Informationshanteringslagen ska enligt förslaget till vissa delar tillämpas också på privata aktörer och sammanslutningar, till den del som på dem tillämpas lagen om offentlighet i myndigheternas verksamhet. Dessutom ska lagen om informationshantering tillämpas på vissa offentliga sammanslutningar som inte omfattas av myndigheternas verksamhet, till den del som på den tillämpas lagen om offentlighet i myndigheternas verksamhet. Avsikten med den föreslagna lagen om informationshantering inom den offentliga förvaltningen är att i vissa avseenden nationellt sätta i kraft Europaparlamentets och rådets direktiv om vidareutnyttjande av information från den offentliga sektorn.  
I lagen föreskrivs om den allmänna styrningen av informationshanteringen inom den offentliga förvaltningen. Finansministeriets och ministeriernas styrning stämmer huvudsakligen överens med de nuvarande befogenheterna. Dessutom föreslås i lagen bestämmelser om ett nytt organ, dvs. den offentliga förvaltningens informationshanteringsnämnd, vars uppgift ska vara att bedöma genomförandet av de krav och förfaranden som föreskrivs i informationshanteringslagen samt att främja ett koordinerat genomförande av de förfaranden som föreskrivs i lagen.  
I den föreslagna lagen om informationshantering inom den offentliga förvaltningen ingår bestämmelser om utlämnande av information via tekniska gränssnitt och elektroniska förbindelser. Vidare föreslås att i speciallagstiftningen upphävs bestämmelserna om utlämnande av information via tekniska anslutningar. Syftet med regleringen är att minska behovet att i speciallagstiftning föreskriva om tekniska metoder för utlämnande av information. Den föreslagna regleringen påverkar inte regleringen av rättigheterna till information. Det föreslås att bestämmelserna regleras så att de bättre än för närvarande beaktar sådana förändringar i informationshanteringen som orsakats av den datatekniska utvecklingen och som kommer att ske i framtiden.  
Avsikten är att lagarna ska träda i kraft den 1 september 2019.  
ALLMÄN MOTIVERING
1
Inledning
Med denna proposition genomförs två spetsprojekt som ingår i regeringsprogrammet för statsminister Juha Sipiläs regering: spetsprojektet Digitalisering av offentliga tjänster samt Smidigare författningar. Syftet med propositionen är att främja digitaliseringen och effektiviteten inom förvaltningen samt att förbättra kvaliteten på de tjänster som produceras för förvaltningskunderna. Genom propositionen avvecklas också tekniska regleringar i speciallagstiftningen. Propositionen har samband med riksdagens ställningstaganden i fråga om utveckling av interoperabiliteten mellan informationssystemen och styrningen av informationsförvaltningen (Rsk 30/2009 rd och Rsk 10/2012 rd). Regleringen av informationshanteringen är splittrad och i många avseenden redan föråldrad i förhållande till förvaltningens nuvarande verksamhetsmiljö. Avsikten med att förnya regleringen är att främja och trygga myndigheternas verksamhet bland annat genom att koordinera och precisera bestämmelserna om informationssäkerhet.  
I denna proposition föreslås att det stiftas en ny lag om informationshantering inom den offentliga förvaltningen. Det är fråga om en allmän lag som ska reglera informationshanteringen inom den offentliga sektorn. I lagen sammanställs bestämmelser från lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen), lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011, nedan informationsförvaltningslagen) och lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003, nedan kommunikationslagen). Genom den föreslagna lagen förnyas regleringen så att den motsvarar den tekniska utvecklingen och de förändrade förfarandena inom informationshanteringen till följd av ökade informationsintensiteten i fråga om samhällsfunktionerna samt uppställs genom den förnyade regleringen preciserade förpliktelser som främjar utnyttjandet av information. Syftet med den föreslagna lagen är att främja kvaliteten på myndigheternas informationshantering, informationssäkerheten samt ett informationssäkert och ansvarsfullt utnyttjande av myndigheternas informationsmaterial på ett sådant sätt att myndigheterna i överensstämmelse med en god förvaltning kan sköta sina uppgifter på ett effektivt och resultatgivande sätt genom att för förvaltningskunderna producera kvalitativa tjänster.  
Den föreslagna informationshanteringslagen innebär en revidering av de offentliga förvaltningsmyndigheternas databehandling och regleringsstruktur. I och med att den nya lagen stiftas föreslås det att informationsförvaltningslagen upphävs. Den upphävda lagens bestämmelser ses över och tas in i den nya informationshanteringslagen. Vidare föreslås att offentlighetslagens bestämmelser om en god informationshantering upphävs, liksom även kommunikationslagens bestämmelser om registrering, eftersom motsvarande bestämmelser i fortsättningen finns i den nya lagen. Förslaget innebär att statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010) samt huvudsakligen förordningen om offentlighet och god informationshantering i myndigheternas verksamhet (1030/1999) upphävs till följd av ändringarna i fråga om bemyndigande att utfärda förordning. Bestämmelserna om informationssäkerhet och ärendehantering ska enligt förslaget lyftas upp till lagnivå så att de huvudsakligen täcker in hela den offentliga förvaltningen, men en ny förordning ska utfärdas om behandlingen av säkerhetsklassificerad information inom statsförvaltningen. 
De nya formerna för utnyttjande av information och de allt mera nätverksbaserade förfarandena i samarbetet mellan olika aktörer ställer nya krav på regleringen när det gäller en enhetligare och i större utsträckning interoperabel informationshantering mellan olika aktörer. Genom en enhetlig allmän reglering som är så heltäckande som möjligt är det möjligt att säkerställa att de olika aktörernas informationshantering är kvalitativ och effektiv och av ett sådant slag att ett effektivt informationsutbyte kan ske mellan myndigheterna på ett sätt som beaktar förvaltningskundernas rättigheter. Genom en reglering med ett omfattande tillämpningsområde är det möjligt att säkerställa en tillräckligt kvalitativ informationshantering och nivå på informationssäkerheten hos alla de aktörer som hör till regleringens tillämpningsområde. Genom den föreslagna regleringen är det möjligt att gallra ut sådana förfaranden i anslutning till elektroniskt utlämnande som innebär att myndigheterna sinsemellan utreder bland annat förfaranden för skyddande av information eller i syfte att säkerställa en grundläggande nivå för informationssäkerheten för varandra uppställer informationssäkerhetskrav i anslutning till beslut om utlämnande av information. Den föreslagna regleringen inverkar inte på rättigheterna när det gäller att få information eller på förfarandena i anslutning därtill, utan en myndighet som lämnar ut information till andra myndigheter ska också i fortsättningen fatta beslut om utlämnande av information till exempel i samband med genomförande av ett tekniskt gränssnitt eller då ett tekniskt gränssnitt för första gången öppnas för en annan myndighet.  
Propositionens informationspolitiska målsättning är att effektivisera överföringen och utnyttjandet av information mellan myndigheterna, övriga aktörer och olika serviceformer. Från medborgarnas synpunkt innebär detta att sådan information om dem som myndigheterna har i sin besittning kan utnyttjas i en så stor utsträckning som möjligt och inte i onödan i samband med olika processer behöver efterfrågas på nytt, eftersom myndigheterna kan lämna ut informationen inom ramen för existerande rättigheter att få tillgång till information. 
Den föreslagna regleringen skapar på allmän lagnivå en grund för enhetliga förfaranden då den offentliga förvaltningen behandlar information som den har i sin besittning. Den föreslagna regleringen ändrar inte bestämmelserna om offentlighet och sekretess eller om utlämnande av information. Allmänna bestämmelser om dessa frågor finns i offentlighetslagen.  
Genom den föreslagna informationshanteringslagen skapas också en grund för genomförande av medborgarnas rättigheter i informationshänseende, eftersom myndigheterna i enlighet med de noggrannare bestämmelserna ska beskriva för allmänheten hur information kan hämtas ur myndigheternas informationssystem. Dessa rättigheter är direkt beroende också av Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EU:s allmänna dataskyddsförordning) samt av de informationsrättigheter som föreskrivs i offentlighetslagen. Den föreslagna informationshanteringslagen inverkar inte på innehållet i dessa rättigheter utan en effektiv och enhetlig informationshantering med tillhörande beskrivningar främjar genomförandet av registrerade aktörers, förvaltningskunders och parters rättigheter i informationshänseende. De informationshanteringsenheter som avses i den föreslagna lagen ska när de genomför och planerar sin informationshantering beakta också medborgarnas rättigheter till information.  
Centrala regleringsobjekt i den föreslagna informationshanteringslagen är de krav som ställs på de i lagen avsedda informationshanteringsenheternas verksamhet i fråga om organisering av informationshanteringen, planeringen och beskrivningen av informationshanteringen samt informationssäkerheten. En central reglering som förnyas utgörs av bestämmelserna om informationshantering av ärenden och tjänster samt bestämmelserna om skapande och elektronisk överföring av informationsmaterial. Med dessa bestämmelser införs i den allmänna regleringen för första gången allmänna förpliktelser i fråga om användning av tekniska gränssnitt.  
Genom den föreslagna informationshanteringslagen genomförs artikel 5.1 i Europaparlamentets och rådets direktiv 2013/37/EU om ändring av direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn (nedan PSI-direktivet). PSI-direktivet har till övriga delar beaktats i lagen om offentlighet i myndigheternas verksamhet.  
2
Nuläge
2.1
Lagstiftning och praxis
2.1.1
2.1.1 Reglering av informationshanteringen
Det finns ingen uttömmande definition av begreppet informationshantering, utan med det avses i allmänhet förfaranden för allmän behandling och användning av data samt framläggande av information på en allmän nivå i samband med insamling och upprätthållande av information i syfte att säkerställa informationens kvalitet och användbarhet. Bestämmelser om informationshantering finns i flera allmänna lagar och i ett antal speciallagar. I lagstiftningen och i lagarnas beredningsmaterial definieras begreppet informationshantering på flera olika sätt, beroende på regleringsobjektet och -aspekten. 
Förvaltningslagen utgör en grund för ordnande av informationshanteringen i förvaltningsärenden, och den kompletteras av offentlighetslagen. Inom rättskipningen utgör förvaltningsprocesslagen (586/1996), rättegångsbalken (4/1734) och lagen om rättegång i brottmål (689/1997) en grund för informationshanteringen. Också lagen om offentlighet vid rättegång i förvaltningsdomstolar (381/2007) och lagen om offentlighet vid rättegång i allmänna domstolar (370/2007) har betydelse i detta sammanhang.  
I förvaltningslagen föreskrivs om grunderna för en god förvaltning och om de krav som ställs på behandlingsprocesserna. En ändamålsenlig organisering av informationshanteringen ingår i genomförandet av en god förvaltning, eftersom därmed betjänas bland annat en smidig ärendebehandling genom att handlingarna styrs till de rätta processerna samt genom att ärendebehandlingen ombesörjs.  
Serviceprincipen innebär att en myndighet ska kunna besvara informationsförfrågningar som inkommit till den samt sträva efter att främja utförandet av sina uppgifter på ett resultatgivande sätt genom att ombesörja myndighetshandlingarnas tillgänglighet och användbarhet.  
I offentlighetslagens 3 § föreskrivs om myndigheternas skyldighet att syfta till öppenhet och en god informationshantering i sin verksamhet. Myndigheterna ska således bland annat se till att deras handlingar och datasystem samt uppgifterna i dem är behörigen tillgängliga, användbara, skyddade och integrerade samt sörja även för andra omständigheter som påverkar informationens kvalitet (offentlighetslagens 18 § 1 mom.). 
Syftet med offentlighetslagens reglering är inte att uttömmande föreskriva om alla de förpliktelser som ingår i begreppet god informationshantering, utan det anses att dessa förpliktelser utformas med tiden och beroende på situationen. Eftersom begreppet handling definieras endast på en generell nivå anger offentlighetslagen inte särskilt tydligt vilka uppgifter eller åtgärder det i enskilda fall är fråga om inom informationshanteringen. Regleringen av god informationshantering i offentlighetslagens 18 § innefattar emellertid allmänna bestämmelser om åtgärder i anslutning till livscykeln för information och handlingar. 
I arkivlagen (831/1994) ingår ingen terminologisk definition som uttryckligen avser informationshantering, men i arkivlagens 4 kap. föreskrivs det om myndigheternas skyldigheter när det gäller framställning, förvaring och användning av handlingar som har ett direkt samband med myndigheternas informationshantering. Förklaringen till definitionen är arkivlagens infallsvinkel som innebär att informationshanteringen jämställs med långtidsförvaring och varaktig förvaring av dokumentär information (arkvilagens 11 §).  
I lagstiftningen inom olika sektorer definieras begreppet informationshantering huvudsakligen utifrån regleringsobjektet och saksammanhanget. I 14 § i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007, nedan klientuppgiftslagen) föreskrivs om riksomfattande informationssystemtjänster, varmed avses en helhet som är avsedd för förvaring och utlämnande av patienthandlingar. I beredningsmaterialen för klientuppgiftslagen ingår inte heller någon närmare definition av begreppet informationshantering.  
I beredningsmaterialet för lagen om klienthandlingar inom socialvården (254/2015) anges som mål för socialvårdens riksomfattande datasystem sådana enhetliga informationshanteringsprocesser för socialvården som stödjer en kvalitativ produktion av tjänster inom socialvården. I samband med klienthandlingarna anses informationshanteringen som en helhet bestå av nationella datasystemtjänster samt av klientuppgiftssystemen och patientuppgiftssystemen i anslutning till dem. I beredningsmaterialen för klientuppgiftslagen och klienthandlingslagen analyseras de nämnda informationshanteringsprocesserna inte närmare och inte heller vad de går ut på.  
Som regleringsobjekt skulle informationshanteringen förutsätta en övergripande och närmare definition av hanteringsobjekten och uppgifterna i anslutning till hanteringen. Den alltför abstrakta definitionen av begreppet informationshantering försvagar styrningseffekten av den reglering som ska utvecklas, på grund av att den lämnar utrymme för tolkning. Informationshanteringen som regleringsobjekt bör definieras utifrån de uppgifter samt ansvar och förpliktelser som sammanhänger med den. Informationshanteringen är som begrepp inte något regleringsobjekt.  
Begreppet informationsförvaltning definieras i informationshanteringslagen men definitionen har i praktiken blivit ett hjälpbegrepp i den lagen och det definierar inte informationsförvaltningens egentliga uppgifter eller organisering hos myndigheterna. Organiseringen av myndigheternas interna förvaltning bör inte regleras med hjälp av begrepp utan regleringen bör avse de uppgifter och skyldigheter som sammanhänger med en adekvat informationshantering som beaktar de grundläggande rättigheterna.  
I 2 § i lagen om elektronisk kommunikation i myndigheternas verksamhet definieras inte tillämpningsområdet från organisatorisk synpunkt. Lagens tillämpningsområde definieras i sak så att lagen ska tillämpas när anhängiggörande och behandling av förvaltningsärenden, domstolsärenden, åtalsärenden och utsökningsärenden samt delgivning av beslut i nämnda ärenden sker på elektronisk väg, om inte något annat föreskrivs någon annanstans i lag. Lagen gäller i tillämpliga delar också annan myndighetsverksamhet. Lagen ska dessutom tillämpas på elektronisk kommunikation när behandlingen av ett förvaltningsärende ankommer på någon annan aktör än ett offentligt samfund eller när en rättegångshandling får tillställas en aktör som av domstol förordnats att ta emot handlingar. Lagen tillämpas inte på förundersökning och polisundersökning. I lagen definieras inte vad som i detta sammanhang avses med offentligt samfund i organisatorisk mening.  
De organisatoriska tillämpningsområdena för de allmänna förvaltningslagar som är relevanta när det gäller informationshanteringen är inte överensstämmande sinsemellan. Förvaltningslagen och lagen om elektronisk kommunikation i myndigheternas verksamhet gäller utöver myndigheter också organisationer som sköter offentliga förvaltningsuppgifter.  
I offentlighetslagen föreskrivs bland annat om skyldigheter i anslutning till informationssäkerhet och ordnande av ärendehantering samt i anslutning till en god offentlighets- och sekretesstruktur. Myndigheterna är skyldiga att planera sin informationshantering och att beskriva den. Beskrivningsskyldigheten regleras i flera lagar. Enligt offentlighetslagens 18 § 1 mom. 3 punkten ska en myndighet utreda vilka följder planerade åtgärder kommer att ha för handlingsoffentligheten, handlingssekretessen, skyddet för handlingar och handlingskvaliteten. På grund av utredningen ska myndigheten vidta de åtgärder som behövs för att rygga rätten till information och kvaliteten på informationen samt för att skydda handlingarna och datasystemen inklusive uppgifterna i dem.  
Enligt offentlighetslagens 18 § 1 mom. 4 punkten ska myndigheten planera och sköta dokument- och informationshanteringen samt datasystemen och databehandlingen så att handlingsoffentlighet kan genomföras smidigt.  
Enligt offentlighetslagens 18 § 1 mom. 2 punkten ska myndigheten göra upp och tillhandahålla beskrivningar på de datasystem som den upprätthåller och på de offentliga uppgifter som kan tas fram ur dessa. Enligt offentlighetsförordningens (1030/1999, 8 § ska en myndighet göra upp en beskrivning av sina datasystem. Av den skall framgå varje datasystems syfte och vilka uppgifter som införs i det. 
Enligt informationsförvaltningslagens 4 § 1 mom. 1 punkten ska finansministeriet särskilt sörja för planering och beskrivning av den offentliga förvaltningens verksamhets-, informations-, system- och teknikarkitektur (övergripande arkitektur). I informationsförvaltningslagens 7 § föreskrivs om myndigheternas skyldighet att planera och beskriva sin övergripande arkitektur.  
2.1.2
2.1.2 Reglering av informationssäkerheten
Informationssäkerheten inom den offentliga sektorn regleras på allmän lagnivå i offentlighetslagen och i fråga om statsförvaltningen dessutom i statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010).  
Begreppet sekretessbelagda myndighetshandlingar definieras på allmän lagnivå i offentlighetslagens 24 § 1 mom. I offentlighetslagens 25 § och i 8—12 § i förordningen om informationssäkerheten inom statsförvaltningen föreskrivs om anteckningar om sekretess och klassificering. I den nämnda förordningens 13—21 § föreskrivs om krav som gäller hanteringen av klassificerade handlingar. 
Vid klassificeringen av sekretessbelagda handlingar ska enligt 9 § i förordningen om informationssäkerheten inom statsförvaltningen användas en fyranivåers skyddsklassificering. En sekretessbelagd handling kan enligt klassificeringen höra till skyddsnivå I, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i en handling kan orsaka särskilt stor skada för de allmänna intressen som avses i sekretessbestämmelsen, till skyddsnivå II, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i en handling kan orsaka betydande skada för de allmänna intressen som avses i sekretessbestämmelsen, till skyddsnivå III, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i en handling kan orsaka skada för de allmänna eller enskilda intressen som avses i sekretessbestämmelsen, och till skyddsnivå IV, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i en handling kan orsaka olägenheter för de allmänna eller enskilda intressen som avses i sekretessbestämmelsen.  
Om obehörigt avslöjande eller obehörig användning av en handling eller uppgifter i handlingen kan orsaka skada för internationella relationer, statens säkerhet, försvaret eller andra allmänna intressen på det sätt som avses i 24 § 1 mom. 2 och 7—10 punkten i lagen om offentlighet i myndigheternas verksamhet, kan i anslutning till anteckningen om den sekretessbelagda handlingens skyddsnivå eller i stället för den enligt 11 § i förordningen om informationssäkerheten inom statsförvaltningen göras en särskild anteckning om säkerhetsklassificering. En anteckning om säkerhetsklassificeringen görs i en handling som omfattas av skyddsnivå I med anteckningen ”ERITTÄIN SALAINEN”, i en handling som omfattas av skyddsnivå II med anteckningen ”SALAINEN”, i en handling som omfattas av skyddsnivå III med anteckningen ”LUOTTAMUKSELLINEN” och i en handling som omfattas av skyddsnivå IV med anteckningen ”KÄYTTÖ RAJOITETTU”.  
I lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011) föreskrivs om grunderna för bedömning av informationssäkerheten, om finansministeriets behörighet och uppgifter samt om Kommunikationsverkets uppgifter.  
2.1.3
2.1.3 Reglering av begreppen handling, informationsmaterial, informationslager och informationssystem
Enligt offentlighetslagens 5 § 1 mom. avses med handling i denna lag utom en framställning i skrift eller bild även ett meddelande som avser ett visst objekt eller ärende och uttrycks i form av tecken som på grund av användningen är avsedda att höra samman och vilken kan uppfattas endast med hjälp av automatisk databehandling eller en ljud- eller bildåtergivningsanordning eller något annat hjälpmedel.  
Enligt offentlighetslagens 5 § 2 mom. avses med myndighetshandling en handling som innehas av en myndighet och som har upprättats av myndigheten eller av någon som är anställd hos en myndighet eller som har inkommit till en myndighet för behandling av ett visst ärende eller i övrigt inkommit i samband med ett ärende som hör till myndighetens verksamhetsområde eller uppgifter.  
Enligt arkivlagens 6 § 2 mom. avses med handling en framställning i skrift eller bild eller en på elektronisk väg eller på annat sätt åstadkommen framställning som kan läsas, avlyssnas eller annars uppfattas med tekniska hjälpmedel. Arkivlagens definition är i praktiken överensstämmande med offentlighetslagens 5 § 1 mom.  
Enligt 4 § 3 punkten i lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003) avses med elektroniskt dokument ett elektroniskt meddelande som hänför sig till anhängiggörandet eller behandlingen av ett ärende eller till delgivningen av ett beslut. I praktiken är ett elektroniskt dokument alltid en sådan myndighetshandling som avses i offentlighetslagen.  
Enligt 3 § 1 mom. 5 punkten i lagen om offentlighet vid rättegång i allmänna domstolar (370/2007) avses med rättegångshandling en i offentlighetslagens 5 § 1 och 2 mom. avsedd handling som har inkommit till domstolen eller upprättats vid domstolen för en rättegång.  
Enligt 7 § i lagen om offentlighet vid rättegång i förvaltningsdomstolar (381/2007) avses med rättegångshandling en besvärsskrift eller en annan handling genom vilken ett ärende har anhängiggjorts, det beslut som är föremål för besvären samt andra handlingar som ges in till förvaltningsdomstolen i ett förvaltningsprocessärende. Med rättegångshandling avses även förvaltningsdomstolens beslut och andra handlingar som den upprättat i förvaltningsprocessärenden samt förvaltningsdomstolens diarium och motsvarande dokumentregister.  
Enligt 3 § 3 punkten i lagen om klientens ställning och rättigheter inom socialvården (812/2000) avses med handling en i offentlighetslagens 5 § 1 och 2 mom. nämnd handling som innehåller uppgifter om en klient eller någon annan enskild och som ansluter sig till socialvård som ordnas av myndigheter eller privata.  
Enligt lagen om patientens ställning och rättigheter (785/1992, nedan patientlagen) avses med journalhandlingar handlingar eller tekniska dokument som används, uppgörs eller inkommer i samband med att en patient får vård eller vården ordnas och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga uppgifter.  
Enligt 3 § 2 punkten i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007) avses med klienthandling en handling enligt klientlagen samt en journalhandling enligt patientlagen.  
Enligt 3 § 7 punkten i lagen om klienthandlingar inom socialvården (254/2015) avses med klienthandling en handling enligt offentlighetslagens 5 § 1 och 2 mom., som innehåller klientuppgifter om en klient eller någon annan enskild och som ansluter sig till socialvård som ordnas av myndigheter eller privata.  
Enligt 1 § 1 mom. i lagen om offentlighet och sekretess i fråga om beskattningsuppgifter (1346/1999) avses med beskattningshandlingar handlingar som gäller en enskild skattskyldig och som för verkställande av beskattning har lämnats till Skatteförvaltningen eller satts upp inom den.  
Enligt 4 § 11 punkten i lagen om offentlig upphandling och koncession (1397/2016, nedan upphandlingslagen) avses med upphandlingsdokument alla dokument som den upphandlande enheten har utarbetat eller hänvisar till för att beskriva eller bestämma de olika delarna av upphandlingen eller förfarandet.  
Termen handling och dess innehåll varierar i olika lagar. Merparten av definitionerna när det gäller begreppet handling faller tillbaka på begreppet myndighetshandling som definieras i offentlighetslagens 5 § 2 mom. Den oenhetliga terminologin kan leda till bristande semantisk interoperabilitet.  
Begreppet informationssystem är inte enhetligt definierat i lagstiftningen. Enligt 3 § 2 punkten i lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011) avses med informationssystemen inom den offentliga förvaltningen adb-baserade databaser och datalager för information som samlats in för ett specifikt syfte och som användaren kan utnyttja för att producera tjänster eller utföra andra uppgifter enligt systemets ändamål och krav på databehandlingen.  
Enligt 2 § 1 punkten i lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation avses med informationssystem ett helhetsarrangemang som består av databehandlingsutrustning, programvara och annan databehandling.  
Enligt 3 § 6 punkten i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007) avses med informationssystem en programvara eller ett system för elektroniskt behandling av klientuppgifter inom socialvården eller hälso- och sjukvården som används för lagring och uppdatering av klient- eller journalhandlingar och uppgifter i dem samt dataregister eller datalager bestående av insamlade uppgifter som förvaltas med hjälp av automatisk databehandling och som tillverkaren uttryckligen har planerat för behandlingen av klient- eller journalhandlingar inom socialvården eller hälso- och sjukvården och uppgifterna i dem. Med informationssystem avses dessutom sådan förmedlingsservice varmed klientuppgifter inom socialvården eller hälso- och sjukvården förmedlas till de riksomfattande informationssystemtjänster enligt 14 § 1 mom. som Folkpensionsanstalten förvaltar.  
Enligt strafflagens (39/1889) 38 kap. 13 § 1 mom. avses med informationssystem 1) apparater eller grupper av sammankopplade apparater eller apparater som hör samman med varandra, av vilka en eller flera genom ett program automatiskt behandlar data, samt 2) data som lagras, behandlas, hämtas eller överförs med hjälp av en apparat, eller en grupp av apparater, för att de ska kunna drivas, användas, skyddas och underhållas.  
2.1.4
2.1.4 Reglering av registreringen av ärenden och handlingar
I offentlighetslagens 18 § 1 mom. 1 punkten föreskrivs om skyldigheten att registrera handlingar. Enligt bestämmelsen ska en myndighet föra en förteckning över de ärenden som har inkommit för behandling, tagits upp till behandling, avgjorts eller behandlats eller annars se till att dess offentliga handlingar kan hittas på ett smidigt sätt.  
Enligt 13 § i lagen om elektronisk kommunikation i myndigheternas verksamhet ska alla elektroniska dokument som kommer in diarieföras eller deras ankomst registreras på något annat tillförlitligt sätt. Organiseringen av ärendehanteringen och registreringen av handlingar är dels en följd av offentlighetsprincipen men innebär också att en god förvaltning genomförs.  
I förordningen om offentlighet och god informationshantering i myndigheternas verksamhet (1030/1999, nedan offentlighetsförordningen) föreskrivs närmare om dokumentregister och om information som ska registreras i dem. Bestämmelserna gäller i enlighet med offentlighetslagens förordningsbemyndigande myndigheterna inom statsförvaltningen, trots att det i offentlighetsförordningen generellt hänvisas till myndigheter.  
Enligt offentlighetsförordningens 5 § 1 mom. ska myndigheterna för uppföljning av de ärenden som behandlas hos dem tillhandahålla information om vilka diarier, förteckningar, kartotek och andra register med avseende på dokumenthanteringen (dokumentförteckning) de för eller hur man annars kan få tillgång till uppgifter i deras offentliga handlingar. I offentlighetsförordningens 5 § 2 mom. föreskrivs att myndigheterna ska se till att förhållandet mellan olika dokumentförteckningar reds ut och att varje ärende, om det är möjligt, registreras endast en gång samt att dokumentförteckningen svarar mot de bestämmelser om registrering och förteckning av handlingar som utfärdats med stöd av arkivlagen.  
I offentlighetsförordningens 6 § 1 mom. föreskrivs om uppgifter som ska registreras. Enligt offentlighetsförordningens 6 § 2 mom. ska det vid planering och uppgörande av en dokumentförteckning säkerställas att uppgifter om de offentliga anteckningarna i registret kan lämnas ut på ett smidigt sätt.  
Trots att registreringen av handlingar regleras på lag- eller förordningsnivå ges arkivverket enligt 22 § 1 mom. i lagen om elektronisk kommunikation i myndigheternas verksamhet rätt att meddela närmare föreskrifter och anvisningar om diarieföring eller annan registrering av elektronisk kommunikation. Bemyndigandet att meddela föreskrifter gäller hela den offentliga förvaltningen med undantag av förundersökning, polisundersökning och den evangelisk-lutherska kyrkan. Omfattningen av bemyndigandet är av statsförfattningsrättsliga skäl problematisk både innehållsmässigt och från organisatorisk synpunkt. Bestämmelsen om utfärdande av anvisningar är också allmänt taget problematisk och onödig. Bestämmelser om bemyndigande att utfärda anvisningar är ägnade att sudda ut skillnaden mellan rättsligt bindande regler och anvisningar som har karaktären av rekommendationer (se GrUU 6/2003 rd, GrUU 20/2004 rd, GrUU 30/2005 rd och GrUU 5/2013 rd).  
2.1.5
2.1.5 Reglering av förvaringen av informationsmaterial
Allmänna bestämmelser om förvaring av personuppgifter finns i Europeiska unionens dataskyddsförordning enligt vilken den personuppgiftsansvarige bör införa tidsfrister för radering eller för regelbunden kontroll, för att säkerställa att personuppgifter inte sparas längre än nödvändigt. Till den del som dataskyddsförordningen inte är tillämplig ska arkivbildaren enligt arkivlagen bestämma förvaringstiderna och förvaringssätten för handlingar och ha en arkivbildningsplan över dem. I offentlighetslagens 18 § 1 mom. 4 punkten föreskrivs om arkivering och utplåning av information samt om genomförande av en god offentlighets- och sekretesstruktur vid hanteringen och förvaringen av myndigheters informationsmaterial.  
I 21 § i lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003) föreskrivs om arkivering av elektroniska dokument.  
Grundlagsutskottet har i sin utlåtandepraxis upprepade gånger ansett att förvaringstiderna för informationen i personregister är omständigheter som i enlighet med grundlagens 10 § 1 mom. måste regleras genom lag. Grundlagsutskottet har likaså upprepade gånger konstaterat att varaktig förvaring av information inte är förenlig med skyddet för personuppgifter.  
Enligt grundlagsutskottets ställningstaganden ska regleringen av förvaringstiden på lagnivå vara heltäckande och detaljerad. Grundlagsutskottet anser att bestämmelserna om förvaringstiden ska ha en tidsangivelse.  
Det finns bestämmelser både på lagnivå och på förordningsnivå om förvaringstiderna för handlingar. Bestämmelserna om förvaringstider gäller för sin del antingen handlingar eller personregister. Det finns bestämmelser om journalhandlingar till exempel i förordningen om journalhandlingar (298/2009). Journalhandlingar utformas däremot till personregister. I lagen om klienthandlingar inom socialvården (254/2015) föreskrivs om förvaringstiderna för handlingar inom socialvården. Det föreskrivs om handlingar som ska förvaras permanent exempelvis i ärvdabalken (40/1965) enligt vars 20 kap. 12 a § bouppteckningsinstrument eller teknisk upptagning därav ska förvaras permanent hos Skatteförvaltningen. Exempelvis i 7 kap. 1 § 4 mom. i jordabalken (540/1995) föreskrivs att uppgifterna i lagfarts- och inteckningsregistret ska bevaras för framtiden i form av personregister.  
Begreppsmässigt är den gällande arkivlagen problematisk eftersom där föreskrivs om förvaring av handlingar och om varaktig förvaring av handlingar, beroende på vad Riksarkivet beslutar. I informationsskyddsförordningen och informationsskyddslagen görs det skillnad mellan förvaring och arkivering, trots att arkivering av personuppgifter i allmänt intresse inte är oförenlig med det ursprungliga användningsändamålet när det gäller behandling av personuppgifter. Grundlagsutskottet har också ställt krav när det gäller på vilka grunder personuppgifter varaktigt får förvaras i personregister. I nuläget är lagstiftningens begreppsapparat oenhetlig i fråga om förvaringen av information, men då dataskyddsförordningen ska tillämpas primärt i förhållande till den nationella lagen måste det anses att förvaring av personuppgifter innebär behandling av informationen för det användningsändamål för vilket den samlats in. Det måste således separat bedömas i vilket avseende personuppgifter får arkiveras i överensstämmelse med allmänt intresse.  
Enligt offentlighetslagens 18 § 1 mom. 4 punkten åläggs myndigheterna att planera och sköta dokument- och informationshanteringen samt datasystemen och databehandlingen så att handlingsoffentlighet kan genomföras smidigt och så att datasystemen och uppgifterna i dem arkiveras eller utplånas på ett behörigt sätt.  
2.1.6
2.1.6 Reglering av styrningen av informationsförvaltningen och informationshanteringen samt interoperabiliteten mellan informationssystemen
Syftet med lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011, informationsförvaltningslagen) är att effektivisera verksamheten inom den offentliga förvaltningen samt förbättra de offentliga tjänsterna och deras tillgänglighet genom att föreskriva om styrning av informationsförvaltningen och om främjande och säkerställande av informationssystemens interoperabilitet inom den offentliga förvaltningen. I lagen föreskrivs om de skyldigheter som åligger vissa myndigheter inom den offentliga förvaltningen när de sköter informationsförvaltningsuppgifter.  
Med den övergripande arkitekturen avses enligt en beskrivning av den övergripande struktur för informationsförvaltning som består av organisationer, tjänster, verksamhetsprocesser, hanterad information, informationssystem och teknik inom den offentliga förvaltningen och relationerna mellan dess enskilda delar. 
Enligt informationsförvaltningslagens 7 § ska myndigheterna inom den offentliga förvaltningen, i syfte att möjliggöra och säkerställa interoperabiliteten för informationssystemen inom den offentliga förvaltningen, planera och beskriva sin övergripande arkitektur samt iaktta den utarbetade och uppdaterade övergripande arkitekturen och de beskrivningar samt definitionen av interoperabiliteten som den övergripande arkitekturen förutsätter samt beskrivningar och definitioner av interoperabiliteten mellan informationssystemen enligt ansvarsområde. Enligt lagen ska finansministeriet sörja för planering och beskrivning av den offentliga förvaltningens verksamhets-, informations-, system- och teknikarkitektur (övergripande arkitektur).  
Enligt informationsförvaltningslagens 8 § 1 mom. ska ministerierna inom sina ansvarsområden se till att beskrivningar och definitioner av interoperabiliteten mellan informationssystemen inom deras ansvarsområden utarbetas och uppdateras. Genom förordning av ministeriet får bestämmelser utfärdas om innehållet i beskrivningar och definitioner av interoperabiliteten mellan informationssystemen inom ansvarsområdet. Vidare föreskrivs i paragrafen att om beskrivningar och definitioner av interoperabiliteten omfattar informationssystem som sammanslutningar eller stiftelser som utövar offentlig makt använder när det sköter offentliga förvaltningsuppgifter, får det genom förordning av ministeriet utfärdas bestämmelser om det beroende av och förhållande till informationssystemen hos myndigheterna inom den offentliga förvaltningen som förutsätts av dessa informationssystem med tanke på interoperabiliteten.  
Enligt informationsförvaltningslagen får genom förordning av statsrådet utfärdas bestämmelser om den gemensamma övergripande arkitekturen för informationsförvaltningen inom den offentliga förvaltningen, till den del som det är fråga om informations-, system- och teknikarkitektur och om innehållet i de beskrivningar och definitioner av interoperabiliteten som den övergripande arkitekturen förutsätter.  
Av regeringens proposition framgår inte vad som avses med förutsättningarna för interoperabilitet enligt informationsförvaltningslagens 4 § 1 mom. Däremot konstateras det i motiveringen till lagens 7 § att finansministeriet i definitionerna och beskrivningarna av den övergripande arkitekturen ska precisera i vilken omfattning, i vilka avseenden och hur noggrant myndigheterna inom den offentliga förvaltningen ska beskriva sin arkitektur.  
Enligt informationsförvaltningslagens 5 § 2 mom. har delegationen för informationsförvaltningen inom den offentliga förvaltningen bland annat till uppgift att utfärda rekommendationer om informationsförvaltningen inom den offentliga förvaltningen (JHS-rekommendationer). Enligt informationsförvaltningslagens 6 § får finansministeriet besluta att en rekommendation som delegationen för informationsförvaltningen inom den offentliga förvaltningen utfärdar när det gäller den gemensamma övergripande arkitekturen för informationsförvaltningen och de beskrivningar och definitioner av interoperabiliteten som den övergripande arkitekturen förutsätter ska vara standard för informationsförvaltningen inom den offentliga förvaltningen (nedan JH-standard).  
Informationsförvaltningslagen innehåller också en bestämmelse om främjande av informationsutbytet mellan myndigheter. Enligt informationsförvaltningslagens 10 § ska myndigheterna inom den offentliga förvaltningen sträva efter att ordna sin verksamhet så att de använder uppgifter som registrerats i de informationssystem som avses i denna paragraf, om myndighetens verksamhet förutsätter att dessa uppgifter används.  
I informationsförvaltningslagens 4 § 4 mom. föreskrivs att innan statliga ämbetsverk och inrättningar samt statens affärsverk eller domstolar och andra rättskipningsorgan för sin del beslutar om upphandling som gäller informationsförvaltning eller om annan sådan upphandling som gäller informationsförvaltning och som avgörs av myndigheter och finansieras med anslag i statsbudgeten, ska myndigheten begära finansministeriets utlåtande i frågan, om upphandlingen har vittgående betydelse för verksamheten eller betydande ekonomiskt värde. Närmare bestämmelser om förfarandet finns i statsrådets förordning om remissförfarande i ärenden som gäller upphandling inom informationsförvaltningen (1249/2014).  
I offentlighetslagen föreskrivs om god informationshantering. I 18 § 1 mom. föreskrivs att en myndighet, för att införa och genomföra en god informationshantering, ska se till att dess handlingar och datasystem samt uppgifterna i dem är behörigen tillgängliga, användbara, skyddade och integrerade samt även sörja för andra omständigheter som påverkar kvaliteten på uppgifterna. Bestämmelsen innehåller dessutom fem punkter där det föreskrivs vilka åtgärder myndigheterna i synnerhet ska vidta för att genomföra en god informationshantering, bland annat genom planer och beskrivningar.  
2.2
Internationella avtal och EU-rätten
2.2.1
2.2.1 Europarådets konventioner
I Europakonventionens artikel 6.1 föreskrivs om principerna för en rättvis rättegång. Till en rättvis rättegång hör att den är offentlig.  
Enligt Europakonventionens artikel 8.1 har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. I Europadomstolens rättspraxis har skyddet för personuppgifter ansetts utgöra en väsentlig del av skyddet för privat- och familjelivet enligt artikel 8, och skyddet för personuppgifter har å andra sidan betydelse för yttrandefriheten enligt Europakonventionens artikel 10. I Europadomstolens avgöranden understryks bland annat att det i lagstiftningen bör finnas tillräckliga garantier för att personuppgifter inte behandlas i strid med artikel 8. De uppgifter som behandlas ska vara behövliga både i fråga om innehållet och i fråga om förvaringstiden begränsade med avseende på registreringens användningsändamål. I regleringen ska dessutom ingå tillräckliga garantier för att lagstridigt utnyttjande av personuppgifterna förhindras.  
Syftet med Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter är att i samband med automatisk behandling av personuppgifter, som sker inom en avtalsslutande parts territorium, ska varje individ oberoende av hans eller hennes nationalitet eller hemort garanteras sina rättigheter och grundläggande fri- och rättigheter och i synnerhet rätten till personlig integritet (”dataskydd”).  
I konventionen föreskrivs om de grundläggande principerna för dataskyddet, dvs. behörighet, laglighet, ändamålsbundenhet, behövlighet, uppdatering samt begränsning av förvaringstiden för uppgifter i förhållande till användningsändamålet. I konventionen föreskrivs också om behandlingsförbud i fråga om vissa uppgiftsgrupper (känsliga uppgifter), om kraven på skydd för personuppgifter (informationssäkerhet) samt om registrerades rättigheter. Konventionen tillämpas på personregister som behandlas automatiskt och på automatisk behandling av personuppgifter inom den offentliga och privata sektorn. 
Man håller för närvarande på att harmonisera konventionen med Europeiska dataskyddsförordningen. 
I artikel 4 i Europarådets konvention om tillgång till officiella handlingar föreskrivs om förfarandet för begäran om handlingar. Den som begär en myndighetshandling får inte bli tvingad att ange orsaken till att han eller hon vill ta del av handlingen. Personen i fråga kan förutsättas identifiera sig om det är nödvändigt för att begäran ska kunna behandlas. Enligt konventionens artikel 5 ska myndigheten så långt som möjligt hjälpa sökanden att identifiera den myndighetshandling som han eller hon begär.  
I konventionens artikel 7 föreskrivs om grunderna för avgifter för utlämnande av handling. I konventionens artikel 8 föreskrivs om förfarandet vid ändringssökande. I artikel 9 föreskrivs att allmänheten ska informeras om rätten att ta del av myndighetshandlingar och att lämpliga åtgärder ska vidtas för att utbilda myndigheterna och informera om de ärenden och funktioner som de ansvarar för.  
Enligt konventionens artikel 10 ska myndigheterna på eget initiativ och i den mån det är ändamålsenligt vidta de åtgärder som behövs för att offentliggöra de myndighetshandlingar som de innehar i syfte att öka transparensen och effektiviteten inom den offentliga förvaltningen och stödja ett välinformerat deltagande av allmänheten i ärenden som är av allmänt intresse. I artikel 11 föreskrivs om en sakkunniggrupp för tillgången till myndighetshandlingar. I konventionens artikel 12 föreskrivs om parternas konsultativa möte och i artikel 13 om sekretariatet.  
I Finland har med anledning av konventionen stiftats en lag om sättande i kraft av de bestämmelser som hör till området för lagstiftningen i Europarådets konvention om tillgång till officiella handlingar (16/2015). Konventionen har inte ännu trätt i kraft trots att Finland har ratificerat den. Tillräckligt många länder har inte ännu beslutat ratificera den.  
2.2.2
2.2.2 Förenta nationernas konvention om tillgång till information, allmänhetens deltagande i beslutsprocesser och tillgång till rättslig prövning i miljöfrågor
Konventionen om tillgång till information, allmänhetens deltagande i beslutsprocesser och tillgång till rättslig prövning i miljöfrågor gäller tillgång till information, allmänhetens deltagande i beslutsprocesser och tillgång till rättslig prövning i miljöfrågor. Konventionens centrala bestämmelser kan indelas i tre delar, dvs. artiklarna 4 och 5 om tillgång till miljöinformation, artiklarna 6–8 om allmänhetens deltagande i beslut om vissa verksamheter samt artikel 9 om tillgång till rättslig prövning.  
2.2.3
2.2.3 Europeiska unionens stadga om de grundläggande rättigheterna och Europeiska unionens allmänna dataskyddsförordning
I artikel 8 i stadgan om de grundläggande rättigheterna definieras de grundläggande kraven och -elementen när det gäller skyddet för personuppgifter. Enligt bestämmelsen har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. Enligt stadgans artikel 7 har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. I stadgan finns i fråga om unionens organ och inrättningar artiklar om rätten till en god förvaltning (artikel 41) och om rätten att ta del av handlingar. 
I Europeiska unionens allmänna dataskyddsförordnings artikel 6 föreskrivs om laglig behandling av personuppgifter. Enligt artikel 6.1 är behandlingen laglig endast om och i den mån som åtminstone ett av följande villkor är uppfyllt. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (6.1 c) samt behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (6.1 e). 
Enligt artikel 6.2 får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling inbegripet för andra specifika situationer. Enligt skäl 45 i förordningens ingress bör behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, ha en grund i unionsrätten eller i en medlemsstats nationella rätt. Vidare föreskrivs att förordningen inte medför något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingens krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövningen.  
Enligt artikel 6.3 ska den grund för behandlingen som avses i punkt 1 c och e fastställas i enlighet med a) unionsrätten, eller b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.  
Enligt skäl 45 i ingressen bör unionsrätten eller medlemsstaternas nationella rätt också reglera frågan huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.  
Enligt dataskyddsförordningen artikel 5.1 e ska personuppgifter förvaras i en form som möjliggör identifiering av den registrerade endast så länge som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.  
Enligt förordningens artikel 86 får personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rät som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna förordning.  
Enligt skäl 154 i ingressen gör förordningen det möjligt att vid tillämpningen av den ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar. 
Enligt skäl 156 i dataskyddsförordningens ingress bör ytterligare behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål genomföras, när den personuppgiftsansvarige har bedömt möjligheten att uppnå dessa ändamål genom behandling av personuppgifter som inte medger eller inte längre medger identifiering av de registrerade, förutsatt att det finns lämpliga skyddsåtgärder, t.ex. pseudonymisering av personuppgifter.  
I skäl 157 föreskrivs att för att underlätta vetenskaplig forskning får personuppgifter behandlas för vetenskapliga forskningsändamål, med förbehåll för lämpliga villkor och skyddsåtgärder i unionsrätten eller i medlemsstaternas nationella rätt. Enligt skäl 159 bör behandling av personuppgifter för vetenskapliga forskningsändamål i denna förordning ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforsking, tillämpad forskning och privat finansierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Enligt skäl 160 bör i det fall att personuppgifter behandlas för historiska forskningsändamål, denna förordning också gälla den behandlingen. Enligt skäl 162 bör i det fall att personuppgifter behandlas för statistiska ändamål, denna förordning gälla den behandlingen.  
2.2.4
2.2.4 PSI-direktivet
Syftet med EU:s direktiv om vidareutnyttjande av information från den offentliga sektorn (PSI-direktivet) 2003/98/EG är att underlätta utnyttjande av informationslager som innehas av den offentliga förvaltningen också för andra ändamål än de som informationen ursprungligen har samlats in för.  
Huvudprincipen för ändringen är att alla offentliga handlingar som hör till direktivets tillämpningsområde ska kunna vidareutnyttjas för kommersiella och icke-kommersiella ändamål i sådana fall då informationens tillgänglighet inte har begränsats nationellt. Utanför direktivets tillämpningsområde faller bland annat handlingar till vilka en tredje part har upphovsrätt.  
I skäl 21 i PSI-direktivets ingress och i artikel 1.4 konstateras det att tillämpningen av PSI-direktivet inte på något sätt ska påverka skyddsnivån för enskilda personer med avseende på behandling av personuppgifter enligt bestämmelserna i unionslagstiftningen och nationell lagstiftning. 
Med offentliga myndigheter avses i direktivet statliga, regionala eller lokala myndigheter, organ som lyder under offentlig rätt, sammanslutningar av en eller flera sådana myndigheter eller av ett eller flera sådana organ som lyder under offentlig rätt. Direktivets begrepp ”organ som lyder under offentlig rätt” motsvarar det begrepp som definieras i upphandlingsdirektivet.  
Enligt direktivets artikel 3.1 ska medlemsstaterna se till att handlingar som omfattas av detta direktivs tillämpningsområde i enlighet med artikel 1 kan vidareutnyttjas för kommersiella eller icke-kommersiella syften i enlighet med villkoren i kapitel III och IV. I direktivets artikel 3.2 föreskrivs emellertid att när det gäller handlingar till vilka bibliotek, även universitetsbibliotek, muséer och arkiv innehar immateriella rättigheter ska medlemsstaterna, i det fall vidareutnyttjande av sådana handlingar tillåts, se till att dessa handlingar kan vidareutnyttjas för kommersiella eller icke-kommersiella syften i enlighet med villkoren i kapitlen III och IV.  
I direktivets artikel 4.1 föreskrivs att offentliga myndigheter, på elektronisk väg om detta är möjligt och lämpligt, ska behandla en begäran om vidareutnyttjande och ge sökanden tillgång till handlingar för vidareutnyttjande eller, om det krävs en licens, färdigställa licenserbjudande till sökanden inom en rimlig tid som överensstämmer med den tidsfrist som gäller för behandling av en begäran om tillgång till handlingar.  
I direktivets artikel 4.2 föreskrivs att om det inte har fastställts några tidsfrister eller andra regler för tillhandahållande inom rimlig tid av handlingar ska offentliga myndigheter behandla begäran och leverera handlingarna för vidareutnyttjande till sökanden eller, om det krävs en licens, färdigställa licenserbjudandet till sökanden inom högst 20 arbetsdagar från det att begäran inkommit. Denna tidfrist får förlängas med ytterligare 20 arbetsdagar för en begäran som är omfattande eller komplicerad. I sådana fall ska sökanden inom tre veckor efter den ursprungliga begäran underrättas om att det behövs mer tid för att handlägga den.  
I direktivets artikel 4.3 föreskrivs att i händelse av avslag ska de offentliga myndigheterna underrätta sökanden om skälen för avslaget med hänvisning till relevanta bestämmelser om tillgång till handlingar i den medlemsstaten eller till nationella bestämmelser som antagits enligt detta direktiv, särskilt artikel 1.2 a—c eller artikel 3. Enligt direktivets artikel 4.4 ska i alla beslut om vidareutnyttjande anges vilka möjligheter det finns för överprövning, om sökanden vill överklaga beslutet. 
Enligt PSI-direktivets artikel 5.1 ska offentliga myndigheter göra sina handlingar tillgängliga i alla befintliga format och språkversioner samt, om möjligt och lämpligt, i ett öppet och maskinläsbart format tillsammans med tillhörande metadata. Både format och metadata bör så långt det är möjligt vara förenliga med formella öppna standarder. Enligt artikel 5.2 ska punkt 1 inte medföra någon skyldighet för offentliga myndigheter att skapa nya handlingar eller anpassa handlingar eller att tillhandahålla utdrag för att efterleva den punkten, om detta skulle kräva orimligt stora ansträngningar och inte endast ett enkelt handgrepp. Direktivets artikel 5.2 genomförs med offentlighetslagens 16 § 1 mom. och 21 §.  
Enligt direktivets artikel 5.3 kan det på grundval av detta direktiv inte krävas av offentliga myndigheter att de ska fortsätta med framställning och lagring av en viss typ av handlingar för att dessa handlingar ska kunna vidareutnyttjas av en organisation inom den privata eller offentliga sektorn.  
I direktivets artikel 6 föreskrivs om avgiftsprinciper och i artikel 7 om öppenhet i fråga om avgiftsprinciperna. I offentlighetslagens 34 § föreskrivs om avgifter för utlämnande av handlingar. 
I artikel 8 föreskrivs om frågor i anslutning till licenser. I offentlighetslagens 9 och 13 §, 16 § 3 mom., 27 och 28 § föreskrivs om rätt att få ta del av information och om förutsättningarna för utlämnande av information.  
Enligt PSI-direktivets artikel 10.1 ska alla gällande villkor för vidareutnyttjande av handlingar vara icke-diskriminerande för jämförbara kategorier av vidareutnyttjande. Enligt artikel 10.2 ska i det fall att handlingar vidareutnyttjas av en offentlig myndighet som utgångsmaterial för dess kommersiella verksamhet, som inte ryms inom myndighetens offentliga verksamhet, samma avgifter och andra villkor för tillhandahållande av handlingar tillämpas för den verksamheten som för andra användare. I direktivets artikel 11 föreskrivs om förbud mot exklusiva avtal. 
2.2.5
2.2.5 Regleringsutvecklingen i fråga om interoperabilitet
Till principerna för EU:s handlingsplan för e-förvaltning (COM(2016) 179) hör interoperabilitet som standard. Offentliga förvaltningar bör organiseras så att de fungerar sömlöst på hela den inre marknaden utan några vattentäta skott, baserat på den fria rörligheten för uppgifter och digitala tjänster.  
Som ett stöd för utvecklingen av medlemsländernas och verksamhetsområdenas gränsöverskridande, digitala och interoperabla offentliga tjänster grundades ISA-programmet ((EU) 2015/2240) för åren 2016—2020. Programmet är en fortsättning på ISA-programmet för 2010—2015. Syftet med ISA2-programmet är att: 1) utveckla, bibehålla och främja en helhetssyn på interoperabilitet, 2) underlätta effektiva och ändamålsenliga elektroniska gräns- och sektoröverskridande kontakter mellan länder och förvaltningsområden samt bidra till att utveckla en effektivare, enklare och mera användarvänlig e-förvaltning, 3) identifiera, skapa och driva lösningar för interoperabilitet som stöder genomförandet av unionens politik och verksamheter, samt 4) underlätta vidareutnyttjandet av lösningar för interoperabilitet.  
I ingressen till beslutet om programmet konstateras det att ett interoperabilitetsperspektiv som begränsas till enskilda sektorer riskerar att medföra att olikartade eller oförenliga lösningar införs på nationell nivå eller sektornivå, vilket skapar nya elektroniska hinder som hindrar den inre marknadens funktion och den fria rörligheten, undergräver öppenheten och konkurrensen på marknaderna och äventyrar tillhandahållandet av tjänster av allmänt intresse. I ingressen uppmärksammas också främjandet av europeiska interoperabilitetsprinciper samt öppna standarder och specifikationer.  
Inom ISA-programmet har utarbetats en europeisk interoperabilitetsram (European Interoperability Framework, EIF). Interoperabilitetsramen uppdaterades år 2017 (COM(2017) 134). Interoperabilitetsramen omfattar 47 rekommendationer om styrning av interoperabiliteten, smidigare digitala tjänster samt avlägsnande av sådana hinder i lagstiftningen som berör interoperabiliteten. Den europeiska interoperabilitetsarkitekturen (European Interoperability Architecture, EIRA) har också den utvecklats som en del av ISA-programmen. EIRA är en övergripande arkitektur som innehåller de viktigaste beskrivningarna av byggstenarna för den offentliga förvaltningens interoperabla elektroniska tjänster. Sättet för granskning av både den europeiska interoperabilitetsramen (EIF) och den europeiska interoperabilitetsarkitekturen (EIRA) går i samma riktning som regeringens proposition, dvs. interoperabiliteten och bättre elektroniska tjänster främjas med hjälp av gemensamma definitioner och lösningar.  
Informationen och informationssystemens interoperabilitet styrs på de olika verksamhetsområdena för medlemsländerna och dessas aktörer på både direktiv- och förordningsnivå.  
I INSPIRE-direktivet (2007/2/EG) om en infrastruktur för rumslig information förutsätts det att medlemsstaterna ska se till att metadata skapas för rumsliga datamängder och datatjänster och att dessa metadata hålls uppdaterade. I genomförandebestämmelserna fastställs tekniska arrangemang för interoperabilitet och, när så är möjligt, harmonisering av rumsliga datamängder och datatjänster.  
I direktiv (2012/17/EU) om sammankoppling av centrala register, handelsregister och företagsregister förutsätts det att medlemsstaternas centrala register, handelsregister och företagsregister är interoperabla via ett centralt system. Sammankopplingen av registren garanterar gränsöverskridande informationsutbyte och underlättar möjligheterna att få uppgifter om bolag.  
I patientdirektivet (2011/24/EU) spelar både den nationella interoperabiliteten och den gränsöverskridande interoperabiliteten mellan medlemsstaternas informationssystem och elektroniska lösningar en viktig roll.  
I Europaparlamentets och rådets förordning om europeisk standardisering ((EU) 1025/2012) nämns interoperabilitet som ett väsentligt resultat på IKT-området.  
Interoperabilitet har varit nyckeln till framgång för skatter, tullar och punktskatter, i driften av transeuropeiska IKT-system i alla medlemsstater och för att stödja interoperabla företagstjänster som finansieras genom Fiscalis 2013-programmet och Tull 2013-programmet. 
Interoperabilitet är också en viktig delfaktor när det gäller bredbandsinfrastruktur och -tjänster enligt förordningen om inrättande av Fonden för ett sammanlänkat Europa ((EU) 1316/2013). I förordningen (EU) 283/2014 föreskrivs framför allt om så kallade byggstenar, exempelvis om elektronisk identifiering, elektroniskt tillhandahållande av handlingar och om automatisk översättning, dvs. om funktioner som underlättar gränsöverskridande interoperabilitet.  
Syftet med det europeiska initiativet för molnbaserade tjänster (European Cloud Initiative, COM(2016) 178) är att lösa interoperabilitetsproblem mellan nationella och ämnesinriktade datacentrum och att utveckla standarder som främjar interoperabiliteten.  
2.2.6
2.2.6 Lagstiftningen i vissa stater
Sverige 
Informationshantering 
Sveriges regering beslutade den 24 november 2016 tillsätta en utredning för att utreda förutsättningarna för digitalisering av förvaltningen. Utredningen överlämnade den 28 mars 2018 till regeringen betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25). Utredningens huvudsakliga syfte var att kartlägga och analysera i vilken utsträckning det i Sverige förekommer lagstiftning som i onödan försvårar digital utveckling och samverkan inom den offentliga förvaltningen. Betänkandet innehåller förslag till ny och ändrad lagstiftning för att främja digitaliseringen inom den offentliga förvaltningen. 
I betänkandet föreslås ändringar i Sveriges offentlighets- och sekretesslag. Syftet med ändringarna är att de offentliga myndigheterna kan säkerställa att medborgarna effektivare får tillgång till offentlig information när det är fråga om automatiserade processer som berör deras rättigheter och skyldigheter. Genom ändringen säkerställs offentlighetsprincipen och stärks rättssäkerheten då det blir möjligt att ge individen information om de algoritmer och datorprogram som påverkar beslut som berör medborgarna.  
I betänkandet föreslås också att det i Sveriges förvaltningslag införs bestämmelser om elektronisk kommunikation. Syftet med ändringarna är att förbättra tillgängligheten till den offentliga förvaltningens elektroniska tjänster bland annat genom att ålägga myndigheterna att tillhandahålla digitala tjänster till vilka medborgarna kan sända elektroniska handlingar. Av skäl som har att göra med effektivitet och dataskydd görs det emellertid undantag från denna huvudregel. I betänkandet föreslås det att all kommunikation från myndigheterna till enskilda ska vara elektronisk.  
Sveriges nuvarande digitaliseringsprogram för den offentliga sektorn bygger på principen Digitalt först. Programmet inleddes 2015 och avslutas 2018. Syftet med programmet är att stärka förvaltningen och koordineringen av den samt främja en enkel, transparent och effektiv offentlig förvaltning. Avsikten är att med digitala tjänster skapa en huvudsaklig kommunikationsväg mellan den offentliga sektorn, enskilda och företagen. Syftet med programmet är också att minska skillnaderna mellan kommunerna när det gäller de digitala tjänsternas tillgänglighet och kvalitet.  
Rådet för digitalisering av det offentliga Sverige inrättades 2015 och dess mandat går ut i slutet av 2018. Rådet ska samordna separata digitala system på olika förvaltningsnivåer och inom olika sektorer av den offentliga förvaltningen. För att uppnå detta mål strävar rådet efter att främja interoperabiliteten och införa gemensamma standarder bland annat inom den elektroniska hälsovården.  
I budgetpropositionen för år 2018 lade regeringen fram flera förslag som syftade till digitalisering av den offentliga förvaltningen och förbättring av de offentliga tjänsterna. I budgetpropositionen för 2018 föreslås ett särskilt anslag för öppna data under den följande treårsperioden. I budgetpropositionen föreslås också åtgärder för att utveckla informationsutbytet mellan de offentliga myndigheterna. Avsikten med dessa åtgärder är att främja implementeringen av principen ”en uppgift en gång” inom den offentliga förvaltningen.  
I Sverige beslöt man den 7 december 2017 i kommittédirektiv 2017:117 (Inrättande av en myndighet för digitalisering av den offentliga sektorn) inrätta en ny myndighet för digitalisering av den offentliga sektorn. Myndigheten för digital förvaltning (DIGG) inledde sin verksamhet i september 2018 och har i uppgift att stödja, samordna och följa upp digitaliseringen inom de offentliga myndigheternas och kommunernas förvaltning. Till den för digitaliseringen av den offentliga sektorn ansvariga myndighetens uppgifter kommer att höra också utvecklingen och förvaltningen av landets digitala infrastruktur, samt att driva projekt som för närvarande sköts av olika myndigheter, exempelvis öppna data och e-ID. 
Tillämpningsområdet för Sveriges arkivlag (SFS 1990:782) är detsamma som för offentlighetslagen och sekretesslagen. Lagen reglerar inte arkivväsendet i detalj utan den ställer upp allmänna målsättningar för myndigheternas arkivverksamhet, också för bestämmandet av behovet av dokumentarkivering. Lagen bygger på tryckfrihetsförordningen som har grundlagsstatus. Myndigheternas förpliktelser anges i arkivlagen genom allmänna bestämmelser, exempelvis så att myndigheterna när de registrerar allmänna handlingar ska beakta handlingarnas betydelse för en ändamålsenlig arkivvård samt vikten av att definiera handlingar som ska arkiveras varaktigt. Lagen innehåller särskilda bestämmelser om statliga respektive kommunala myndigheters handlingar.  
Informationssäkerhet 
Sekretessbelagd information klassificeras i Sverige ofta enligt parallella klassificeringssystem. En sekretessmarkering görs vanligen med stöd av offentlighets- och sekretesslagen. En sekretessmarkering kan också vara kvalificerad när det enligt offentlighets- och sekretesslagen är fråga om konfidentiell information som samtidigt enligt säkerhetsskyddsförordningen rör rikets säkerhet. Samtidigt används Försvarsmaktens system för placering i säkerhetsklasser, vilket i sak motsvarar det internationella systemet med fyra nivåer.  
I Sverige genomfördes 2017 en totalöversyn som omfattar såväl offentlighets- och sekretesslagen som den nationella säkerhetslagen. En viktig del av totalöversynen var förslaget till en ny säkerhetsskyddslag. I totalöversynen ingår också en säkerhetsförordning som kompletterar säkerhetsskyddslagen. Sveriges regering gav den 20 februari 2018 en proposition om ny säkerhetsskyddslag som enligt planerna ska träda i kraft den 1 april 2019.  
Säkerhetsskyddsklassificeringen enligt den nya säkerhetsskyddslagen indelas, på motsvarande sätt som enligt det internationella systemet, i fyra nivåer utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Tillämpningsområdet för den nya säkerhetsskyddslagen omfattar svenska staten, kommunerna och landstingen samt övriga organisationer, om de har betydelse för Sveriges säkerhet eller internationella kopplingar som innebär att lagen ska tillämpas. Dessutom föreskrivs om skyldigheten att ingå säkerhetsskyddsavtal med en tredje part som kan få tillgång till konfidentiell information eller om samarbetet avser verksamhet av motsvarande betydelse för Sveriges säkerhet. 
Estland 
Informationshantering 
Estlands närings- och kommunikationsministerium styr utvecklingen av statens informationspolitik, inklusive registret över statens informationssystem och tjänster (RIHA). Dessutom styrs digitaliseringen och elektroniseringen av den offentliga förvaltningen av regeringens E-Viro-utskott som inrättades år 2014. Till utskottet hör fem experter, tre ministrar och statsministern i egenskap av ordförande.  
Den estniska myndigheten för informationssystem (RIA, Riigi Infosüsteemi Amet) som lyder under närings- och kommunikationsministeriet koordinerar utvecklingen av de statliga informationssystemen och ansvarar för organiseringen av statsförvaltningens basinformationssystem och för systemens säkerhet. RIA deltar i beredningen och verkställigheten av lagstiftning samt koordinerar viktiga utvecklingsprojekt, exempelvis elektroniska tjänster som utvecklats för användning av medborgarna. RIA svarar också för förvaltningens IT-infrastruktur, bland annat för programvarorna som används av statliga organisationer.  
Dessutom övervakar RIA förvaltningsmyndigheternas och de viktigaste serviceleverantörernas informationssäkerhet. RIA:s behörighet är baserad på lagen om offentlig information (Avaliku teabe seadus) och på nödtillståndslagen (Hädaolukorra seadus).  
Den estniska informationssystemmyndigheten har också i uppgift att koordinera de nationella informationssystemen för förvaltningen och utvecklande av kvalitativa förvaltningstjänster för medborgarna. RIA övervakar med stöd av lagen om offentlig information efterlevnaden av lagarna i myndigheternas informationssystem samt att bestämmelser på en lägre hierarkisk nivå och tekniska krav iakttas. Dessutom övervakar RIA att aktörerna inom kritisk infrastruktur iakttar de säkerhetskrav som föreskrivs för deras informationssystem.  
Estlands regering utfärdar föreskrifter om grunderna för servicehanteringen och informationshanteringen (Teenuste korraldamise ja teabehalduse alused), som tillämpas på offentliga myndigheter och enskilda aktörer då de utför offentliga förvaltningsuppdrag. I 3 § föreskrivs om informationshanteringen och i paragrafens underpunkter bland annat om datahantering, dokumenthantering och innehållshantering. Föreskrifternas 4 kap. gäller uteslutande informationshantering och i kapitlet finns bestämmelser bland annat om allmänna krav på informationshantering, organisering av information, hantering av information och organisering av tillgång till information samt om distribution och utbyte av information.  
I Estlands arkivlag (Arkiiviseadus) föreskrivs om principerna för offentliga ämbetsverks och personers dokumentförvaltning och hantering av arkivdokument. Arkivdokument är enligt lagen dokumentinformation vilken som resultat av en värderingsprocess ska förvaras permanent. Genom regeringens förordning föreskrivs om offentliga ämbetsverks och personers dokumentförvaltning. 
Enligt 1 § i lagen om offentlig information är syftet med lagen att säkerställa att var och en har rätt att ta del av offentliga handlingar. I lagens 3 § finns en definition av begreppet offentlig definition och i den föreskrivs också om vidareutnyttjande av offentlig information. I lagens 5 § föreskrivs om aktörer som upprätthåller information, i 6 § om informationsbegäran och i 8 § om tillgång till information. I lagens 25—27 § föreskrivs om kostnaderna för informationsbegäran.  
I Estlands lag om elektronisk kommunikation (Elektroonilise side seadus) definieras begreppet interoperabilitet. Det begreppet definieras i 2 § 6 punkten och begreppet gränssnitt i 23 punkten. I 98 § 2 mom. i Estlands befolkningsregisterlag (Rahvastikuregistri seadus) föreskrivs om begreppet interoperabilitet med avseende på befolkningsregistersystemet.  
Informationssäkerhet 
I Estland ingår det bestämmelser om informationssäkerheten i lagen om statshemligheter och sekretessbelagd information (Riigisaladuse ja salastatud välisteabe seadus) där det föreskrivs om fyra säkerhetsklasser och om förfaranden för skyddande av information. Efterlevnaden av dessa krav kontrolleras genom självutvärdering.  
Övriga handlingar inom den offentliga förvaltningen klassificeras i enlighet med verkställighetsanvisningarna ISKE (offentliga uppgifter, intern användning, konfidentiell information och hemlig användning). Anvisningarna är baserade på en föreskrift om säkerhetssystem för informationssystem (Infosüsteemide turvameetmete süsteem). ISKE-systemet är baserat på Tysklands nationella informationssäkerhetsmyndighets (Bundesamt für Sicherheit in der Informationstechnik, BSI) säkerhetsmanual, IT Baseline Protection Manual (IT-Grundschutz Katalogue) som har anpassats till Estlands lagstiftning. ISKE utgår från tre säkerhetskrav, dvs. tillgänglighet (K), integritet (T) samt konfidentialitet (S). Varje handling tilldelas i fråga om alla kraven ett numeriskt värde från ett till tre. ISKE tillämpas inom statsförvaltningen och i kommunerna och omfattar de informationssystem som inte innehåller någon säkerhetsklassificering utan i stället sensitiv information. ISKE innebär också en skyldighet att anlita godkända utvärderingsinstitut för utvärdering av informationssystem och utrustningslokaler.  
Danmark 
Informationshantering 
Danmarks Digitaliseringsstyrelse som inrättades 2011 ansvarar i Danmark för digitaliseringen av den offentliga förvaltningen. Digitaliseringsstyrelsen ansvarar för implementeringen av den danska regeringens digitala målsättningar inom den offentliga sektorn. I Danmark har det sedan juni 2018 varit obligatoriskt att bedöma digitaliseringsberedskapen med avseende på all ny lagstiftning, och i detta syfte har regeringen utarbetat sju principer för digitaliseringsklar lagstiftning (Vejledning om digitaliseringsklar lovgivning). Principerna fungerar som anvisningar för de ministerier som beredning lagstiftning. 
De danska medborgarna åläggs enligt lag att utnyttja elektronisk självbetjäning. I lagen om offentlig digital post (Lov om offentlig digital post) åläggs medborgarna och företagen att med vissa undantag använda elektroniska servicekanaler. Enligt lagens 3 § ska fysiska personer som fyllt 15 år och som bor eller varaktigt vistas i Danmark ansluta sig till den offentliga digitala posten om det inte är fråga om en person som är befriad från obligatorisk anslutning. I lagens 10 § föreskrivs om postens rättsverkningar. Enligt paragrafen ska ett meddelande som har sänts via posten anses ha anlänt vid den tidpunkt då meddelandet finns tillgängligt i mottagarens postsystem efter att ha sänts av den avsändare som nämns i meddelandet.  
Det är kännetecknande för Danmarks dokumentförvaltning att arkivmyndigheterna inte i någon större utsträckning befattar sig med arkivbildningsprocessen i det aktiva skedet. Åtgärderna fokuseras på överföringsskedet, då materialet vanligen är 10—20 år gammalt. Danmarks arkivlag (Arkivloven) täcker i princip in endast den offentliga förvaltningen. Utvecklingen av den elektroniska dokumentförvaltningen har lett till samarbete mellan myndigheterna och arkivväsendet, vilket innebär att materialets arkivduglighet om möjligt säkerställs redan i ett tidigare skede. 
I Danmark pågår som bäst en översyn av den offentliga sektorns digitala arkitektur i syfte att bygga upp en enhetlig digital offentlig sektor. I det sammanhanget publicerades i Danmark i juni 2017 en vitbok om en gemensam offentlig digital arkitektur (Hvidbog om fællesoffentlig digital arkitektur). Avsikten är att det genom reformen ska vara möjligt att införa säkra organisationsinterna processer inom den offentliga förvaltningen och en effektiv distribution av information såväl mellan aktörerna inom den offentliga sektorn som mellan den offentliga respektive den privata sektorn. En målsättning är att samma information ska insamlas endast en gång, varefter myndigheterna vid behov kan dela informationen med varandra. 
Danmarks finansministerium svarar för den gemensamma IT-politiken. IT-strategin görs upp för fyra år i sänder och omfattar de statliga ämbetsverken och lokalförvaltningen. Strategin går framför allt ut på verksamhet som överskrider de administrativa gränserna. I Danmark utarbetas i anslutning till IT-strategin gemensamma standarder för den offentliga förvaltningens elektroniska tjänster samt standarder för IT-arkitekturen. Det är fråga om rekommendationer och beaktandet av dem är beroende av respektive ministeriums egna beslut. Digitaliseringen av statsförvaltningen styrs enligt verksamhetsområde. Inom verksamhetsområdena verkar digitaliseringsnämnder som har i uppgift att främja genomförandet av IT-projekt som överskrider de administrativa gränserna. Det är här fråga om projekt som avser till exempel dokumenthantering, offentliga upphandlingar och löneadministration. I Danmark finns också ett för hela statsförvaltningen gemensamt IT-center (Statens IT).  
Informationssäkerhet 
I Danmark regleras informationssäkerheten enligt ett säkerhetscirkulär (Sikkerhedscirkulære) som reglerar skyddet av säkerhetsklassificerad information som har betydelse för Natos, EU:s eller nationella intressen. Enligt cirkulärets 1 § klassificeras information i fyra kategorier beroende på hur känslig den är. Den högsta säkerhetsklassificeringen är ”Yderst hemmeligt”, den näst högsta är ”Hemmeligt”, den tredje nivån är ”Fortroligt” och den fjärde och samtidigt lägsta säkerhetsklassificeringen är ”Til tjenestebrug”. Enligt cirkulärets 2 § ska vid säkerhetsklassificeringen beaktas informationens innehåll samt källan ur vilken den härstammar. 
Danmarks regering publicerade i juni 2018 en ny nationell säkerhetsstrategi för åren 2018—2021, med 25 konkreta initiativ som syftar till att stärka säkerheten inom förvaltningen och befolkningens medvetenhet om informationssäkerheten. Strategin är framför allt inriktad på att förbättra IT-systemens informationssäkerhet och säkerheten när det gäller information som behandlas av statliga myndigheter och andra centrala samhällsaktörer. Dessa samhällsaktörer är i detta syfte skyldiga att före utgången av 2018 inrätta särskilda cyber- och informationssäkerhetsenheter.  
Alltsedan 2014 har alla statliga institutioner i Danmark varit skyldiga att tillämpa den internationella informationssäkerhetsstandarden ISO/IEC 27001.  
2.3
Bedömning av nuläget
I nuläget är lagstiftningen om informationshanteringen inom den offentliga förvaltningen splittrad mellan flera allmänna lagar med varierande terminologi. Informationshanteringen är förenad med ett antal förpliktelser som uppfylls flerfaldigt, exempelvis som beskrivningar av informationshantering, informationssystem, arkivbildningsplaner samt den övergripande arkitekturen. Olika beskrivningar leder också till oenhetliga beskrivningar inom myndighetsorganisationerna.  
Allmänna bestämmelser om informationshantering finns i offentlighetslagen, informationsförvaltningslagen och i lagen om elektronisk kommunikation i myndigheternas verksamhet. Bestämmelser om grunderna för arkiveringen och om arkivväsendets uppgifter finns dessutom i arkivlagen, men också Europeiska unionens allmänna dataskyddsförordning och den nationella informationsskyddslagen har betydelse för arkiveringen. 
Informationshanteringens förfaranden och praxis har utvecklats så att det i vissa avseenden inte längre finns något stöd i lagstiftningen för förfarandena och praxisen. Förfarandena och praxisen varierar å andra sidan hos olika myndigheter. En del av lagstiftningen om informationshantering är redan över 20 år gammal och den har tillkommit i en verksamhetsmiljö där användningen av datanät och elektronisk behandling av informationsmaterial inte var allmän inom myndigheternas verksamhet.  
Man har försökt lösa problemen i anslutning till interoperabiliteten mellan informationssystemen genom sådana styrningsmetoder för informationsförvaltningen som informationsförvaltningslagen möjliggör, men de har inte i alla avseenden visat sig vara effektiva. Dessutom har lagstiftning som är parallell i förhållande till informationsförvaltningslagen delvis försämrat möjligheterna att effektivt utnyttja informationssystemen och den information som finns i dem. Riksdagens revisionsutskott har i sitt betänkande (ReUB 2/2012 rd) framhållit att ”informationsförvaltningslagen ensam inte löser problemet med icke-interoperabla informationssystem inom den offentliga förvaltningen. Men den tillhandahåller möjligheter att utnyttja effektiva styrmekanismer. Det behövs en kartläggning av var det förekommer överlappningar eller luckor i lagstiftningen. Problemen bör åtgärdas med det snaraste för att mekanismerna för styrning av informationsförvaltningen ska bli enhetliga och varje myndighets styransvar så tydligt som möjligt när det gäller att utveckla informationsförvaltningen och säkerställa att informationssystemen är interoperabla”. Riksdagens förvaltningsutskott konstaterar i ett utlåtande bland annat att genomförandet av den övergripande arkitekturen har krävt en hel del arbete men att den i sin helhet fortfarande är relativt halvfärdig (FvUU 41/2014 rd). Arbetet har i många avseenden fokuserats på olika aspekter på system- och teknologiarkitekturen eller inriktats endast på någon snäv del av helheten eller på en begränsad funktion. Utskottet har redan tidigare understrukit att utvecklingen av informationssystemen inte bör betraktas som enbart informationstekniska projekt, utan som en del av utvecklingen av verksamheten och tjänsterna (FvUU 22/2013 rd). Utskottet underströk betydelsen av informationsstyrning samt ett vidare perspektiv på utvecklingsarbetet. Den övergripande planeringen av verksamhetsprocesserna och informationshanteringen utgör en del av planeringen av myndighetens verksamhet och ekonomi samt ledning (FvUU 22/2013 rd och FvUU 41/2014 rd).  
Den offentliga förvaltningens produktion av kundtjänster och IT-tjänster sker i allt större utsträckning online. Informationshanteringen ska under informationens hela livscykel ses som en helhet inom vilken de olika aktörernas ansvar emellertid är klart definierat. Det behövs nya element också för styrningen av informationshanteringens förfaranden och funktioner. Den splittrade regleringen av informationshanteringen kommer till synes också som dödvinkelområden i styrningen av myndigheternas verksamhet. I lagstiftningen hänvisas till dokumentförvaltningen, men styrningen av dokumentförvaltningen har inte hänförts till någon myndighet. Informationshanteringen utgör å andra sidan en omfattande helhet som kräver mångsektoriell expertis. Informationshanteringen kräver framför allt adekvat planering, informationssäkerhet, hantering av interoperabiliteten mellan informationslagren och informationssystemen, styrning av informationsbildningen samt hantering av informationslagren och av arkiveringen. För denna helhet behövs det tvärsektoriellt samarbete för att livscykeln för informationen inom den offentliga förvaltningen ska kunna utvecklas sömlöst.  
För informationshanteringen finns det också utförlig speciallagstiftning. Det finns hundratals bestämmelser om möjligheten att öppna tekniska anslutningar. Merparten av bestämmelserna är formella. I lagstiftningen finns det också hundratals bestämmelser om förvaringstiden för personuppgifter, men till stor del bestäms förvaringstiderna för personuppgifter och handlingar i den allmänna lagstiftningen. I arkivlagstiftningen föreskrivs det om varaktig förvaring, varmed avses arkivering, medan grundlagsutskottet i sina ställningstaganden upprepade gånger har behandlat frågan om varaktig förvaring i samband med förvaringstiden för uppgifter i personregister. Den allmänna lagstiftningen om dataskydd ändrades delvis den 25 maj 2018 då Europeiska unionens allmänna dataskyddsförordning började tillämpas. Från nationell synpunkt är bestämmelserna om förvaring och arkivering av information oenhetliga både i fråga om terminologin och i fråga om genomförandet. I regleringsmiljön finns också oklarheter och överlappningar som har samband med författningshierarkin i fråga om förvaringen och arkiveringen, eftersom bestämmelser om förvaringstiderna finns dels i lagen och dels i förordningar. Förvaringen baseras också på arkivbildarnas och Riksarkivets beslut. 
En kvalitativ informationshantering utgör en del av en god förvaltning hos myndigheterna. En föråldrad, oenhetlig och rentav tung reglering av informationshanteringen stödjer inte nödvändigtvis utvecklingen av förvaltningen i en sådan riktning att det blir möjligt att utnyttja sådana tillräckligt effektiva informationshanteringstjänster och uppgifter i anslutning till informationsrättigheter och behandlingsrättigheter som står till buds. Också tryggandet av förvaltningskundernas rättigheter förutsätter en uppdaterad och tydlig lagstiftning om informationshanteringen. Regleringen av informationshanteringen bör utgöra en integrerad helhet som i enlighet med informationens livscykel. Förändringarna i verksamhetsmiljön förutsätter ny lagstiftning som stödjer förvaltningens utveckling och en kvalitativ tjänsteproduktion, så väl för förvaltningskunderna som för de förvaltningsinterna processerna.  
3
Målsättning och de viktigaste förslagen
3.1
Målsättning
Syftet med propositionen är att förnya och samordna de allmänna bestämmelserna om informationshanteringen inom den offentliga förvaltningen samt minska behovet av tekniska regleringar i speciallagstiftningen. I den nya lag som föreslås sammanställs bestämmelser från offentlighetslagen, informationsförvaltningslagen och kommunikationslagen. Det föreslås att informationsförvaltningslagen upphävs och ersätts med motsvarande bestämmelser i den nya lagen.  
I den nya lagen föreskrivs på ett enhetligt sätt för hela den offentliga förvaltningen om kraven i anslutning till hanteringen av livscykeln för information. Målet är att de informationsbaserade offentliga tjänsterna och verksamheten ska kunna genomföras mera kvalitativt, med bättre resultat och effektivare med stöd av en kvalitativ informationshantering. En kvalitativ informationshantering främjar också dataskyddet, informationssäkerheten och ett ansvarsfullt utnyttjande av informationsmaterial. Genom hanteringen av myndigheternas informationsmaterial främjas också genomförandet av offentlighetsprincipen. 
Det informationspolitiska syftet med propositionen är att effektivisera överföringen och utnyttjandet av information mellan myndigheterna, övriga aktörer och olika serviceformer. Från medborgarens synpunkt betyder detta att det inte i onödan i samband med tjänsteprocesser flera gånger efterfrågas uppgifter om honom eller henne, utan att i stället den information som myndigheterna har i sin besittning utnyttjas i så stor utsträckning som möjligt, med hänsyn till dataskyddet och rättssäkerheten. Syftet med propositionen är att möjliggöra att myndigheternas informationshantering bland annat med hjälp av reglering av gränssnitten ska kunna motsvara informationsanvändningen som hela tiden ökar och i allt större utsträckning sker i realtid. Dessutom förutsätter de föreslagna bestämmelserna om planeringsförpliktelserna att myndigheterna vid planeringen av informationshanteringen och ändringar i den beaktar behoven att utnyttja informationen i olika aktörers verksamhet och servicekedjor. Den föreslagna regleringen förutsätter att tekniska gränssnitt i första hand utnyttjas för informationsutbytet mellan myndigheterna. Regleringen stödjer också planeringen av tekniska gränssnitt så att de kan utnyttjas mera allmänt samt användningen av dem också vid utlämnande av information från myndigheter till enskilda.  
Med propositionen genomförs nationellt de krav i PSI-direktivets artikel 5.1 som inte uttryckligen nationellt har genomförts tidigare. Till denna del innebär verkställigheten ett förtydligande och en precisering av genomförandet av de förpliktelser som följer av PSI-direktivet. 
Syftet med propositionen är att möjliggöra koordinering och avveckling av speciallagstiftning. I propositionen ingår också förslag till ändringar i bestämmelser om tekniska anslutningar. Den föreslagna regleringen gör det dessutom åtminstone möjligt att i speciallagar förtydliga och förenhetliga bestämmelserna om förvaringstider för information.  
3.2
Genomförandealternativ
Ett alternativ till den nya lag om informationshantering som föreslås skulle vara att utveckla den splittrade regleringen av informationshanteringen inom ramen för de nuvarande lagarna. Det skulle emellertid vara svårt att genom ändringar i de gällande lagarna koordinera informationshanteringen, exempelvis planerings- och beskrivningsförpliktelserna samt strukturerna i anslutning till styrningen. Trots att en koordinering regleringstekniskt sett vore möjlig, skulle regleringen bli svårbegriplig och aktörerna inom tillämpningsområdet skulle bli tvungna att tillämpa flera lagar på samma verksamhet. De olika lagarnas varierande tillämpningsområden skulle mycket sannolikt också orsaka tillämpningssvårigheter. Regleringen genom olika lagar möjliggör inte en sammanställning av bestämmelserna som är baserade på livscykeln för informationen.  
Bestämmelserna om informationshanteringens allmänna förpliktelser kan delvis förnyas inom ramen för offentlighetslagen. Revideringen skulle då gälla lagens bestämmelser om god informationshantering. Då måste emellertid bland annat informationsförvaltningslagens förhållande till den nya lagstiftningen omprövas, eftersom syftet med propositionen bland annat är att reglera planerings- och beskrivningsskyldigheterna i anslutning till behandlingen och hanteringen av information. Det är i varje fall skäl att se över informationsförvaltningslagens bestämmelser om den övergripande arkitekturen och interoperabiliteten i samband med att offentlighetslagens bestämmelser om planerings- och organiseringsskyldigheter i fråga om god informationshantering och likaså bestämmelserna om informationssäkerhet förnyas.  
Propositionens förslag till ändringar i regleringen har begränsats till allmänna krav gällande hanteringen av livscykeln för information, varmed säkerställs enhetliga och kvalitativa förfaranden för informationshanteringen inom den offentliga förvaltningen. Den allmänna regleringen av hantering, behandling och överföring av information kan utvecklas också som en mera omfattande helhet, i samband med vilken granskas också offentlighetslagen i ett större sammanhang i fråga om de bestämmelser om utlämnande av information och sekretessbeläggning som ingår i den. En sådan regleringsutveckling kan möjliggöra också ett förtydligande av speciallagstiftningen samt avveckling av specialbestämmelser om utlämnande och mottagande av onödig och eventuellt överlappande information. Dessutom skulle en förstärkning av medborgarnas rättigheter i informationshänseende utöver den föreslagna regleringen förutsätta ytterligare utveckling av de allmänna principerna, förfarandena och bestämmelserna.  
3.3
De viktigaste förslagen
Lagen om informationshantering inom den offentliga förvaltningen 
I propositionen föreslås att det stiftas en ny lag om informationshantering inom den offentliga förvaltningen. Genom den föreslagna lagen sammanställs de allmänna bestämmelserna om hantering av livscykeln för information i en ny allmän lag som reglerar verksamheten inom den offentliga förvaltningen, med tanke på skötseln av myndigheternas uppgifter. I den gällande lagstiftningen har denna reglering spjälkats upp på offentlighetslagen, lagen om elektronisk kommunikation i myndigheternas verksamhet och informationsförvaltningslagen. I den föreslagna lagen föreskrivs inte om grunderna för arkivering eller om arkivväsendet utan de bestämmelserna finns i Europeiska unionens allmänna dataskyddsförordning och i dataskyddslagen. Till de delar som det i dataskyddsförordningen eller i dataskyddslagen inte föreskrivs om arkivering ska arkivlagens och andra nationella lagars bestämmelser om arkivering och arkivbildning tillämpas. Arkiveringen och arkivväsendets uppgifter hör till hanteringen av informationens livscykel, men i informationshanteringslagen föreslås inte i det första skedet några bestämmelser om hanteringen av livscykeln för information, utan den regleringen görs i ett senare skede och på den inverkar också den redan gällande och tillämpliga nya allmänna dataskyddsförordningen samt den nationella dataskyddslagen. Också offentlighetslagstiftningen inverkar på förnyandet av arkiveringslagstiftningen och förhållandet mellan offentlighetslagen och arkiveringen måste ses över separat.  
Den föreslagna lagens bestämmelser gäller de myndigheter och informationshanteringsenheter som nämns i lagen. I lagstiftningen införs det nya begreppet informationshanteringsenhet. Därmed avses den organisation som ansvarar för organiseringen av informationshanteringen. Informationshanteringsenhetens ansvar motsvarar i praktiken de gällande förfarandena som innebär att organiseringen av informationshanteringen hör till en organisation, trots att flera myndigheter är verksamma inom organisationen. Den föreslagna lagen ska tillämpas också på enskilda personer samt på privata sammanslutningar och på andra än i offentlighetslagen avsedda offentliga sammanslutningar till den del som på dem tillämpas bestämmelserna i lagen om offentlighet i myndigheternas verksamhet.  
I enlighet med den föreslagna lagens kapitelindelning föreskrivs i lagen om den allmänna styrningen av informationshanteringen inom den offentliga förvaltningen, om planering och beskrivning av informationshanteringen, om informationssäkerhet, om säkerhetsklassificering, om informationshantering av ärenden och tjänster, om skapande och elektronisk överföring av informationsmaterial samt om förvaring av informationsmaterial. I propositionen föreslås att informationsförvaltningslagen upphävs. I propositionen föreslås med anledning av den nya lagen också ändringar i offentlighetslagen och lagen om elektronisk kommunikation i myndigheternas verksamhet. De ändringar som föreslås i bestämmelserna om sekretessanteckningar samt säkerhets- och skyddsklassificering föranleder ändringar i säkerhetsutredningslagen, i lagen om offentlig försvars- och säkerhetsupphandling, i lagen om statsbudgeten samt i statstjänstemannalagen. Till följd av att informationsförvaltningslagen upphävs föreslås tekniska ändringar i vissa andra lagar. I lagförslag som bifogas propositionen föreslås dessutom ändringar i bestämmelser om tekniska anslutningar som ingår i substanslagstiftningen gällande olika förvaltningsområden, vilka beror på den föreslagna informationshanteringslagens nya bestämmelser om överföring av information via tekniska gränssnitt. Dessa lagförslag har tagits in i propositionen till den del som man hunnit bereda dem vid ministerierna. I de återstående delarna görs sannolikt ändringar senare, i samband med att författningarna ses över. Genom de allmänna bestämmelserna om informationshantering i den föreslagna lagen preciseras de gällande bestämmelserna om god informationshantering i offentlighetslagen. I synnerhet preciseras ansvaret för en omsorgsfull organisering av informationshanteringen så att det i första hand inriktas på organisationens ledning.  
Den föreslagna lagen förnyar också terminologin i lagstiftningen om allmän informationshantering. Det är nödvändigt att definiera begreppen av den anledningen att man genom lagstiftningen sammanställer bestämmelser i lagar som tillkommit vid olika tidpunkter, exempelvis offentlighetslagen och informationsförvaltningslagen. Det är skäl att förnya begreppen också med tanke på den framtida utvecklingens smidighet. Avsikten är vidare att i den föreslagna lagen använda sådana begrepp som inte binder eller styr lagtillämpningen exempelvis utifrån den terminologi som hänför sig till en viss yrkeskår och ett visst förfarande. I begreppsapparaten beaktas också terminologin i Europeiska unionens allmänna dataskyddsförordning.  
I den föreslagna lagen föreskrivs om den allmänna styrningen av informationshanteringen inom den offentliga förvaltningen. Styrningen i anslutning till informationssystemens och informationslagens interoperabilitet kommer i grunden att motsvara den styrning som föreskrivs i informationsförvaltningslagen. Styrningen avser fortsättningsvis metoderna för säkerställande av interoperabiliteten. I regleringen stryks emellertid sådana förfaranden och bland annat sådana förordningsbemyndiganden som konstaterats vara problematiska och som inte har kunnat utnyttjas effektivt. Finansministeriet kommer fortfarande att svara för den allmänna styrningen.  
Enligt den föreslagna lagen ska för informationshanteringen inrättas en sektorövergripande sakkunnigmyndighet, dvs. en informationshanteringsnämnd. I Finland finns det ingen myndighet som är inriktad på utveckling och styrning av informationshanteringen inom hela den offentliga förvaltningen, utan flera myndigheter utvecklar informationshanteringen inom sina egna ansvarsområden. Informationshanteringsnämndens uppgift kommer att vara att bedöma vissa informationshanteringsförfaranden samt att främja genomförandet av förfarandena och kravöverensstämmelsen inom informationshanteringen. Nämndemodellen är ett ändamålsenligt sätt att organisera ett sektoröverskridande sakkunnigarbete när det gäller att se till att olika synpunkter beaktas och att de grundläggande rättigheterna, exempelvis , offentlighetsprincipen, rättssäkerheten och andra garantier för en god förvaltning främjas inom informationshanteringen.  
Den föreslagna lagen innehåller en heltäckande reglering av förpliktelserna i anslutning till planeringen och beskrivningen av informationshanteringen. Avsikten med regleringen är att täcka in de krav som uppkommer genom de olika behoven i samband med informationshanteringen, exempelvis på grund av offentlighetsprincipen, en effektiv organisering av verksamheten och skyddet av personuppgifter. Avsikten med bestämmelserna om planering och beskrivning är att effektivisera och förbättra en kvalitativ hantering av informationens livscykel samt utnyttjandet av informationen mellan olika organisationers verksamhetsprocesser. Förpliktelserna i fråga om planeringen och beskrivningen av informationsförvaltningen ska enligt förslaget uppfyllas med hjälp av en informationshanteringsmodell och skyldigheten att bedöma ändringar i den .  
I den föreslagna lagen föreskrivs om de grundläggande krav som ställs på informationssäkerheten. Syftet med regleringen är att säkerställa att samtliga informationshanteringsenheter uppfyller åtminstone samma grundläggande krav. På detta sätt främjas samhällets övergripande informationssäkerhet och möjliggörs en förstärkning av det inbördes förtroendet mellan myndigheterna så att bland annat onödiga säkerhetsutredningar mellan myndigheterna kan slopas. Regleringen av informationssäkerheten utsträcks i sin helhet också till de kommunala myndigheterna. Den allmänna regleringen har hittills utgått endast ifrån den med stöd av offentlighetslagen utfärdade informationssäkerhetsförordningen, som är bindande endast för statens myndigheter.  
Genom den föreslagna lagens bestämmelser om ärendehantering och informationshantering av tjänster fastställs förfarandena och kraven när det gäller specificering av ärenden hos myndigheterna, upprätthållandet av ärenderegister samt informationsmaterial som uppkommer i samband med produktion av tjänster. Genom sådana enhetliga förfaranden som är förenliga med bestämmelserna främjas informationshanteringens kvalitet och iakttagandet av offentlighetsprincipen.  
I den föreslagna lagen föreskrivs om elektroniskt skapande och elektroniskt utlämnande av informationsmaterial. Det föreslås att regleringen förnyas så att den bättre än för närvarande beaktar sådana förändringar i informationshanteringen som skett och i framtiden kommer att ske på grund av den datatekniska utvecklingen. Enligt regleringen ska informationsmaterial i första hand behandlas i elektronisk form. Enligt de föreslagna bestämmelserna ska handlingar som inkommer till en myndighet och som en myndighet har utarbetat i princip förvaras endast i elektroniskt format. Användningen av tekniska gränssnitt vid informationsutbytet mellan myndigheter ska enligt den föreslagna regleringen vara det förfarande som kommer i första hand. Regleringen gör det möjligt att branschvis avveckla regleringen av tekniska anslutningar.  
I den föreslagna lagen ska det också föreskrivas om grunderna för bestämmande av förvaringstider i fråga om informationsmaterial. Livscykeln för informationsmaterial som uppkommit för myndigheters skötsel av sina uppgifter under informationens aktiva tid kan fortsätta i forma av arkiverat informationsmaterial, om materialet kan arkiveras så som särskilt föreskrivs om det. På arkiveringen inverkar Europeiska unionens allmänna dataskyddsförordning, dataskyddslagen samt enskilda bestämmelser som gäller arkivering. Bestämmelserna i informationshanteringslagen ska dock i fråga om informationssäkerheten, sättet för elektronisk överföring av informationsmaterial och kraven på informationssystem gälla också arkiverat informationsmaterial. Om informationsmaterialet inte arkiveras efter det att förvaringstiden löpt ut, ska det på basis av skyldigheten i informationshanteringslagen förstöras på ett informationssäkert sätt. 
Ändringar som föreslås i lagen om offentlighet i myndigheternas verksamhet och säkerhetsutredningslagen 
I propositionen föreslås ändringar också i lagen om offentlighet i myndigheternas verksamhet. Det föreslås att lagens bestämmelser om god informationshantering upphävs. I fortsättningen ska motsvarande bestämmelser ingå i informationshanteringslagen.  
Likaså föreslås att den bestämmelse i offentlighetslagen upphävs som gäller möjligheten att för en annan myndighet öppna en teknisk anslutning till sådana uppgifter i ett personregister som den andra myndigheten enligt en i lag särskilt bestämd skyldighet ska beakta när den fattar beslut. Det ska också i fortsättningen föreskrivas i offentlighetslagen om rätten till information. Likaså ska det också i fortsättningen föreskrivas i offentlighetslagen om utlämnande av handlingar, med undantag för de bestämmelser som gäller möjligheten att för en annan myndighet öppna en elektronisk förbindelse till ett informationssystem eller ett tekniskt gränssnitt till en myndighet eller till någon annan som har rätt till information. Bestämmelserna om dessa förfaranden för utlämnande av information ska i fortsättningen ingå i informationshanteringslagen, och i offentlighetslagens bestämmelse om förfaranden för utlämnande av handlingar ska till denna del hänvisas till informationshanteringslagen.  
Eftersom det i informationshanteringslagen i fortsättningen ska föreskrivas också om sådana ärenden som för närvarande med stöd av offentlighetslagen regleras genom statsrådsförordningar, föreslås att offentlighetslagens förordningsbemyndiganden upphävs med undantag för bemyndigandet att genom förordning av statsrådet föreskriva närmare om genomförande av öppenhet i verksamheten med hjälp av planering och organisering av informationsförmedlingen. För närvarande föreskrivs genom förordning av statsrådet om en myndighets skyldighet att utreda och bedöma informationsmaterial som den har i sin besittning samt om hantering av materialet för genomförande av god informationshantering, uppgifter som ska antecknas i diarier och andra dokumentregister samt i datasystembeskrivningar, klassificering av informationsmaterial för genomförande av behövliga informationssäkerhetsåtgärder samt om skyldigheten att anteckna säkerhetsklass i handlingar. I och med att förordningsbemyndigandena upphävs så ska också dessa med stöd av bemyndigandena utfärdade bestämmelser på lägre hierarkisk nivå upphävas.  
Sekretessbelagda handlingar och uppgifter som ingår i dem har enligt gällande lagstiftning kunnat klassificeras beroende på vilka krav på informationssäkerhet som måste iakttas vid behandlingen av dem. Skyddsklassificeringen av handlingar och bestämmelserna om saken ska enligt förslaget upphävas i sin helhet. Däremot föreslå det att säkerhetsklassificeringen utsträcks till ett antal nya ärendegrupper. I övrigt baseras kraven gällande behandling av information på de minimikrav som gäller i fråga om informationssäkerheten samt på riskbaserad bedömning och genomförande på basis därav. Ändringarna återverkar också på säkerhetsutredningslagen, vars bestämmelser om skyddsklassificering också måste ses över till följd av ändringen. Det föreslås att ändringarna säkerhetsutredningslagens genomförs så att de inte inverkar på uppgifter som hör till området för säkerhetsutredningar. Vidare föreslås det att i säkerhetsutredningslagen också i fortsättningen ska användas de nuvarande kriterierna som beskriver kraven på behandling av skyddsklassificerade handlingar, vid bedömningen av förutsättningarna för säkerhetsutredningar samt nivån på personsäkerhetsutredningar. 
Avsikten är att ändringarna i säkerhetsutredningslagen ska genomföras så att de de facto inte inverkar på sådana uppgifter som hör till området för säkerhetsutredningar. Dessutom föreslås preciseringar av bestämmelserna om sekretessanteckningar och samtidigt att till lagen fogas bestämmelser om anteckningar i andra än sekretessbelagda handlingar.  
Dessutom ska vissa bestämmelser i offentlighetslagen i tekniskt hänseende justeras så att de motsvarar de bestämmelser som föreslås i informationshanteringslagen.  
4
Propositionens konsekvenser
Propositionens konsekvenser för olika aktörer varierar i stor utsträckning beroende på hur och i vilken omfattning lagförslaget tillämpas på en informationshanteringsenhets, en myndighets eller en sammanslutnings verksamhet. En omständighet som påverkar omfattningen av förslagets konsekvenser är för sin del också hur aktörerna inom förslagets tillämpningsområde har genomfört sina förpliktelser enligt den gällande lagstiftningen. Utgångspunkten för bedömningen av förslagets konsekvenser är den förändring som de föreslagna bestämmelserna orsakar jämfört med den gällande regleringen. Bedömningen har gjorts endast i fråga om nya eller förändrade förpliktelser. Utgångspunkten för bedömningen av konsekvenserna är en analys av de gällande förpliktelserna, som har preciserats genom en bedömning av de till förslagets tillämpningsområde hörande aktörernas interna föreskrifter, regler och anvisningar. Förslagets konsekvenser har utretts också med hjälp av förfrågningar som riktats till aktörer inom lagförslagets tillämpningsområde.  
Ett viktigt syfte med propositionen är att säkerställa en enhetlig och informationssäker behandling av myndigheters informationsmaterial och att möjliggöra ett tryggt och effektivt utnyttjande av informationsmaterial samt att främja interoperabiliteten mellan informationssystem och informationslager i syfte att effektivisera verksamheten inom den offentliga förvaltningen och förbättra tjänsterna. Genom lagen skapas en enhetlig grund som gör det möjligt för myndigheterna att bedriva sin verksamhet på ett mera resultatgivande sätt. Merparten av propositionens konsekvenser, i synnerhet i fråga om nyttoaspekterna, är indirekta, eftersom förslaget innebär att åtgärderna för att uppnå målen och genomföra dem huvudsakligen blir beroende av myndigheternas prövning. Av den anledningen har konsekvenserna för olika aktörer inom tillämpningsområdet så långt som möjligt framställts som mera omfattande helheter och storleksklasser. Konsekvenserna på organisationsnivån är i stor utsträckning beroende av hur de nya förpliktelser som lagförslaget medför kommer att förverkligas och hur de redan gällande förpliktelserna har förverkligats i organisationerna. Dessutom kommer konsekvenserna av propositionen att fördelas över en längre period. De slutliga konsekvenserna av propositionen blir också beroende av ett effektivt genomförande av de åtgärder som propositionen innebär.  
4.1
Ekonomiska konsekvenser för informationshanteringsenheterna och myndigheterna
Propositionens ekonomiska konsekvenser för informationshanteringsenheterna orsakas av planering och genomförande av kraven i anslutning till organiseringen av informationshanteringen samt av kontinuerlig utveckling och övervakning av den verksamhet som kraven innebär. Syftet med de bestämmelser som ingår i förslaget är att koordinera informationshanteringsenheternas nuvarande krav samt att förtydliga ansvarsförhållandena och förpliktelserna i anslutning till informationshanteringen. Avsikten är att för informationshanteringsenheterna skapa en enhetlig och begriplig kravbild med hjälp av vilken de enklare kan genomföra och styra åtgärder i anslutning till informationshanteringen samt utveckla sina egna service- och informationshanteringsprocesser så att de blir effektivare. Genom att informationen blir hanterligare och genom att de därtill anslutna planerings-, beskrivnings- och informationssäkerhetsförpliktelserna sammanställs till en övergripande reglering, skapas det för informationshanteringsenheterna bättre förutsättningar att utveckla de informationssystem som används för behandlingen av informationen så att de bättre stödjer verksamhetens behov samt effektiviserar utnyttjandet av redan insamlad information. Dessutom skapar regleringen en grund som gör det möjligt för informationshanteringsenheterna att ha bättre beredskap för åtgärder som orsakas av ändrings- och störningssituationer. På längre sikt kan den styrande regleringen bedömas förbättra informationssystemens interoperabilitet och förutsättningarna för informationsutbyte samt sänka informationshanteringsenheternas kostnader för insamling, utlämnande och integrering av information.  
De centrala ekonomiska konsekvenserna av förslaget gäller framför allt de engångskostnader som orsakas av åtgärderna för ändring av förfarandena i anslutning till organisering av informationshanteringen, sammanställning av beskrivningar samt databehandlingsprocesserna så att de motsvarar de förändrade kraven. Storleken av de ändringskostnader som förslaget orsakar aktörerna inom tillämpningsområdet beror i stor utsträckning på den nivå som informationshanteringsenheten för närvarande befinner sig på i fråga om sina egna informationshanteringsförfaranden. Efter övergångsperioderna kommer en trygg hantering av informationsmaterial och en kontinuerlig utveckling av informationshanteringsförfarandena att innebära resursbehov för informationshanteringsenheterna. Det beräknas emellertid att de kostnader som propositionen orsakar kan täckas genom en administrativ omfördelning av befintliga resurser samt genom omallokering av resurserna. De övergångsperioder som föreslås och grunderna för avvikelse i anslutning till de föreslagna förpliktelserna kommer vidare, med beaktande av förnyandet av informationshanteringsenheternas informationshantering och verksamhet, att innebära olika utgångssituationer för informationshanteringsenheterna och myndigheterna samt att ändringen genomförs på ett kostnadseffektivt sätt vid en ändamålsenlig tidpunkt. I den följande tabellen beskrivs de centrala ändringsbehov som förslagen orsakar från informationshanteringsenheternas synpunkt.  
Förpliktelse/ 
uppgiftshelhet 
Organisering av informations-hanteringen 
Informations-säkerhet 
Informations-hantering av ärenden och tjänster 
Skapande och utlämnande av informationsmaterial 
Anvisningar och beskrivningar 
Ändring av gällande informations-hanteringsanvis-ningar så att de motsvarar förändrade förpliktelser 
Sammanställning och koordinering av existerande beskrivningar i ett hanterbart format 
Ändring av existerande anvisningar i överensstämmelse med förändrade förpliktelser 
Sammanställning av informationsmaterial som uppkommer i olika behandlingsprocesser samt informations-producerande informationssystem och informationslager till en enhetlig beskrivning 
Ändring av anvisningar om definition av behovet att förvara existerande informationsmaterial i överensstämmelse med förändrade förpliktelser 
Organisering av uppgifter och processer 
Ändring av existerande verksamhets-modeller för informations-hantering i överensstäm-melse med förändrade förpliktelser 
Ändring av förfaranden för upprättande och uppdatering av beskrivningar i överensstäm-melse med förändrade förpliktelser 
Ändring av planerings-, bedömnings och övervakningsför-faranden i överensstäm-melse med förändrade förpliktelser 
Ändring av registreringsför-farandena för  
handlingar och informationsmaterial i överensstämmelse med förändrade förpliktelser 
Införande av processer för offentliggörande av informationslager gällande offentlighetsprincipen och beskrivning av ärendegister 
Digitalisering av material som inte inkommit i elektroniskt format samt skapande av förfaranden för insamling av information från andra informations-hanteringsenheter 
Informationssystem 
 
Säkerställande av licenshantering för informations-system och insamling av logginformation samt planering och genomförande av nödvändiga ändringar 
Integrering av identifierings-information i informationssystem som används för dokumenthantering 
Genomförande av obligatoriska överföringsmetoder i informationssystem 
Det bedöms att de föreslagna förpliktelserna gällande organisering av informationshanteringen inte medför behov av tilläggsresurser för informationshanteringsenheterna och myndigheterna eftersom förpliktelserna i stor utsträckning motsvarar den gällande lagstiftningen. Bestämmelser om de krav som gäller informationshanteringsmetoderna, behandlingen av informationsmaterial samt anvisningarna om sekretessbeläggning och kompetenskrav finns bland annat i lagen om offentlighet i myndigheternas verksamhet i fråga om god informationshanteringssed, i EU:s dataskyddsförordning i fråga om databehandling samt i personuppgiftslagen i fråga om planmässig behandling av personuppgifter. Dessutom har det i offentlighetslagen, i EU:s dataskyddsförordning samt i personuppgiftsalgen redan förutsatts att myndigheter och de personuppgiftsansvariga ska säkerställa övervakning i anslutning till behandling av information. Bestämmelserna om myndigheternas förvaltning och ekonomi förutsätter vidare att myndigheterna sörjer för ordnandet av intern kontroll och granskning av sina uppgifter.  
I fråga om ordnandet av informationshantering innebär förslaget att det för informationshanteringsenheterna uppkommer behov att uppdatera bestämmelserna och anvisningarna om sin informationshantering så att de motsvarar de förändrade förpliktelserna samt att införa nya verksamhetssätt som stämmer överens med dessa. Säkerställandet av den kompetens som förpliktelserna förutsätter kommer att kräva att informationshanteringsenheterna satsar på handledning och utbildning av både sin personal och de aktörer som verkar för informationshanteringsenheternas räkning. Eftersom de kunskaper och den kompetens som iakttagandet av de gällande bestämmelserna förutsätter hör till informationshanteringsenheternas och myndigheternas grundläggande uppgifter, bedöms förslaget inte förutsätta att informationshanteringsenheterna tilldelas ytterligare resurser i dessa avseenden, utan förpliktelserna kan genomföras genom omfördelning av befintliga resurser. Å andra sidan kan den bedömningen göras att det på längre sikt med hjälp av bättre kunnande och effektivare informationshantering också bli möjligt att minska resurserna för förpliktelser som avser grunderna för informationshantering samt att omfördela de resurser som frigörs exempelvis till utveckling av möjligheterna att utnyttja information, vilket indirekt kommer att effektivisera informationshanteringen.  
De planerings- och beskrivningsförpliktelser som enligt förlaget ska åläggas informationshanteringsenheterna stämmer också överens med förpliktelserna enligt den gällande lagstiftningen. De planerings- och beskrivningsuppgifter gällande informationshantering som föreslås i informationshanteringslagen bedöms i fråga om beskrivningen av informationshanteringsmodellen samt ärenderegister och informationslager förutsätta en arbetsinsats på cirka 0,5–1 årsverken för informationshanteringsenheterna. Bedömningen av arbetsmängden baseras på erfarenheterna av arbetet med den övergripande arkitekturen inom den offentliga förvaltningen, eftersom det arbetet i stor utsträckning motsvarar den nu föreslagna regleringen. Det bedöms att sammanställningen av de existerande beskrivningar till en sådan hanterbar helhet som avses i förslaget kan göras med samma planerings- och beskrivningsresurser som för närvarande används för uppdatering av information enligt offentlighetslagen, EU:s dataskyddsförordning, informationsförvaltningslagen och arkivlagen. Syftet med förslaget är att minska beskrivningsförpliktelserna jämfört med de nuvarande. Bestämmelser om beskrivning av verksamhetsprocesser som ingår i informationshanteringsmodellen finns för närvarande bland annat i 7 § i informationsförvaltningslagen, i 6 § i lagen om förvaltningens gemensamma stödtjänster för e-tjänster i informationsförvaltningslagens bestämmelser om informationslager och informationssystem samt i offentlighetslagens bestämmelser om god informationshantering samt i fråga om behandling av och förvaringstider för informationsmaterial i EU:s dataskyddsförordning. Vidare finns det bestämmelser om beskrivning av information i arkivlagens 8 § 2 mom. i fråga om förpliktelser gällande utarbetande och uppdatering av en arkivbildningsplan. EU:s dataskyddsförordning, offentlighetslagen och statsrådets förordning om informationssäkerheten inom statsförvaltningen ålägger dessutom de personuppgiftsansvariga och statsmyndigheterna att beskriva informationssäkerhetsåtgärder i anslutning till hantering av informationsmaterial.  
Den beskrivning av ärenderegister och informationslager som ska utarbetas och upprätthållas i syfte att genomföra offentlighetsprincipen bedöms inte heller kräva några ytterligare resurser för de organisationer som hör till lagens tillämpningsområde. Förslaget motsvarar i stor utsträckning de förpliktelser som föreskrivs i den gällande offentlighetslagens 18 § 1 mom. 1 och 2 punkten. Bestämmelserna om registerbeskrivning i personuppgiftslagens 10 § förutsätter att den personuppgiftsansvarige för sin del upprätthåller motsvarande information som i den föreslagna beskrivningen av ärenderegister och informationslager. Förslagets förpliktelser gällande offentliggörande av en ärenderegisterbeskrivning i ett allmänt datanät motsvarar vidare i många avseenden förpliktelsen i offentlighetsförordningens 7 §, enligt vilken statens myndigheter ska se till att ärenderegister hålls tillgängliga samt förpliktelsen enligt personuppgiftslagens 10 § 2 mom. som innebär att personuppgiftsansvariga ska hålla registerbeskrivningar allmänt tillgängliga.  
Utöver den gällande lagstiftningen har i samverkan inom den offentliga förvaltningen utarbetats rekommendationer om planering och beskrivning av informationshantering. Avsikten med rekommendationerna är att precisera och koordinera de planerings- och beskrivningsförpliktelser som föreslås i lagen. Trots att rekommendationerna inte är bindande för myndigheterna används rekommendationerna i stor utsträckning inom den offentliga förvaltningen, bland annat av ledningsgruppen för datasäkerhet inom statsförvaltningen (VAHTI), delegationen för informationsförvaltningen inom den offentliga förvaltningen (JUHTA) och den offentliga förvaltningens rekommendationssystem (JHS) samt av Riksarkivet.  
Med stöd av det som anförs ovan bedöms de beskrivningsförpliktelser som nämns i förslaget inte förutsätta utökade resurser till informationshanteringsenheterna. Det är snarare fråga om överföring av befintliga resurser till åtgärder som är förenliga med de förändrade förpliktelserna. Sammanställningen av de existerande beskrivningarna till hanterliga helheter i en informationshanteringsmodell och till en helhet som beskriver ärenderegistret och informationslagret samt skapandet av förfaranden för upprätthållande av den information som dessa innehåller förutsätter att informationshanteringsenheterna gör sådana satsningar av engångskaraktär som kan inriktas på upprätthållande och utveckling av de nuvarande beskrivningarna i fråga om de använda resurserna.  
Avsikten är att sammanställda de föreslagna planerings- och beskrivningsförpliktelserna med de ovan nämnda delvis splittrade beskrivningsförpliktelserna och skapa förutsättningar för att planeringen och beskrivningen av informationshanteringen i fortsättningen ska göras som en helhet till stöd för informationshanteringsenheternas verksamhet. Då förslagets regleringsnivå är generell och i många avseenden också flexibel är det möjligt för informationshanteringsenheterna att genomföra sina beskrivnings- och planeringsförpliktelser i fråga om informationshanteringen i enlighet med organisationens särdrag och nuvarande mognadsnivå. Förslaget skulle också förbättra informationshanteringens genomskinlighet och samtidigt främja förverkligandet av offentlighetsprincipen. Syftet med förslaget är att effektivisera den offentliga förvaltningens informationshantering och utveckla den i en bättre riktning med hjälp av informationshanteringslagen. Planerings- och beskrivningsförpliktelserna ska ses som en viktig del av informationshanteringsenheternas kontinuerliga verksamhet, när det dessa förpliktelser för sin del styr enheterna i en informationsorienterad riktning.  
På längre sikt bör planerings- och beskrivningsförpliktelserna medföra såväl direkta som indirekta kostnadsbesparingar samt främja verksamhetsresultatet. Enhetligt och entydigt reglerade planerings- och beskrivningsförpliktelser kan bedömas minska myndigheternas arbetsmängd i och med att behovet att utarbeta och uppdatera flera separata beskrivningar faller bort. Enligt gällande lagstiftning och kompletterande rekommendationer för den offentliga förvaltningen ska myndigheterna beskriva samma information från flera olika infallsvinklar och i flera olika format. Avsikten är att i förslaget till informationshanteringslag utforma planerings- och beskrivningsbestämmelserna så att de i fråga om täckningen och innehållet innebär att redan insamlad information kan utnyttjas för centrala användningsmål. Det uppkommer indirekta kostnadsbesparingar och förutsättningar för resultatgivande verksamhet då systematisk planering och beskrivning av informationshanteringen får utgöra en del av den operativa verksamheten och informationsledningen. I och med en bättre helhetsuppfattning och situationsbild av informationshanteringsenheternas informationshantering förbättras också förutsättningarna att bättre förutse framtida förändringar då de resurser som myndigheterna behöver för att lösa förändrings- och störningssituationer minskar på längre sikt.  
De föreslagna bestämmelserna om informationssäkerhet och säkerhetsklassificering motsvarar i stor utsträckning också den gällande lagstiftningen. De förändrade och preciserade förpliktelserna förutsätter ändringar i informationshanteringsenheternas och myndigheternas anvisningar och genomförande av åtgärder i anslutning till säkerställande av kompetensen. Det bedöms emellertid att informationssäkerhetsförpliktelserna huvudsakligen kan förverkligas genom omorganisering av befintliga resurser. I fråga om statsförvaltningen stämmer den föreslagna regleringen överens med offentlighetslagen, informationssäkerhetsförordningen och med förpliktelserna i lagstiftningen om behandling av personuppgifter. Eftersom tillämpningsområdet för offentlighetslagen och EU:s dataskyddsförordning omfattar de myndigheter och enskilda personer som hör till förslagets tillämpningsområde, bedöms förslaget inte få några ekonomiska konsekvenser heller för andra aktörer som hör till tillämpningsområdet. Som en ny förpliktelse bedöms inte heller den föreslagna uppföljningen av informationssäkerhetens tillstånd i myndigheternas verksamhetsmiljö förutsätta några sådana åtgärder från myndigheternas sida som de inte kan genomföra inom ramen för sina befintliga resurser. I dagens online-baserade värld måste det anses höra till myndigheternas normala uppgifter att följa upp och bedöma förändringar i sin verksamhetsmiljö. Trots att förpliktelserna i anslutning till garantierna för de i förslaget reglerade informationsmaterialens säkerhet i offentlighetslagen preciserar innehållet i de åtgärder som föreskrivs för säkerställande av hela den offentliga förvaltningens informationssäkerhet, stämmer de överens med lagstiftningen om behandlingen av personuppgifter och i stor utsträckning också med existerande förfaranden.  
Förpliktelserna i fråga om informationssäkerheten bedöms inte förutsätta några betydande ändringar i de informationssystem som används av aktörerna inom lagens tillämpningsområde. I den gällande dataskyddslagstiftningen föreskrivs om förpliktelser som avser användarrättigheter i fråga om informationssystem. EU:s dataskyddsförordnings inbyggda och presumtiva dataskydd förutsätter att den personregisteransvarige vidtar de åtgärder som behövs för att säkerställa behandling av personuppgifter som behövs enbart för användningsändamålet. På motsvarande sätt förutsätter personuppgiftslagen att den personuppgiftsansvarige fastställer syftet med behandlingen i förhållande till den personuppgiftsansvariges uppgifter. De förpliktelser som föreskrivs i offentlighetslagens 18 § 1 mom. i fråga om tryggande och övervakning av informationsrelaterade rättigheter och informationens kvalitet har förutsatt reglering av informationssystemets användarrättigheter. Det kan bedömas att konsekvenserna av den ändring som orsakas av de föreslagna förpliktelserna i fråga om insamling av logginformation blir små, eftersom förpliktelserna avser endast informationssystem vilkas användning förutsätter identifiering eller annan registrering. Dessutom har insamling av logginformation om användningen av informationssystem också hittills varit en förutsättning för att användning och utlämnande av informationsmaterial samt tekniska fel i informationssystem ska kunna följas upp och övervakas. Den föreslagna förpliktelsen när det gäller informationsöverföring i ett datanät genom användning av en krypterad eller annan skyddad anslutning eller metod, om det är fråga om överföring av sekretessbelagd information, konsoliderar den existerande regleringen och förstärker förfarandet enligt nuvarande praxis på lagnivå. Enligt 243 § i lagen om tjänster inom elektronisk kommunikation (917/2014) ska kommunikationsnät och kommunikationstjänster som används för informationsöverföring vara av en god teknisk standard och informationssäkra samt göra det möjligt att upptäcka kränkningar av och hot mot informationssäkerheten. De grundläggande kraven på genomförande av informationssäkerheten i samband med digitala tjänster definieras bland annat av ledningsgruppen för datasäkerheten inom statsförvaltningen (VAHTI) i anvisningen om informationssäkerheten inom elektronisk ärendehantering (Finansministeriets publikation 25/2017). Grundläggande krav när det gäller informationssäkerheten innebär till exempel att sekretessbelagd information och annan information som får behandlas i begränsad utsträckning, exempelvis i samband med överföring av information som hör till särskilda personuppgiftsgrupper via en skyddad anslutning i ett datanät eller vid behov identifiering av användaren i samband med registreringen för tjänsten. En omständighet som minskar de ekonomiska konsekvenserna av förpliktelsen är att förpliktelserna i fråga om överföringsanslutningen eller överföringssättet och identifiering eller kontroll av mottagaren enligt förslaget är flexibla vilket innebär att sättet för genomförande av förpliktelsen blir beroende av myndighetens prövning.  
Förslagets förpliktelser i samband med registrering av myndighetshandlingar motsvarar i fråga om statsförvaltningen offentlighetsförordningens 6 § och stämmer i stor utsträckning överens med övriga myndigheters samt universitetens och yrkeshögskolornas existerande registreringsförfaranden. Informationshanteringsenheternas skyldighet att ange en ärendekod som individualiserar ärenden som upptagits och överförts till behandling är ny i förhållande till den gällande regleringen. Förslaget motsvarar emellertid huvudsakligen det som också hittills har registrerats som ärenden i diarier och andra register. En viktig ändring gäller sådan information om ett ärende som anger informationshanteringsenheten (företags- och organisationsnummer – FO-nummer), myndigheten samt verksamhetsprocessen. Eftersom sättet för genomförande av förfarandet med identifieringsinformation blir beroende av informationshanteringsenhetens prövning, bedöms det att nya förpliktelser inte orsakar några betydande ändringsbehov i de ärendebehandlingssystem som myndigheterna använder. Individualiseringsuppgifter i anslutning till ett ärende kan i informationssystemen hanteras med hjälp av hanteringsfunktioner som bygger på olika referens- eller metauppgifter. Tillfogande eller ändring av sådana funktioner borde inte förutsätta några betydande ändringar i de ärendebehandlingssystem som är i allmän användning. 
Informationshanteringsenheternas förpliktelse att ordna hanteringen av informationsmaterial som uppkommer i andra sammanhang än vid ärendebehandling så att de handlingar som bildas av informationsmaterialen kan sökas med en beteckning som avser en uppgiftsuppsättning, förutsätter att informationshanteringsenheterna klarlägger hanteringspraxis för de nuvarande handlingarna i fråga om samtliga informationssystem som behandlar informationsmaterial samt planerar förfaranden för utlämnande av handlingar till behövande. Den flexibla utformningen av förpliktelsen innebär att informationshanteringsenheterna enligt prövning får bestämma vilken identifieringsinformation som ska användas för sökningen i olika situationer samt ger möjlighet att utnyttja existerande identifikationskoder för information som uppkommer i samband med verksamheten, exempelvis koder som avser uppgifts-, tjänste- eller annan information om prestationer. Eftersom kravet på förteckning över handlingar som bildats utifrån information i andra sammanhang än vid ärendebehandling dessutom motsvarar bestämmelsen i offentlighetslagens 18 § 1 mom. 1 punkten, bedöms förpliktelser som avser informationshantering i samband med tjänster inte få ekonomiska konsekvenser för de informationshanteringsenheter som avses i lagen. En omständighet som minskar de resurser som krävs för genomförande av de ändringar i informationssystem som orsakas av förslagen om reglering av informationshantering som avser ärenden och tjänster är vidare att lagen till dessa delar huvudsakligen ska tillämpas endast på informationssystem som anskaffas efter att lagen trätt i kraft. 
Det beräknas att kraven i fråga om individualisering och registrering av informationsmaterial och handlingar som uppkommer i samband med ärendehantering och tjänster i fortsättningen kommer att innebära bättre förutsättningar att effektivisera genomförandet av offentlighetsprincipen i fråga om myndigheterna, då individualiseringen och sökningen av information som är föremål för överföring mellan myndigheter blir bättre. Dessutom möjliggör hanteringen av ärenderegistret i hela informationshanteringsenhetens omfattning hantering av ärenderelaterade informationsmaterial under livscykeln för ärendebehandlingen.  
Syftet med förpliktelserna i fråga om bildandet av informationsmaterial och elektronisk förvaring av informationsmaterial är att förbättra och effektivisera utnyttjandet av lagrad information. För genomförandet av förpliktelserna förutsätts det att informationshanteringsenheterna utreder behandlings- och lagringsfunktionaliteterna i fråga om de informationslager och informationssystem som de utnyttjar, för att det ska vara möjligt att säkerställa att informationen förvaras i enlighet med de krav som förslaget innebär. Förpliktelsen när det gäller omvandlingen av inkommande handlingar till elektroniskt format förutsätter dessutom att informationshanteringsenheterna har funktionella och tekniska lösningar som gör det möjligt att säkerställa informationens tillförlitlighet och integritet i samband med förändringen. Kravet att handlingar ska kunna utnyttjas i ett maskinläsbart format har samband med det nationella genomförandet av Europaparlamentets och rådets direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn (PSI-direktivet). Informationshanteringsenheterna ska se till att informationsmaterial finns tillgängligt och kan utnyttjas i ett maskinläsbart och tillgängligt format, om informationsmaterialet från sitt ursprungliga format direkt kan omvandlas till maskinläsbart format. Informationshanteringsenheterna är emellertid, om det föreligger något tekniskt skäl, inte skyldiga att omvandla alla material till maskinläsbart format, exempelvis så att en skannad handling inte kan läsas maskinellt eller på ett tillförlitligt sätt omvandlas till maskinläsbart format. Kravet på maskinläsbart format gäller i synnerhet informationsmaterial som finns i ett strukturerat format. Av denna anledning beräknas kravet inte få några ekonomiska konsekvenser för informationshanteringsenheterna.  
Kravet på omvandling av handlingar till elektroniskt format beräknas till en börja innebära kostnader för sådana informationshanteringsenheter som inte ännu omvandlar inkommande pappershandlingar till elektroniskt format. Den arbetsmängd som krävs för digitalisering av handlingar är väsentligen beroende av vilken teknisk metod som används för digitaliseringen samt vilken arbetsmängd som krävs för förberedelse av det material som ska digitaliseras. I fråga om material som ska arkiveras fastställs kraven när det gäller digitaliserat material bland annat i arkivverkets föreskrift om tekniska krav (24.8.2016, AL/11130/07.01.02.04.02/2008) samt i arkivverkets rekommendation om kvalitetskriterier (15.8.2008, AL/11130/07.01.02.04.02/2008).  
På längre sikt beräknas övergången till digitaliserade handlingar emellertid ge upphov till besparingar både när det gäller behandlings- och när det gäller förvaringskostnaderna. Omvandlingen av information i enlighet med den föreslagna lagen möjliggör bättre och effektivare utnyttjande av förvarad information (sökning, tillgänglighet och användning) samt vidareutnyttjande av lagrad information. Bland annat enligt slutrapporten för Riksarkivets planeringsprojekt för massdigitalisering innebär slopandet av pappersarkivering och processerna i samband därmed besparingar, då det inte längre behöver byggas nya arkivutrymmen samt besparingar i form av personalresurser bland annat på grund av att kundtjänsten för beställning av kopior och uppgifter blir effektivare.  
Det i förslaget ingående kravet på utlämnande av information via ett tekniskt gränssnitt avser överföring av information mellan myndigheter i situationer där den mottagande myndigheten enligt lag har rätt till information och informationen lämnas ut regelbundet. Enligt de utredningar som gjordes i samband med beredningen av förslaget utnyttjar myndigheterna redan nu i stor utsträckning möjligheten att överföra information via tekniska gränssnitt eller gränssnitt som tillhandahålls via centraliserade informationslager. Utlämnande av information enligt de föreslagna kraven ingår i flera myndigheters utvecklingsobjekt. När det gäller storleken av de resurser som förutsätts för genomförande av gränssnitt som uppfyller förpliktelserna har den teknologi som använts för informationsöverföringen en väsentlig betydelse liksom också det sätt på vilket ändringen av informationssystemen eller existerande gränssnitt genomförs. Exempelvis i fråga om implementeringarna i Befolkningsregistercentralens informationsled Suomi.fi uppgår kostnaderna för genomförandet av gränssnitten till cirka 70 000 euro per gränssnitt. En omständighet som minimerar de ekonomiska konsekvenserna när det gäller kraven på gränssnitten är att eftersom lagens syfte är att styra den framtida utvecklingen kommer huvudregeln att vara den att kravet gäller system som anskaffas efter att lagen trätt i kraft. De förpliktelser som föreslås i samband med anskaffningen av nya system endast preciserar de krav som gäller anskaffningar i samband med anslutningarna till informationssystemet. I fråga om system som anskaffats före ikraftträdandet möjliggörs genomförandet av de tekniska förberedelserna för elektronisk informationsöverföring av att myndigheterna kan börja använda gränssnitten med hänsyn till livscyklerna för informationssystemet och de från totalekonomisk synpunkt fördelaktigaste utvecklingstidpunkterna. Regleringen möjliggör dessutom utlämnande av information också på andra sätt, om genomförandet eller utnyttjandet av ett tekniskt gränssnitt inte är ändamålsenligt från teknisk eller ekonomisk synpunkt. Syftet med grunden för avvikelse är att en sådan förändring som skyldigheten förutsätter inte måste genomföras i fråga om informationssystem i slutet av sin livscykel, om organiseringen av överföringen skulle orsaka stora kostnader i förhållande till detta. Om det inte finns några gränssnitt förutsätter regleringen i varje fall att myndigheterna inom övergångsperioden bedömer om utlämnande av information på andra sätt är mera ändamålsenligt från teknisk eller ekonomisk synpunkt än att bygga ett gränssnitt. Ytterligare en omständighet som minskar de ekonomiska konsekvenserna av förpliktelserna är att det i praktiken görs ändringar i överföringsgränssnitten i samband med att överförings- och rapporteringsbehoven förändras. De krav som förslaget förutsätter kan då tas i beaktande i samband med den övriga utvecklingen av gränssnitten. Kraven i fråga om gränssnitt bedöms således på det hela taget inte orsaka tilläggskostnader, dvs. få ekonomiska konsekvenser.  
De ekonomiska konsekvenserna för myndigheterna på grund av genomförandet av tekniska gränssnitt minskar ytterligare ministeriernas förpliktelser när det gäller utredning av regelbundna och standardiserade informationsöverföringar mellan myndigheter samt leder till utarbetande av definitioner som används vid informationsutbyte. Härmed avses i praktiken situationer där flera myndigheter lämnar ut samma information för samma användningsändamål, till exempel då kommunala myndigheter lämnar ut information till statliga myndigheter. Definitioner som gjorts en gång och i samarbete minskar arbetsmängden per myndighet. I syfte att uppfylla förslagets målsättningar förutsätts det i förslagets övergångsbestämmelser att ministerierna utreder informationsöverföringen på det sätt som lagen avser och planerar genomförandet inom 12 månader efter det att lagen trätt i kraft.  
Information som lämnas ut i maskinläsbart format via gränssnitt beräknas minska myndigheternas administrativa arbete och leda till kostnadsbesparingar, då det blir möjligt att automatisera utlämnandet av information. Att informationen finns i maskinläsbart format gör det möjligt att mödolöst utnyttja informationen hos den mottagande myndigheten och att i fortsättningen spara resurser för informationsbehandling.  
4.2
Konsekvenser för statsfinanserna
Förslaget bedöms inte få några betydande konsekvenser för statsfinanserna. Eftersom den föreslagna regleringen närmast ersätter och preciserar gällande lagstiftning kan genomförandet av de förpliktelser som ingår i förslaget täckas genom omfördelning av befintliga resurser.  
De föreslagna bestämmelserna om informationssäkerhet och säkerhetsklassificering av information motsvarar gällande lagstiftning om statens myndigheter. Genomförandet av regelbunden och standardiserad informationsöverföring mellan myndigheter via tekniska gränssnitt beräknas inte förutsätta betydande satsningar på utveckling under kommande år. År 2018 visade en enkät om statens informationsförvaltning att informationsöverföringen mellan myndigheter i fråga om många av de användningsändamål som avses i lagförslaget redan nu inom statsförvaltningen ha ordnats genom överföring mellan informationssystem. Dessutom har de resurser som förutsätts för genomförandet av utvecklingsobjekten när det gäller informationsöverföringen i regel beaktats i resurserna för respektive utvecklingsobjekt. Kraven i fråga om informationslagrens elektroniska förbindelser kan genomföras inom övergångsperioderna. 
Den informationshanteringsnämnd som enligt förslaget ska verka i anslutning till finansministeriet beräknas inte i det första skedet kräva några tilläggsresurser. De resurser som inledandet av verksamheten förutsätter kan istället ordnas genom omfördelning av befintliga resurser. Kostnaderna för nämndens verksamhet kommer att bestå av ordförandens och ledamöternas mötesarvoden. Resursbehovet när det gäller utarbetandet av nämndens beslut och rekommendationer kommer att bestå av de sekreterares och sektionsmedlemmars arbetsinsatser som anvisats för uppgiften. Den arbetsmängd som förutsätts för beredningen kan huvudsakligen täckas med de personresurser som används för att utarbeta och upprätthålla de nuvarande rekommendationerna samt med anslag som reserverats för den offentliga förvaltningen och statsförvaltningens rekommendationsverksamhet.  
Statsförvaltningens ämbetsverks och inrättningars förpliktelser när det gäller att bedöma konsekvenserna i situationen då informationshanteringen förändras kan anses motsvara de nuvarande förpliktelserna, vilket innebär att de inte beräknas få några ekonomiska konsekvenser för statsförvaltningen. Förpliktelserna motsvarar de som avses i den gällande offentlighetslagens 18 § 1 mom. 3 punkten, informationsförvaltningslagens 4 § 4 mom. samt i bestämmelserna om statens ekonomiplanering och statsbudgeten. Syftet med skyldigheten att bedöma förändringarna när det gäller informationshanteringen är att förbättra statens informationshanteringsenheters förmåga att bedöma det resursbehov som förändringarna förutsätter samt skapa förutsättningar för bättre bedömning av ekonomiska risker. De bättre bedömningarna av konsekvenserna resulterar i betydande indirekta nyttor på så sätt att planerna för projekt i anslutning till informationshanteringsenheternas informationssystem upprättas på realistiska grunder och så att prognostiseringen och kontrollen av de ekonomiska och funktionella riskerna utvecklas, vilket skapar förutsättningar för resultatgivande projektverksamhet och därmed för verksamhet som är effektiv och har genomslag.  
4.3
Konsekvenser för kommunernas ekonomi
Genomförandet av de föreslagna förpliktelserna bedöms inte få några betydande ekonomiska konsekvenser för kommunernas ekonomi. De förpliktelser som ingår i förslaget förutsätter att kommunerna och samkommunerna har resurser för att genomföra de behövliga ändringarna inom de föreskrivna övergångsperioderna, men huvuddelen av de resurser som åtgärderna förutsätter kan genomföras genom omfördelning av befintliga resurser. 
De mest betydande arbetsmängderna som förslaget förutsätter bedöms uppkomma på grund av tekniska gränssnitt som möjliggör informationsöverföring. Enligt en utredning som gjordes i samband med beredningen förutsätter genomförandet av informationsöverföringen på det sätt som förslaget avser att cirka 1 000 gränssnitt genomförs eller ändras i de informationssystem som kommunerna kommer att använd under de följande åren. Denna uppskattning baseras på en utredning som finansministeriet gjorde år 2016 (Finansministeriets publikationer 20/2016). Enligt utredningen är kommunernas informationsskyldighet baserad på uppskattningsvis cirka 150 bestämmelser medan kommunernas rätt till information är baserad på cirka 50 bestämmelser. En kartläggning som gjordes i samband med beredningen av informationshanteringslagen visar att cirka 10—15 procent av de ovan nämnda förpliktelserna och informationsrättigheterna beräknas kräva ändringar för genomförande av de föreslagna kraven. Merparten av det lämnande av information som förslaget avser är redan nu baserad på överföring mellan informationssystem eller på centraliserade informationslagers anslutningar som gör det möjligt att genomföra förpliktelserna i fråga om det föreslagna sättet för utlämnande av information. Den kalkylerade genomsnittliga kostnaden för genomförande av kommunernas och samkommunernas gränssnitt, dvs. 70 000 euro, innebär en engångskostnad på cirka 70 miljoner fördelad på åren 2020—2024. Kraven beräknas emellertid inte förutsätta någon tilläggsfinansiering för kommunerna eftersom genomförandet av de tekniska arrangemang som förpliktelserna förutsätter huvudsakligen kommer att ske i samband med anskaffning av nya informationssystem. I fråga om de i bruk varande informationssystemen och tjänsterna kommer kommunerna och samkommunerna att ha en tid på fyra år från lagens ikraftträdande för att ordna regelbunden och standardiserad informationsöverföring mellan myndigheterna på det sätt som lagen förutsätter. En omständighet som sänker kostnaderna för genomförandet av gränssnitten är dessutom den i förslaget ingående grunden för avvikelse i fråga om utlämnande av information på annat sätt, om det inte är tekniskt eller ekonomiskt ändamålsenligt att genomföra eller använda ett tekniskt gränssnitt. Regleringen förutsätter emellertid i praktiken att myndigheterna inom den ovan nämnda övergångsperioden bedömer om det från teknisk eller ekonomisk synpunkt är mera ändamålsenligt att lämna ut information på något annat sätt än genom att bygga ett gränssnitt. Genom den föreslagna regleringen har vidare, i synnerhet för att minska de ekonomiska konsekvenserna av förändringarna i kommunernas informationssystem, skapats en mekanism som genom de ministeriers försorg som svarar för beredningen av bestämmelserna om informationsrättigheter gör det möjligt att inom 12 månader utreda och planera informationsstrukturer för användning i samband med informationsutbyte mellan flera myndigheter inom sådana branscher som lagen avser. Bestämmandet och planeringen av kommunernas förpliktelser som avser utlämnande av liknande information samt genomförandet av nödvändiga åtgärder kan då göras efter gemensam koordinering på det mest kostnadseffektiva sättet. 
En omständighet som har betydelse för de ekonomiska konsekvenserna av ändringen är eventuellt också att cirka två tredjedelar av förslagets förpliktelser i fråga om kommunernas informationssätt avser uppgifter som enligt planerna i samband med landskaps- samt social- och hälsovårdsreformen ska överföras från kommunerna till landskapen, och arrangemang som avser omorganisering av statliga övervakningsuppgifter. I samband med att reformen genomförs ska i synnerhet informationsutbytet mellan statliga myndigheter genomföras som en del av de verksamhetsmodeller som utvecklas i samband med reformen samt de anskaffningar av informationssystem som har samband med dem. Den centralt styrda, koordinerade och genomförda uppskattning av de extra resurser som genomförandet av gränssnitten förutsätter kan sänkas avsevärt. Utvecklingen av kommunernas kostnader för genomförandet av informationssystemens gränssnitt och utvecklingen av de gemensamma kostnadssänkande åtgärderna ska följas upp i samband med att lagen sätts i kraft. 
De övriga förpliktelser som ingår i förslaget beräknas inte orsaka kommunerna och samkommunerna betydande behov av extra resurser. De föreslagna planerings- och beskrivningsuppgifterna i fråga om informationshanteringen beräknas kunna genomföras genom omfördelning av befintliga resurser samt genom utnyttjande av tidigare insamlad information, exempelvis den information om kommunernas och samkommunernas informationssystem som samlats in i samband med beredningen av landskaps- samt social- och hälsovårdsreformen. Bestämmelserna om informationssäkerhet och om klassificering av informationsmaterial beräknas för kommunerna och samkommunerna förutsätta extra resurser om cirka 0,5—1 årsverken för att höja de för förfarandena och informationssäkerheten enligt bestämmelserna ansvariga sakkunnigas kompetens till den nivå som regleringen förutsätter. Dessutom beräknas höjningen av den övriga i informationshanteringen deltagande personalens kompetensnivå förutsätta en utbildningssatsning på 0,5—5 årsverken. Informationssäkerhetskraven när det gäller insamling av logginformation om användningen av informationssystem beräknas inte få några ekonomiska konsekvenser för kommunerna och samkommunerna. Eftersom kraven gäller information som behövs för uppföljningen av användning och utlämnande av information samt för utredning av tekniska fel, stämmer den föreslagna förpliktelsen överens med gällande lagstiftning. Den föreslagna bestämmelsen innebär dessutom att frågan om insamlingen av information behövs blir beroende av myndighetens prövning och likaså genomförandet av kraven i fråga om de informationssystem som myndigheten utnyttjar. Genomförandet av de åtgärder som förutsätts för förpliktelserna i fråga om informationssäkerheten beräknas emellertid inte för kommunerna medföra sådana behov av extra resurser som det inte är möjligt att genomföra genom omfördelning av befintliga resurser. Trots att en del av de förpliktelser gällande informationssäkerheten som ingår i förslaget i fråga om regleringspreciseringen på lagnivå är nya för kommunerna och samkommunerna, ingår motsvarande förpliktelser redan nu i många för kommunerna och samkommunerna gällande interna föreskrifter och anvisningar.  
De i informationshanteringslagen föreslagna förpliktelserna som innebär att informationshanteringsenheterna ska registrera inkommande eller för en myndighet upprättade handlingar i ett ärenderegister och till handlingarna foga uppgifter som identifierar ärendena, utsträcker statsförvaltningens tidigare handlingsregister och information som antecknats i dem till att gälla också andra sådana informationshanteringshelheter som hör till tillämpningsområdet för informationsanteringslagen. De nya förpliktelserna preciserar till denna del i fråga om kommunerna och samkommunerna innehållet i offentlighetslagens gällande 18 § 1 mom. 1 punkten. Preciseringarna bedöms emellertid inte förutsätta att kommunerna och samkommunerna får betydande extra resurser för att anpassa sin registreringspraxis till motsvarande förfaranden enligt den föreslagna regleringen, eftersom den redan ingår i flera kommuners och samkommuners anvisningar. Förslaget bedöms inte heller förutsätta några betydande ändringar i de informationssystem som kommunerna använder, eftersom registreringen och behandlingen av förvaltningsärenden redan nu i kommunerna baseras på förutbestämda processer och på informationssystem som i regel stödjer processerna. Då tillämpningen av lagen baseras på systemanskaffningar som görs efter att lagen trätt i kraft kan bestämmelserna om ärendehanteringsförfarandena eller registrering av information inte bedömas få ekonomiska konsekvenser för kommunerna och samkommunerna.  
4.4
Konsekvenser för den övriga samhällsekonomin
Förslaget beräknas inte få några betydande ekonomiska konsekvenser för den övriga offentliga förvaltningen. Eftersom de föreslagna bestämmelserna närmast ersätter och preciserar gällande regering kan man också i fråga om den övriga offentliga förvaltningen anta att genomförandet av de förpliktelser som ingår i förslaget kan täckas genom en omfördelning av befintliga resurser.  
Preciseringen av lagstiftningen om informationssäkerhet och utvidgningen av regleringen av statsförvaltningen till att omfatta den övriga offentliga förvaltningen förutsätter att informationshanteringsenheterna och myndigheterna vidtar motsvarande åtgärder som i fråga om kommunerna. De åtgärder som de i förslaget ingående förpliktelserna förutsätter bedöms emellertid inte för de övriga aktörer som tillämpar informationssäkerhetskraven medföra sådana behov av extra resurser som inte kan tillgodoses genom en omfördelning av befintliga resurser. Trots att en del av de förpliktelser avseende informationssäkerheten som ingår i förslaget i fråga om precisionsnivån är nya på lagnivå, ingår motsvarande förpliktelser redan nu i flera till lagens tillämpningsområde hörande informationshanteringsenheters, exempelvis universitetens och yrkeshögskolornas interna föreskrifter och anvisningar.  
Eftersom bestämmelser om dokumentregistrering ingår i den gällande offentlighetslagens bestämmelser om god informationshantering, beräknas de föreslagna bestämmelserna om upprätthållande av ärenderegister samt om registrering av handlingar som uppkommer i andra sammanhang än ärendebehandling inte få några betydande ekonomiska konsekvenser för övriga aktörer inom lagens tillämpningsområde. De övergångsperioder och ändamålsenlighetsgrunder som föreskrivs i förslagen gällande elektronisk informationsöverföring möjliggör automatisering av informationsutbytet mellan myndigheter också i fråga om den övriga offentliga förvaltningen, som en del av den normala livscykeln för utvecklingen av informationssystem.  
4.5
Konsekvenser för myndigheterna
Den föreslagna lagen preciserar förpliktelserna gällande organisering av myndigheternas informationshantering i fråga om de till organiseringen hörande uppgifterna och innehållet i dem. De innehållsmässiga preciseringarna av uppgifterna gäller bland annat informationshanteringsenheternas förpliktelser att ombesörja utvecklingen och upprätthållandet av de till informationshanteringen hörande ansvaren, anvisningarna och kompetensen samt ordna resurser, arbetsredskap samt övervakning i samband med uppgifterna. En del av förpliktelserna gäller myndigheter och en del den organisation inom vilken en myndighet verkar (informationshanteringsenhet). Förslagets konsekvenser för informationshanteringsenheterna och myndigheterna behandlas närmare ovan.  
Lagförslaget preciserar finansministeriets ansvar för den beskrivning när det gäller organiseringen av informationshanteringen inom den offentliga förvaltningen som förutsätts i fråga om interoperabla offentliga tjänster (den offentliga förvaltningens informationskarta). Ministerierna har i uppgift att inom sina respektive ansvarsområden svara för beskrivningsinformationens kvalitet och uppdatering. För säkerställande av informationslagrens interoperabilitet ska finansministeriet också ansvara för informationshanteringens allmänna riktlinjer, som styr utvecklingen av interoperabiliteten mellan de gemensamma informationslager som myndigheterna upprätthåller. Finansministeriets styrningsuppgifter understryker för statsförvaltningens vidkommande den för de statliga ämbetsverken och inrättningarna föreslagna förpliktelsen att sända planer som gäller ändring av informationshanteringen på remiss till finansministeriet, då de beräknade ekonomiska konsekvenserna av en förändring i informationssystemen överskrider en miljon euro eller då en ändring innebär väsentliga förändringar i informationsstrukturerna när det gäller gränssnitten för den offentliga förvaltningens gemensamma informationslager. Remissförfarandet, som ersätter det förfarande som avses i den gällande informationsförvaltningslagens 4 § 4 mom., innebär en sådan precisering att utlåtandena inriktas på utnyttjandet av statsförvaltningens informationslager och informationssystem samt på deras interoperabilitet och informationssäkerhet.  
Finansministeriet ska också ansvara för att ordna de samarbetsmetoder och -förfaranden som behövs för att upprätta gemensamma målsättningar för statens, kommunernas och landskapens myndigheters informationshantering och för utnyttjande av den offentliga förvaltningens informations- och kommunikationsteknik samt för koordineringen av produktionen av informations- och kommunikationstekniska tjänster. Syftet med samarbetet är att följa upp och bättre än för närvarande utvärdera utvecklingen av den offentliga förvaltningens informationshantering, de information- och kommunikationstekniska tjänsterna samt förändringar i tjänsterna och deras genomslag.  
En viktig administrativ förändring i informationshanteringslagen gäller inrättandet av en ny självständig myndighet (informationshanteringsnämnden för den offentliga förvaltningen) för bedömningen av genomförandet och iakttagandet av de föreslagna bestämmelserna samt för genomförande av de förfaranden i fråga om informationshanteringen och informationssäkerheten som avses i de föreslagna bestämmelserna. I Finland finns det ingen myndighet som skulle vara inriktad på utveckling och styrning av informationshanteringen inom hela den offentliga förvaltningen, utan utvecklingen sköts av flera myndigheter inom sina respektive ansvarsområden. Eftersom informationshanteringen numera är baserad på tvärsektoriellt samarbete mellan experter och flera myndigheter inom informationshanteringsenheterna, ska utvecklingen av informationshanteringen och informationsstyrningen i fortsättningen organiseras i ett tvärsektoriellt expertorgan.  
4.6
Konsekvenser för näringslivet
Den föreslagna informationshanteringslagen bedöms inte få några direkta nya eller betydande konsekvenser för andra myndigheter och sammanslutningar än de som hör till lagens tillämpningsområde. Förslaget innebär inte heller några betydande förändringar i förhållande till den gällande regleringen i fråga om företag och sammanslutningar som verkar för sådana aktörers räkning som sköter offentliga förvaltningsuppgifter eller för en informationshanteringsenhets räkning. Offentlighetslagens bestämmelser har tillämpats i enlighet med lag eller förordning eller i enlighet med bestämmelser eller föreskrifter som utfärdats med stöd av lag eller förordning på sammanslutningar, inrättningar, stiftelser och enskilda personer som sköter offentliga uppgifter och därvid utövar offentlig makt. Trots att bestämmelserna i förslaget delvis ska tillämpas också på aktörer som är utomstående i förhållande till förvaltningen, då de producerar tjänster för informationshanteringsenheter och för myndigheter som är verksamma inom dem, bedöms konsekvenserna av förslaget inte förutsätta några betydande ytterligare satsningar i syfte att genomföra lagens krav. I EU:s dataskyddsförordning ingår motsvarande förpliktelser för aktörer som behandlar personuppgifter för personuppgiftsansvarigas räkning.  
I fråga om de indirekta konsekvenserna kan det anses att de föreslagna bestämmelserna om förvaring av information utgör en tydligare reglerad verksamhetsmiljö för leverantörer av informationssystemtjänster som är specialiserade på förvaring av information, när det gäller effektivisering av verksamheten och därmed förbättring av tjänsterna. Också de i förslaget ingående förpliktelserna för informationshanteringsenheter att för genomförande av offentlighetsprincipen offentliggöra uppgifter om sina ärenderegister och sina informationslager, kan indirekt anses förbättra företagens möjligheter att komma in på marknaden för den offentliga förvaltningens informationshantering, då uppgifter om myndigheternas informationshantering och de därtill anslutna förfarandena kan utnyttjas då företagen utvecklar sina tjänster och produkter. Vidare kan det anses att offentliggörandet av uppgifter som beskriver informationens tillgänglighet indirekt gynnar vidareutnyttjandet av informationen och ger upphov till ny affärsverksamhet. Dessutom möjliggör regleringen på ett effektivare sätt än för närvarande integrering av den offentliga och den privata sektorns digitala tjänster, genom utnyttjande av tekniska gränssnitt. I den nya lagstiftningen föreslås i sig inga nya informationsrättigheter, utan regleringen gör det möjligt att effektivare utnyttja myndigheternas informationsmaterial också i privata aktörers verksamhet, förutsatt att det i annan lagstiftning föreskrivs om rätten att få och behandla informationen.  
4.7
Samhälleliga konsekvenser
De i propositionen ingående förslagen om förpliktelser för informationshanteringsenheterna gällande informationshantering, informationssäkerhet och sättet för utlämnande av information kommer att öka och förbättra medborgarnas möjligheter att få information om myndigheternas verksamhet, om utövning av offentlig makt, om samhällsförhållandena samt om det offentliga beslutsfattandets inverkan i dessa avseenden. Vidare kommer förslaget att förbättra förvaltningskundernas serviceupplevelse av offentliga tjänster. Informationshanteringsenheternas och deras myndigheters ärendehantering och koordineringen av förpliktelserna i fråga om registrering av handlingar samt informationshanteringen skulle förbättra förverkligandet både av offentlighetsprincipen men också av en god förvaltning. Den i förslaget ingående förpliktelsen gällande ärenderegister och information som ska registreras i dem främjar förverkligandet av offentlighetsprincipen samt uppföljningen och säkerställandet av en sådan ändamålsenlig och smidig ärendebehandling som hör till en god förvaltning.  
Den föreslagna förpliktelsen som innebär att informationshanteringsenheter åläggs att i sitt datanät, i syfte att förverkliga offentlighetsprincipen, åläggs att upprätthålla en beskrivning av sitt ärenderegister och sina informationslager, förbättra medborgarnas möjligheter att få information om de i lagen avsedda informationshanteringsenheternas tjänster och verksamhet samt om de uppgifter som behandlas i dem. På basis av beskrivningen kan var och en bland annat beställa information och hämta myndighetshandlingar ur informationsmaterial. I syfte att främja medborgarnas möjligheter till information har till förslaget fogats kravet att informationshanteringsenheterna ska hantera också andra handlingar än sådana som uppkommit i samband med ärendebehandling, så att informationen mödolöst kan sökas med hjälp av kundens identifikationskod, en ärendekod, en tjänstekod eller någon annan motsvarande identifikationskod. I syfte att förbättra vidareutnyttjandet av informationsmaterial och materialets användbarhet i enlighet med kundernas informationsrättigheter, innebär förslaget att informationshanteringsenheterna åläggs att ombesörja informationsmaterialens tillgänglighet i maskinläsbart och tillgängligt format, ifall informationsmaterialet kan omvandlas i enlighet med kravet.  
Lagförslaget innebär att myndigheterna måste avkräva förvaltningskunderna intyg eller utdrag för behandling av ärenden, om en myndighet har rätt till information i realtid från en annan myndighet, via tekniska gränssnitt eller via elektroniska förbindelser. Detta skulle underlätta förvaltningskundernas administrativa börda och förbättra serviceupplevelsen då kunden inte behöver skaffa och tillställa myndigheten intyg och utdrag som behövs för skötseln av sitt ärende. Förslaget innebär en indirekt förbättring av den offentliga sektorns produktivitet när det gäller tjänster samt sparar tid och resurser för medborgarna och företagen.  
5
Beredningen av propositionen
5.1
Beredningsskeden och material
Beredningen av informationshanteringslagen som ingår i regeringens proposition utgör en del av statsminister Juha Sipiläs regeringsprogram och av verksamhetsplanen 28.9.2015 gällande genomförande av det strategiska regeringsprogrammets spetsprojekt och reformer. Informationshanteringslagen är en åtgärd i anslutning till projektet Digitalisering av offentliga tjänster. 
Beredningen av informationshanteringslagen är baserad på en tidigare beredning som syftade till revidering av arkivlagen. Undervisnings- och kulturministeriet tillsatte 19.3.2013 en arkivlagsarbetsgrupp med uppgift att utreda behovet att revidera arkivlagen och lägga fram ett förslag till ny lagstiftning. Arbetsgruppen överlämnande inom sin mandattid 31.12.2014 ett förslag till revidering av lagstiftningen om arkivverket (Arkivlagsarbetsgruppens promemoria, UKM 2015: 3). Arbetsgruppen ansåg i sin promemoria att lagstiftningen utöver en uppdatering av arkivlagen skulle revideras genom att i en allmän lag sammanställa alla centrala bestämmelser om informationshantering och behandling av information inom den offentliga förvaltningen, med beaktande av informationens hela livscykel. Ministeriet förlängde arkivlagsarbetsgruppens mandat till 30.4.2015 för att arbetsgruppen skulle kunna slutföra sitt arbete. Arbetsgruppen föreslog att det stiftas en lag om informationshantering och informationsbehandling inom den offentliga förvaltningen. Den föreslog vidare att arkivlagen (831/1994) och lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011) samt de bestämmelser i lagen om offentlighet i myndigheternas verksamhet (621/1999) som gäller god informationshantering ska upphävas och att motsvarande nya regleringar ska ta in i den nya allmänna lag som föreslås.  
Finansministeriet tillsatte 17.11.2016 en arbetsgrupp för utredning av utvecklingen av informationshanteringen inom den offentliga förvaltningen. Arbetsgruppens mandattid var 17.11.2016—31.5.2017. Arbetsgruppen utredde behoven att utveckla lagstiftningen om informationshanteringen inom den offentliga förvaltningen och publicerade sin rapport om riktlinjerna för utvecklingen (Finansministeriets publikationer 37/2017). Under beredningen hade arbetsgruppen utöver sina möten flera workshops där man med olika referensgrupper diskuterade riktlinjerna för utvecklingen. I sin rapport om riktlinjerna ansåg arbetsgruppen att man i syfte att utveckla regleringen av informationshanteringen skulle börja bereda en allmän lag om informationshanteringen inom den offentliga förvaltningen. Finansministeriet sände arbetsgruppens rapport på remiss.  
Finansministeriet tillsatte 9.1.2018 ett beredningsteam och till stöd för dess arbete en styrgrupp. Syftet var att bereda en ny allmän lag om informationshanteringen inom den offentliga förvaltningen. Uppdraget gick ut på att bereda en proposition med förslag till en sådan ny lag. Enligt tillsättningsbeslutet skulle informationshanteringslagens bestämmelser täcka in hela livscykeln för informationen i följande avseenden: skyldigheten att planera informationshanteringen, de krav som ställs på informationssäkerheten inom den offentliga förvaltningen, grunderna för registrering av ärende- och tjänstehanteringen, de allmänna grunderna för utnyttjande av grundläggande informationslager, de tekniska och funktionella förutsättningarna för effektivisering av informationsutbytet mellan myndigheternas informationssystem samt för öppnande av gränssnitt och främjande av interoperabiliteten, utnyttjande av den offentliga förvaltningens informationsmaterial för vetenskaplig och historisk forskning, förvaring och arkivering av informationsmaterial samt grunderna för styrning och stödjande av informationshanteringen inom den offentliga förvaltningen. I samband med beredningen under år 2018 ordnandes flera tillfällen för kommentering av textförslagen.  
5.2
Remissyttranden och hur de har beaktats
5.2.1
5.2.1 Remissbegäran och inkomna yttranden
Utkastet till regeringsproposition var på remiss 20.8.—1.10.2018. Remissvaren finns på adressen lausuntopalvelu.fi. Cirka 700 organisationer ombads inkomma med yttranden om utkastet. Sammanlagt 218 svarade. Yttranden inkom från Diskrimineringsombudsmannens byrå, Konnevesi kommun, Leppävirta kommun, Lappo stad, Sonkajärvi kommun, Kankaanpää stad, Nurmes stad, Yrkeshögskolan Metropolia Ab, Riksarkivet, Kajana stad, Kyrkostyrelsen, Norra Österbottens sjukvårdsdistrikt, Rovaniemi stad, Pyyjärvi kommun, Pielavesi kommun, Kempele kommun, Statens tekniska forskningscentral, Joensuu stad, Jyväskylä stad, Yrkeshögskolornas rektorsråd Arene rf, Finlands Historiska Sällskap, Högsta förvaltningsdomstolen, kommunikationsministeriet, Hansel Ab, Lapinlahti kommun, Pensionsskyddscentralen, Högsta domstolen, justitieministeriets projektbyrå för HAIPA, Åbo universitet, Strålskyddscentralen, Aalto-universitet, Sjundeå, Tavastehus förvaltningsdomstol, Yrkeshögskolan Karelia Ab, Museiverket, Lantmäterianstalten, Nödcentralsverket, Försvarsförvaltningens byggverk, utrikesministeriet, Finlands Kommunförbund rf, Ekonomisk-historiska föreningen i Finland rf, Servicecentret för statens ekonomi- och personalförvaltning, Geologiska forskningscentralen, Tavastkyro kommun, Riksåklagarämbetet, Vanda stad, Samhällsvetenskapliga dataarkiv, Teknikens akademiker TEK rf, Esbo stad, Suomen Erillisverkot Ab, Mellersta Österbottens förbund, samkommunen för Norra Karelens social- och hälsovårdstjänster, Säkerhets- och kemikalieverket Tukes, Innofactor Abp, Riksdagens justitieombudsmans kansli, Brottspåföljdsverket, Reso stad, Östra Finlands hovrätt, Riksdagens kansli, Finlands universitetsrektorers råd UNIFI rf, Vaalijala samkommun, Kårkulla samkommun, Tammerfors stad, samkommunen för Södra Savolax social- och hälsovårdstjänster, Senatfastigheter, Pensionsförbundets intresseorganisation PIO rf, KEHA-centret, Åbo hovrätt, Riksfogdeämbetet, Uleåborgs stad, Tusby kommun, Fackföreningen för informations- och arkivhantering rf, Kokonaisarkitehtuurin osaamisyhteisö KAOS, Landsbygdsverket, Yrkeshögskolan Haga-Helia Ab, Kommunarkivföreningen rf, Kuopio stad, Finlands Bank, Olycksfallsförsäkringscentralen, Tullen, Keva, Ähtäri stad, Säkerhets- och utvecklingscentret för läkemedelsområdet Fimea, Villmanstrands stad, Rättsregistercentralen, Statskontoret, Yrkeshögskolan Arcada, Finnvera Abp, Migrationsverket, Tammerfors tekniska högskola, Lantbruksföretagarnas pensionsanstalt, Nationella säkerhetsmyndigheten NSM, Liperi kommun, Norra Österbottens förbund, Raseborgs stad, S:t Michels stad, Suomalaisen Kirjallisuuden Seura, Försäkringsdomstolen, samkommunen Ylä-Savon koulutuskuntayhtymä, samkommunen Päijät-Hämeen hyvinvointikuntayhtymä, Yksityiset keskusarkistot - De privata centralarkiven rf, Lovisa stad, samkommunen Lapplands sjukvårdsdistrikt, Pensionsstiftelseföreningen PSF rf, Finlands ortodoxa kyrka, Salo stad, Orivesi stad, Arbetsgivarna för servicebranscherna PALTA rf, Björneborgs stad, Jubileumsfonden för Finlands självständighet SITRA, Finans Finland rf, Jyväskylä universitet, SOSTE Finlands social och hälsa rf, Utbildningsstyrelsen, Kolari kommun, Skyddspolisen, Kangasala stad, Trafiksäkerhetsverket Trafi, Arbetslöshetskassornas samorganisation rf, Åbo stad, Uleåborgs universitet, Svenska litteratursällskapet i Finland, Åbo universitet, Oulais stad, Genealogiska Samfundet i Finland, miljöministeriet, Finlands Akademi, Institutet för hälsa och välfärd THL, Finlands studerandekårers förbund – SAMOK rf, Finlands skogscentral, CSC – Tieteen tietotekniikan keskus Oy, Folkpensionsanstalten, Justitiekanslersämbetet, Satakunnan maakuntauudistus, Finlands miljöcentral SYKE, Olycksutredningscentralen, Arbetslöshetsförsäkringsfonden, Samkommunen Ylä-Savon SOTE, social- och hälsovårdsministeriet, Arbetslöshetskassan för den offentliga sektorn och välfärdsområdena, Kajanalands förbund, Meteorologiska institutet, samkommunen Satakunnan sairaanhoitopiirin kuntayhtymä, Konstuniversitetet, Konkurrens- och konsumentverket, Teknologiindustrin rf, Helsingfors stad, Tieto Finland Oy, Norra Karelens landskapsförbund, Befolkningsregistercentralen, Pelastuslaitosten kumppanuusverkosto, Åbo universitets humanistiska fakultet, Patent- och registerstyrelsen, Naturresursinstitutet, Finlands Dövas Förbund rf, Hyvinge stad, yrkeshögskolan i Satakunta, Kommunikationsverket, Statens revisionsverk, Trafikförsäkringscentralen, Tammerfors universitet, Dataombudsmannens byrå, Livsmedelssäkerhetsverket Evira, Finavia Abp, Varkaus stad, Södra Österbottens sjukvårdsdistrikt, Innovationsfinansieringsverket Business Finland, Forststyrelsen, Finlands Näringsliv EK, Östra Finlands universitet, Vasa hovrätt, Södra Finlands regionförvaltningsverk, Finlands släkthistoriska förening rf, Utvecklingsföreningen för yrkeskunnande AMKE rf, arbets- och näringsministeriet, samkommunen för Egentliga Finlands sjukvårdsdistrikt, Åbo Akademi, Lieksa stad, Valvira, Nationalgalleriet, Yrkeshögskolan Laurea Ab, Arkistoyhdistys-Arkivföreningen rf, Kontiolahti kommun, Birkalands sjukvårdsdistrikt, justitieministeriet, Utbildningscentret Salpaus, Statistikcentralen, Suomen avoimien tietojärjestelmien keskus ry, IAET-kassan, Finlands studentkårers förbund FSF, Helsingfors universitet, Elisa Abp, Helsingfors förvaltningsdomstol, jord- och skogsbruksministeriet, Statens center för informations- och kommunikationsteknik Valtori, ProUnioni rf, Polisstyrelsen, Löntagarnas forskningsinstitut, Trafikverket, Statsrådets kansli, försvarsministeriet, undervisnings- och kulturministeriet, Skatteförvaltningen, Brahestads stad, Statens ämbetsverk på Åland, Ålands landskapsregering, inrikesministeriet, Nousis kommun och finansministeriet. Dessutom inkom yttranden från några privatpersoner.  
5.2.2
5.2.2 Det viktigaste innehållet i yttrandena
Förslaget att sammanställa bestämmelserna om informationshantering i en förtydligande allmän lag vann stort understöd. Det framgår av yttrandena att det för dem som tillämpar den nuvarande lagstiftningen om informationshanteringen har varit svårt att bilda sig en helhetsuppfattning om regleringen, vilket är en bidragande orsak till att det delvis också varit svårt att förstår innehållet i det propositionsutkast som varit på remiss. Av yttrandena framgår vidare att det delvis varit utmanande att bilda sig en uppfattning om hur den föreslagna regleringen förändrar nuläget, då man inte nödvändigtvis har förstått heller de nuvarande förpliktelserna i fråga om informationshanteringen. Med anledning av yttrandena har propositionen förtydligats och preciserats så att den som helhet är lättare att förstå. Dessutom har propositionstexten förkortats i vissa avseenden, då man ansett det vara ändamålsenligt med tanke på en effektiv verkställighet av propositionens målsättningar. Den största ändringen innebär att de föreslagna bestämmelserna om arkivering har strukits. Enligt yttrandena är det inte ändamålsenligt att i detta sammanhang förnya bestämmelserna om arkivering, eftersom det fortfarande finns olösta frågor som gäller arkivhanteringsfunktionerna och bland annat informationssystemen. En begränsning av förslaget jämfört med utkastet som varit på remiss gör det således möjligt att med hjälp av den föreslagna regleringen främja målsättningarna i anslutning till effektiviseringen av informationshanteringen i den offentliga förvaltningens organisationer. I det följande beskrivs de centrala kommentarer och synpunkter som framförs i yttrandena samt i vilka avseenden yttrandena har beaktats vid den fortsatta beredningen av propositionen.  
5.2.3
5.2.3 Hur remissyttrandena har beaktats och annan fortsatt beredning
Målsättningar 
I samtliga remissvar ansågs det att målsättningarna i princip är goda och värda att understödjas. I synnerhet gillade man målsättningen att sammanställa de splittrade bestämmelserna om informationshantering i en tydlig allmän lag och att samtidigt främja koordineringen av myndigheternas informationshanteringsmetoder samt livscykeln för informationshanteringen. Vidare framhölls det i kommentarerna att lagens syfte, dvs. att främja offentlighetsprincipen och genomförandet av medborgarnas rättsskydd, absolut är värda att understödjas. I en del av remissvaren framhölls det att den föreslagna lagen kan ses som en övergång från en specifik reglering till en reglering som är oberoende av informationsformatet, vilket ansågs vara en utmärkt lösning. Å andra sidan framhölls det att ett effektivt utlämnande av information i syfte att främja den informationspolitiska målsättningen genom en allmän informationshanteringslag bör inkludera uttryckliga bestämmelser om utlämnande och användning av information.  
I fråga om lagens målsättningar uttryckte man i vissa yttranden oro för att i propositionen inte i tillräcklig utsträckning bedöms dess konsekvenser för olika aktörer. De krav som informationshanteringen ställer betraktas i propositionsutkastet som betydande och delvis också helt nya, vilket innebär att genomförandet av dem kommer att kräva betydande satsningar och ekonomiska resurser. Kommentatorerna framhåller således att man vid den fortsatta beredningen omsorgsfullt ska bedöma propositionens konsekvenser till de delar som kraven undergår betydande förändringar jämfört med de nuvarande kraven som gäller myndigheternas informationshantering.  
Konsekvensbedömningen har på basis av remissvaren preciseras så att den föreslagna lagens konsekvenser framgår tydligare och även stödjer lagens verkställighetsskede. Å andra sidan kan man utifrån yttrandena om de ekonomiska konsekvenserna bilda sig den uppfattningen att samtliga myndigheter inte är medvetna om förpliktelserna i anslutning till den gällande regleringen av informationshanteringen, vilket innebär att också bestämmelserna i lagförslaget och de förpliktelser som dessa innebär eventuellt förefaller vara helt nya, trots att det endast är fråga om en precisering jämfört med den gällande regleringen.  
Tillämpningsområde 
I fråga om tillämpningsområdet framhölls i utlåtandena den omständigheten att den allmänna informationshanteringslagen kommer att utsträckas också till organisationer på vilka inte i alla avseenden tillämpas den gällande lagstiftningen. Företrädare för aktörer som bedriver lagstadgad försäkringsverksamhet framhöll att den föreslagna lagen är onödigt detaljerad och tung med beaktande av att på deras verksamhet inte hittills har tillämpats bland annat informationsförvaltningslagen och offentlighetsförordningen. Universiteten framhöll betydelsen av universitetens självstyrelse i fråga om bedömningen av i vilken utsträckning den föreslagna lagens krav kan utsträckas till universiteten. De självständiga offentligrättsliga inrättningarna anförde att informationsförvaltningslagen inte tillämpas på deras verksamhet, vilket innebär att den föreslagna lagstiftningen i stor utsträckning skulle förändra nuvarande praxis. Domstolarna framhöll i sina yttranden att förslaget att utsträcka tillämpningen av informationshanteringslagen till rättskipningen innebär många principiella och praktiska problem. Åland ansåg i sitt yttrande att tillämpningsområdet för den föreslagna lagen med anledning av Ålands självstyrelse bör begränsas på samma sätt som tillämpningsområdet för informationsförvaltningslagen. Kyrkostyrelsen uppmärksammade i sitt yttrande den omständigheten att definitionen av tillämpningsområdet i fråga om Finlands evangelisk-lutherska kyrka bör förtydligas så att kyrkan får behålla sin prövningsrätt i fråga om reglering som hör till informationshanteringens område. Dessutom framhöll företrädarna för utbildningssektorn att det vid bestämmandet av tillämpningsområdet bör beaktas hur tillämpningsområdet definieras i fråga om aktörer som ordnar privat undervisningsverksamhet och som också sköter uppgifter som föreskrivs ankomma på en myndighet. Till denna del är det enligt yttrandena skäl att undvika en situation där olika aktörer försätts i en ojämlik ställning i fråga om ordnandet av undervisningsverksamhet.  
På grund av yttrandena har det i tillämpningsområdet gjorts begränsningar genom vilka det dels säkerställs att genomförandet av målsättningarna för informationshanteringslagen främjas effektivt men att man å andra sidan beaktar de ovan nämnda organisationernas särställning och förpliktelser i förhållande till de förpliktelser och den styrning som myndigheternas informationshantering innebär. Dessutom har det beaktats att offentlighetslagen redan nu är förpliktande för dessa organisationer och att det av yttrandena inte framgår några sakliga motiveringar för att kringskära förpliktelserna enligt offentlighetslagens 18 §. Syftet med regeringens proposition är att säkerställa förverkligandet av offentlighetsprincipen när det gäller informationshanteringen, vilket innebär att grunderna för organisering och genomförande av informationsförvaltningen framgår av propositionen. Tillämpningsområdet begränsas så att bestämmelserna om styrning och bedömning inte kan tillämpas på rättskipningen, på justitieombudsmannens och justitiekanslerns verksamhet, på riksdagens ämbetsverk, på Folkpensionsanstalten, på Finlands bank, på övriga självständiga offentligrättsliga inrättningar och på universitet som avses i universitetslagen. I fråga om rättskipningen föreslås det att i fråga om tillämpningsområdet införs också andra motiverade begränsningar så att särdragen i rättskipningsuppgifterna blir beaktade. Å andra sidan har offentlighetslagens 18 § om god informationshantering tillämpats på domstolarnas verksamhet, vilket innebär att den mot god informationshantering svarande och för sin del preciserade regleringen ska tillämpas också i rättskipningsärenden. Dessutom ska i fråga om rättskipningsärenden genomföras de grundläggande krav som gäller informationssäkerheten. I fråga om Finlands evangelisk-lutherska kyrka föreslås en sådan precisering av tillämpningsområdet att det tydligt konstateras att det i kyrkolagen finns bestämmelser om informationshantering.  
I fråga om privatorganisationer och privatpersoner har det gjorts förtydligande preciseringar av tillämpningsområdet till de delar som privatorganisationer och privatpersoner handlar på uppdrag av en myndighet eller för en myndighets räkning. Det föreslås i propositionen att på privatorganisationer och privatpersoner i dessa situationer ska tillämpas bestämmelserna om informationssäkerhet samt de bestämmelser som gäller utlämnande av information via tekniska gränssnitt och kravet på registrering i ärenderegister. Dessutom ska i situationer då på en enskild organisation eller person tillämpas lagen om offentlighet i myndigheternas verksamhet, utöver de bestämmelser som nämns ovan tillämpas 4 § om ordnande av informationshantering samt 27 § om beskrivning i syfte att förverkliga handlingsoffentligheten. De förpliktelserna gäller för närvarande med stöd av offentlighetslagen också privatorganisationer och privatpersoner. Under den fortsatta beredningen har på det hela taget i fråga om privatorganisationer och privatpersoner preciserats innehållet när det gäller existerande förpliktelser, men inte i egentlig mening skapats några nya förpliktelser.  
Ordnande av informationshantering 
I en del av remissvaren understödde man förslaget om informationshanteringsenheter, medan man i andra inte förstod det mervärde som eftersträvades med sådana enheter. I många remissvar kommenterades dessutom definitionen av begreppet informationshanteringsenhet. Riksdagens justitieombudsmans kansli framhöll i sitt yttrande att det är skäl att noggrannare definiera begreppet informationshanteringsenhet eftersom en inexakt definition kan leda till synnerligen varierande praxis exempelvis inom kommunförvaltningen. Justitieministeriet ansåg det vara mera ändamålsenligt att respektive ministerium får bestämma vilka informationshanteringsenheter som finns inom det egna ansvarsområdet.  
I en del av remissyttrandena ansågs det att informationshanteringsmodellen i fråga om sitt innehåll behövs både med tanke på verksamheten och med tanke på dess utveckling. Flera kommuners företrädare ansåg också att informationshanteringsmodellen var värd att understödjas eftersom kommunerna genom den kunde granska sin verksamhet på ett övergripande sätt. I flera yttranden ansågs det att informationshanteringsmodellen och de övriga föreslagna beskrivningarna inte är helt tydliga innehållsmässigt. Flera kommunala företrädare, inklusive Kommunförbundet, påpekade att informationshanteringsmodellen i förhållande till bland annat informationsstyrningsplanen, till informationssystembeskrivningen och till den övergripande arkitekturen förblir oklart. Dessutom framhölls det i fråga om informationshanteringsmodellen att trots att man förstod modellens syfte och målsättning, upplevdes den som mycket tung att förverkliga och upprätthålla. I en del av yttrandena påpekades det att de beskrivnings- och planeringsförpliktelser som avses i utkastet omfattar en större helhet än de förpliktelser i fråga om genomförande av en god informationshantering som avses i offentlighetslagens 18 §. 
Det finns två typer av yttranden som gäller ändringsplaner. I en del av kommentarerna anses det att en ändringsplan är ett bra sätt att bedöma och på förhand uppmärksamma konsekvenserna av förändringar. I en del av remissvaren ansågs det å andra sidan att det är tungt att upprätthålla ändringsplaner i en verksamhetsmiljö som ständigt förändras. Man framhöll således att ändringsplaner borde användas endast i situationer där det sker förändringar som har omfattande konsekvenser och är betydande.  
Bland annat med anledning av yttrandena har motiveringen i fråga om informationshanteringsmodellen preciserats och förtydligats så att modellen kommer att utgöra en begriplig helhet som främjar planeringen och beskrivningen av händelser som berör informationshanteringen, på ett sådant sätt att den stödjer informationshanteringsenhetens verksamhet. I syfte att förtydliga innehållet i beskrivningarna stryks begreppen ändringsplan för informationshanteringen och informationshanteringskarta. De ärenden som motsvarar en ändringsplan för informationshanteringen ska enligt förslagets 5 § integreras med informationshanteringsmodellen som en helhet. Förpliktelsen gällande bedömningen av ändringskonsekvenser är emellertid inte ny eftersom god informationshantering enligt offentlighetslagens 18 § redan innebär en förpliktelse att bedöma konsekvenserna av förändringar. Definitionen har preciserats i fråga om informationshanteringsenheterna och det föreslås i fråga om statsförvaltningen att inrättandet av informationshanteringshelheter ska regleras genom förordning av statsrådet. Av remissvarens motiveringar framgår det att offentlighetslagens inexakta bestämmelser om god informationshantering inte uppfattas som förpliktande eller också känner man inte till deras innehåll. Informationshanteringsmodellen ska upprättas för flera syften. Till förslaget har för tydlighetens skull på paragrafnivå fogats en förteckning över de syften för vilka en informationshanteringsmodell ska upprättas och hållas uppdaterad. Informationshanteringsmodellen motsvarar till innehållet de i olika lagar ingående beskrivningsförpliktelser som har tillkommit i olika sammanhang. Det är således inte fråga om en i alla avseenden ny förpliktelse för någon i lagen angiven organisation. Det är inte ändamålsenligt att i informationshanteringsmodellen som ett lagstadgat krav ta in beskrivningar av informationssystem på definitionsnivå, exempelvis en informationsstyrningsplan, utan intagningen av sådana beskrivningar och koordineringen av dem i en informationshanteringsmodell ska ske enligt informationshanteringsenheternas prövning.  
Allmän styrning av informationshanteringen inom den offentliga förvaltningen 
Merparten av dem som yttrar sig om den allmänna styrningen är av den åsikten att förslaget som innebär att finansministeriet ska styra informationslagrens interoperabilitet är viktigt och motiverat i syfte att främja utnyttjandet av information. I anslutning till interoperabiliteten väcks å andra sidan frågan om huruvida det genom den föreslagna uppgiftsfördelningen är möjligt att främja också den semantiska interoperabiliteten mellan information och informationslager. Alla som inkommit med yttranden är inte heller med stöd av förslaget helt på det klara med hur styrningen ska delas upp mellan finansministeriet och övriga ministerier samt vad som avses med den offentliga förvaltningens allmänna informationshanteringskarta.  
Den för informationshanteringsnämnden planerade rollen vid beslutsfattandet i anslutning till arkiveringen är enligt många yttranden oproportionerlig i förhållande till resurseringen av nämnden. I yttrandena uppmärksammade man i synnerhet frågan om nämnden får sådana resurser att den effektivt och på ett sätt som tryggar kulturarvet kan genomföra gallring och förvaring av material. Dessutom tog man upp frågan om informationshanteringsnämndens ändamålsenliga sammansättning och om det är skäl att i lagen bestämma sammansättningen. En del av företrädarna för statsförvaltningen och kommunerna ansåg dessutom att det är skäl att i motiveringarna tydligare beskriva informationshanteringsnämndens förhållande till JUHTA och VAHTI. 
I fråga om statsförvaltningens remissförfarande för bedömningen av förändringar kommenterades, närmast på basis av erfarenheterna av det nuvarande remissförfarandet, den omständigheten att då remissförfarandet utnyttjas bör mervärdet som det ger vara uppenbart. 
På basis av de erhållna remissvaren har man under den fortsatta beredningen preciserat och samtidigt begränsat informationshanteringsnämndens uppgifter i fråga om arkiveringen på så sätt att uppgifter som har samband med arkiveringen inte tas med i lagen. Bestämmelser om arkivering ingår huvudsakligen i den allmänna dataskyddsförordningen, i den nationella informationsskyddslagen och i arkivlagen. Dessutom ska informationshanteringsnämndens sammansättning i lagen fastställas på en mera allmän nivå medan närmare bestämmelser om sammansättningen ska tas in i en förordning. Vidare har uppgiftsfördelningen mellan finansministeriet och de övriga ministerierna förtydligats, liksom även den materiella styrningen av uppgifterna. Vidare underlättas remissförfarandet i fråga om bedömningen av förändringar inom statsförvaltningen på så sätt att den nedre eurogränsen slopas är det gäller bedömningar som hänförs till remissförfarandet och så att det hänvisas till behovet av ett yttrande i situationer där en förändring bedöms få betydande ekonomiska och funktionella konsekvenser eller förändringen gäller väsentliga förändringar i informationsstrukturerna för gemensamma informationslagers gränssnitt inom den offentliga förvaltningen. Dessa frågor ska, liksom i nuläget, regleras genom förordning av statsrådet. Finansministeriets styrningsbehörighet är baserad på regleringsbehov som framförts av riksdagen. Remissförfarandet förnyas i fråga om innehållet när den nya regleringen träder i kraft, i syfte att öka genomslaget av finansministeriets yttranden och förtydliga styrningen.  
Informationssäkerhet 
De som yttrat sig om informationssäkerheten förordar i allmänhet ett riskorienterat sätt att se på informationssäkerheten. I en del av remissvaren framhålls det att det för närvarande inom statsförvaltningen inte finns någon enhetlig referensram för genomförande av riskhanteringen och man måste därför bedöma hur detta ska beaktas vid verkställigheten. I fråga om informationssäkerheten underströk i synnerhet företrädarna för statsförvaltningen i sina yttranden att propositionsutkastets bestämmelser om informationssäkerheten är på en mera allmän nivå än i statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010) som föreslås bli upphävd. Den nationella säkerhetsmyndigheten NSM underströk att det under den fortsatta beredningen är skäl att kontrollera att alla nödvändiga, för närvarande existerande informationssäkerhetskrav ingår i propositionen. Utöver företrädarna för statsförvaltningen ansåg företrädarna för kommunalförvaltningen att det behövs en noggrannare definition av miniminivån när det gäller informationssäkerheten. Å andra sidan framhöll man att det med beaktande av den snabba tekniska utvecklingen är motiverat att inte noggrannare i lagen definiera informationssäkerhetens nivå. 
Försäkringsbranschens företrädare framhöll i sina yttranden i allmänhet att man inom försäkringsverksamheten i mycket stor utsträckning beaktar informationssäkerheten och att dessutom dataskyddsförordningen, dataskyddslagen och den särskilda regleringen inom sektorn garanterar en tillräcklig nivå på informationssäkerheten. Av denna anledning finns det inte någon orsak att i propositionsutkastet ta in en detaljerad reglering om saken.  
I en del av yttrandena om informationssäkerheten framhölls planeringsförpliktelsen i fråga om informationssystemen och informationslagren, i syfte att förverkliga offentlighetsprincipen. Trots att främjandet av en god informationshantering i sig är en målsättning värd att understödja, kan det i praktiken enligt remissvaren vara svårt att skilja olika informationsinnehåll från varandra, då alla existerande informationssystem inte stödjer behandlingen av strukturerad information.  
I flera yttranden kommenterades informationssäkerhetskraven i samband med överföring av information samt den omständigheten att krypteringskravet i samband med informationsöverföring i datanät gällande också personuppgifter skulle vara en avsevärd åtstramning av det nuvarande rättsläget och i den nationella lagstiftningen ställer strängare krav än enligt bestämmelserna om personuppgifter i EU:s allmänna dataskyddsförordning.  
Också i fråga om insamling av logginformation framhölls det i yttrandena över hela linjen att det föreslagna kravet i fråga om insamlingen, i sådana fall då personuppgifter eller sekretessbelagd information behandlas i informationssystem, är oskäligt tungt och dyrt att genomföra i de nuvarande informationssystemen. Flera företrädare för kommunerna konstaterade att det i samband med merparten av kommunernas funktioner och tjänster uppkommer personuppgifter av något slag, åtminstone i form av IP-adresser. Enligt yttrandena är det skäl att precisera kravet i en mera riskorienterad riktning och införandet av kravet bör beaktas också när övergångstiden bestäms.  
I fråga om säkerhetsklassificeringen framhöll en del av företrädarna för kommunalförvaltningen att regleringen av säkerhetsklassificeringen inte tidigare har gällt kommunerna. Utvidgningen av klassificeringen till att omfatta också kommunerna kommer att innebära extra kostnader för dem. Skyddspolisen påpekade för sin del att bestämmelsen i lagutkastets 22 § 2 mom. om att möjligheten att avlägsna eller ändra en anteckning om sekretess bör slopas eftersom det i synnerhet i fråga om känsliga handlingar är absolut nödvändigt att den som upprättar en handling kan lita på att handlingen behandlas i enlighet med vissa dataskyddsbestämmelser och att distributionen av den inte i onödan utvidgas. Försvarsministeriet gillade förslaget om slopande av skyddsnivåer i samband med klassificeringen av skyddsklassificerade handlingar och ansåg att detta skulle förtydliga och förenkla regleringen.  
Bland annat till följd av yttrandena har testningen av informationssystemens uthållighet under den fortsatta beredningen underlättats så att den gäller endast relevanta informationssystem. I fråga om skyldigheten att planera informationssystem har propositionen preciserats så att det krävs att handlingsoffentligheten utan svårighet ska kunna konstateras, dock utan att ta ställning till hur detta ska ske. Bestämmelsen motsvarar offentlighetslagens 18 § 4 punkten och innebär således inte en ny förpliktelse utan endast en precisering. I fråga om insamlingen av logginformation är det föreslagna kravet, jämfört med det propositionsutkast som varit på remiss, såtillvida snävare att logginformation ska samlas in i situationer där användningen av ett informationssystem förutsätter registrering eller annan identifiering. Logginformation behöver således inte samlas in i system vilkas användning inte är uttryckligen begränsad. I fråga om informationssäkerhetsklassificeringen har propositionen lindrats så att tillämpningsområdet för regleringen av klassificeringen begränsas till statsförvaltningen. Vidare föreslås i fråga om säkerhetsklassificeringen att det ska föreskrivas närmare om den och om förfarandet på förordningsnivå, inte på lagnivå.  
Informationshantering av ärenden och tjänster 
I remissyttrandena om ärenden och tjänster uppmärksammades i synnerhet det mervärde som de föreslagna kraven ger i förhållande till de kostnader som förändringarna orsakar. Samtliga företrädare för försäkringsbranschen underströk att det inom försäkringsbranschen redan nu finns fungerande förfaranden för att specificera och behandla ärenden och att det därför inte finns något behov av detaljerade ärendekoder och ärenderegister. Att utsträcka regleringen till försäkringsbranschen skulle medföra betydande kostnader, men inget mervärde för kunderna. 
I en del av yttrandena ansågs det också att de föreslagna bestämmelsernas formuleringar och motiveringar var så otydliga att man inte hade förstått vad förslaget avsåg och inte heller innebörden av regleringen som gällde informationshantering av tjänster samt i vilket avseende den motsvarar gällande reglering. Förvirring väckte framförallt kravet att information ska registreras i ett ärenderegister samt hanteringen av informationsmaterial i samband med produktion av tjänster. Några företrädare för kommunförvaltningen gjorde den tolkningen att den föreslagna förpliktelsen i fråga om hantering av informationsmaterial innebär att ärendebehandlingsprocessen skulle utsträckas till samtliga operativa system, vilket skulle medföra betydande kostnader för datasystem. I flera yttranden påpekade man att det är oklart hur beskrivningen av informationshanteringskartan skiljer sig från beskrivningen av ärenderegistret, eftersom det förefaller som om det i dem krävs överlappande uppgifter.  
Kravet att FO-nummer ska uppges som en identifieringsuppgift föranledde flera kommentarer. Enligt många yttranden framgick det inte av propositionsutkastet varför FO-nummer behövs som en ny identifikationskod för organisationer, då till exempel kommunerna har vedertagna sätt att identifiera kommuner. I vissa yttranden framhölls det att en gemensam uppgiftsklassificering är viktig för att främja interoperabiliteten. I fråga om de minimikrav som ställs på metauppgifter skulle det för identifieringen av handlingar vara nyttigt att ha uppgifter också om handlingarnas benämning, tema eller någon annan information som beskriver deras karaktär. Detta skulle underlätta identifieringen av en handling till exempel i en informationsbegäran.  
Under den fortsatta beredningen har yttrandena beaktats så att bestämmelserna om informationshantering av ärenden och tjänster har förtydligats och motiveringarna preciserats i syfte att göra regleringen och de föreslagna kraven begripliga. Tillämpningsområdet för bestämmelserna om ärendehantering och informationshantering av tjänster har begränsats så att om offentlighetslagen tillämpas på en privatperson ska den bestämmelse tillämpas som innebär att privatpersonen åläggs att upprätthålla ett ärenderegister. Dessutom ska privatorganisationer och privatpersonen upprätta en beskrivning av ärenderegistret och informationslagren. På en privatorganisation och privatperson ska emellertid i fråga om tillämpningsområdet inte tillämpas närmare bestämmelser om information som ska registreras i ärenderegister och om hantering av informationsmaterial i samband med tjänsteproduktion. Den föreslagna regleringen motsvarar huvudsakligen nuläget i fråga om privata sammanslutningar, då offentlighetslagen tillämpas på deras verksamhet.  
Bestämmelserna om informationshantering av tjänster har preciserats så att det vid registrering av handlingar och annan information som uppkommer vid produktion av tjänster inte är nödvändigt att använda identifieringsuppgifter vid registreringen av ärendet. Myndigheten får i stället prövningsrätt när det gäller sättet för identifieringen. I fråga om beskrivningsskyldigheten föreslås det att informationshanteringskartan slopas och att beskrivningen av ärenderegistret preciseras så att den avser en beskrivning av ärenderegistret och informationslagren. Detta innebär att beskrivningsförpliktelserna blir tydligare och dessutom kan den beskrivning som upprätthålls i syfte att förverkliga offentlighetsprincipen anses vara ändamålsenlig från rättslig synpunkt och när det gäller bedömningen i övrigt.  
Skapande och elektroniskt utlämnande av informationsmaterial 
I remissyttrandena ställer man sig i allmänhet bakom förslagen som gällde elektronisk förvaring av informationsmaterial. Å andra sidan framhölls det i flera yttranden att man utifrån en kostnads-nyttoanalys borde bedöma om det är lönsamt att till ett elektroniskt format omvandla exempelvis pappersdokument som ska förvaras endast en kort tid. I flera yttranden framhölls det vidare att det av lagförslaget inte framgår om kravet på digitalisering av informationsmaterial gäller pappershandlingar som myndigheterna nu har i sin besittning. I vissa yttranden framhölls det också att kraven gällande behandling av säkerhetsklassificerat material bör beaktas när det är fråga om handlingar i elektroniskt format.  
Lagutkastets krav när det gäller insamling av informationsmaterial för myndighetsuppgifter ansågs vara motiverade med tanke på främjandet av den modell som innebär att förvaltningskunderna ska få alla tjänster över en disk.  
Företrädarna för arbetspensions- och försäkringsbranschen ansåg att det inte finns några grunder för att utsträcka tillämpningen av bestämmelserna om utlämnande av kostnadskrävande information till att gälla hela branschen, då sådana utlämnanden redan har gjorts i överensstämmelse med informationshanteringslagens målsättningar. Exempelvis Finans Finland rf framhöll i sitt yttrande att genomförande av regleringen på det sätt som föreslås i utkastet skulle innebära stora systemförändringar i alla försäkringsbolag. 
I en del av yttrandena ansågs det vara en utmärkt förbättring att offentlighetslagens oklara begrepp ”teknisk anslutning” slopas och ersätts med begreppet tekniskt gränssnitt. Dessutom ansågs det i vissa yttranden att förslaget om utlämnande av information via tekniska gränssnitt var värt att understödjas och att det skulle främja myndighetsinformationens mobilitet och användbarhet. Å andra sidan framhölls det att kravet kommer att förutsätta förändringar i informationssystemen och därmed kostnader. I fråga om de kontroller som krävs för utlämnande av information bör det tydligt anges om kontrollen ska göras före eller efter utlämnandet. De som yttrade sig om saken påpekade att det beror på tidpunkten för kontrollen vilka systemkostnader kravet kommer att medföra för myndigheterna. Företrädare för kommunförvaltningen uttryckte oro för att kraven på tekniska gränssnitt förutsätter tillräcklig resursering. Dessutom är det skäl att under övergångsperioderna beakta införandet av kravet. Vidare framhölls det i yttrandena att förutsättningarna för utlämnande av information har utformats med beaktande av behandlingen av känslig information, vilket för merparten av tillämparna kommer att orsaka överdimensionerade lösningar och betydande kostnader i förhållande till det eventuella mervärdet och de risker som är förenade med informationshanteringen. I flera yttranden framhölls det att det i fråga om gränssnitten inte är ändamålsenligt att reglera teknologin eftersom den utvecklas i snabb takt. Av den orsaken är det skäl att undvika att reglera formen för kommunikation via gränssnitt. Dataombudsmannens byrå understryker i sitt yttrande att det är skäl att i samband med metoderna för utlämnande av information säkerställa att utlämnandets lagenlighet kan utredas på förhand eller i efterhand.  
På basis av den fortsatta beredningen och yttrandena har kravet i fråga om informationsmaterialens elektroniska format i förslaget preciserats så att det avser handlingar som ska förvaras eller arkiveras varaktigt. Dessutom möjliggörs avvikelse från kraven gällande elektroniskt format och elektronisk behandling på grund av något nödvändigt skäl som har samband med informationssäkerhetskraven eller en handlings karaktär. I bestämmelsen om insamling av informationsmaterial för myndighetsuppgifter har gjorts en sådan ändring att intyg och utdrag samlas in endast om det är nödvändigt. Bestämmelsen gäller situationer där information på motsvarande sätt kan fås via tekniskt gränssnitt eller elektronisk förbindelse. Om sådan informationsöverföring inte har genomförts mellan myndigheterna kan en myndighet således be en förvaltningskund inkomma med intyg och utdrag samt andra motsvarande uppgifter för utredning av ett ärende. Det är skäl att huvudsakligen främja informationsutbytet mellan myndigheter samt kundorienterad verksamhet.  
Regleringen av tekniska gränssnitt har under den fortsatta beredningen ändrats så att i bestämmelserna inte anges hur gränssnitten ska genomföras i tekniskt avseende. På detta sätt blir det möjligt att utnyttja ändamålsenliga tekniker och att beakta den tekniska utvecklingen. I lagen föreskrivs om kontroller av tekniska gränssnitt, eftersom utlämnande av personuppgifter och sekretessbelagd information måste ske under kontrollerade former för att säkerställa att informationen får lämnas ut och att det finns en sådan grund för behandlingen av informationen som innebär att myndigheten har rätt till den och att den rättsliga grunden för behandlingen stämmer överens med grunden för utlämnandet av informationen.  
Förvaring och arkivering av informationsmaterial 
De som yttrade sig om förvaringen och arkiveringen av informationsmaterial kunde i allmänhet understödja målsättningen att förtydliga förfarandena och beslutsfattandet i anslutning till arkiveringen av informationsmaterial. Man tyckte att de i utkastet föreslagna bestämmelser var problematiska som inte ansågs främja uppnåendet av de mål som ställts upp. Enligt högskolesektorns yttranden är de föreslagna bestämmelserna och åtgärderna inte ändamålsenliga och fungerande från den vetenskapliga världens synpunkt. Definitionen av förvaringstiden ansågs avvika från gällande lag och vedertagen praxis och den ansågs inte heller underlätta tolkningsmöjligheterna när det gäller definitionen. I några yttranden föreslogs det att arkiveringsbestämmelserna ändras så att arkiveringen de facto avser material vars förvaringstid har gått ut. Materialet ska således arkiveras uttryckligen då det föreligger ett arkiveringsbehov. Det ansågs att arkiveringsbeslut är förenade med risker när det gäller beslutsfattandets snabbhet, aktörernas roller och behörighet samt utnyttjandet av sakkunskap i fråga om det nationella kulturarvet. Man uttryckte också oro för resurseringen av informationshanteringsnämnden.  
Under den fortsatta beredningen har man bland annat på grund av remissyttrandena stannat för en sådan lösning att bestämmelserna om arkivering strukits. Detta innebär att också informationshanteringsnämndens uppgifter ändras så att i dem inte längre ingår arkiveringsärenden. Bestämmelsen om definition av förvaringsbehovet när det gäller informationsmaterial preciseras så att informationsmaterial efter förvaringstidens utgång antingen ska arkiveras eller förstöras på ett informationssäkert sätt.  
Övergångstider 
I yttrandena uttryckte man i allmänhet oro över övergångstiderna. Förslaget som innebär att informationshanteringsenheterna åläggs att utarbeta en informationshanteringsmodell inom 12 månader efter det att lagen trätt i kraft ansågs vara synnerligen utmanande, trots att informationshanteringsenheterna har möjlighet att utnyttja existerande beskrivningar. Företrädare för kommunförvaltningen framhöll att kommunerna i princip redan har olika förutsättningar när det gäller beskrivningen av sin övergripande arkitektur. Dessutom framhöll de i fråga om kravet på elektronisk förvaring att utkastets övergångstid på 12 månader är alltför kort med beaktande av att digitaliseringsförfarandena och instrumenten för närvarande till stor del inte uppfyller de i förslaget angivna kraven när det gäller handlingarnas tillförlitlighet och integritet. En del kommuner förvarar fortfarande pappershandlingar och i synnerhet för mindre kommuner är permanent elektronisk förvaring ett tungrott förfarande. Också en övergångstid på 24 månader för införande av tekniska förfaranden i fråga om elektroniskt utlämnande av information ansågs vara orealistisk. I flera yttranden framhölls det att man i fråga om definitionerna av övergångstiden gällande tekniska förfaranden för elektroniskt utlämnande av information borde beakta att övergångstiden möjliggör genomförande av systemförändringar i ett läge då det är mest kostnadseffektivt att genomföra dem.  
Övergångstiderna har under den fortsatta beredningen ändrats så att i dem vederbörligen beaktas omfattningen när det gäller genomförandet av de ändringar som regleringen orsakar samt att de organisationer som hör till tillämpningsområdet kan genomföra de relevanta ändringar i informationssystemet som orsakas av bestämmelserna, med beaktande av omständigheterna i anslutning till informationssystemens livscykel så att systemändringarna kan genomföras på ett kostnadseffektivt sätt. 
Övrig fortsatt beredning 
Propositionen har behandlats i delegationen för kommunal ekonomi och förvaltning.  
6
Samband med andra propositioner
I propositionens första lagförslag ingår bestämmelser som avser landskap. Riksdagen behandlar lagstiftning om inrättande av landskap och om deras verksamhet. I propositionens femte lagförslag föreslås ändringar i säkerhetsutredningslagen. Riksdagen behandlar som bäst följande regeringspropositioner med förslag till ändringar av säkerhetsutredningslagen: RP 13/2018 rd, RP 224/2018 rd, RP 241/2018 rd och RP 242/2018 rd. I propositionens första lagförslag hänvisas till lagen om tillhandahållande av digitala tjänster. Riksdagen behandlar som bäst regeringens proposition med förslag till lag om tillhandahållande av digitala tjänster och lag om ändring av lagen om elektronisk kommunikation i myndigheternas verksamhet (RP 60/2018 rd). I den propositionen föreslås ändringar i lagen om elektronisk kommunikation i myndigheternas verksamhet. Också i denna propositions tredje lagförslag föreslås ändringar i lagen om elektronisk kommunikation i myndigheternas verksamhet.  
DETALJMOTIVERING
1
Lagförslag
1.1
Lag om informationshantering inom den offentliga förvaltningen
1 kap. Allmänna bestämmelser
1 §.Lagens syfte. Enligt beskrivningen av lagens syfte i 1 § ska lagen för sin del främja de grundläggande rättigheterna på lagnivå. Enligt paragrafen är syftet med lagen att säkerställa en enhetlig och kvalitativ hantering samt informationssäker behandling av myndigheternas informationsmaterial så att offentlighetsprincipen förverkligas, att möjliggöra ett tryggt och effektivt utnyttjande av myndigheternas informationsmaterial så att myndigheterna kan sköta sina uppgifter och tillhandahålla förvaltningskunderna tjänster i enlighet med god förvaltningssed och på ett effektivt resultatgivande sätt, samt att främja interoperabiliteten mellan informationssystem och informationslager. Myndigheternas verksamhet är huvudsakligen informationsintensiv. Av denna anledning är skötseln av myndighetsuppgifter och tjänsteproduktionen beroende av den information som finns tillgänglig. Myndigheterna måste ha tillgång till uppdaterad information för att kunna fastställa förvaltningskundernas intressen, rättigheter och skyldigheter. För att en myndighet ska kunna sköta sina uppgifter på ett effektivt sätt ska den ha tillgång till sådan uppdateras information som behövs för uppgifterna. I och med att myndigheternas verksamhet blir nätbaserad och de använder gemensamma informationssystem för produktion av gemensamma tjänster, ökar också behovet att koordinera de förfaranden som avser myndigheternas informationshantering. En förutsättning för tillgång till information i elektroniskt format är att informationssystemen och informationslagren är interoperabla och att informationsöverföring mellan myndigheternas informationssystem är möjlig endast då de har rätt att få information från andra myndigheter. 
I paragrafens 1 mom. 1 punkten föreskrivs att lagens syfte är att säkerställa en enhetlig och kvalitativ hantering av informationsmaterial. I nuläget har informationshanteringen med stöd av olika författningar genomförts på olika sätt, vilket bland annat har ökat problemen i anslutning till informationstillgången samt medfört problem för interoperabiliteten mellan myndigheternas informationslager och informationssystem. Genom lagen koordineras förfarandena i fråga om myndigheternas informationshantering samt föreskrivs om genomförandet av interoperabiliteten mellan informationssystemen på ett mera förpliktande sätt än tidigare, så att interoperabiliteten mellan informationssystemen och informationslagren säkerställs i myndigheternas verksamhet. Med kvalitativ hantering av informationsmaterial avses i momentets 1 punkt att det har säkerställts att de informationsmaterial som myndigheterna utnyttjar är uppdaterade, felfria och lämpliga för sitt användningsändamål. I lagen föreskrivs också om de administrativa, funktionella och tekniska krav som myndigheterna ska genomföra för att säkerställa miniminivån på informationssäkerheten i samband med hantering av handlingar och informationsmaterial. Syftet med lagen är att med dessa åtgärder effektivisera förfarandena i anslutning till myndigheternas informationshantering samt att minska behovet av flerfaldig informationshantering och reglering av informationshantering. Avsikten med lagen är också att understryka ansvarsförhållandena mellan myndigheterna när det gäller att förverkliga förfarandena inom informationshanteringen på ett enhetligt och datasäkert sätt, vilket innebär att myndigheterna särskilt, såsom nu är fallet, behöver ställa olika säkerhetskrav på varandra. Det egentliga syftet med informationshantering är att främja offentlighetsprincipen så att myndigheternas offentliga handlingar blir lättillgängliga. Enligt grundlagens 12 § 2 mom. har var och en rätt att ta del av offentliga handlingar och upptagningar. Enligt 9 § 1 mom. i lagen om offentlighets i myndigheternas verksamhet har var och en rätt att ta del av en offentlig myndighetshandling. Rätten till information enligt offentlighetslagen gäller såväl fysiska och juridiska personer som myndigheter. Enligt offentlighetslagens 14 § 4 mom. ska ärenden som gäller rätten till information behandlas utan dröjsmål, vilket understryks genom ovillkorliga tidsfrister för utlämnande av handlingar. En kvalitativ och effektiv informationshantering främjar målsättningen att ärenden som gäller utlämnande av information ska behandlas utan dröjsmål. En reglering som leder till en effektiv informationshantering främjar således genomförandet av offentlighetsprincipen. Riksdagens revisionsutskott har förutsatt att informationsutbytet mellan myndigheterna ska utvecklas (ReUU 5/2015 rd). Den föreslagna lagen effektiviserar det elektroniska informationsutbytet mellan myndigheterna via tekniska gränssnitt och elektroniska förbindelser, men i lagen föreskrivs inte i övrigt om informationsrättigheter eller beslutsförfaranden mellan myndigheter. Sådana bestämmelser ingår i offentlighetslagstiftningen. 
Till grunderna för en god förvaltning enligt förvaltningslagen hör att förvaltningen ska vara effektiv och med gott resultat. En effektiv informationshantering i anslutning till skötsel av myndigheternas uppgifter och produktionen av tjänster förbättrar resultatet av myndighetsverksamheten. Då man inom informationshanteringen övergår från behandling och hantering av pappersdokument till en elektronisk verksamhetsmiljö måste också förfarandena i samband med informationshanteringen och informationsöverföring utvecklas för att förvaltningskunderna ska uträtta sina ärenden hos myndigheterna på ett effektivt sätt och så att myndigheterna kan behandla ärendena på med gott resultat sätt.  
Enligt paragrafens 1 mom. 2 punkten ska den föreslagna lagen om informationshantering främja genomförandet av en god förvaltning då myndigheterna sköter sina uppgifter och producerar tjänster, i och med att informationshanteringsförfarandena blir effektivare. I lagen föreskrivs bland annat om myndigheternas skyldighet att planera processerna för produktion av tjänster så att man i mindre utsträckning samlar in onödig information hos kunderna, om informationen redan finns tillgänglig inom ramen för befintliga informationsrättigheter via tekniska gränssnitt och elektroniska förbindelser. Till informationshanteringen hör att organisera hanteringen av ärenden och tjänster. Genom förfarandena för ärende- och informationshantering är det möjligt att styra skötseln av myndighetsuppgifterna samt att följa upp ärendehanterings- och tjänstetiderna. Regleringen kommer också i detta avseende att främja förverkligandet av en god förvaltning inom myndighetsverksamheten. Syftet med lagen är framför allt att genom effektivisering av informationshanteringen och förbättring av kvaliteten främja kvaliteten och effektiviteten i fråga om de tjänster som myndigheterna producerar för sina förvaltningskunder.  
Enligt paragrafens 1 mom. 3 punkten är det tredje centrala syftet med lagen att främja interoperabiliteten mellan informationssystem och informationslager. Riksdagen har förutsatt att regeringen vidtar åtgärder som borgar för kompatibla datasystem, gemensamma tillämpningar och öppna gränssnitt för ett friktionsfritt informationsutbyte mellan datasystemen inom den offentliga sektorn (Rsk 21/2008 rd). Dessutom har riksdagen förutsatt att regeringen lägger fram förslag till lagstiftningslösningar och andra behövliga åtgärder för att effektivisera statens informationshantering och definiera finansministeriets styrningsbehörighet (Rsk 11/2008 rd). I lagen om styrning av informationshanteringen inom den offentliga förvaltningen som trädde i kraft 2011 föreskrivs om finansministeriets styrningsbehörighet och informationssystemens interoperabilitet. Riksdagens revisionsutskott har emellertid uppmärksammat den långsamma verkställigheten av lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen och andra problem i samband därmed (ReUB 2/2012 rd och ReUU 7/2013 rd). Riksdagen har således förutsatt att regeringen vidtar åtgärder och snabbt utnyttjar den möjlighet som informationsförvaltningslagen ger att bland annat föreskriva om öppna gränssnitt. Enligt riksdagens skrivelse är det skäl att man samtidigt som man beslutar om servicestrukturerna och ansvaret för ordnande av social- och hälsovård drar upp riktlinjerna för de behörighets- och ansvarsförhållanden som informationsförvaltningsstrukturen kräver, för att det inte ska bli oklart vilken aktör som i sista hand ansvarar för ett ärende (Rsk 10/2012 rd).  
Syftet med den föreslagna lagen är att främja interoperabiliteten mellan informationssystemen och informationslagren på så sätt att de bestämmelser i informationsförvaltningslagen som förhindrar en effektiv verkställighet förnyas och tas in i den nya lagen samt upphävs i informationsförvaltningslagen. Dessutom ska i informationshanteringslagens föreskrivas om interoperabilitet samt om finansministeriets styrningsbehörighet på det sätt som riksdagen har förutsatt. Vidare föreslås mera bindande bestämmelser om bland annat användning av gränssnitt, i syfte att effektivisera myndigheternas utnyttjande av informationssystem och informationslager samt minska parallell insamling av information. Det föreslås nya bestämmelser om styrning av interoperabiliteten mellan informationssystem på så sätt att målsättningarna för interoperabiliteten främjas på ett effektivare sätt än i informationsförvaltningslagen. I lagen föreslås mera detaljerade bestämmelser om vilken information som ska beskrivas i informationshanteringsenheterna och hur ändringarna ska bedömas i syfte att genomföra interoperabiliteten. I lagen finns också bestämmelser om finansministeriets behörighet i förhållande till de statliga ämbetsverken och inrättningarna i samband med reformerna inom informationshanteringen. Styrningsmekanismen effektiviseras genom att det dras upp riktlinjer för informationshanteringen, genom bedömning av riktlinjernas inverkan på de statliga ämbetsverkens eller inrättningarnas informationshantering och genom finansministeriets yttrande till de statliga ämbetsverken och inrättningarna om bedömningen av förändringarnas betydelse och om andra utredningar som angetts i begäran om yttrande. I lagen föreslås bestämmelser om finansministeriets rätt att få information för behandling av remissärenden. Interoperabiliteten mellan informationssystemen och informationslagren ska enligt förslaget främjas genom bestämmelser om planering och upprätthållande av gränssnitt samt om skyldigheten att använda gränssnitt för regelbundet informationsutbyte mellan myndigheter. I lagen föreslås bestämmelser om en sådan allmän, för allmänheten avsedd informationshanteringskarta för vars underhåll finansministeriet ska ansvara. Ministeriets uppgift ska enligt förslaget vara att innehållsmässigt upprätthålla informationshanteringskartan så att finansministeriets och ministeriernas styrning av ansvarsområdena inom informationshanteringen ska kunna skötas på ett koordinerat sätt och för att genomförandet av informationshanteringen inom den offentliga förvaltningen ska utgöra en helhet, bland annat för bedömning av revideringen av lagstiftningen och de därtill anslutna förändringskonsekvenserna. 
Enligt paragrafens 2 mom. genomförs med denna lag till vissa delar Europaparlamentets och rådets direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn, sådant det lyder genom ändrat Europaparlamentets och rådets direktiv 2013/37/EU om ändring av direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn. Detta så kallade PSI-direktiv har redan länge varit i kraft och de krav som direktivet ställer på den nationella lagstiftningen har huvudsakligen genomförts med lagen om offentlighet i myndigheternas verksamhet. Kraven i PSI-direktivets artikel 5 har emellertid inte uttryckligen genomförts i Finland i fråga om tillgången till informationsmaterial. I syfte att förtydliga genomförandet av direktivet har i lagen tagits in en bestämmelse i syfte att uppfylla det krav på tillgänglighållande av handlingar som föreskrivs i PSI-direktivets artikel 5.  
2 §.Definitioner. I denna paragraf definieras de viktigaste begreppen som används i lagen. Enligt paragrafens 1 punkt avses myndigheterna enligt 4 § 1 mom. i lagen om offentlighet i myndigheternas verksamhet. Med myndigheter avses enligt offentlighetslagens 4 § 1 mom.  
1) statliga förvaltningsmyndigheter samt övriga statliga ämbetsverk och inrättningar, 
2) domstolar och övriga lagskipningsorgan, 
3) statens affärsverk, 
4) kommunala myndigheter, 
5) Finlands Bank jämte Finansinspektionen samt Folkpensionsanstalten och andra självständiga offentligrättsliga inrättningar, dock så att denna lag i fråga om Pensionsskyddscentralens och Lantbruksföretagarnas pensionsanstalts handlingar tillämpas endast på det sätt som föreskrivs i 2 mom., 
6) riksdagens ämbetsverk och inrättningar, 
7) myndigheter i landskapet Åland när de i landskapet utför uppgifter som ankommer på riksmyndigheterna, 
8) nämnder, delegationer, kommittéer, kommissioner, arbetsgrupper, förrättningsmän och revisorer i kommuner och samkommuner samt andra därmed jämförbara organ som med stöd av en lag, en förordning eller ett beslut fattat av en myndighet som avses i 1, 2 eller 7 punkten har tillsatts för att självständigt utföra en uppgift.  
Enligt 4 § 2 mom. i offentlighetslagen gäller vad som sägs om en myndighet även sammanslutningar, inrättningar, stiftelser och enskilda personer som utövar offentlig makt och som enligt en lag, en bestämmelse eller en föreskrift som meddelats med stöd av en lag eller en förordning utför ett offentligt uppdrag. I samma moment konstateras det att det bestäms särskilt om offentlighet för evangelisk-lutherska kyrkans handlingar. 
Den föreslagna regleringen i informationshanteringslagen sammanhänger med de allmänna lagarna om förvaltning, i synnerhet med offentlighetslagen, vilket innebär att informationshanteringslagens och offentlighetslagens myndighetsdefinitioner i fråga om det organisatoriska tillämpningsområdet motsvarar varandra, men när det gäller begränsning av den föreslagna lagens tillämpningsområde föreskrivs det om vissa begränsningar som gäller tillämpning av lagens 3 kap. samt till vissa delar också övriga paragrafer. Informationshanteringslagen ska i vissa avseenden också gälla fysiska personer och juridiska personer som har uppdrag av en myndighet eller för en myndighets räkning samt i sådana situationer där det uttryckligen föreskrivs om offentlighetslagen någon annanstans i lagstiftningen.  
En del av den föreslagna lagens förpliktelser avser myndigheter som är behöriga att behandla informationsmaterial och besluta om utnyttjande av dem så som föreskrivs i offentlighetslagen eller i speciallagstiftning. Offentlighetsregleringen utgår från principen om separata myndigheter, vilket innebär att en del av de statliga ämbetsverken består av flera myndigheter eller att kommunerna består av myndigheter som är indelade i kommunala organ. I lagen föreskrivs särskilt om skyldigheten att ordna informationshantering som en förpliktelse på organisationsnivå, vilket innebär att skyldigheterna i anslutning till ordnande av informationshantering gäller bland annat statliga ämbetsverk, kommuner eller samkommuner. Offentlighetslagens undantag i fråga om myndighetsdefinitionen och det organisatoriska tillämpningsområdet som är beroende av den innebär att den föreslagna informationshanteringslagen inte ska tillämpas på myndigheter som är verksamma i landskapet Åland. Bestämmelser om begränsning av tillämpningsområdet finns till denna del i 3 § 5 mom. och motsvaras av informationsförvaltningslagens begränsning av tillämpningsområdet så att det omfattar landskapsmyndigheterna. Den föreslagna lagen ska delvis tillämpas på domstolar, på riksdagens ämbetsverk och på självständiga offentligrättsliga inrättningar.  
Enligt paragrafens 2 punkt avses med informationssystem ett helhetsarrangemang som består av databehandlingsutrustning, programvara och annan databehandling. Avsikten är att begreppet informationssystem ska vara heltäckande. Definitionen av databehandlingsutrustning motsvarar 2 § 1 punkten i lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011). Begreppet informationssystem innefattar således olika typer av terminalutrustning för behandling av programvaror. Programvarorna används för behandling av informationsmaterial för att utarbeta eller söka handlingar med olika sökkriterier. Begreppet informationssystem har ett nära samband med genomförande av interoperabilitet. Med interoperabilitet mellan informationssystem avses deras förmåga att utnyttja samma information eller fungera tillsammans med ett eller flera andra informationssystem via ett gränssnitt eller på något annat sådant sätt att informationens betydelse och användbarhet bevaras. 
I paragrafens 3 punkt hänvisas i fråga om begreppet myndighetshandling till offentlighetslagen. I offentlighetslagen föreskrivs på allmän lagnivå om hantering, sekretess och rätten att få uppgifter om myndighetshandlingar. Definitionen innebär att föremålet för informationshanteringen delvis sammankopplas med föremålet för offentlighetslagens reglering, dvs. myndighetshandlingar. I annan lagstiftning föreskrivs om andra definitioner av begreppet handling. Exempelvis i lagen om offentlighet vid rättegång i förvaltningsdomstolar (381/2007) och i lagen om offentlighet vid rättegång i allmänna domstolar (370/2007) definieras begreppet rättegångshandling och i lagen om offentlighet och sekretess i fråga om beskattningsuppgifter (1346/1999) föreskrivs om beskattningshandlingar. De handlingarna är emellertid i myndigheternas besittning och ingår sålunda i begreppet myndighetshandlingar enligt offentlighetslagen. Dessa handlingar, som det föreskrivs om i speciallagstiftning, ingår således också i begreppet handling, med beaktande av de i lagen föreslagna begränsningarna i fråga om tillämpningsområdet, vilket innebär att lagens alla bestämmelser inte ska tillämpas på rättskipningen. Alla bestämmelser ska således inte tillämpas på informationshantering av rättegångshandlingar. enligt den föreslagna lagen. Också klienthandlingar inom socialvården är jämställda med myndighetshandlingar och även patienthandlingar är myndighetshandlingar då de hanteras av en myndighet som avses i offentlighetslagen eller av någon annan aktör som hör till det organisatoriska tillämpningsområdet för offentlighetslagen.  
Avsikten är att begreppet handling som används i den föreslagna informationshanteringslagen ska vara heltäckande och omfatta dokument som uppkommer i samband med skötsel av inom informationshanteringsenheter verksamma myndigheters uppgifter, så som i offentlighetslagen föreskrivs om myndighetshandlingar, oberoende av vad som i speciallagstiftning föreskrivs om begreppet handlingar och hantering av sådana. Begreppet handling i den föreslagna lagen får sin innebörd via begreppet myndighetshandling i offentlighetslagen. Tillämpningen av den föreslagna lagen gäller således sådana myndighetshandlingar som avses i offentlighetslagen medan begreppet handling delvis definierar lagens materiella tillämpningsområde. I lagen används utöver begreppet handling också begreppet information varmed i detta sammanhang avses information som kan jämställas med handlingar och varav genom olika på förhand bestämda sökkriterier kan skapas handlingar. Inom informationshanteringen hanteras utöver handlingar också enskilda uppgifter varav för skötsel av myndighetsuppgifter med olika sökkriterier kan skapas handlingar. Sökkriterier kan baseras också på produktion av informationstjänster. Med övriga uppgifter som motsvarar handlingar avses information varav kan skapas handlingar. I lagen föreslås ingen definition av begreppet information eftersom det på annat håll föreskrivs om utlämnande av information om myndighetshandlingar eller annars om utlämnande eller erhållande av information, utan att begreppet information är bundet uteslutande till begreppet handling eller att det särskilt definierats vad som avses med föremålet för erhållande eller utlämnande av information. Begreppet information får sin innebörd via begreppet handling som är föremål för en konkret behandlingsåtgärd.  
I den föreslagna paragrafens 4 punkt föreskrivs om begreppet informationsmaterial, varmed avses en datauppsättning som består av handlingar och annan motsvarande information som har samband med en viss myndighetsuppgift eller -tjänst. Med sådan annan information som nämns i definitionen avses information som ingår i handlingar, dvs. information som en myndighet i samband med skötseln av sina uppgifter har lagrat i ett informationssystem i form av dataenheter och som vid behov enligt olika kriterier kan omvandlas till handlingar. Myndigheterna har övergått till att i många avseenden hantera strukturerade dokument som skapas i samband med ärendehantering eller tjänsteproduktion i respektive hanteringsskede eller skede av tjänsteproduktionen med hjälp av informationssystemens sökkriterier. Begreppet handling som avses i offentlighetslagen inkluderar i och för sig också informationsenheter som lagras i strukturerade informationssystem. Datamängder i informationssystem kan också betraktas som sådana upptagningar enligt grundlagens 12 § 2 mom. (se GrUU 3/2009 rd) vilka ingår i den definition av begreppet handling som avses i offentlighetslagen. Eftersom en handling i olika sammanhang kan betraktas som ett konkret databehandlingsobjekt är det skäl att utförligare beskriva informationshanteringen av dataenheter som ska behandlas i informationsmaterial och på ett begreppsmässigt bättre sätt information som avser hänvisningar till informationsmaterial. Att innehållet i ett informationssystem i sin helhet skulle betraktas som en handling är en främmande tanke i den verksamhetsmiljö som är föremål för regleringen och som omfattar framför allt dokumentförvaltning och informationshantering. Begreppet dokumentär information har redan länge använts inom förvaltningen för att på ett bättre sätt än behandling och hantering av dataenheter beskriva begreppet handling. Det föreslås emellertid att i lagen inte tas in begreppet dokumentär information, utan att i stället uppgifter som ingår i informationsmaterial definieras som information som uppkommit i samband med skötsel av myndigheters uppgifter eller tjänster och som hos myndigheterna behandlas som handlingar då de med olika sökkriterier som programvaran möjliggör ombildas till handlingar. Den föreslagna lagen opererar med begreppen handling, informationsmaterial och informationslager när det gäller att definiera olika ansvarsförhållanden och skyldigheter. De konkreta behandlingsobjekten hos myndigheterna är enligt förslaget fortfarande de handlingar som en myndighet behandlar i samband med skötseln av sina uppgifter. Begreppet informationsmaterial är inte nytt utan till exempel i offentlighetslagens 21 § hänvisas till informationsmaterial och i lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) föreskrivs särskilt om känsligt informationsmaterial.  
Enligt paragrafens 5 punkt avses med informationslager en uppsättning informationsmaterial som används för en myndighets uppgifter och verksamhet och som hanteras med hjälp av informationssystem eller manuellt. Ett informationslager består såväl av information i informationssystem som av annat material, exempelvis handlingar i pappersform. Ett informationslager är en logisk helhet bestående av informationsmaterial som uppkommer som ett resultat av att myndigheterna sköter sina uppgifter. Informationen i ett informationslager ska användas för att definiera och tillgodose förvaltningskunders och andra aktörers intressen, rättigheter och skyldigheter samt för att sköta myndighetsuppgifter. Begreppet informationslager har samband med genomförande av informationshantering men också med genomförande av interoperabilitet. Informationsmaterialen i ett lager ska användas i det aktiva skedet till dess att informationsmaterialet eller en del av det efter förvaringstidens utgång överförs till ett arkiv ett förstörs, om det inte har bestämts att informationsmaterialet ska arkiveras. Med förvaring i ett aktivt skede avses förvaring av informationsmaterial i syfte att definiera, genomföra och övervaka individers, sammanslutningars och myndigheters intressen, rättigheter och skyldigheter.  
Logiska informationslager som innehåller flera informationsmaterial är till exempel i befolkningsdatasystemet ingående uppgifter om personer, byggnader och lokaler, som har sammanställts till ett informationslager för befolkningsdata, eller sådana uppgifter om fastigheter som ingår i fastighetsdatasystemet (fastighetsregistret) samt uppgifter om lagfarter och inteckningar (lagfarts- och inteckningsregistret) som bildar ett informationslager för fastighetsdata. I samband med beskattningen bildas i anslutning till skötsel av olika beskattningsuppgifter informationsmaterial som bildar ett informationslager för beskattningsuppgifter. Avsikten är att i ett senare skede samordna informationshanteringslagens begreppsapparat med speciallagstiftningen, till de delar som det är behövligt.  
I paragrafens 6 punkt definieras begreppet gemensamt informationslager. Med gemensamt informationslager avses ett för användning av flera aktörer planerat och upprätthållet informationslager vars uppgifter kan lämnas ut och utnyttjas för olika ändamål. Informationen samlas in endast en gång och uppdateras vid behov, varefter den kan utnyttjas för informationstjänster av olika slag. Gemensamma informationslager har bildats bland annat av befolkningsdatasystemet, fastighetsdatasystemet samt företags- och organisationsdatasystemet. I gemensamma informationslager finns också infrastrukturell geografisk information. Inom hälso- och sjukvården består det gemensamma arkivlagret av Kanta-arkivtjänsten, av informationshanteringstjänsten för patienter och av receptcentret. I speciallagstiftning föreskrivs om administreringen av dessa gemensamma informationslager och om informationshämtning från informationslager. Gemensamma informationslager kan inte definieras som förteckningar, eftersom en del av de gemensamma informationslagren betjänar hela samhället och en del endast informationsbehoven inom ett visst område.  
I paragrafens 7 punkt definieras begreppet informationssäkerhetsåtgärder, varmed avses säkerställande av informationsmaterials tillgänglighet, integritet och tillförlitlighet genom administrativa, funktionella och tekniska åtgärder. Med tekniska åtgärder avses tekniska förfaranden genom vilka det med lämpliga och tillräckliga tekniska lösningar säkerställs att informationsmaterial är tillgängliga, integrerade och tillförlitliga. Med administrativa åtgärder avses ordnande av förvaltningen av informationsmaterial så att materialen behandlas på ett tryggt sätt som betjänar myndighetsverksamheten och offentlighetsprincipen. Med funktionella åtgärder avses förfaranden varmed det i myndigheternas verksamhet säkerställs att informationsmaterial behandlas på ett tryggt sätt. Med tillgänglighet avses en egenskap varmed det säkerställs att informationsmaterial, informationssystem eller tjänster finns tillgänglig för behöriga mottagare och kan utnyttjas vid en önskad tidpunkt och på valfritt sätt. Med integritet avses att en uppgift är korrekt och autentisk på så sätt att informationen i dess helhet, exempelvis i fråga om ändringar som gjorts eller skett i en handling, kan verifieras i efterhand. Med integritet avses också informationens semantiska interoperabilitet på så sätt att informationsöverföring från ett system till ett annat i samband med informationsutbyte mellan myndigheter kan genomföras med bevarande av informationens integritet genom att säkerställa informationsutbytets semantiska interoperabilitet. Med tillförlitlighet avses att utnyttjandet av informationen vid behov kan begränsas så att informationen får behandlas endast av behöriga personer. Med informationssäkerhetsåtgärder avses till exempel åtgärder för säkerställande av verksamhetens säkerhet, kommunikationssäkerheten, den fysiska säkerheten, utrustnings- och programvarusäkerheten samt informationsmaterialsäkerheten. Dessa åtgärder ska genom riskhantering enligt 13 § anpassas bland annat till hotens allvarlighetsgrad, tekniska utvecklingsnivå och kostnader.  
I paragrafens 8 punkt definieras begreppet informationshantering. Med begreppet avses åtgärder baserade på behov som uppkommer i samband med en myndighets uppgifter eller i samband med dess verksamhet och som syftar till hantering av myndighetens informationsmaterial, oberoende av hur informationsmaterialet lagras och behandlas i övrigt. Med informationshantering avses uppgifter eller handlingar som ingår i informationsmaterial samt hantering av sådana informationsmaterial bland annat genom insamling av metadata om behandlingsskeden i syfte att genomföra och säkerställa styrningen och ändamålsenligheten i fråga om ärendebehandlingen. En väsentlig del av informationshanteringen utgörs av de informationssäkerhetsåtgärder som vidtas för att säkerställa att en myndighet kan sköta sina uppgifter och förpliktelser på ett effektivt sätt, men som samtidigt skyddar genomförandet av parters och övriga förvaltningskunders rättigheter. Informationshanteringen avser alla behandlingsskeden i fråga om information och informationsmaterial. Det är inte fråga om ett begrepp som beskriver en organisationsstruktur, utan begreppet är funktionellt. Avsikten med en effektiv och ändamålsenlig informationshantering är att främja förverkligandet av offentlighetsprincipen och uppfylla kraven på en god förvaltning. 
I paragrafens 9 punkt definieras begreppet verksamhetsprocess, varmed avses en myndighets ärendehanterings- och tjänsteprocesser. I en verksamhetsprocess inleds ärendena hos en myndighet antingen på en parts eller på en myndighets initiativ. I förvaltningslagen föreskrivs uttryckligen om ärenden som inletts av parter. Till kategorin ärenden som inletts av myndigheter hör till exempel tillsynsrelaterade ärenden. Behandlingsprocesserna utmynnar i allmänhet i en åtgärd som innehåller ett myndighetsbeslut och som kan vara ett förvaltningsbeslut, en registeranteckning, en allmän anvisning, ett förordnade eller någon annan motsvarande åtgärd. Tjänsteprocesser utgår för sin del från en förvaltningskunds tjänstebehov som en myndighet eller en aktör som handlar för myndighetens räkning tillgodoser genom att producera en tjänst på det sätt som föreskrivs i lagen. Ärendebehandlings- och tjänsteprocesser hör till kategorin verksamhetsprocesser som resulterar i att det uppkommer informationsmaterial för myndigheterna. I den föreslagna informationshanteringslagen föreskrivs om hantering av informationsmaterial och uppgifter som beskriver materialen till den del som de består av handlingar eller information som kan omvandlas till handlingar som avses i lagen.  
Enligt definitionen av begreppet tekniskt gränssnitt i paragrafens 10 punkt avses med tekniskt gränssnitt en kommunikationsmetod för elektroniskt informationsutbyte mellan två eller flera informationssystem. Genomförandet av ett tekniskt gränssnitt möjliggör elektronisk och kompatibel dataöverföring mellan informationssystem. I ett tekniskt gränssnitt ingår också definitioner av informationsinnehåll som gör det möjligt att överföra information mellan informationssystem. Det är fråga om integration mellan två eller flera system. Ett tekniskt gränssnitt kan bestå av en teknisk lösning för dataöverföring, om data överförs mellan informationssystem. Gränssnittet kan genomföras t.ex. som ett kommunikationsunderlag, en så kallad online-förbindelse, eller som ett filbaserat meddelande eller en satsvis dataöverföring med vissa intervall. Begreppet tekniskt gränssnitt är inte bundet till överföringsmetoden eller formatet, utan ett tekniskt gränssnitts genomförande och teknologi bestäms utifrån respektive tekniska lösning. I den föreslagna lagens 5 kap. föreskrivs om användning av tekniska gränssnitt.  
I paragrafens 11 punkt definieras begreppet elektronisk förbindelse. Därmed avses en begränsad vy som genomförs i ett informationssystem och möjliggör visning av informationsmaterial. I den föreslagna lagen föreskrivs om förutsättningarna för öppnande av en elektronisk förbindelse i en myndighets informationssystem i situationer där en annan myndighet har rätt att få informationen och har en grund för behandling av den. Med detta nya begrepp avses uttryckligen situationer där information inte lämnas ut mellan informationssystem utan en annan myndighet med en begränsad vy kan ta del av uppgifter som finns i en annan myndighets informationssystem. Med genomförande av en elektronisk förbindelse avses i praktiken det sätt på vilket den myndighet som lämnar ut informationen utför en informationstjänst till en annan myndighet, då rätten att få och behandla informationen har säkerställts.  
I paragrafens 12 punkt definieras begreppet interoperabilitet mellan informationslager, varmed avses utnyttjande och utbyte av information mellan olika informationssystem så att informationens relevans och användbarhet bevaras. I interoperabiliteten ingår dels av tekniken för överföring mellan informationssystem, men också den semantiska interoperabiliteten på så sätt att den information som överförs har samma innehåll då den tolkas i olika informationssystem. I interoperabiliteten ingår också att informationens användbarhet säkerställs på så sätt att informationen finns i ett för sitt användningsändamål lämpligt format i vilket den kan utnyttjas för planerade behandlingsåtgärder. Interoperabiliteten mellan informationslager inkluderar således kraven på interoperabilitet mellan sätten för det tekniska genomförandet, standardisering av informationslagrens begreppsinnehåll samt definition av informationsstrukturen så att lagrens informationsmaterial av myndigheterna kan utnyttjas för planerade användningsändamål. Interoperabiliteten förutsätter definition av terminologier och informationsstrukturer, koduppsättningar och överföringsmetoder samt i anslutning därtill interoperabilitet mellan de tekniska metoderna.  
I paragrafens 13 punkt definieras begreppet maskinläsbart format. Definitionen är baserad på artikel 2.6 i direktivet om vidareutnyttjande av information från den offentliga sektorn (PSI-direktivet), enligt vilken med maskinläsbart format avses ett filformat som är strukturerat på så sätt att datorprogram enkelt kan identifiera, känna igen och extrahera specifika uppgifter, inklusive enskilda faktauppgifter, och dessas interna struktur. Maskinläsbart format innebär att både informationsmaterialets innehåll och de metadata som beskriver detta är i en form som kan läsas och tolkas maskinellt så att de kan behandlas inom informationssystem. Maskinläsbart format innebär att informationsmaterialet har presenterats i ett inom branschen standardiserat filformat eller på ett sätt som annars uppfyller vedertagna krav inom branschen.  
3 §.Lagens tillämpningsområde och begränsningar i det. I denna paragraf föreskrivs om lagens tillämpningsområde som delvis bestäms utifrån de begrepp som definieras i 2 §. Lagen ska enligt 1 mom. tillämpas på informationshantering och användning av informationssystem då myndigheterna behandlar informationsmaterial. Lagen ska tillämpas på informationshantering med beaktande av de begrepp som definieras i 2 §. Bestämmelserna i denna lag ska inte tillämpas på informationshantering av information som innehas av vilken som helst myndighet, utan regleringen avser sådana informationsmaterial som består av handlingar eller information varav kan skapas handlingar. Regleringen gäller således sådana informationsmaterial och handlingar på vilka tillämpas lagen om offentlighet i myndigheternas verksamhet. Den föreslagna informationshanteringslagen ska vara en allmän lag om informationshantering och den ska i princip iakttas i all myndighetsverksamhet. Inom vissa verksamhetsområden, exempelvis social- och hälsovården, kan informationshanteringen medföra speciella regleringsbehov som inte kan beaktas i en allmän lag. Av denna anledning ska, om det i någon annan lag ingår bestämmelser som avviker från informationshanteringslagen, den andra lagen tillämpas i stället för den föreslagna informationshanteringslagen till den del som regleringen avviker från bestämmelserna i den. Om det i en speciallag ingår avvikande bestämmelser ska speciallagen tillämpas i dessa situationer till den del som bestämmelserna innehåller avvikelser jämfört med den föreslagna informationshanteringslagen. I det föreslagna 1 mom. föreskrivs det att lagen ska tillämpas på högskolor. Vad som i den föreslagna informationshanteringslagen föreskrivs om myndigheter ska tillämpas också på universitet som avses i universitetslagen och på yrkeshögskolor som avses i yrkeshögskolelagen, eftersom det i de lagarna hänvisas till lagen om offentlighet i myndigheternas verksamhet, så att det på universitet och yrkeshögskolor tillämpas vad som i offentlighetslagens 4 § 1 mom. föreskrivs om myndigheter. 
Lagens 3 § 2 mom. är en informativ bestämmelse om förhållandet mellan informationshanteringen och den föreslagna lagens bestämmelser om myndigheternas verksamhet, men i den ingår förtydligande bestämmelser om olika regleringsobjekts inbördes förhållanden. I förvaltningslagen finns det bestämmelser på allmän lagnivå om behandling av förvaltningsärenden hos myndigheter, men procedurbestämmelser finns också i annan lagstiftning, exempelvis i lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003), utsökningsbalken (705/2007), förundersökningslagen (805/2011), polislagen (872/2011), i lagarna om domstolarnas verksamhet samt i lagen om beskattningsförfarande (1558/1995). Bestämmelser om produktion av tjänster finns bland annat i lagstiftningen om social- och hälsovården samt undervisningsväsendet. Informationshanteringslagen kommer inte i egentlig mening att påverka procedurbestämmelserna, men med hjälp av informationshantering kommer det att insamlas uppgifter om hur myndigheternas handlar eller har handlat i samband med behandlingen av ärenden eller produktionen av tjänster. Av denna anledning kan åtgärder i samband med informationshanteringen inverka också på genomförandet av procedurbestämmelser, bland annat i syfte att genomföra informationssäkerhetsåtgärder. I momentets andra mening hänvisas också till regleringen av rätten till information, enligt vilken det finns bestämmelser om saken på allmän lagnivå i lagen om offentlighet i myndigheternas verksamhet, men det finns bestämmelser om rätten till information också i annan speciallagstiftning, exempelvis i lagarna om rättegångens offentlighet. Bestämmelser om sekretess finns huvudsakligen i lagen om offentlighet i myndigheternas verksamhet. Dessutom ska det föreskrivas särskilt om arkivering av handlingar. Bestämmelserna om arkivering är baserade på EU:s allmänna dataskyddsförordning, på den nationella dataskyddslagen, på arkivlagen samt på övriga bestämmelser om arkivering och arkivverket. Informationshanteringslagens bestämmelser om informationssäkerhet och informationssystem gäller enligt förslaget samtliga informationsmaterial oberoende av om de har bildats för skötsel av myndighetsuppgifter och ingår i informationslager eller har överförts till arkiv, men den föreslagna lagen inverkar inte i övrigt på de grunder på vilka handlingar arkiveras samt hur arkivverkets uppgifter sköts i enlighet med arkivlagen.  
I lagens 3 § 2 mom. andra meningen konstateras det att i kyrkolagen (1054/1993) föreskrivs om informationshanteringen inom Finlands evangeliska-lutherska kyrka. Enligt grundlagens 76 § 1 mom. föreskrivs det i kyrkolagen om den evangelisk-lutherska kyrkans organisation och förvaltning. I den föreslagna lagen föreskrivs om informationshantering som har samband med offentlighetslagens bestämmelser. I kyrkolagens 25 kap. 8 § föreskrivs det om tillämpning av offentlighetslagen inom kyrkoförvaltningen. Den evangelisk-lutherska kyrkans möjligheter att sköta sina offentliga förvaltningsuppgifter och genomföra handlingsoffentligheten i enlighet med grundlagen förutsätter en tillräcklig reglering av informationshanteringen i kyrkolagen, men regleringen i kyrkolagen är beroende av kyrkans prövning och förutsätter lagstiftningsåtgärder i enlighet med grundlagen.  
I lagens 3 § 3 mom. föreskrivs det om begränsningar som gäller tillämpning av den föreslagna informationshanteringslagen. Begränsningarna beror huvudsakligen på vissa till den offentliga sektorn hörande organisationers grundlagsfästa ställning, som innebär att till statens centralförvaltning hörande myndigheters styrningsbefogenheter inte kan utsträckas till dessa organisationers interna förvaltning. En orsak är dessutom att det i den föreslagna lagen finns bestämmelser som i synnerhet avser förvaltningsverksamheten och vilkas tillämpning på rättsskipningen inte kan anses vara motiverad. Av dessa skäl ska 19, 20, 26 och 27 § enligt den första meningen i 3 mom. inte tillämpas på rättskipning. Bestämmelserna ska emellertid tillämpas på domstolarnas förvaltningsverksamhet. Eftersom offentlighetslagens 18 § har tillämpats på domstolars verksamhet ska den preciserande regleringen som till innehållet motsvarar offentlighetslagens 18 § gälla också rättskipning. Den med stöd av offentlighetslagen utfärdade förordningen om informationssäkerheten inom statsförvaltningen har tillämpats på domstolarnas verksamhet. Också lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen har tillämpats på domstolarna och på andra rättskipningsorgan då de sköter administrativa uppgifter. Offentlighetslagen och informationsförvaltningslagen har stiftats med grundlagsutskottets medverkan. Av denna anledning ska informationshanteringslagens reglering som faller utanför begränsningen av tillämpningsområdet, av domstolarna tillämpas också när det gäller rättskipningsuppgifter, eftersom motsvarande regleringen också tidigare har gällt domstolarna. Domstolarna använder i rättskipningen myndigheternas informationssystem och i deras verksamhet ska sålunda genomföras de krav som garanterar en grundläggande nivå på informationssäkerheten också när det gäller rättskipningen, för att det ska vara möjligt att för domstolarna öppna tekniska gränssnitt och elektroniska förbindelser. Informationshanteringsnämndens bedömningsuppgift gäller emellertid inte heller domstolarna i fråga om de administrativa uppgifter, vilket bidrar till att i domstolarnas verksamhet trygga oberoendet av de statliga förvaltningsmyndigheternas verksamhet. I paragrafens andra mening föreskrivs det om denna begränsning. Regleringen gäller emellertid till exempel Rättsregistercentralen som är en myndighet som producerar tjänster för domstolarna. Bestämmelsen om begränsning av tillämpningsområdet gäller således inte Rättsregistercentralens tjänsteproduktion eller övriga verksamhet. Behörigheten när det gäller informationshanteringsnämndens bedömningsuppgift sträcker sig således till Rättsregistercentralens verksamhet, trots att centralen producerar tjänster för domstolarna, men den är ändå en självständig myndighet. Den begränsning i fråga om rättskipningen som avses i bestämmelsen har ett direkt samband med informationshanteringen i anslutning till rättskipningsuppgifter. 
Enligt momentets andra mening ska bestämmelserna i 3 kap. inte tillämpas på justitieombudsmannens och justitiekanslerns verksamhet, på domstolarnas och övriga rättskipningsorgans verksamhet, på riksdagens ämbetsverk, på Folkpensionsanstalten, på Finlands Bank, på övriga självständiga offentligrättsliga inrättningar, på universitet som avses i universitetslagen och inte heller på yrkeshögskolor som avses i yrkeshögskolelagen. Begränsningen av tillämpningsområdet i fråga om finansministeriets styrningsbehörighet och informationshanteringsnämndens uppgifter är behövlig på grund av dessa aktörers och organisationers huvudsakligen statsförfattningsrättsliga ställning, som grundlagsutskottet har uppmärksammat (GrUU 46/2010 rd). Dessutom inkluderar begränsningen yrkeshögskolorna eftersom dessas verksamhet kan jämföras med universitetens, trots att yrkeshögskolorna inte har en statsförfattningsrättslig ställning som motsvarar universitetens. Också andra självständiga offentligrättsliga inrättningar än sådana som står under riksdagens ledning ska uteslutas från tillämpningsområdet för bestämmelserna om styrning och informationshanteringsnämndens uppgifter, för tydlighetens skull och av den anledningen att de inte hör till kärnan av de aktörer som genomför informationshanteringen inom den offentliga förvaltningen. Trots att tillämpningsområdet för 3 kap. inte utsträcks till organisationer som hör till den offentliga förvaltningen kan dessa i sin egen verksamhet tillämpa exempelvis informationshanteringsnämndens rekommendationer eller ställningstaganden i anslutning till koordineringen av förfarandena inom informationshanteringen samt annat material som producerats som informationsstyrning. I momentet föreskrivs också om begränsning av tillämpningen av 3 kap. när det gäller landskap, kommuner och samkommuner så att 3 kap. ska tillämpas på landskap, kommuner och samkommuner då de sköter lagstadgade uppgifter. Bestämmelsen motsvarar den i informationsförvaltningslagen föreskrivna begränsningen som gäller finansministeriets styrningsbehörighet. Bestämmelsen motsvarar också grundlagsutskottets ställningstagande när det gäller omfattningen av styrningsbehörigheten (GrUU 46/2010 rd).  
Enligt paragrafens 4 mom. utvidgas tillämpningsområdet organisatoriskt på den grunden att informationshanteringslagen i en ändamålsenlig utsträckning ska tillämpas också hos andra aktörer än sådana myndigheter som föreskrivs i offentlighetslagen. Enligt momentets första mening ska lagens 4 kap. och 22—25 § tillämpas på privatpersoner eller sammanslutningar eller på andra offentligrättsliga sammanslutningar som verkar som myndigheter till den del som de handlar på uppdrag av en myndighet eller för en myndighets räkning. På handlingar som behandlas på uppdrag av dessa myndigheter eller för deras räkning ska offentlighetslagen tillämpas via definitionen av begreppet myndighetshandling. I offentlighetslagen föreskrivs likaså om dessa aktörers tystnadsplikt och om en myndighets rätt att ge dessa aktörer sekretessbelagd information. Bestämmelsen innebär att också då aktörer som är utomstående i förhållande till förvaltningen handlar på uppdrag av en myndighet eller annars för en myndighets räkning ska de centrala bestämmelserna om informationshantering tillämpas i sådan verksamhet direkt med stöd av lag, också utan ett separat avtal. Informationssäkerhetskraven ska emellertid åtminstone delvis beaktas som en hänvisning till avtalsvillkoren när det gäller köptjänster, så att underlåtenhet att iaktta villkoren tydligt kan behandlas också som en avtalsrättslig fråga exempelvis då avtalsvite föreläggs. Avtalets innehåll påverkas också av den allmänna dataskyddsförordningens krav som ska tillämpas i första hand. 
Enligt momentets andra mening ska lagens 4 §, 4 kap. samt 22—25 och 28 § tillämpas på privatpersoner eller sammanslutningar då på dessas verksamhet i övrigt ska tillämpas lagen om offentlighet i myndigheternas verksamhet. I dessa lagar har tillämpningen av offentlighetslagen utsträckts till privatpersoner, privata sammanslutningar eller till andra än som myndigheter verksamma offentligrättsliga sammanslutningar då dessa sköter förvaltningsuppgifter eller annars i deras verksamhet. Exempelvis på Finlands ortodoxa kyrkas och dess församlingars verksamhet tillämpas offentlighetslagen med stöd av lagen om ortodoxa kyrkan (985/2006). På den ortodoxa kyrkans och dess församlingars verksamhet ska således tillämpas informationshanteringslagen i fråga om 4 §, 4 kap. samt 22–25 och 28 §, eftersom på deras verksamhet ska tillämpas offentlighetslagen. Regleringen ger den ortodoxa kyrkan och dess församlingar rörelseutrymme när det gäller hur de organiserar sig som en eller flera informationshanteringsenheter. Studentkårerna är för din del offentligrättsliga föreningar och på deras verksamhet tillämpas offentlighetslagen på det sätt som föreskrivs i universitetslagen.  
Också i offentlighetslagens 4 § 2 mom. föreskrivs det om tillämpning av offentlighetslagen på vissa aktörer som inte är sådana myndigheter som avses i offentlighetslagen. I offentlighetslagens 4 § 2 mom. föreskrivs att vad som sägs om en myndighet även gäller sammanslutningar, inrättningar, stiftelser och enskilda personer som utövar offentlig makt och som enligt en lag, en bestämmelse eller en föreskrift som meddelats med stöd av en lag eller en förordning utför ett offentligt uppdrag. Informationshanteringslagens bestämmelser ska således med de begränsningar som framgår av lagen tillämpas bland annat i sådana försäkringsbolags verksamhet som tillhandahåller lagstadgade försäkringar samt av offentligrättsliga föreningar till den del som de i sin verksamhet sköter offentliga uppgifter och i samband med dem utövar offentlig makt eller då det i speciallagstiftning föreskrivs om tillämpning av offentlighetslagen till exempel i anslutning till en reglering som gäller skötsel av en offentlig förvaltningsuppgift.  
I paragrafens 5 mom. föreskrivs det också om begränsning av lagens tillämpningsområde i fråga om myndigheter som är verksamma i landskapet Åland. Enligt förslaget ska lagen inte tillämpas på landskapsmyndigheter och inte heller på statliga eller kommunala myndigheter i landskapet Åland. Begränsningen av tillämpningsområdet stämmer överens med informationshanteringslagens begränsning av tillämpningsområdet till landskapsmyndigheterna. Den föreslagna bestämmelsen om tillämpningsområdet behövs eftersom med myndigheter enligt 4 § 1 mom. 7 punkten i lagen om offentlighet i myndigheternas verksamhet avses myndigheterna i landskapet Åland när de i landskapet utför uppgifter som ankommer på riksmyndigheterna. Begreppet myndighet som definieras i den föreslagna lagens 2 § 1 punkten täcker med en direkt hänvisning till offentlighetslagen också in myndigheterna i landskapet Åland när de utför uppgifter som hör till riksmyndigheterna.  
2 kap. Ordnande av informationshantering
4 §. Ordnande av informationshanteringen i informationshanteringsenheter. I denna paragraf föreskrivs om informationshanteringsenheter och om skyldigheten att ordna informationshantering i samband med dem. Enligt paragrafens 1 mom. första meningen ska en myndighet höra till en informationshanteringsenhet. Syftet med denna bestämmelse är att reglera myndighetens förhållande till en informationshanteringsenhet som svarar för ordnande av informationshanteringen inom hela organisationen. I lagen föreskrivs att en del av skyldigheterna gäller den organisation som består av en eller flera myndigheter. Avsikten med bestämmelsen är att förtydliga nuläget, eftersom organiseringen av informationshanteringen de facto huvudsakligen har ordnats på organisationsnivå, trots att organisationen består av flera myndigheter. Exempelvis en kommun utgör en organisatorisk helhet, men den består av myndigheter. I kommunerna har uppgifterna i anslutning till informationshanteringen organiserats utifrån förvaltningsstadgor på basis av kommunallagen (410/2015), i enlighet med kommunorganisationens interna servicestruktur. Inom ett statligt ämbetsverk kan det också finnas flera myndigheter, men ordnandet av deras informationsförvaltning har genomförts som ämbetsverkets gemensamma funktion. Också arbetsgivaransvaren hänför sig inom statsförvaltningen till arbetsgivarverk som kan bestå av självständiga myndigheter som sist och slutligen behandlar information samt producerar information i anslutning till informationshanteringen. Enligt momentet ska en informationshanteringsenhet ordna informationshanteringen i enlighet med denna lag.  
I paragrafens 1 mom. ingår också en förteckning över vad som hör till en informationshanteringsenhet. Med en informationshanteringsenhet avses ett statligt ämbetsverk eller en statlig inrättning. I fråga om dessa informationsförvaltningsenheter används i lagen begreppet statlig informationshanteringsenhet, då bestämmelserna avser statsförvaltningen. Informationshanteringsenheter är dessutom riksdagens ämbetsverk, statliga affärsverk, kommuner, samkommuner, självständiga offentligrättsliga inrättningar, universitet som avses i universitetslagen och yrkeshögskolor som avses i yrkeshögskolelagen. Riksdagens ämbetsverk är i egenskap av självständiga organisationer egna informationshanteringsenheter. Kommunerna och samkommunerna består av myndigheter som är indelade i organ. Varje kommun och samkommun som består av kommuner är enligt förslaget sina egna informationshanteringsenheter, oberoende av hur de har organiserat sin verksamhet. Självständiga offentligrättsliga inrättningar, exempelvis Folkpensionsanstalten, Finlands Bank, Arbetshälsoinstitutet, Keva, Kommunernas garanticentral, Finlands viltcentral och Finlands skogscentral är organisationer som är fristående från statsförvaltningen och det föreskrivs särskilt i lag om deras verksamhet och uppgifter. Självständiga offentligrättsliga inrättningar jämställs i de allmänna förvaltningslagarna med myndigheter. De utgör i egenskap av separata juridiska personer sina egna informationshanteringsenheter. På universitetens och yrkeshögskolornas verksamhet tillämpas offentlighetslagen och de jämställs på basis av universitetslagen (558/2009) och yrkeshögskolelagen (932/2014) med offentlighetslagens myndigheter. En del av universiteten är självständiga offentligrättsliga inrättningar och andra är stiftelser. De är självständiga juridiska personer. Yrkeshögskolorna är för sin del aktiebolag. Var och en av dem utgör sin egen informationshanteringsenhet. Informationshanteringsenheterna kan samarbeta och gemensamt organisera funktioner i anslutning till informationshanteringsförpliktelser. 
Uppgifterna som avser ordnande och genomförande av statliga ämbetsverks och inrättningars samt vid dessa verksamma myndigheters informationshantering kan inte i sin helhet organiseras utifrån ämbetsverken eller inrättningarna. Av denna anledning föreskrivs i 2 mom. om ett förordningsbemyndigande som innebär att det genom förordning av statsrådet kan föreskrivas om skötsel av sådana uppgifter mellan informationshanteringsenheterna som avses i denna lag. Bemyndigandet ändrar inte behörighetsförhållandena mellan de myndigheter som är verksamma inom informationshanteringsenheterna, vilket innebär att det genom förordningen inte är möjligt att avvika från vad som enligt lagen är en myndighets uppgift eller skyldighet. Genom förordningen är det inte heller möjligt att utvidga informationsrättigheterna över myndigheternas gränser. Sådana bestämmelser måste tas in i en särskild lag, om information inte får lämnas ut med stöd av allmänna lagar. Exempelvis ministeriernas gemensamma dokumentförvaltning och informationsförvaltning har centraliserats till statsrådets kansli, i enlighet med lagen om statsrådet (175/2003) och reglementet för statsrådet (262/2003). Enligt speciallagen om statsrådet svarar statsrådet för ministeriernas gemensamma förvaltnings- och sakkunnigtjänster. Till statsrådets kanslis ansvarsområde hör enligt reglementets 12 § 1 mom. 9 punkten statsrådets och ministeriernas gemensamma dataadministration, inklusive grundläggande tjänster inom informations- och kommunikationsteknik vid utrikesförvaltningens beskickningar i utlandet, och dokumenthantering samt styrning, utvecklande och samordning av god informationshantering och interoperabilitet i anknytning till dessa och uppgifter som arkivbildare. Till statsrådets kanslis uppgifter hör i praktiken bland annat ledningen, utvecklingen och samordningen av ministeriernas dokumentförvaltning, registratorstjänster, ärendebehandling, informationsstyrning och arkivering med tillhörande funktionella uppgifter, inklusive behandling av sekretessbelagda material, utarbetande av statsrådets gemensamma informationsstyrningsplan i samråd med ministerierna samt anvisningar om ordnande av utbildning för ministeriernas personal. Eftersom den bestämmelse om ansvaret för statsrådets och ministeriernas gemensamma förvaltnings- och sakkunnigtjänster som ingår i lagen om statsrådet, enlig vad som anges i reglementet för statsrådet är en specialbestämmelse också om informationshanteringens uppgifter i förhållande till den föreslagna lagens principiella definition av ämbetsverkens ansvar, kommer regleringen i den föreslagna lagen inte att innebära någon ändring i fråga om bestämmelserna om organisering av statsrådets och ministeriernas funktioner. Det föreslås således ingen ändring i nuläget utan statsrådets kansli ska fortsättningsvis svara för statsrådets och ministeriernas gemensamma informationshantering. Regleringen möjliggör fortfarande organisering av funktionerna genom särskilda bestämmelser, antingen med stöd av informationshanteringslagens förordningsbemyndigande eller i en speciallag eller med stöd av bestämmelser som utfärdas med stöd av den. I fråga om en reglering på förordningsnivå måste det emellertid säkerställas att exempelvis ledningens faktiska ansvar kan förverkligas när det gäller den del av informationshanteringen som har organiserats i de statliga informationshanteringsenheterna. Sålunda kan i förordningen med stöd av denna lags förordningsbemyndigande föreskrivas endast om organisering av informationshanteringsenheternas uppgifter mellan dem, i syfte att producera tjänster eller för de statliga informationshanteringsenheternas gemensamma tjänster. Begreppet statlig informationshanteringsenhet ska enligt den föreslagna lagen användas för att inrikta vissa förpliktelser så att de gäller endast statliga ämbetsverk och inrättningar, om inte något annat följer av de begränsningar som gäller tillämpningsområdet. 
Enligt paragrafens 3 mom. ska en informationshanteringsenhets ledning se till att informationshanteringen ordnas på ett ändamålsenligt sätt så som föreskrivs i momentet. Med informationshanteringsenhetens ledning avses den verkschef eller det ledande organ som nämns i ämbetsverkens och inrättningarnas arbetsordning samt i olika aktörers förvaltningsstadgar. Med ledning avses ett statligt ämbetsverks eller en statlig inrättnings chef vars tjänstebenämning vanligen är generaldirektör eller överdirektör. Enligt kommunallagens (410/2015) 38 § 2 mom. leder kommunstyrelsen kommunens verksamhet, förvaltning och ekonomi. Kommunstyrelsen leder således i princip informationshanteringsenheten på det sätt som avses i informationshanteringslagen, om inte ansvaret i kommunens förvaltningsstadga har delegerats till något annat organ eller till en tjänsteinnehavare, exempelvis kommundirektören. Inom organisationer enligt andra lagar avses i fråga om universitet och yrkeshögskolor rektorn, om inte universitetet eller yrkeshögskolan genom interna instruktioner har definierat ansvaret för informationshanteringen på något annat sätt. När det gäller självständiga offentligrättsliga inrättningar avses den ledning som definieras enligt bestämmelserna om respektive inrättning och som kan delegera sitt ansvar till den övriga ledningen.  
Enligt 3 mom. 1 punkten ska ledningen se till att det vid enheten har definierats ansvaren för de uppgifter i anslutning till informationshanteringen som föreskrivs i denna eller i någon annan lag. Enligt bestämmelsen ska de konkreta ansvarsförhållandena fastställas utifrån på vilket sätt och vems ansvar det är att förpliktelserna och tjänsterna enligt denna lag genomförs. Ansvaret ska definieras i fråga om upprätthållandet av informationshanteringsmodellen och skapandet av informationsmaterial, ordnandet av informationssäkerheten och ärendehanteringen, tryggandet av informationssystemens interoperabilitet samt ordnandet av förvaringen och vid behov arkiveringen av datamaterialen. Informationshanteringsenhetens ledning ska sålunda definiera och i praktiken genom arbetsordningar eller förvaltningsstadgar bestämma hur ansvaret för informationshanteringen och uppgifterna i samband därmed ska fördelas inom informationsenheten, exempelvis i ett statligt ämbetsverk eller hos en kommun. Med organisering av uppgifter avses att ansvaret för dokumenthanteringen och informationshanteringen samt övriga funktioner definieras i samband med att de förpliktelser och tjänster som är förenade med informationshanteringen genomförs. I lagen föreskrivs inte vilka uppgifter som hör till förvaltningen av information och handlingar, utan ledningen för respektive informationshanteringsenhet ansvarar för organiseringen av den. I lagen föreslås inga bestämmelser om organisationernas interna administrativa strukturer. 
Enligt paragrafens 3 mom. 2 punkten ska ledningen se till att det vid enheten finns uppdaterade anvisningar om hantering av informationsmaterial, om användning av informationssystem, om hanteringslicenser, om ansvaret för hanteringen, om rätten till information, om informationssäkerhetsåtgärder samt om beredskap för undantagsförhållanden. Informationshanteringsenheten ska ha anvisningar om hur informationsmaterial ska hanteras inom verksamhetsprocesserna. Anvisningarna om användningen av informationssystem bör vara uppdaterade för att de som använder systemen ska kunna veta och få reda på hur informationssystemen på ett informationssäkert sätt ska hanteras för lagenliga användningsändamål. Dessutom ska anvisningar upprättas så att rättigheterna i fråga om databehandlingen kan anpassas till informationssystemen, till de informationslager som opererar via dem samt till de informationsmaterial som finns i lagren. I anvisningarna ska anges på vilken grund licenserna definieras och vem som beviljar dem. I anvisningarna ska vidare definieras hur ansvaren för informationshanteringen i praktiken genomförs inom en informationshanteringsenhet, i enlighet med de interna uppgiftsansvar som avses i 1 punkten. Informationshanteringsenheten ska ha anvisningar om hur och vem som ansvarar för att besvara informationsbegäran med stöd av offentlighetslagen eller någon annan lag samt på vilken sätt informationen ges. Anvisningarna ska också innehålla beskrivningar om beredskap för undantagsförhållanden som innebär att normal informationsbehandling och informationshantering inte är möjlig, till exempel på grund av störningar i datakommunikationen, driftsavbrott i informationssystemet eller av någon annan orsak. I anvisningarna ska också ingå heltäckande beskrivningar av informationssäkerhetsarrangemangen. Alla som är verksamma inom en informationshanteringsenhet ska känna till hur ansvaren i anslutning till informationssäkerheten är fördelade inom enheten och vilka arrangemang som vidtas för att tillgodose informationssäkerheten när det gäller informationshanteringen och databehandlingen. Skyldigheten att utarbeta anvisningar är inte ny, men regleringen preciseras i den nya lagen. Enligt offentlighetslagens 18 § 1 mom. 5 punkten ska myndigheten se till att dess anställda har nödvändig kunskap om offentligheten för de handlingar som behandlas och om förfarandet, datasäkerhetsarrangemangen och uppgiftsfördelningen vid utlämnande och behandling av uppgifter samt vid skyddandet av uppgifter, handlingar och datasystem. I fråga om statsförvaltningen finns det dessutom bestämmelser om skyldigheten att utarbeta anvisningar i 4 § i förordningen om offentlighet och god informationshantering i myndigheternas verksamhet (1030/1999). I den allmänna dataskyddsförordningen föreskrivs om de personuppgiftsansvarigas skyldighet att utarbeta anvisningar om behandling av personuppgifter. 
Enligt paragrafens 1 mom. 3 punkten ska en informationshanteringsenhet erbjuda utbildning varmed det säkerställs att de anställda och personer som arbetar för enhetens räkning är tillräckligt förtrogna med gällande författningar, bestämmelser och enhetens anvisningar om informationshantering, databehandling samt handlingsoffentlighet och -sekretess. Utbildning ska anordnas för personalen men också för andra som är verksamma inom informationshanteringsenheten, exempelvis företags sakkunniga, om dessa deltar i genomförandet av informationshanteringen eller behandlar myndigheters informationsmaterial. Den föreslagna nya bestämmelsen har också samband med genomförandet av offentlighetslagens 18 § 1 mom. 5 punkten. 
Enligt paragrafens 1 mom. 4 punkten ska ledningen ansvara för att informationshanteringsenheten har för ändamålet lämpliga instrument så att myndigheterna inom den ska kunna sköta sina informationshanteringsuppgifter på ett effektivt och resultatgivande sätt så som en god förvaltning förutsätter. Genom bestämmelsen understryks vikten av att de redskap som behövs för informationshanteringen, exempelvis terminalutrustning, servrar och programvaror, når upp till den nivå som uppgifterna förutsätter och är tillräckligt skyddade så att användningen av dem stödjer skötseln av myndighetsuppgifterna på det sätt som en god förvaltning förutsätter. Med tanke på en ändamålsenlig redskapshantering ska informationshanteringsenheterna planera utrustningens och informationssystemens livscykler så att myndigheten med hjälp av dem inom informationshanteringsenheten kan sköta sina lagstadgade uppgifter på ett ändamålsenligt sätt. 
Enligt paragrafens 1 mom. 5 punkten ska ledningen ordna tillräcklig övervakning när det gäller iakttagandet av författningarna, föreskrifterna och anvisningarna om informationshanteringen. Ledningen ska således se till att informationshanteringsenheten har tillräckliga kontroller för att säkerställa att myndigheterna inom enheten beaktar de krav gällande informationshanteringen som föreskrivs i denna lag eller i någon annan lag och att informationshanteringsenhetens interna föreskrifter och bestämmelser om informationshanteringen iakttas. I övervakningen ingår också kontroll av att personalen har tillräckliga kunskaper för att förverkliga informationssäkerheten och den övriga informationshanteringen. Ordnandet av övervakningen ska utgöra en del av informationshanteringsenhetens interna tillsynsarrangemang och av informationssäkerhetsåtgärderna. Denna bestämmelse är inte ny eftersom det i offentlighetslagens 18 § 1 mom. 5 punkten, som föreslås bli upphävd, föreskrivs om ordnande av övervakning i överensstämmelse med god informationshantering.  
5 §.Informationshanteringsmodell och konsekvensbedömning. I denna paragraf föreskrivs om en informationshanteringsenhets skyldighet att i sin verksamhetsmiljö utarbeta och upprätthålla en informationshanteringsmodell. Syftet med bestämmelsen är att informationshanteringsenheten ska ha en kravbeskrivning av verksamhetsmiljöns informationshantering för att betjäna informationssystemens interoperabilitet, öppenheten och offentligheten i fråga om behandlingen av informationslager samt för förhandsplanering av hanteringen av informationsmaterial med tanke på skötseln av myndighetsuppgifterna. Genom att skyldigheterna i fråga om planering, bedömning och beskrivning av informationshanteringen sammanställs till en paragraf i samma lag eftersträvas koordinering av de nuvarande förpliktelserna som är splittrade mellan olika författningar, samt allokering av de bindande beskrivningsförpliktelserna på objekt som är väsentliga med tanke på informationshanteringen. Paragrafen ska delvis ersätta offentlighetslagens 18 § 1 mom. 2 punkten där det föreskrivs om kravet att göra upp och tillhandahålla beskrivningar på de datasystem som myndigheten upprätthåller och på de offentliga uppgifter som kan tas fram ur dessa. Paragrafen ska också främja en aktiv uppdatering av informationsinnehållet i sådana register över behandling som avses i dataskyddsförordningens artikel 30. Vidare ska paragrafen ersätta bestämmelsen i informationsförvaltningslagens 7 § om en myndighets skyldighet att beskriva sin övergripande arkitektur. Bestämmelsen föreslås bli upphävd. I informationshanteringsmodellen ska också ingå information om arkiveringsinformation som gäller avslutandet av livscykeln för informationsmaterial som uppkommit i samband med skötsel av operativa myndighetsuppgifter eller om förstöring av informationsmaterialet. Enligt arkivlagens 8 § 2 mom. ska arkivbildaren bestämma förvaringstiderna och förvaringssätten för handlingar som inkommer och uppkommer i samband med skötseln av uppgifterna och ha en arkivbildningsplan över dem. Eftersom förvaringstiderna och förvaringssätten för informationsmaterial samt uppgifter om arkivering och arkiveringssätt ingår i informationshanteringsmodellen, motsvarar informationshanteringsmodellen också de krav som i arkivlagen föreskrivs i fråga om innehållet i arkivbildningsplanen. Arkivbildningsplanens lagstadgade innehåll kan således integreras i informationshanteringsmodellen. På detta sätt minskas informationshanteringsenheternas administrativa börda och överlappande beskrivningsskyldigheter. I propositionen föreslås inga ändringar i arkivlagen, vilket innebär att bestämmelsen om arkivbildningsplanen kvarstår i arkivlagen. Eftersom det inte finns några formkrav för arkivbildningsplanen kommer informationshanteringsmodellens minimiinnehåll att uppfylla också de krav som ställs på planen. Detta innebär att informationshanteringsmodellen i egenskap av en helhetsbeskrivning av informationshanteringen kommer att utgöra en integrerad helhet. I lagen föreskrivs om minimikraven i fråga om informationshanteringsmodellens innehåll. Informationshanteringsenheterna kan således vid behov anpassa sin informationshanteringsmodell och komplettera den med tilläggsbeskrivningar, till exempel i syfte att sköta uppgifter i anslutning till dokumentförvaltningen. Informationshanteringsplaner, eAMS-planer eller informationsstyrningsplaner som är i användning hos informationshanteringsenheterna kan således fogas till informationshanteringsmodellen, dock så att de tas in i informationshanteringsmodellens övriga innehåll på så sätt att informationshanteringsmodellen utgör en integrerad helhet varav framgår bland annat myndighetens processer och informationslager samt vilken information som behandlas i dem.  
För att de beskrivningar som avses i paragrafen ska stämma överens med offentlighetsprincipen, informationssäkerheten, genomförandet av tjänster som förutsätts för en god förvaltning samt interoperabiliteten mellan informationslagren och informationssystemen, måste informationshanteringsmodellen beskriva den helhet som utgörs av service- och verksamhetsprocesserna, informationssystemen för dessa samt de informationslager som behandlas i dem och deras inbördes relationer. Med verksamhetsmiljö avses i paragrafen informationshanteringsenhetens egen beskrivning av verksamheten samt identifiering av de för informationshanteringsenhetens verksamhet centrala referensgrupperna i förhållande till informationshanteringsenhetens verksamhet. Referensgrupper kan uppkomma genom en informationshanteringsenhets kunder, av andra informationshanteringsenheter som deltar i verksamheten eller av tjänsteproducenter i anslutning till informationshanteringsenhetens serviceverksamhet. Beskrivningen av verksamhetsmiljön omfattar således informationshanteringsenhetens tjänster, processer, informationslager och informationssystem samt förhållandena mellan dessa och anslutningarna till informationshanteringsenhetens externa aktörer. Beskrivningen underlättar också uppfyllandet av förpliktelser i anslutning till informationssäkerheten. Myndigheterna inom informationshanteringsenheten genomför utifrån informationshanteringsmodellen informationshanteringen i enlighet med enhetliga och planerade förfaranden och informationshanteringen ska i förslaget genomföras på det sätt som informationshanteringsmodellen anger. Informationshanteringsmodellen är i praktiken en förvaltningsintern föreskrift som informationshanteringsenheten ska iaktta i fråga om organiseringen av ärendebehandlingen, tjänsteproduktionen och informationshanteringen i anslutning därtill. Av informationshanteringsmodellen framgår vilka verksamhetsprocesser informationshanteringsenheten har, inom vilka informationssystem de handlingar och annan motsvarande information som bildas i verksamhetsprocesserna behandlas samt till vilka informationslager handlingarna hör. Beskrivningar som kompletterar informationshanteringsmodellen kan vara till exempel informationssystemens verksamhetsbeskrivningar samt för processtyrningen skapade informationssystems definitioner i form av informationsstyrningsplaner, men i lagen finns inga bestämmelser om dessa. Informationshanteringsenheterna kan således bedöma beskrivningsnivån utifrån sina behov, förutsatt att de i lagen angivna minimikraven uppfylls.  
Beskrivningen av uppgifterna och tjänsterna i informationshanteringsmodellen gör det möjligt att sammankoppla informationshanteringen med de uppgifter som åläggs informationshanteringsenheterna. Detta skulle tjäna den i förslagets 28 § föreskrivna förpliktelsen att ordna den informationshantering som uppkommer i samband med ärendebehandlingen på ett sådant sätt att information kan sökas med hjälp av olika identifieringsuppgifter eller koder. Det skulle också främja genomförandet av förvaltningskundernas övriga rättigheter, bland annat rätten att hämta information om sig själv ur handlingar eller motsvarande upptagningar.  
Enligt paragrafens 1 mom. ska en informationshanteringsenhet upprätthålla en informationshanteringsmodell som definierar och beskriver informationshanteringen i dess verksamhetsmiljö. I 1 mom. föreskrivs också om grunderna för utarbetande av en informationshanteringsmodell. En informationshanteringsmodell ska utarbetas och upprätthållas för planering och genomförande av hanteringen av tjänster, ärendebehandling och informationsmaterial, för genomförande av rättigheter och begränsningar i fråga om tillgången till information, för att minska överlappande insamling av information, för genomförande av interoperabilitet mellan informationssystem och informationslager samt för upprätthållande av informationssäkerhet. I detta syfte föreskrivs i 2 mom. i detalj om de element i informationshanteringen som gör det möjligt att bilda sig en helhetsuppfattning om genomförandet av varje informationshanteringsenhets informationshantering.  
I paragrafens 2 mom. föreskrivs om informationshanteringsmodellens innehåll. Enligt den föreslagna bestämmelsen ingår i informationshanteringsmodellen beskrivningar av informationshanteringsenhetens verksamhetsprocesser, informationslager, informationsmaterial, informationssystem och säkerhetsarrangemang. Momentet innehåller en förteckning över de omständigheter som ska beskrivas i informationshanteringsmodellen i syfte att säkerställa genomförandet av informationshanteringen på rätt sätt. I förteckningen nämns informationshanteringsmodellens minimiinnehåll, som informationshanteringsenheten kan komplettera utifrån sina egna informationsbehov, exempelvis i enlighet med beskrivningen av den övergripande arkitekturen. I lagen föreskrivs inte med vilken metod eller i vilken form beskrivningarna ska upprättas. Detta blir beroende av informationshanteringsenheternas prövning. Informationshanteringsmodellen kan i tillämpliga delar beskrivas t.ex. med användning av en metod som utgår från den övergripande arkitekturen eller med någon annan beskrivningsmetod.  
Enligt paragrafens 2 mom. 1 punkten ska i informationshanteringsmodellen beskrivas informationshanteringsenhetens verksamhetsprocesser. I fråga om verksamhetsprocesserna ska av modellen framgå uppgifter om beteckningarna som beskriver en verksamhetsprocess, om den processansvariga myndigheten, om processens syfte samt om sambandet mellan processen och andra processer. Syftet med bestämmelsen är att säkerställa att informationshanteringsenheten utifrån genomförandet av informationshanteringen aktivt upprätthåller en övergripande beskrivning av sina verksamhetsprocesser på ett ändamålsenligt sätt och med beaktande av övriga omständigheter som har samband med informationshanteringsmodellen som en helhet. Beskrivningen och den preciserande informationen betjänar främjandet av interoperabiliteten mellan informationslagren och informationssystemen samt underlättar uppfyllandet av lagens interna förpliktelser. Myndigheternas informationshantering är baserad på information som uppkommer och behandlas i samband med verksamhetsprocesser. Genom att verksamhetsprocesserna sammanställs till en informationshanteringsmodell ger de informationshanteringsenheten en helhetsbild av var och hur myndigheternas informationsmaterial uppkommer i informationshanteringsenheten samt hur de behandlas. Verksamhetsprocesserna utgör en oskiljaktig del av genomförandet av informationshanteringen. Sammankopplingen av verksamhetsprocesserna med informationssystemen och informationslagren främjar också informationsledningens syften. På vilken nivå och hur processerna eventuellt beskrivs närmare blir beroende av informationshanteringsenheternas bedömning av ändamålsenligheten. I lagen föreskrivs endast om minimikraven så att organiseringen av informationshanteringen på ett ändamålsenligt sätt kan förverkligas i syfte att genomföra de i paragrafen nämnda målsättningarna. Förteckningarna och beskrivningarna av verksamhetsprocesserna har redan tidigare gjorts i samband med övergripande arkitekturbeskrivningar och i informationsstyrningsplaner som genomförts i samband med dokumentförvaltningen, och utarbetandet av dem har baserats uteslutande på praxis inom branschen och inte på bestämmelser i lag. I informationsstyrningsplanerna beskrivs verksamhetsprocesserna på uppgiftsnivå i form av förteckningar som klassificerar uppgifterna. Skyldigheten att beskriva processerna på en allmän nivå är således inte ny. 
Enligt paragrafens 2 mom. 2 punkten består informationslagrens innehållsbeskrivningar av beteckningar på informationslager och av beskrivningar av sambanden mellan informationslager samt verksamhetsprocesser och informationssystem som utnyttjar dem. Genom denna beskrivning ställs informationslagren i samband med verksamhetsprocesserna och informationssystemen. I praktiken utarbetas beskrivningarna av informationslager hos myndigheterna redan nu i form av sådana register över behandling som avses i dataskyddsförordningens artikel 30.1. I dataskyddsförordningen föreskrivs inte om formen för utarbetande av register, vilket innebär att innehållet kan utnyttjas som en beskrivning av informationshanteringsmodellen då det är fråga om ett informationslager. Ett sådant register som avses i dataskyddsförordningens artikel 30.1 ska upprättas över behandling av personuppgifter, vilket innebär att skyldigheten att upprätta register inte gäller annan information. Av denna anledning föreskrivs i 2 punkten alternativt att informationen i registret ska beskrivas om något register inte behöver utarbetas i enlighet med dataskyddsförordningen. Således ska informationslager som inte innebär behandling av personuppgifter beskrivas enligt den föreslagna lagen så att det av beskrivningen framgår uppgifter om den myndighet som svarar för informationslagret, om informationslagrets användningsändamål, om centrala uppgiftskategorier i informationsmaterialen, om de ändamål för vilka information får lämnas ut samt om förvaringstiderna för informationen. Innehållsbeskrivningarna av informationslager främjar lagrens interoperabilitet, identifieringen av därtill anslutna behov och utvecklingen av interoperabiliteten, genomförandet av de förpliktelser som ansluter sig till informationssäkerheten samt offentlighetsprincipen. Beskrivningarna av informationslagren beskriver de informationsmaterial som myndigheterna har och för vilka ändamål de används samt vilket sambandet är mellan den verksamhet som avser utnyttjande av informationslagren respektive olika processer och informationssystem. Då informationshanteringsenheterna har beskrivningar av informationslagren kan de uppfylla den i denna lags 28 § föreskrivna skyldigheten att i syfte att förverkliga offentlighetsprincipen utarbeta en beskrivning utifrån vilken allmänheten och parterna inom ramen för informationsrättigheterna kan begära uppgifter ur informationen i informationslagren.  
Enligt paragrafens 2 mom. 3 punkten ska det av beskrivningen av informationsmaterial framgå vilka material som efter förvaringstiden överförs till arkiv, om arkiveringssättet och om arkiveringsplatsen samt om planer på förstöring av informationsmaterial. Beskrivningsskyldigheten omfattar till denna del det i arkivlagen föreskrivna kravet att upprätthålla en arkivbildningsplan. I informationshanteringsmodellen ingår också uppgifter om informationsmaterial och om förvaringstiderna för handlingar som ingår i materialen med stöd av 2 punkten. I dataskyddsförordningen finns särskilda bestämmelser om arkivering och ansvaret för att bestämma förvaringstiderna för information och till den del som dataskyddsförordningen inte kommer att tillämpas i arkivlagen. Frågan om hur de beskrivningar och planer ska utarbetas som behövs för planeringen och genomförandet av informationssystemen blir beroende av de förfaranden som utvecklas inom branschen. Informationshanteringsmodellen är inte avsedd som en definition av logiken i ett enskilt informationssystem eller en del av det. 
Enligt paragrafens 2 mom. 4 punkten ska i fråga om informationssystemen beskrivas systemens beteckningar, den systemansvariga myndigheten, informationssystemets användningsändamål, anslutning till andra informationssystem och sättet för överföring av information i samband därmed, eventuellt till andra informationssystem, exempelvis om informationsöverföringen sker via tekniska gränssnitt eller elektronisk förbindelse. Informationssystemens samband med informationslager och informationsmaterialet i dem samt verksamhetsprocesserna ska beskrivas med stöd av 1 och 2 punkten. Beskrivningen av informationssystem främjar informationssystemens interoperabilitet och identifieringen av därtill anslutna behov samt utvecklingen av interoperabiliteten, förpliktelserna i anslutning till informationssäkerheten och genomförandet av offentlighetsprincipen.  
Skyldigheten att utarbeta beskrivningar av informationssystem är inte ny eftersom sådana förutsätts enligt offentlighetslagens 18 § 1 mom. 2 punkten, men också i fortsättningen ska myndigheterna utarbeta sin egen beskrivning i syfte att förverkliga offentlighetsprincipen såsom föreskrivs i föreslagna 28 §. I fråga om beskrivningen av informationssystem har tidigare i samband med statsmyndigheter använts begreppet datasystembeskrivning enligt en särskild rekommendation gällande den offentliga förvaltningen, dvs. JHS 146. Rekommendationen har gällt såväl statliga som kommunala myndigheter eftersom det i offentlighetslagen inte finns några uttryckliga bestämmelser om innehållet i sådana beskrivningar som gäller informationssystem. Också kommunerna har varit tvungna att upprätta beskrivningar enligt offentlighetslagen.  
Enligt paragrafens 2 mom. 5 punkten ska i informationshanteringsmodellen tas in beskrivningar av informationssäkerhetsåtgärder. Avsikten är att understryka att en myndighet på förhand ska planera hur informationssäkerheten ska genomföras och vilket förfarande som man har genomfört eller avsett att genomföra i syfte att trygga informationsbehandlingens, informationssystemens och informationsmaterialens säkerhet. Myndigheterna har med stöd av personuppgiftslagens (523/1999) 10 § ålagts att beskriva säkerhetsarrangemang i personregister. Också i ett sådant register över behandling som avses i dataskyddsförordningens artikel 30 ska beskrivas tekniska och organisatoriska säkerhetsåtgärder. Skyldigheten att beskriva informationssäkerhetsåtgärder är således inte ny utan den kompletteras utifrån gällande krav.  
I paragrafens 3 mom. föreslås bestämmelser om bedömningsskyldigheten i fråga om förändringar i informationshanteringen. Riksdagens revisionsutskott har i sitt betänkande 7/2014 rd konstaterat att ministeriernas och ämbetsverkens projekt samt uppföljningen och utvärderingen av projektens effektivitet ska ledas av ledningen för ministerierna och ämbetsverken. Avsikten med den föreslagna paragrafen är att förbättra förutsägbarheten i fråga om de ekonomiska och funktionella riskerna i samband med projektverksamhet som berör informationssystem och att uppgöra planerna på en realistisk grund. Avsikten är också att främja genomförandet av interoperabiliteten och informationssäkerheten. Styrningen av ändringar som gäller informationshanteringen ingår i en ändamålsenlig styrning av informationshanteringsenheterna. I paragrafen föreslås emellertid inte någon uttrycklig bestämmelse som innebär att ledningen åläggs ansvaret för godkännande av ändringsplaner som gäller informationshantering, eftersom ledningen med stöd av 4 § ansvarar för ordnande av informationshanteringen i dess helhet. Det är inte fråga om en ny skyldighet eftersom offentlighetslagens 18 § 1 mom. 3 punkten har förutsatt bedömning av de konsekvenser för informationshanteringen som sammanhänger med administrativa och legislativa reformer samt ibruktagning av informationssystem. Enligt paragrafens 3 mom. ska vid planeringen av administrativa reformer som är relevanta för informationshanteringsmodellen och i samband med att informationssystem tas i bruk, informationshanteringsenheten bedöma de förändringar som hänför sig till dessa åtgärder och konsekvenserna i förhållande till:  
- ansvaren för informationshanteringen, varmed avses förändringar som kan bero på förändringar i ansvaret för ordnande av verksamheten, förändringar i tjänsteproduktionen eller förändringar i produktionen av informationssystem. I fråga om ansvaren för informationshanteringen är det skäl att bedöma om det sker förändringar i en personregisteransvarigs ansvar, i en myndighets ansvar eller i en tjänsteproducents ansvar och hur förändringarna inverkar på de ansvar för informationshanteringen som regleras i denna eller i någon annan lag. Bedömningen ska framför allt avse hur behörigheten i anslutning till genomförandet av informationsrättigheter bestäms efter ändringarna. Exempelvis i en situation där en informationshanteringsenhet beslutar lägga ut tjänster ska det beskrivas hur ansvaren för informationshanteringen förändras i samband därmed. På motsvarande sätt är det skäl att vid anlitande av servicecenter beskriva deras ansvar i förhållande till informationshanteringsenheten,  
- de informationssäkerhetskrav och -åtgärder som nämns i 4 kap., varmed avses bedömning av de risker som en förändring kan innebära för informationshanteringen, informationsbehandlingen, informationssystemen och informationsmaterialen. Utifrån en riskkartläggning planeras i informationshanteringsmodellen åtgärder för minimering av riskerna. Syftet med förhandsplaneringen är att säkerställa tillgången till information samt myndigheternas verksamhet för skötsel av lagstadgade uppgifter och produktion av tjänster,  
- de krav på bildande och utlämnande av informationsmaterial som föreskrivs i 5 kap., varmed bland annat avses en bedömning av huruvida det på de grunder som föreskrivs i lagen är möjligt att avvika från skyldigheter som föreskrivs i denna lag. Av bedömningen ska framgå grunderna ifall det på det sätt som avses i denna lag görs avvikelse från bestämmelserna om omvandling till elektroniskt format eller förvaring. Av bedömningen ska likaså framgå vilken information som finns tillgänglig i maskinläsbart format, på det sätt som föreskrivs i lagen. Vidare ska av bedömningen framgå på vilka grunder en myndighet har behov att hos förvaltningskunder samla in utdrag och intyg, trots att tillförlitlig och uppdaterad information på det sätt som lagen avser kunde fås via tekniskt gränssnitt eller elektronisk förbindelse. Genom bedömningen kan informationshanteringsenheten eller myndigheten visa att det för undantag från de lagstadgade skyldigheterna finns bedömningsbaserade grunder, 
- de krav på informationshantering av ärenden och tjänster som föreskrivs i 6 kap. samt sådana handlingars offentlighet, sekretessbeläggning, skydd och informationsrättigheter enligt vad som föreskrivs någon annanstans i lag. Det är skäl att vid bedömningen särskilt uppmärksamma den omständigheten att offentligheten och sekretessbeläggningen också efter ändringarna förverkligas på det sätt som lagstiftningen förutsätter. Vid bedömningen är det likaså skäl att beakta de krav på informationsskydd som ställs på annat håll i lagstiftningen. Förändringar i informationshanteringen när det gäller ärendehantering och tjänster kan avse funktionaliteter i ärendehanteringen som ska göras i ett nytt informationssystem samt definitioner av metadata gällande ärendehantering. Om det till följd av en förändring uppkommer helt nya informationsmaterial är det skäl att redan i bedömningsskedet säkerställa att de i enlighet med informationsrättigheterna kan utnyttjas av informationsberättigade myndigheter och av andra aktörer.  
Enligt paragrafens 3 mom. ska informationshanteringsenheten i sin bedömning av förändringar som avser informationshantering beakta interoperabiliteten mellan informationslager samt möjligheterna att utnyttja informationslager för skapande och utnyttjande av informationsmaterial. Avsikten med bestämmelsen är att informationshanteringsenheten ska utreda om det inom ramen för existerande informationsrättigheter och tillgänglig teknologi är möjligt att utnyttja andra myndigheters befintliga informationslager eller gemensamma informationslager eller om informationen ska samlas in hos parten eller kunden. Syftet med bedömningen av möjligheterna att utnyttja information är att förbättra informationshanteringsenheternas förutsättningar att utveckla och automatisera sina egna processer för utlämnande och mottagning av information samt främja automatiseringen av utlämnandet så att det i regel sker via tekniska gränssnitt. Avsikten med bedömningsskyldigheten är också att styra informationshanteringsenheterna så att de effektivt utnyttjar redan insamlad information samt att säkerställa att det skapas tillräckliga förutsättningar för att aktörer som behöver information ska få tillgång till sådant.  
Bedömningens innehåll beror på vilka ändringar informationshanteringsenheten gör och vilken verksamhet som blir föremål för reformer. Exempelvis ändringar som avser förvaltningsverksamhet och behovet att utvärdera dem kan avvika från behovet att bedöma ändringar som har samband med rättskipning. Bedömningens omfattning och närmare innehåll blir beroende av informationshanteringsenheternas prövning, men informationshanteringsnämnden kan i syfte att förenhetliga informationshanteringsförfarandena till exempel ge en rekommendation om hur bedömningen ska göras. I lagen ska enligt förslaget också föreskrivas att bedömningen ska göras i samband med väsentliga administrativa reformer eller i samband med att informationssystem tas i bruk. Det blir således beroende av informationshanteringsenhetens prövning till vilken del och i vilken omfattning bedömningen görs. Exempelvis ibruktagning av en ny version av ett informationssystem förutsätter inte nödvändigtvis att det görs en bedömning, men ibruktagning av ett nytt informationssystem är en sådan väsentlig reform som avses i lagen. Också de administrativa reformernas relevans har betydelse för genomförandet av bedömningsskyldigheten och dess innehåll. Förändringar som inte påverkar informationshanteringsmodellens minimiinnehåll förutsätter inte bedömning av förändringarna. Den bedömningsskyldighet som föreskrivs i lagen är kompletterande i förhållande till sådan konsekvensbedömning som avses i dataskyddsförordningens artikel 35. 
Enligt paragrafens 3 mom. ska informationshanteringsenheten på basis av bedömningen vidta de åtgärder som behövs för att ändra informationshanteringsmodellen och genomföra ändringarna. Avsikten med bestämmelsen är således att de myndigheter som är verksamma inom en informationshanteringsenhet är skyldiga att vidta åtgärder på basis av bedömningen, för att myndigheternas verksamhet ska kunna säkerställas samt för att individernas intressen, rättigheter och skyldigheter ska kunna uppfyllas. Momentet innehåller dessutom för tydlighetens skull behövliga hänvisningar till dataskyddslagstiftning. I dataskyddsförordningens artikel 35 föreskrivs det om konsekvensbedömning avseende dataskydd, och i artikel 36 föreskrivs det om förfarandet för förhandssamråd med tillsynsmyndigheten i samband med konsekvensbedömningen. De skyldigheter och förfaranden som föreskrivs i dataskyddsförordningen ska beaktas vid bedömningen av hur ändringarna inverkar på informationshanteringen. Bestämmelser om motsvarande konsekvensbedömning avseende dataskydds finns i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (RP 31/2018 rd). Dataskyddslagstiftningen och bestämmelserna i informationshanteringslagen kompletterar varandra och bildar en bedömningshelhet. 
3 kap. Allmän styrning av informationshanteringen inom den offentliga förvaltningen
6 §.Allmän styrning av interoperabiliteten mellan informationslager. I denna paragraf föreskrivs det om den allmänna styrningen av interoperabiliteten mellan den offentliga förvaltningens informationslager. Varje myndighet svarar inom ramen för sin behörighet för upprätthållandet och utvecklingen av sina egna informationslager. Inom den nätverksbaserade förvaltningen har det emellertid utvecklats gemensamma informationslager som är avsedda antingen för myndigheternas gemensamma användning eller för allmän användning i samhället. Informationslagren utnyttjas i elektroniskt format för olika samhällsfunktioner. För att interoperabiliteten mellan myndigheternas informationslager ska kunna säkerställas och koordineras på nationell nivå behövs det en myndighet som styr detta arbete. I den föreslagna paragrafen föreskrivs om myndighetens uppgifter.  
Enligt paragrafens 1 mom. ska finansministeriet svara för den allmänna styrningen av interoperabiliteten mellan den offentliga förvaltningens gemensamma informationslager. I momentet föreskrivs också om de uppgifter genom vilka styrningen framför allt ska genomföras. Uppgifterna begränsar för sin del finansministeriets behörighet när det gäller styrningen av de i lagen definierade uppgifterna. Den föreslagna regleringen ändrar eller begränsar emellertid inte finansministeriets ansvarsområde enligt statsrådets reglemente. Finansministeriets uppgift i fråga om den allmänna styrningen av interoperabiliteten är enligt 1 mom. andra meningen 1 punkten att sörja för uppdateringen av den offentliga förvaltningens informationshanteringskarta. Syftet med den offentliga förvaltningens informationshanteringskarta är att ge en översiktlig bild av den offentliga förvaltningens informationshantering för att det ska vara möjligt att planera och utveckla interoperabiliteten mellan den offentliga förvaltningens informationslager och informationssystem. Informationshanteringskartans syfte är att ge en tillräckligt omfattande och heltäckande beskrivning av hur informationshanteringen organiseras på ett sätt som stöder verksamheten inom den offentliga förvaltningen samt av informationsströmmarna mellan informationslagren för att bedöma de centrala problempunkterna med interoperabiliteten och deras konsekvenser. Beskrivningen av den offentliga förvaltningens informationshantering och organiseringen av den kommer dessutom i fortsättningen att ge de myndigheter som svarar för informationshanteringen bättre utgångspunkter för bedömningen av konsekvenserna av omfattande administrativa eller strukturella förändringar. Ministerierna ansvarar för upprätthållandet av innehållet i den offentliga förvaltningens informationshanteringskarta. Ministerierna ska enligt förslaget upprätthålla motsvarande information om sitt ansvarsområde och uppdatera informationshanteringskartan till exempel då lagstiftningen, verksamhetsmetoderna eller informationssystemen revideras så att det i de informationslager som informationshanteringskartan beskriver görs ändringar till följd av reformerna.  
I 1 mom. 2 punkten föreskrivs om finansministeriets uppgift att upprätthålla de allmänna riktlinjerna för utvecklingen av informationshanteringen inom den offentliga förvaltningen i syfte att främja interoperabiliteten mellan de gemensamma informationslagren och informationssystemen. Riktlinjerna har i praktiken betydelse för utvecklingen av de informationslager som de statliga ämbetsverken och inrättningarna ansvarar för. Finansministeriet kan styra utvecklingen genom det remissförfarande som avses i föreslagna 9 §. Riktlinjerna innebär att andra informationshanteringsenheters verksamhet än sådana som hör till statsförvaltningen kommer att styras endast indirekt, till den del som dessa övriga informationshanteringsenheter utnyttjar gemensamma informationslager och informationssystem. Upprätthållandet av riktlinjerna kan i praktiken genomföras inom ramen för Befolkningsregistercentralens uppgifter och i samarbete mellan myndigheterna. Med upprätthållande av riktlinjerna avses sammanställning av informationsdefinitioner som behövs för säkerställande av interoperabiliteten mellan den offentliga förvaltningens informationslager till en gemensam tjänst, harmonisering av definitioner som uppkommer i samband med utvecklingsprojekt och länkar till definitionsarbetet på EU-nivå samt en hanteringsmodell som säkerställer definitionernas användbarhet. Utnyttjandet av riktlinjerna och utvecklingen som baseras på gemensamma definitioner förbättrar genomslaget när det gäller styrningen av interoperabiliteten. I paragrafens 2 mom. föreskrivs om ministeriernas uppgift att inom sitt eget ansvarsområde upprätthålla motsvarande riktlinjer för interoperabiliteten.  
I paragrafens 2 mom. föreskrivs om uppdatering av innehållet i den offentliga förvaltningens informationshanteringskarta. Enligt momentet ska varje ministerium inom sitt eget ansvarsområde sköta uppdateringen av innehållet i den offentliga förvaltningens informationshanteringskarta. Momentet ger statsrådet behörighet att utfärda en förordning om innehållet i och upprätthållandet av den offentliga förvaltningens informationshanteringskarta. Avsikten är att finansministeriet ska upprätthålla hemsidor, exempelvis i portalen Avoindata.fi, för informationshanteringskartans information. I den offentliga förvaltningens informationshanteringskarta ingår samma element som i beskrivningen av den offentliga förvaltningens övergripande arkitektur enligt informationsförvaltningslagen.  
Genom finansministeriets allmänna styrning främjas den semantiska interoperabiliteten. Därmed avses att de mellan informationssystemen överförda informationsmaterialens format och innebörd tolkas på ett enhetligt sätt. Styrningen innebär också att finansministeriet koordinerar och styr bland annat den terminologiska definitionen i fråga om den offentliga förvaltningens gemensamma informationslager samt riktlinjerna för interoperabiliteten mellan ansvarsområdena så att interoperabilitet mellan informationssystemen möjliggörs. I 22—24 § föreskrivs närmare om interoperabiliteten i samband med användningen av tekniska gränssnitt. Enligt föreslagna 22 § ansvarar respektive myndighet för beskrivningen av informationsstrukturen. Vid planeringen av informationsöverföring mellan flera myndigheter via tekniska gränssnitt ska det ansvariga ministeriet eller motsvarande ministerier i samarbete styra definitionen av de gränssnitt som möjliggör teknisk interoperabilitet.  
Genom informationshanteringskartan som avses i paragrafens 1 mom. 1 punkten och genom uppgifter i anslutning till finansministeriets allmänna styrning skapas en nationell referensram för interoperabiliteten, varmed avses anpassning av det Europeiska ramverket för interoperabilitet (EIF) till de nationella särdragen samt de europeiska referensramarna för interoperabiliteten mellan olika områden (t.ex. INSPIRE). Syftet med de europeiska principerna i detta avseende är att i medlemsstaterna främja produktionen av kompatibla offentliga tjänster.  
Genom den föreslagna regleringen ändras styrningsmekanismen för interoperabiliteten mellan myndigheternas informationssystem inom den offentliga förvaltningen, som det föreskrivs om i lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011, informationsförvaltningslagen) så att den bättre motsvarar regleringen av de informationssystems interoperabilitet och gränssnitt som riksdagen förutsätter (RSk 30/2009 rd och RSk 10/2012 rd). I informationsförvaltningslagen har styrningen av interoperabiliteten mellan den offentliga förvaltningens informationssystem baserats på lagens 7 § enligt vilken myndigheterna inom den offentliga förvaltningen vid planering och upphandling av informationssystem ska iakttas ministeriernas beskrivningar av interoperabiliteten mellan informationssystemen enligt ansvarsområde, samt 9 § där det föreskrivs om förpliktelsen att ändra informationssystemen i enlighet med de beskrivningar och definitioner för interoperabiliteten mellan informationssystemen som utarbetats av ministerierna i enlighet med statsrådets eller ministeriets förordningar. Med stöd av informationsförvaltningslagen har under den tid lagen varit i kraft inte utfärdats några förordningar om interoperabiliteten mellan myndigheternas informationssystem inom den offentliga förvaltningen och inte heller närmare definierats innehållet i de beskrivningar och definitioner av interoperabiliteten som bestämmelserna avser. I syfte att förenkla och effektivisera styrningen ingår i lagen inte längre informationsförvaltningslagens flerstegs beredningsprocess för beskrivningar och definitioner av informationssystems interoperabilitet och den därtill anslutna förordningsbehörigheten. I fortsättningen ska den föreslagna allmänna styrningen av informationslagrens interoperabilitet genomföras i enlighet med de riktlinjer för främjande av interoperabiliteten som utarbetas av finansministeriet och upprätthålls av ministerierna och genom vilka det i fråga om utvecklingsobjekt inom statsförvaltningen säkerställs att remissförfarandet enligt föreslagna 9 § och i fråga om den övriga offentliga förvaltningen enligt föreslagna 24 § föreskrivs om den gemensamma planeringen under ledning av ministerierna. Den föreslagna regleringen kommer delvis att skärpa kraven på genomförande av teknisk interoperabilitet, i och med skyldigheten att beskriva gränssnitten. Bestämmelser om detta finns i den föreslagna lagens 22 §.  
7 §.Samarbetet mellan den offentliga förvaltningens informationshantering och produktionen av informations- och kommunikationstekniska tjänster. I denna paragraf föreskrivs om finansministeriers skyldighet att ombesörja samarbetet mellan den offentliga förvaltningens informationshantering samt de informations- och kommunikationstekniska tjänsterna. Samarbetsförpliktelsen gäller utöver sådan informationshantering som regleras i den föreslagna lagen också produktionen av informations- och kommunikationstekniska tjänster inom den offentliga förvaltningen. Till finansministeriets ansvarsområde hör dessutom, i enlighet med bestämmelserna om statsrådets ansvarsområde och ministeriernas uppgifter, styrningen av statsförvaltningen och kommunernas samarbete i fråga om informationsförvaltningen. Produktionen av informations- och kommunikationstekniska tjänster och över huvud taget användningen av informations- och kommunikationstekniska förfaranden i organisationernas verksamhet har ett nära samband med hur dessa målsättningar enligt lagen förverkligas inom den offentliga förvaltningen. Enligt bestämmelsen ska finansministeriet se till att det ordnas samarbetsmetoder och -förfaranden för statliga myndigheter samt för landskapens och kommunernas myndigheter. I bestämmelsen föreskrivs inte hur samarbetet ska ordnas och inte heller om också andra aktörer kan delta i samarbetet än de i bestämmelsen uttryckligen nämnda myndigheterna, exempelvis Folkpensionsanstalten. I praktiken kan verksamheten ordnas på samma sätt som för närvarande med hjälp av en delegation eller andra samarbetsorgan.  
Enligt den föreslagna paragrafens 1 mom. är syftet med samarbetet att främja genomförandet av denna lag samt utvecklingen av den offentliga förvaltningens förfaranden och tjänster genom utnyttjande av informationslager samt informations- och kommunikationsteknik. Samarbetet ska framför allt gå ut på uppföljning av utvecklingen, förändringarna och konsekvenserna i fråga om den offentliga förvaltningens informationshantering samt informations- och kommunikationstekniska tjänster. Avsikten med samarbetet är således att följa upp bland annat utvecklingen i fråga om den offentliga förvaltningens informationshantering samt bedöma vilka konsekvenser de planerade ändringarna i fråga om den offentliga förvaltningens uppgifter, tjänstestrukturer, administrativa strukturer och informationssystem får för myndigheternas verksamhet inom den offentliga förvaltningen.  
Delegationen för informationsförvaltningen inom den offentliga förvaltningen har verkat sedan år 1988. Bestämmelserna om delegationen lyftes år 2011 upp till lagnivå genom lagen om styrningen av informationsförvaltningen inom den offentliga förvaltningen. Delegationen har fungerat som ett permanent samarbets- och förvaltningsorgan för statens myndigheter, Folkpensionsanstalten och de kommunala myndigheterna.  
Den föreslagna bestämmelsen möjliggör tillsättning av en rådgivande delegation, en arbetsgrupp eller motsvarande samarbetsorgan för styrningen av informationsförvaltningen inom den offentliga förvaltningen. Enligt den föreslagna paragrafens 2 mom. kan statsrådet tillsätta ett sådant samarbetsorgan. I samband med tillsättningen kan statsrådet samtidigt besluta om samarbetsorganets uppgifter, mandatperiod och ledamöter. 
Inrättandet av en informationshanteringsnämnd i enlighet med den föreslagna lagens 10 § får betydelse för verksamheten när det gäller den nuvarande delegationen för informationsförvaltningen inom den offentliga förvaltningen. Detta skulle i synnerhet påverka styrningen med hjälp av en delegation eller motsvarande samarbetsorgan på så sätt att den inte längre i fortsättningen skulle ge sådana rekommendationer (JHS) om informationsförvaltningen inom den offentliga förvaltningen som berör informationshanteringen. Rekommendationer om informationshanteringen ska i fortsättningen ges av informationshanteringsnämnden. Rekommendationer som avser informationsförvaltningen inom den offentliga förvaltningen har beretts och koordinerats av delegationen för informationsförvaltningen inom den offentliga förvaltningen. Referensgrupper som deltar i styrningen och utvecklingen av informationsförvaltningen inom den offentliga förvaltningen har i stor utsträckning deltagit i arbetet. De rekommendationer som givits av delegationen för informationsförvaltningen inom den offentliga förvaltningen har inte enbart gällt informationsförvaltning, utan också dokumentförvaltning och annan informationshantering. Arbetet har utförts vid sidan av deltagarnas egentliga arbete, utan särskilda ersättningar. Beredningsarbetet har delvis upphandlats genom finansministeriets och Befolkningsregistercentralens försorg. Det har ansetts vara utmanande att ordna arbetet på ett effektivt sätt. Vidare har det inte över huvud taget utfärdats några sådana standarder för den offentliga förvaltningens informationsförvaltning som är baserade på rekommendationer gällande beskrivningar och definitioner av gemensam övergripande arkitektur och interoperabilitet. Orsaken har i praktiken varit den att den beredningsprocess som avses i informationsförvaltningslagen inte har fungerat när det gällt att utfärda standarder av en mera bindande karaktär. Också i fortsättningen kan beredningen av andra rekommendationer än sådana som gäller informationshantering koordineras och genomföras inom ramen för det samarbetsorgan som avses i bestämmelsen eller också genom finansministeriets eller någon annan behörig myndighets, exempelvis Befolkningsregistercentralens försorg.  
Avsikten är att verksamhet som sker via samarbetsorgan i fortsättningen ska utvecklas i en mera strategisk och proaktiv riktning. Digitaliseringen av informationsförvaltningen och verksamheten inom den offentliga förvaltningen innebär att det blir ännu viktigare att värna om det så kallade tväradministrativa samarbetet. Det kommer således att också i fortsättningen vara ändamålsenligt att samarbetet mellan de statliga myndigheterna, kommunernas och landskapens myndigheter samt övriga offentligrättsliga inrättningar, exempelvis Folkpensionsanstalten, organiseras i anslutning till finansministeriet. Det är skäl att samarbeta också med andra aktörer som deltar i främjandet av produktionen av informations- och kommunikationstekniska tjänster inom den offentliga förvaltningens informationshantering. Vidare är det skäl att utsträcka samarbetet också till landskapen. Det är emellertid ändamålsenligt att statsrådet på ett mera flexibelt sätt får avgöra hur samarbetet ska organiseras då det är fråga om en snabbt föränderlig verksamhetsmiljö och ett mångsidigt utvecklingsarbete. Delegationsstrukturen kan fortfarande vara funktionsduglig.  
Det är fortfarande skäl att i fortsättningen i samarbete mellan de statliga myndigheterna, kommunernas och landskapens myndigheter främja utvecklingen av verksamhetsmodellerna inom den offentliga förvaltningen samt metoderna för tjänsteproduktion genom utnyttjande av informations- och kommunikationsteknik. Den delegation eller det motsvarande samarbetsorgan som skapas kring denna gemensamma målsättning kan ges i uppgift att följa den allmänna utvecklingen när det gäller digitaliseringen av den offentliga förvaltningen och informationsförvaltningen samt att följa hur de planerade förändringarna i den offentliga förvaltningens uppgifter, i tjänste- och förvaltningsstrukturerna samt i informationssystemen inverkar på den offentliga ekonomin och på myndigheternas verksamhet inom den offentliga förvaltningen eller på produktionen av informations- och kommunikationstekniska tjänster. Syftet med uppföljningsuppgifterna är att i det skede då reformerna bereds förbättra bedömningen av reformer som har långtgående konsekvenser, med utgångspunkt i den offentliga förvaltningens samtliga sektorer. En omfattande bedömning av betydande reformer skulle stödja deras uppdrag som svarar för beredningen av utvecklingsprojekt eller lagstiftningsprojekt genom att redan i det skede då förändringarna planeras skapa en uppfattning om hur ett förslag kommer att påverka informationsförvaltningen inom den offentliga förvaltningen. Inom verksamheten skulle det vara möjligt att behandla för den offentliga förvaltningens funktion principiellt viktiga och omfattande utvecklingsprojekt i anslutning till den offentliga förvaltningens funktion, informationshantering och informationssystem samt lagstiftningsprojekt och strukturella reformer. Delegationen kunde bilda sig en uppfattning i dessa avseenden och underrätta de för projekten och reformerna ansvariga om saken. Delegationen skulle kunna göra utredningar och ta initiativ i syfte att genomföra sina uppgifter. Bedömningen och förvaltningen av gemensamma och omfattande förändringar på ett koordinerat sätt, exempelvis på initiativ av delegationen, kunde genomföras också samtidigt med separata utrednings- och forskningsåtgärder samt utvecklingsförslag.  
Den föreslagna bestämmelsen förutsätter å ena sidan att finansministeriet i stor utsträckning ombesörjer samarbetet. Å andra sidan innebär bestämmelsen att det kan finnas flera samarbetsorgan beroende på vad som behövs för ärendehelheterna. För närvarande har för samarbetet i fråga om de ärendehelheter som avses i bestämmelsen och till stöd för finansministeriet tillsatts en ledningsgrupp för informationssäkerheten inom den offentliga förvaltningen (VAHTI) samt en samarbetsgrupp för direktörerna inom ministeriernas informationsförvaltning, dvs. utvecklings- och koordineringsgruppen för informationsförvaltningen. Den föreslagna bestämmelsen innebär också att det blir möjligt att vid behov genom förordning av statsrådet utse och tillsätta aktörer av detta slag antingen separat eller i anslutning till den ovan nämnda delegationens verksamhet, exempelvis som sektioner under delegationen. 
8 §. Statliga informationshanteringsenheters bedömning av förändringar i informationshanteringen. I paragrafens 1 mom. föreskrivs om statliga informationshanteringsenheters skyldighet att för genomförande av lagens syfte bedöma dels förändringar som inverkar på informationshanteringsmodellen enligt lagens 5 § 3 mom. och dels också de ekonomiska konsekvenserna av förändringarna. Bedömningen av de ekonomiska konsekvenserna ska göras i samband med bedömningen av de konsekvenser som berör informationshanteringen.  
Med ekonomiska konsekvenser avses här de ekonomiska konsekvenserna för en informationshanteringsenhet eller en myndighet som är verksam i den samt också mera omfattande konsekvenser för statsfinanserna och olika delar av den offentliga ekonomin. Konsekvenserna kan vara besparingar eller utgiftsökningar. Utgångspunkten för bedömningen är de anslagsbehov som genomförandet av en ändring medför samt förändringens ekonomiska konsekvenser för den informationshanteringsenhets verksamhet som genomför en reform. Informationshanteringsenheten ska i syfte att beskriva ändringens sammanlagda konsekvenser sträva efter att bedöma konsekvenserna också för andra informationshanteringsenheter i samband med ändringsobjektet och sektorvis specificera konsekvenserna för den offentliga ekonomin (staten, landskapen, kommunerna, lagstadgade arbetspensionsbolag och -anstalter samt övriga socialskyddsfonder). Bedömningen av en ändrings betydelse för den offentliga ekonomin är viktig för att informationshanteringsenheten ska kunna förutse de ekonomiska konsekvenserna i god tid före det egentliga genomförandet av planen och innan den integreras i verksamhets- och ekonomiplanen.  
Avsikten med den föreslagna paragrafen är att förbättra förutsägbarheten när det gäller de ekonomiska och funktionella risker som är förenade med projekt som berör informationssystemen och att skapa en realistisk grund för planerna. Riksdagens revisionsutskott konstaterade i sitt betänkande 7/2014 rd att ministeriernas och ämbetsverkens projekt samt uppföljningen och utvärderingen av projektens effektivitet ska ledas av ledningen för ministerierna och ämbetsverken. Dessutom förutsatte riksdagen att regeringen bedömer resultaten av, kostnaderna för och produktivitetsnyttan av de viktigaste ICT-projekten. Bedömningen av förändringar som berör de statliga informationshanteringsenheternas informationshantering och bedömning av de ekonomiska konsekvenserna av en förändring redan i samband med planeringen av ändringarna skulle dels stödja planeringen av projektgenomförandet och dels också planeringen av de bedömningsmetoder och indikatorer som används vid projektuppföljningen.  
Enligt paragrafens 2 mom. ska det ministerium som ansvarar för verksamhetsområdet göra en bedömning då bestämmelser som är under beredning återverkar på informationsmaterial och informationssystem. Syftet med bestämmelsen är att säkerställa att man i det skedet då lagstiftningen bereds anger konsekvenserna av informationshanteringsbestämmelserna för myndigheternas verksamhet och att det med stöd av ändringsplanen blir möjligt att mera noggrant planera ändringarna i informationshanteringen. Med hjälp av ändringsplanen blir det vid lagberedningen möjligt att analysera nuläget och göra en bedömning av måltillståndet utifrån den lag som är under beredning. Motsvarande ändringsplan för informationshanteringen borde göras upp också i anslutning till beredningen av förordningar, om de gäller informationshantering. 
Paragrafen ligger också till grund för finansministeriets utlåtande enligt föreslagna 9 § om utnyttjande, interoperabilitet och informationssäkerhet i fråga om gemensamma informationslager och informationssystem. 
9 §.Utlåtande om bedömning av förändringar inom statsförvaltningen. I denna paragraf föreskrivs om finansministeriets behörighet att styra utnyttjandet, interoperabiliteten och informationssäkerheten i fråga om de informationslager och informationssystem som används inom statsförvaltningens informationshantering.  
Riksdagens revisionsutskott konstaterade i sitt betänkande 7/2014 rd att ministeriernas och ämbetsverkens projekt samt uppföljningen och utvärderingen av projektens effektivitet ska ledas av ledningen för ministerierna och ämbetsverken. Riksdagen förutsatte i betänkandet att regeringen som ett led i uppföljningen av projektportföljen bedömer resultaten av, kostnaderna för och produktivitetsnyttan av de viktigaste ICT-projekten och rapporterar om dem till riksdagen. Riksdagen har förutsatt att regeringen för att öka effektiviteten i statens informationsförvaltning bereder behövlig lagstiftning om finansministeriets behörighet i fråga om styrningen och andra behövliga frågor (ReUB 1/2008 rd och RSk 11/2008 rd). Finansministeriet styrningsbehörighet har baserats bland annat på remissförfarandet enligt vad som föreskrivs i informationsförvaltningslagen. 
Enligt förslaget ska finansministeriet på basis av en statlig informationshanteringsenhets bedömning ge ett utlåtande om utnyttjandet, interoperabiliteten och informationssäkerheten i fråga om informationslager och informationssystem. Genom remissförfarandet säkerställs det att i de informationslager som utvecklas för statsförvaltningen och för den offentliga förvaltningens gemensamma användning har beaktats den semantiska interoperabiliteten och ett effektivt utnyttjande av informationen samt att informationssystemens interoperabilitet och informationssäkerhet och användningen av gemensamma informations- och kommunikationstekniska tjänster har beaktats på vederbörligt sätt. 
Finansministeriets styrningsbehörighet enligt den föreslagna paragrafen kommer inte längre att i enlighet med informationsförvaltningslagen vara bunden till informationssystemanskaffningar, utan utlåtande ska ges om den bedömning av ändringar i fråga om informationshanteringsenheternas informationshantering inom statsförvaltningen som föreskrivs i lagförslagets 8 §. Det är fråga om styrningen i ett tidigt skede av utvecklingsarbetet vilket innebär att det egentliga planeringsprojektet för genomförande av ändringen inte ännu har inletts. Bedömningen av förändringar i informationshanteringen ska tillställas finansministeriet om de får betydande ekonomiska eller funktionella konsekvenser för informationshanteringen eller verksamheten eller om det är fråga om väsentliga förändringar i informationsstrukturer som berör informationslagrens gränssnitt. Med väsentliga förändringar i gränssnittens informationsstrukturer avses i fråga om gemensamma informationslager sådana situationer där ändringar i anslutning till innehållet i ett informationslager eller funktionella eller tekniska ändringar i de gränssnitt som används för överföring av ett informationslagers information, för de aktörer som utnyttjar informationslagren innebär ändringsbehov som kräver ekonomiska resurser. Syftet med det avsnitt i utlåtandet som gäller gränssnitten för gemensamma informationslager är att säkerställa att konsekvenserna av de ändringar som har samband med informationsöverföring mellan informationslager utvärderas tillräckligt heltäckande i fråga om alla de aktörer som utnyttjar lagrens information. Detta innebär att alla ändringsplaner som avser informationshantering inte behöver sändas till finansministeriet för utlåtande, utan endast sådana betydande och till sina verkningar omfattande ändringsplaner som beror på ändringar i informationshanteringen.  
Finansministeriet ska styra genomförandet av informationssystemprojekt i ekonomiskt hänseende också med stöd av lagen om statsbudgeten (423/1988) och förordningen om statsbudgeten (1243/1992). För denna styrningsmodell planeras på basis av de gällande bestämmelserna om planering av statsekonomin och tillämpning av budgeten en sådan styrningsmodell för investeringar som ska gälla bedömning av investeringar i informationssystem.  
Enligt den föreslagna paragrafen ska finansministeriet trots sekretessbestämmelserna ha rätt att från myndigheter i informationshanteringsenheter få nödvändig information för utlåtandet. Syftet med bestämmelsen är att säkerställa att finansministeriet i tillräcklig utsträckning har rätt att få tillräcklig information om ändringsplaner som eventuellt är sekretessbelagda. Paragrafen innehåller också ett bemyndigande för statsrådet att utfärda preciserande bestämmelser om förfarandet i remissärenden.  
10 §.Den offentliga förvaltningens informationshanteringsnämnd. I Finland finns det inte en enda myndighet som är inriktad på utveckling och bedömning av informationshanteringen inom hela den offentliga förvaltningen, utan utvecklingen av informationsförvaltningen genomförs i stället av flera myndigheter inom sina respektive ansvarsområden. Samarbetet i anslutning till informationshanteringen inom den offentliga förvaltningen har vid olika tidpunkter koordinerats i olika samarbetsgrupper mellan myndigheterna och i den ledningsgrupps arbete som svarar för informationssäkerheten inom statsförvaltningen samt i delegationen för informationsförvaltningen inom den offentliga förvaltningen. De grundläggande registermyndigheterna har under olika tider på olika sätt samarbetat i anslutning till Registerpoolen och delegationen för grundläggande registerärenden. Också inom social- och hälsovården har informationshanteringssamarbetet organiserats inom ramen för gemensamma projekt samt i samband med delegationen för elektronisk informationsförvaltning inom social- och hälsovården. Riksarkivet har gett anvisningar och föreskrifter på grundval av arkivlagen och lagen om elektronisk kommunikation i myndigheternas verksamhet, men det har förekommit problem i samband med utfärdandet av föreskrifter, med avseende på bestämmelsen om delegering av lagstiftningsbehörighet i grundlagens 80 § 2 mom. Bestämmelserna har också inneburit krav bland annat när det gäller iakttagandet av förordningen om offentlighet i myndigheternas verksamhet och god informationshantering i kommunerna, trots att inte heller statsrådets förordningsbehörighet enligt offentlighetslagen ger någon möjlighet att genom förordning reglera dessa frågor i kommunerna. Informationsstyrningen är såtillvida splittrad att en övergripande utveckling av informationshanteringen inte i arbetsgrupper och delegationer har kunnat genomföras på ett i förhållande till förändringarna i verksamhetsmiljön tillräckligt effektivt och ansvarsfullt sätt. Man har försökt organisera informationsstyrningen i fråga om informationsförvaltningen och dokumentförvaltningen i enlighet med de JHS-rekommendationer som utfärdats av delegationen för informationsförvaltningen inom den offentliga förvaltningen. En del av rekommendationerna har blivit allmän praxis inom dessa områden. 
Informationshanteringen är baserad på ett mångsektoriellt samarbete mellan sakkunniga och flera myndigheter inom informationsförvaltningsenheterna, vilket innebär att utvecklingen av informationshanteringen och informationsstyrningen borde organiseras som ett organ med mångsektoriell kompetens. Det finns inget kontinuerligt behov av mångsektoriell kompetens, utan sådan behövs i samband med att beslut bereds och fattas. Det finns således ingen anledning att säkerställa till exempel mångsektoriell kompetens som baseras på permanent tilläggsresursering, utan modellen med en nämnd kan i stället fungera som ett ändamålsenligt sätt att beakta olika synpunkter och grundläggande rättigheter, exempelvis offentlighetsprincipen, rättsskyddet och andra garantier för en god förvaltning inom informationshanteringen. Nämndernas uppgift är i allmänhet att inom sitt eget verksamhetsområde styra, främja och övervaka verksamheten, medan syftet med delegationer i allmänhet är att permanent bereda ärenden i samarbete mellan olika referensgrupper eller i övrigt utveckla verksamheten inom området. De föreslagna uppgifterna i anslutning till styrningen av informationshanteringen ankommer i allmänhet på en nämnd.  
Det har inte gjorts någon systematisk bedömning av hur de lagstadgade kraven inom informationshanteringen har genomförts och bedömningen har inte kunnat göras i form av en tydlig styrning. Att det förekommer problem inom informationshanteringen framgår emellertid av de högsta laglighetsövervakarnas avgöranden i klagomålsärenden, där myndigheterna uppmärksamgörs på vikten av att iaktta de krav som föreskrivs i offentlighetslagens 18 § bland annat då information inte har lämnats ut på grund av att personalen inte känt till procedurbestämmelserna om tillgång till information eller då handlingar inte har registrerats på ett korrekt sätt (se till exempel OKV/1553/1/2014, 28.10.2015; OKV/1225/1/2012, 5.11.2014; OKV/1156/1/2013, 13.10.2014; OKV/1138/1/2013, 13.10.2014; OKV/1640/1/2012 och OKV/1645/1/2013, 19.8.2014; EOAK/6253/2017, 5.7.2018; EOAK/4311/2017, 7.12.2017; EOAK/1473/2016, 18.9.2017). För koordinering av informationshanteringsförfarandena, förverkligande av offentlighetsprincipen samt med tanke på verkställigheten och iakttagandet av bestämmelserna om informationshantering föreslås att det i lagen tas i bestämmelser om informationshanteringsnämnden för den offentliga förvaltningen.  
Enligt lagens 10 § 1 mom. ska i anslutning till finansministeriet inrättas en informationshanteringsnämnd för den offentliga förvaltningen (informationshanteringsnämnden) med uppgift att bedöma hur statliga ämbetsverk och inrättningar, kommuner, samkommuner samt landskap genomför och iakttar 4 § 3 mom., 5, 19 och 22—24 § samt 6 kap. Bedömningen behövs eftersom bestämmelserna om dem kommer att främja genomförandet av informationsrättigheterna och kraven på en god förvaltning. Bedömningen behövs också med tanke på förverkligandet av de grundläggande rättigheterna inom informationshanteringen. De klagomål som kommer in till de högsta laglighetsövervakarna indikerar att det relativt allmänt förekommer brister i myndigheternas informationshantering. Bristerna kommer till synes som problem när det gäller genomförandet av informationsrättigheterna samt, på grund av brister i informationssystemen, i tjänsternas tillgänglighet. Bedömningen av förfarandena inom informationshanteringen främjar dels säkerställandet av att de i lagen angivna förpliktelserna verkställs, men gör det möjligt att bilda sig en uppfattning om hur informationshanteringslagen fungerar i praktiken samt hur informationshanteringsförfarandena kan utvecklas inom ramen för den gällande lagstiftningen. Bedömningsuppgiften ska således inte ses enbart som en form av övervakning utan den ska också utveckla och styra informationshanteringen.  
I informationshanteringsnämnden integreras synpunkterna i anslutning till informationshanteringen som ett samarbete mellan sakkunniga, vilket innebär att de synpunkter som inverkar på informationens livscykel blir mera heltäckande beaktade. Eftersom livscykelns olika delområden ställer varierande krav på informationshanteringen är det motiverat att styrningen och utvecklingen av dem genomförs hos en myndighet som formellt är en organisation.  
Enligt momentets 1 punkt innebär bedömningsuppgiften att informationshanteringsnämnden ska säkerställa att informationshanteringsförfarandena genomförs hos myndigheterna och att administrativ handledning kan ges vid tolkningsproblem. Avsikten med bedömningsförfarandet är att samla in information om hur informationshanteringsförfarandena fungerar men också att säkerställa att centrala lagstadgade förfaranden i anslutning till informationshanteringen iakttas. Till bedömningsuppgifterna hör inte att övervaka iakttagandet av rekommendationer, eftersom rekommendationer är en form av informationsstyrning som inte innehåller förpliktande element. Med hjälp av bedömningsuppgiften kan informationshanteringsnämnden också framföra tolkningar som gäller tillämpningen av sådana bestämmelser i informationshanteringslagen som är föremål för bedömning. Tillämpningen styr för sin del koordineringen av informationshanteringsförfarandena. I den föreslagna lagens 11 § föreskrivs närmare om genomförandet av bedömningsuppgiften. Bedömningsuppgiften hänför sig till statliga ämbetsverks och inrättningars informationshantering samt till kommunernas, samkommunernas och landskapens informationshantering till den del som den gäller skötsel av lagstadgade uppgifter. Denna begränsning av tillämpningsområdet konstateras i 3 § där det föreskrivs om tillämpningsområdet. Behörigheten när det gäller bedömningsuppgiften begränsas också i övrigt i 3 § där det föreskrivs om begränsningar som gäller tillämpningen av 3 kap. Bedömningsuppgiften sträcker sig således inte till andra informationshanteringsenheter inom lagens tillämpningsområde eller till myndigheterna inom dem, utan bedömningen avser centrala organisationer som genomför informationshantering. I informationshanteringsnämndens bedömningsbehörighet ingår inte bedömning av hur informationssäkerhetsbestämmelserna genomförs. Sådana bestämmelser ingår i lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation. Till bedömningsbehörigheten hör inte heller ärenden som enligt den allmänna dataskyddsförordningen och dataskyddslagen hör till tillsynsmyndighetens uppgifter. 
Enligt momentets 2 punkt ska informationshanteringsnämndens också främja förfarandena och en god praxis samt genomföra kraven när det gäller informationshanteringen och informationssäkerheten. Konkret betyder detta att skötseln av en uppgift kan innebära bland annat förfaranden som myndigheternas sakkunniga i samarbete utvecklar för informationshanteringen och på grundval av vilka nämnden som ett resultat av att uppgiften skötts kan ge rekommendationer om uppfyllandet av de krav som föreskrivs i informationshanteringslagen. Rekommendationerna är inte förpliktande utan informationshanteringsenheterna ska genom att handla i enlighet med dem fullgöra förpliktelser som har samband med informationshanteringen i enlighet med en god praxis. Informationshanteringsenheterna ska således besluta i vilka avseenden de följer informationshanteringsnämndens rekommendationer, men de kan också avvika från dem förutsatt att de lagstadgade kraven i fråga om informationshanteringen uppfylls. Informationshanteringsnämnden styr således inte informationshanteringsenheternas verksamhet utan stödjer fullgörandet av deras förpliktelser i anslutning till informationshanteringen genom att i mångsektoriellt samarbete med sektioner bestående av sakkunniga organisera projekt i syfte att utveckla informationshanteringsförfarandena. Jämfört med nuläget ska informationshanteringsnämnden sammanjämka olika intressen i syfte att genomföra informationshanteringen. 
Jämfört med nuläget ska informationsstyrningen i form av rekommendationer, som tidigare skett via delegationen för informationsförvaltning inom den offentliga förvaltningen, överföras till informationshanteringsnämnden. JHS-rekommendationerna har gällt både informationsförvaltning och dokumentförvaltning, vilket innebär att situationen till denna del inte kommer att förändras väsentligt. Det nya arrangemanget kommer att ytterligare understryka betydelsen av samarbetet mellan informationsförvaltningen och dokumentförvaltningen samt sammanjämkningen av deras intressen i syfte att genomföra informationshanteringen. Informationshanteringsnämnden kan också ta ställning till viktiga frågor i anslutning till informationshanteringen samt på andra sätt främja informationshanteringens förfaranden. Lagen fastställer således inte en viss form för uppgifterna att främja informationshanteringens förfaranden och krav, utan nämnden kan ta ställning till ändamålsenliga sätt att genomföra sin uppgift. Till informationshanteringen hör också arkiveringen, som emellertid inte föreslås bli reglerad i denna lag. Den ska regleras i ett annat sammanhang. Det finns inget hinder för att informationsstyrningen i anslutning till aktiveringen, när det gäller arkivverkets uppgifter samt genomförandet av informationsskyddet, ska göras i samband med nämndens verksamhet i samarbete med arkivmyndigheten och den myndighet som övervakar informationsskyddet, utan detta hör till samarbetet mellan de myndigheter som främjar genomförandet av en god förvaltning. Det finns inget behov att föreskriva om samarbetet i en särskild lag. Enligt förvaltningslagens 10 § 1 mom. ska varje myndighet inom ramen för sin behörighet och i den omfattning ärendet kräver på andra myndigheters begäran bistå dessa i skötseln av en förvaltningsuppgift, och även i övrigt sträva efter att främja samarbetet mellan myndigheterna. Förvaltningslagens målsättning när det gäller samarbetet mellan myndigheterna räcker för samordning av informationsstyrningens intressen i anslutning till olika myndigheters informationshantering. Syftet med de förfaranden som utvecklas i samband med informationshanteringsnämndens verksamhet är att förenhetliga informationshanteringens förfaranden och föreslå en god praxis för genomförande av informationshanteringens skyldigheter.  
I paragrafens 2 mom. föreskrivs hur nämnden ska utses och om dess sammansättning samt om behörighetskraven. Enligt förslaget utser statsrådet informationshanteringsnämnden för fyra år i sänder på föredragning från finansministeriet. Nämnden ska ha en ordförande, en vice ordförande samt ledamöter med sakkunskap när det gäller den offentliga förvaltningens informationssäkerhet, interoperabiliteten mellan informationssystem och informationslager, statistik eller hanteringen av informationsmaterial. Nämndens medlemmar ska företräda sakkunskap i fråga om staten, kommunerna, samkommunerna och landskapen. Genom förordning föreskrivs närmare om nämndens medlemsantal och sammansättning samt om medlemmarnas behörighet. På förordningsnivå ska föreskrivas vilken typ av sakkunskap som ska vara företrädd i nämnden, likväl med beaktande av vilken sakkunskap nämnden ska ha enligt den föreslagna bestämmelsen. I förordningen ska således beaktas att den sakkunskap ska vara företrädd i nämnden som avses i lagen och att det då nämnden utses säkerställs att nämnden har tillräcklig sakkunskap. I momentet ingår också ett förordningsbemyndigande där det närmare anges vad som ska föreskrivas i förordningen. Genom förordningen kan föreskrivas närmare om sammansättningen, organiseringen, beslutsförfarandet och behörighetskraven. I förordningen kan föreskrivas om organisering av verksamheten till den del som det är fråga om ledningen av organet, ordförandens och vice ordförandens uppgifter, organiseringen av nämndens arbete, sammankallande av nämnden och rapportering. På nämndens verksamhet ska tillämpas den allmänna förvaltningslagen, vilket innebär att förvaltningslagens bestämmelser är direkt tillämpliga på nämndens verksamhet. Genom förordning föreskrivs om beslutsförfarandet, dvs. hur nämnden ska besluta om olika ställningstaganden, rekommendationer, bedömningar och slutsatser i fråga om dem. Behörighetskraven innebär att mångsektoriell sakkunskap säkerställs i nämndens verksamhet. 
Enligt paragrafens 3 mom. utser finansministeriet för nämnden bland sina tjänstemän sekreterare i bisyssla för nämndens mandatperiod. Genom förordning av statsrådet ska föreskrivas närmare om sekreterarnas uppgifter. I lagen föreskrivs inte om uppgiftsfördelningen mellan sekreterarna eller om antalet sekreterare, utan dessa frågor ska regleras på förordningsnivå. Finansministeriet får också prövningsrätt i fråga om antalet sekreterare i nämnden. Detta beror i sin tur på antalet ärenden som är anhängiga i nämnden.  
Eftersom nämnden kommer att vara en myndighet föreskrivs i 4 mom. om de ansvar som följer av detta. På nämndens medlemmar och ersättare tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de utför uppgifter som hör till nämnden. Med straffrättsligt tjänsteansvar avses här att nämndens medlemmar och ersättare jämställs med tjänstemän. I skadeståndslagen (412/1974) föreskrivs om skadeståndsansvar. Till nämndens medlemmar och ersättare betalas arvode för skötseln av uppgifterna. Finansministeriet fastställer arvodesbeloppen, eftersom de kostnader som nämnden orsakar ska täckas av finansministeriets anslag. Nämndens utgifter ska täckas med befintliga anslag som har reserverats för utarbetande av de rekommendationer som ges av delegationen för informationsförvaltningen inom den offentliga förvaltningen samt delvis för utarbetande av anvisningar för informationssäkerheten inom statsförvaltningen. I momentet föreskrivs inte om sekreterarnas tjänsteansvar, eftersom de kommer att vara tjänstemän vid finansministeriet och således på grundval av sin ställning också annars ha tjänsteansvar. 
I paragrafens 5 mom. föreslås bestämmelser om organiseringen i anslutning till utvecklandet och upprätthållandet av rekommendationer gällande informationshanteringen inom den offentliga förvaltningen. Enligt momentet kan informationshanteringsnämnden tillsätta tillfälliga sektioner för utarbetande och upprätthållande av rekommendationer. Till sektionerna kan höra sakkunniga vid informationshanteringsenheter, dvs. sakkunniga vid informationshanteringsenheter inom riksdagen, staten, kommuner, samkommuner, landskap, självständiga offentligrättsliga inrättningar, universitet och yrkeshögskolor samt vid andra informationshanteringsenheter som avses i denna lag. I lagen föreskrivs om de organisationer som kan vara företrädda vid nämndens sektioner i enlighet med hur respektive sektions uppgift har definierats. I sektionerna kan alltså också finnas sådana företrädare för organisationer som inte i sig omfattas av nämndens behörighet. Med bestämmelsen framhävs det faktum att nämndens uppgift när det gäller att förenhetliga tillvägagångssätten i fråga om informationshantering till sitt syfte gäller hela den offentliga förvaltningen, varför en bred sakkännedom i sektionerna är behövlig. Nämndens sekreterare ska enligt förslaget vara ordförande i sektionerna, eftersom sekreterarna föredrar sektionernas förslag för nämnden. För sektionernas medlemmar har inte uppställts några behörighetsvillkor och på sektionernas verksamhet ska inte tillämpas bestämmelserna om tjänsteansvar, eftersom rekommendationerna ska vara ett sätt att styra förenhetligandet av förfarandena inom informationshanteringen och inte vara bindande. Sektionerna ska inte heller besluta om rekommendationerna. Sektionerna ska biträda nämnden vid utarbetandet av rekommendationer. Befolkningsregistercentralen har i uppgift att producera sakkunnigtjänster för nämnden när det gäller utvecklandet av tillvägagångssätt i fråga om informationshantering och informationssäkerhet. Utarbetandet och upprätthållandet av rekommendationerna för informationshanteringen inom den offentliga förvaltningen samt upprätthållandet av de informationssäkerhetsanvisningar som utarbetats av ledningsgruppen för digital säkerhet inom den offentliga förvaltningen (VAHTI) har organiserats i anslutning till Befolkningsregistercentralens verksamhet. De nuvarande uppgifterna ska således kvarstå hos Befolkningsregistercentralen, enligt vad som föreskrivs i statsrådets förordning om Befolkningsregistercentralens uppgifter. Befolkningsregistercentralen ska producera sakkunnigtjänster bland annat för upprättande och offentliggörande av rekommendationer, anvisningar och ställningstaganden, liksom den också tidigare uppdaterat JHS-rekommendationer. 
11 §.Informationshanteringsnämndens bedömningsuppgift. I paragrafens 1 mom. föreskrivs vad bedömningsuppgiften baserar sig på. Enligt momentet ska genomförandet av bedömningar basera sig på en bedömningsplan som godkänts av informationshanteringsnämnden. Bestämmelsen innebär att bedömningarna genomförs i enlighet med en bedömningsplan som nämnden godkänt, vilket innebär att bedömningarna ingår i den planerade verksamhet som nämnden godkänt. En bedömningsplan innebär att nämndens sekreterare ges i uppdrag att verkställa en bedömning enligt bedömningsplanen. Nämnden kan godkänna en bedömningsplan för ett eller två år eller för hela sin mandatperiod. Nämnden kan också ändra bedömningsplanen under en pågående bedömningsperiod. Avsikten med bestämmelsen är att ange hur nämnden ska genomföra sin bedömningsuppgift. Informationshanteringsnämnden ska således inte göra bedömningar på uppdragsbasis eller på grundval av förfrågningar utan den ska självständigt besluta vad som ska bedömas och i vilka avseenden.  
I paragrafens 2 mom. föreskrivs om informationshanteringsnämndens rätt till information i anslutning till bedömningsuppgiften. Informationsrätten sammanhänger med nämndens skötsel av bedömningsuppgifter och rätten att få information gäller således nödvändiga utredningar och behövlig information som har samband med bedömningsuppgifter av det slag som avses i denna lag. Informationshanteringsnämnden har ingen generell behörighet när det gäller ärenden i anslutning till informationshanteringen. Bestämmelser om sådana ärenden finns i speciallagstiftning. Bedömningen gäller således genomförande av vissa förfaranden som föreskrivs i informationshanteringslagen. I bestämmelsen föreskrivs att informationshanteringsnämnden trots sekretessbestämmelserna har rätt att för skötsel av en bedömningsuppgift, från de myndigheter som är föremål för bedömning kostnadsfritt få för uppgiften nödvändig information om informationshanteringsmodellen, bedömningen av förändringar i informationshanteringen, om den beskrivning som avses i 28 §, om de informationshanteringsförfaranden som används för ärendehanteringen och tjänsterna, om teknologin för omvandling av handlingar till elektroniskt format, om upprättande av en förbindelse för åtkomst till uppgifter och om beskrivningar av tekniska gränssnitt, om användning och administrering av tekniska gränssnitt samt om förfarandena för användning av gränssnitt, med undantag av säkerhetsklassificerade handlingar. Nämnden har således rätt att få utredningar om ärenden som hör till en bedömningsuppgift samt rätt att få i lagen angiven tillräcklig information för genomförande av bedömningsuppgiften. Myndigheten ska inom utsatt tid tillställa informationshanteringsnämnden begärd information. Nämnden kan således sätta ut en tidsfrist för informationen. Rätten att få information trots sekretessbestämmelserna baserar sig på informationshanteringsnämndens uppgift varmed det säkerställs att vissa av informationshanteringslagens bestämmelser genomförs i myndigheternas verksamhet så att de krav som offentlighetsprincipen och en god förvaltning innebär kan säkerställas inom informationshanteringen. Nämnden har inga inspektionsrättigheter utan den har rätt att av myndigheter få utredningar i syfte att genomföra informationshanteringen. Nämndens verksamhet i dessa avseenden är inte laglighetsövervakning eller ändringssökande i egentlig mening. De högsta laglighetsövervakarna ombesörjer inom ramen för sina existerande befogenheter i övrigt laglighetsövervakningen i anslutning till informationshanteringen, bland annat i samband med behandlingen av klagomålsärenden. Dataombudsmannen verkar för sin del som tillsynsmyndighet i fråga om personuppgifter.  
I paragrafens 3 mom. föreskrivs om informationshanteringsnämndens behörighet att i anslutning till bedömningsuppgiften uppmärksamgöra en myndighet som är föremål för bedömning på konstaterade brister i fråga om iakttagandet av informationshanteringslagen. Bedömningen innebär således vid behov administrativ styrning. Enligt bestämmelsen kan informationshanteringsnämnden, om den konstaterar brister i fråga om iakttagandet av de bestämmelser som i enlighet med 10 § 1 mom. 1 punkten är föremål för bedömning, uppmärksamgöra informationshanteringsenheten på genomförandet av de till informationshanteringen anslutna förfarandena om uppfyllandet av kraven enligt denna lag. Syftet med bestämmelsen är att nämnden för att rätta till i anslutning till bedömningen gjorda iakttagelser om missförhållanden när det gäller iakttagandet av bestämmelserna ska kunna uppmärksamgöra myndigheter som är föremål för bedömning på verksamheten, så att eventuella brister hos myndigheterna kan avhjälpas på basis av informationshanteringsnämndens iakttagelser. Informationshanteringsnämnden kan inte administrativt eller på något sätt tvinga myndigheter att handla i enlighet med nämndens styrning, utan påpekandet i samband med bedömningen ska fungera som en informativ styrning vilket innebär att myndigheten ska justera sina förfaranden i överensstämmelse med de lagstadgade kraven. Det sätt på vilket myndigheten genomför de lagstadgade kraven blir beroende av myndighetens prövning, men i samband med påpekandet kan nämnden också anvisa hur myndigheten åtminstone kan genomföra de lagstadgade kraven eller genomföra sitt förfarande i enlighet med lagen.  
Enligt paragrafens 4 mom. ska informationshanteringsnämnden vartannat år utarbeta en berättelse över bedömningsresultaten och överlämna den till finansministeriet. Syftet med denna rapport är att sammanställa informationshanteringsnämndens iakttagelser och slutsatser i fråga om den offentliga förvaltningens informationshantering, till den del som den har samband med nämndens bedömningsuppgift. Det är ändamålsenligt att vartannat år utarbeta en berättelse för att nämnden ska få tillräckligt med material för berättelsen. I praktiken kommer nämnden att under sin mandatperiod utarbeta två berättelser. Finansministeriet ska få uppgifter om berättelsen bland annat för utveckling av lagberedningen samt till stöd för de övriga uppgifter som föreskrivs i denna lag. 
4 kap. Informationssäkerhet
12 §. Identifiering av uppgifter som förutsätter tillförlitlighet och säkerställande av tillförlitligheten. I denna paragraf föreskrivs om grunderna för genomförande av personalsäkerheten i anslutning till hantering av informationsmaterial. Enligt paragrafens första mening åläggs informationshanteringsenheter att vidta nödvändiga åtgärder för att säkerställa de anställdas och för enhetens räkning verksamma personers tillförlitlighet. Samma krav gäller också situationer där informationsmaterial hanteras för en myndighets räkning i något annat sammanhang än till exempel för tjänsteproduktion. Syftet med bestämmelsen är att säkerställa att informationshanteringsenheterna och de myndigheter som är verksamma inom dem bedömer de i informationshanteringen deltagande personernas arbetsuppgifter samt den tillförlitlighet som uppgifterna förutsätter. Syftet med bestämmelsen är inte att ålägga myndigheterna att göra tillförlitlighetsbedömningar, utan de ska bedöma uppgifter som innebär behandling av informationsmaterial som det med tanke på informationssäkerheten är skäl att behandla separat för att säkerställa en persons tillförlitlighet. Det föreskrivs särskilt om på vilken grund en informationshanteringsenhet och myndigheterna som är verksamma inom dem kan låta göra personbedömningar eller säkerhetsutredningar. Av denna anledning hänvisas i paragrafen till andra författningar enligt vilka det är möjligt att i vissa situationer göra säkerhetsutredningar och personbedömningar. Bedömningen av anställdas och tjänsteproducenters tillförlitlighet regleras i övrigt i säkerhetsutredningslagen (726/2014) samt, när det gäller annan bedömning av arbetstagare och arbetssökande, i lagen om integritetsskydd i arbetslivet (759/2004). I paragrafens andra mening hänvisas det till dessa författningar. De är informativa till sin karaktär men är viktiga för hela den reglering som avser personalsäkerheten i anslutning till hanteringen av informationsmaterial och grunderna för den. Bestämmelsen skapar inga nya skyldigheter när det gäller att göra personbedömningar. I stället ska informationshanteringsenheterna identifiera uppgifter vilkas genomförande förutsätter särskild tillförlitlighet i fråga om behandlingen av informationsmaterial. 
13 §.Informationssäkerheten i fråga om informationsmaterial och informationssystem. I denna paragraf föreslås bestämmelser om säkerheten i fråga om informationsmaterial och informationssystem. Paragrafens 1 mom. gäller en informationshanteringsenhets och inom den verksamma myndigheters skyldigheter när det gäller organisering av informationssäkerheten för informationsmaterial och informationssystem. Enligt den första meningen i paragrafens 1 mom. ska en informationshanteringsenhet för informationsmaterial och informationssystem följa upp och säkerställa informationssäkerhetens tillstånd under deras hela livscykel, genom att identifiera de relevanta risker som är förenade med databehandlingen av informationsmaterial och informationssystem för hantering av materialet. Informationsförvaltningsenheten ska dimensionera informationssäkerhetsåtgärderna utifrån riskbedömningen. Informationshanteringsenheterna ska med stöd av bestämmelsen regelbundet bedöma de risker som är förenade med informationsmaterial och informationssystem under dessas hela livscykel. Bestämmelsen gäller sålunda bedömningen av de risker som är förenade med informationsmaterials och informationssystems livscykel från det att informationsmaterialen skapats till dess att de förstörs och likaså de risker som är förenade med anskaffning av datasystem ända tills de tas ur bruk och förstörs. Riskbedömningen ska identifiera sådana relevanta risker som kan påverka informationsmaterialens konfidentialitet, integritet och tillgänglighet eller användningen av datasystemen och deras feltolerans. Med relevanta risker avses risker som kan påverka en myndighets eller en förvaltningskunds verksamhet på ett menligt eller skadligt sätt. En informationshanteringsenhet bör på basis av riskbedömningen dimensionera informationssäkerhetsåtgärderna. Bestämmelsen utgör sålunda en helhet till vilken hör riskbedömning, planering av informationssäkerhetsåtgärder på basis av identifierade risker samt genomförande av informationssäkerhetsåtgärder. Riskbedömningen är inte en åtgärd av engångskaraktär utan den är en kontinuerlig verksamhet som bland annat innebär utvärdering av planer samt effekten av genomförda informationssäkerhetsåtgärder.  
I paragrafens 2 mom. föreskrivs dessutom särskilt om specialkraven i anslutning till förverkligandet av informationssäkerheten. Informationssystemens feltolerans ska regelbundet säkerställas genom testning, i syfte att säkerställa verksamhetens kontinuitet och uppdatera informationssäkerhetsåtgärderna. Med relevanta informationssystem avses kritiska system med tanke på genomförandet av en myndighets lagstadgade uppgifter, i synnerhet i samband med produktion av tjänster för förvaltningskunder. Testningen ska således inte gälla system som används för stödfunktioner eller andra ibrukvarande system som inte har någon större betydelse för skötseln av myndighetsuppgifter. Myndigheternas informationssystems funktionella användbarhet ska enligt momentet likaså säkerställas genom testning, både i det skede då de anskaffas och i samband med betydande underhållsåtgärder. Med funktionell användbarhet avses att det från systemanvändarnas synpunkt säkerställs att man enkelt kan lära sig använda systemet och att funktionslogiken är lätt att komma ihåg, att informationssystemets funktion stödjer de arbetsuppgifter som användaren ska utföra med hjälp av systemet och att systemets feltolerans främjas. Informationssystemets funktionella användbarhet utgör en del av säkerhetsåtgärderna eftersom systemfunktioner som är svåra att lära sig och komma ihåg och som har en besvärlig funktionslogik kan leda till att systemet används på fel sätt, så att informationssäkerheten äventyras. Informationssystemens funktionella användbarhet effektiviserar myndigheternas verksamhet och har också samband med kravet att myndigheterna enligt grundlagens 21 § ska handla utan ogrundat dröjsmål.  
Syftet med paragrafens 3 mom. är att främja tillgången på information från myndigheternas informationssystem och informationsmaterial. Kraven avser de myndigheter som i praktiken svarar för informationsmaterialens tillgänglighet. Genom bestämmelsen främjas genomförandet av en god offentlighets- och sekretesstruktur i myndigheternas informationssystem och i de databaser som bildas av informationsmaterialen. Enligt 3 mom. ska myndigheterna planera informationssystemen, strukturerna för informationslager och databehandlingen i samband med dem på ett sådant sätt att handlingsoffentligheten mödolöst kan tillgodoses. Genom bestämmelsen understryks det att informationen i en myndighets system med hjälp av informationssystemets sökfunktioner ska kunna omvandlas till myndighetsdokument. I informationssystemen och informationslagren ska ingå tillräckliga metadata för att det ska vara möjligt att med hjälp av dem enkelt i varje dokument särskilja offentliga respektive sekretessbelagda uppgifter. Syftet med bestämmelsen är att säkerställa tillgången på information i syfte att förverkliga offentlighetsprincipen, sköta myndigheternas uppgifter samt trygga sekretessintresset i fråga om sekretessbelagd information. Denna skyldighet är inte ny utan den har ingått i offentlighetslagens 18 § 1 mom. 4 punkten. 
Enligt paragrafens 4 mom. ska myndigheterna i samband med sina upphandlingar säkerställa att det informationssystem som upphandlas innefattar lämpliga informationssäkerhetsåtgärder. Offentliga upphandlingar ska enligt upphandlingslagstiftningen genomföras av upphandlingsenheter, dvs. i praktiken av myndigheter som ingår i informationshanteringsenheter. Syftet med bestämmelsen är att understryka att man i samband med upphandling av informationssystem ska planera och säkerställ ändamålsenliga informationssäkerhetsåtgärder. Då myndigheternas informationsbehandling koncentreras till informationssystem är det skäl att i samband med anskaffningar säkerställa att de informationssystem som anskaffas uppfyller informationssäkerhetskraven i enlighet med de informationsmaterial som ska behandlas och att informationssystemen kan användas för att på ett resultatgivande och effektivt sätt sköta myndighetsuppgifter. 
Paragrafens 5 mom. är en informativ hänvisning till lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011, bedömningslagen) och i samband med den till lagen om bedömningsorgan för informationssäkerhet (1405/2011). I de författningarna föreskrivs hur informationssäkerheten när det gäller myndigheternas informationssystem och datakommunikationssystem ska bedömas i vissa situationer. Paragrafens 5 mom. behövs för att planeringen av informationssystemens informationssäkerhet och signeringen av utvärderingen av planeringen ska bilda en tydlig helhet. I informationshanteringsnämndens bedömningsuppgift ingår inte bedömningsuppgifter i samband med genomförande av informationssäkerhet enligt detta kapitel, utan sådana uppgifter hör till den myndighet som avses i bedömningslagen. Å andra sidan övervakar dataombudsmannen och dataombudsmannens byrå, som verkar som tillsynsmyndighet i fråga om dataskydd, informationssäkerheten när det gäller personuppgifter. En sådan tillsyn och bedömning täcker således till betydande delar in också de till informationshanteringen anslutna behoven i fråga om säkerställandet av att informationssäkerhetsåtgärder genomförs inom den offentliga förvaltningen. Också informationshanteringsenheterna är skyldiga att med stöd av 4 § i denna lag övervaka genomförandet av informationssäkerhetsåtgärder. 
14 §.Informationsöverföring i datanät. I denna paragraf föreskrivs om de grunder på vilka en myndighet kan överföra sekretessbelagd information i ett datanät. Enligt paragrafens 1 mom. första meningen ska myndigheterna överföra information elektroniskt i ett krypterat eller annat skyddat format, om informationen är sekretessbelagd. Enligt bestämmelsen har en myndighet prövningsrätt i fråga om överföringsmetoden för sekretessbelagd information i datanät. Överföringen kan skyddas till exempel genom kryptering eller också kan informationen överföras i ett allmänt datanät med en oskyddad förbindelse, om den kan överföras i ett krypterat format och avkrypteras endast med en särskild PIN-kod eller ett annat lösenord. I paragrafens andra mening nämns en ytterligare förutsättning för överföring av sekretessbelagd information i ett datanät. Enligt bestämmelsen ska överföringen ordnas så att mottagaren verifieras eller identifieras på ett tillräckligt datasäkert sätt innan mottagaren kommer åt att hantera överförd sekretessbelagd information. Om överföringen mellan informationssystem sker i ett datanät ska det mottagande informationssystemet verifieras till exempel med ett elektroniskt certifikat. Om mottagaren av sekretessbelagd information eller personuppgifter däremot är en fysisk person ska denna identifieras med någon tillförlitlig metod, exempelvis genom stark autentisering. Bestämmelsen ska i fråga om identifiering tillämpas närmast i samband med informationsutbyte mellan myndigheter, eftersom identifieringskraven när det gäller digitala tjänster som erbjuds allmänheten regleras separat i en lag om tillhandahållande av digitala tjänster. Lagförslaget ingår i en regeringsproposition (RP 60/2018 rd) som riksdagen behandlar samtidigt som denna proposition. 
Av de skäl som nämns ovan ingår i paragrafens 2 mom. också en informativ hänvisning till den föreslagna lagen om tillhandahållande av digitala tjänster, där det föreskrivs om underlag för identifiering av användare av digitala tjänster som erbjuds allmänheten. Informationshanteringslagen ska vara en allmän lag i förhållande till den föreslagna lagen om tillhandahållande av digitala tjänster, där det framför allt föreskrivs om vissa förfaranden och krav i anslutning till utnyttjande av digitala tjänster, då sådana tjänster tillhandahålls allmänheten. Informationshanteringslagens bestämmelse om identifiering eller verifiering gäller således bland annat elektroniska överföringsförfaranden som används vid kommunikation mellan myndigheter, exempelvis e-post, eller sådan kommunikation mellan myndigheters informationssystem som sker via gränssnitt. När det är fråga om digitala tjänster som erbjuds allmänheten ska på identifieringen tillämpas de bestämmelser om elektronisk identifiering som ingår i den föreslagna lagen om tillhandahållande av digitala tjänster. Däremot ska kraven som gäller informationsöverföring i datanät och därtill anslutna krypterings- eller skyddskrav, enligt vad som föreskrivs i informationshanteringslagen, tillämpas också på erbjudande av digitala tjänster till allmänheten. Den informativa hänvisningsbestämmelsen behövs således för att förtydliga förhållandena mellan lagarna så att identifierings- eller verifieringskravet uppfylls. 
15 §.Tryggande av säkerheten i fråga om informationsmaterial. I denna paragraf föreskrivs om tryggande av säkerheten i fråga om informationsmaterial. Säkerhetskraven ställs på myndigheter eftersom det är de som hanterar och utövar beslutanderätten i fråga om sina informationsmaterial. En informationshanteringsenhet ska emellertid ordna de i en enhet ingående myndigheternas verksamhet på ett sådant sätt att hanteringen av informationsmaterial stämmer överens med bestämmelserna. I paragrafen finns en förteckning över de informationssäkerhetsåtgärder med vilka informationssäkerheten i fråga om informationsmaterial säkerställs i alla informationshanteringsenheter och de myndigheter som ingår i dem. Bestämmelserna gäller myndigheternas samtliga informationsmaterial. Paragrafens 1 mom. är en förteckning över obligatoriska krav som gäller genomförandet av informationssäkerhetsåtgärder. Enligt momentets 1 punkt ska en myndighet säkerställa att informationsmaterialen är oföränderliga, till den del som detta är relevant. Säkerställandet av informationsmaterialets oföränderliga form är beroende av informationsmaterialets karaktär. Formen ska säkerställas i fråga om informationsmaterial som behandlar individers och sammanslutningars intressen, rättigheter och skyldigheter, för att de i informationsmaterialen ingående handlingarnas och övriga uppgifternas autenticitet och ursprung i efterhand ska kunna verifieras eller eventuella ändringar upptäckas. Bestämmelsen ger myndigheten prövningsmöjlighet när det gäller att säkerställa den oföränderliga formen och därför uppställs i bestämmelsen kravet att informationsmaterialens oföränderliga form ska säkerställas tillräckligt väl. Därmed avses att man i anslutning till informationsmaterialets karaktär överväger eventuella säkerhetsåtgärder. I fråga om vissa informationsmaterial är deras oföränderliga form viktig med tanke på bevisvärdet. Enligt momentets 2 punkt ska informationsmaterialen skyddas mot tekniska och fysiska skador. Detta krav gäller bland annat förvaringsutrymmen för informationssystem och tjänster i anslutning till dem samt platser där informationsmaterial i pappersform förvaras. I momentets 3 punkt ställs krav på informationsmaterialens ursprung, uppdatering och felfrihet. Dessa krav är viktiga för att säkerställa myndighetsverksamhetens behörighet samt för att förverkliga och säkerställa rättssäkerheten för de anställda och förvaltningskunderna. Det har i samband med laglighetsövervakningen som en självklar utgångspunkt konstaterats att handlingar som upprättats av en myndighet och dataregister som upprätthålls av en myndighet ska vara korrekta, felfria och uppdaterade (AOKS OKV/1242/1/2013, 28.4.2014). Enligt momentets 4 punkt ska också informationsmaterialens tillgänglighet och användbarhet säkerställas. Myndigheternas verksamhet är informationsintensiv och beroende av de material som finns i informationslagren. Med tanke på en behörig myndighetsverksamhet ska det säkerställas att informationen finns tillgänglig i en användbar form. Enligt momentets 5 punkt ska informationsmaterialens tillgänglighet vid behov begränsas. I praktiken begränsas tillgängligheten genom användarlicenser och beroende på vilken typ av informationsmaterial som ska hanteras. I fråga om offentliga informationsmaterial begränsas tillgängligheten inte, medan det i fråga om personuppgifter och i synnerhet när det gäller sekretessbelagd information måste vidtas åtgärder för att säkerställa att informationshanteringen sker på ett behörigt sätt. I momentets 6 punkt föreskrivs om kravet att se till att informationsmaterialen kan arkiveras till behövliga delar.  
I den föreslagna paragrafens 2 mom. föreskrivs om grunderna för säkerheten i fråga om verksamhetslokalerna. Enligt bestämmelsen ska informationsmaterial hanteras och förvaras i verksamhetslokaler som är tillräckligt säkra med tanke på de krav som ställs på materialets konfidentialitet, integritet och tillgänglighet. Genom bestämmelsen understryks den omständigheten att det i fråga om de lokaler som används för förvaring av informationsmaterial ska beaktas alla de informationssäkerhetskrav som gäller i fråga om sådana material.  
16 §.Kontroll av användarrättigheter för informationssystem. Syftet med denna paragraf är att reglera grunderna för rätten att utnyttja informationssystem så att bestämmelsen säkerställer tillträde till ett informationssystem endast för personer som har rätt att hantera systemets informationsmaterial och endast i den mån som respektive användares behov förutsätter detta. Paragrafens bestämmelser avser myndigheter men i praktiken är det informationshanteringsenheterna som på organisationsnivå utfärdar anvisningar om användarrättigheter samt utövandet av dem. Enligt paragrafen ska en enligt informationssystemet ansvarig myndighet definiera informationssystemens användarrättigheter, som ska fastställas utifrån användarnas uppgiftsrelaterade behov. Användarrättigheterna ska bestämmas utifrån varje systemanvändares uppgiftsrelaterade behov och de ska hållas uppdaterade. Bestämmelserna förutsätter att användarrättigheterna fastställs på förhand för varje systemanvändare. Användarrättigheterna kan fastställas utifrån användarens typiska arbetsuppgifter. Rättigheterna ska också hållas uppdaterade för att tillgången till informationen ska kunna säkerställas i aktuella situationer och å andra sidan förhindra att en användare med föråldrade användarrättigheter får tillgång till information i en större utsträckning än användarens arbetsuppgifter skulle förutsätta. Upprätthållandet av informationssystemen och de ansvar som är förenade med dem ska definieras i informationshanteringsmodellen. Således ska av den också framgå vem som ansvarar för att definiera användarrättigheterna och upprätthållandet av dem. Den myndighet som ansvarar för ett informationssystem ska inte nödvändigtvis upprätthålla användarrättigheterna, men den myndighet som använder ett informationssystem kan vara ansvarig för uppdatering av användarrättigheterna. Kännetecknande för sådana informationssystem är att fördelningen av ansvaret för användarrättigheterna sker i nätverksbaserade informationssystem som är i gemensam användning av flera myndigheter, exempelvis i enlighet med tjänsteproduktionsmodeller som organiserats som servicecentraler. Det är således servicecentralen som definierar användarrättigheterna i egenskap av den myndighet som ansvarar för informationssystemet, men den myndighet som använder informationssystemet ska hålla användarrättigheterna uppdaterade. 
17 §. Insamling av logginformation. Logginformation ska samlas in, om användningen av ett informationssystem förutsätter identifiering eller annan registrering. Med stöd av informationshanteringslagen behöver logginformation samlas in om vilket som helst informationssystem. Logginformation ska samlas in om användningen av och utlämnandet av information från informationssystem, men insamlingen ska vara behovsrelaterad. Om sekretessbelagd information eller personuppgifter lämnas ut från ett informationssystem via gränssnitt eller elektronisk förbindelse ska logginformation samlas från det utlämnande systemet i syfte att säkerställa att det finns en laglig grund för utlämnandet. Dessutom ska logginformation om användningen samlas in åtminstone i datasystem där sekretessbelagd information behandlas. Med stöd av den föreslagna bestämmelsen ska insamlingen av logginformation om användningen bedömas endast utifrån om informationen behövs för felutredningar eller för genomförande av en individs intressen, rättigheter, skyldigheter och rättsskydd eller för konstaterande av tjänsteansvar. Det är skäl att i synnerhet ur dessa synvinklar bedöma behovet av logginformation, om man i ett informationssystem behandlar information som inte är sekretessbelagd eller information som kunde vara relevant med tanke på tillgodoseendet av en individs rättssäkerhet. En omständighet som inverkar på behovsprövningen är också de i den allmänna dataskyddsförordningen stadgade kraven som gäller genomförande av tekniska och organisatoriska åtgärder i syfte att skydda personuppgifter. Logginformation behöver inte med stöd av denna lag samlas in från öppna informationsmaterial som finns allmänt tillgängliga på webben, exempelvis på hemsidor. Insamlingen av logginformation ska baseras på ett behov som definieras av den systemansvariga myndigheten. Omfattningen och typen av logginformation som samlas in är beroende av behovsprövning. Logginformation behöver inte samlas in om det inte i denna eller i någon annan lag finns någon grund för insamlingen.  
Logginformationen består huvudsakligen av personuppgifter, vilket innebär att de allmänna dataskyddsbestämmelserna ska beaktas vid regleringen. Logginformationen utgör en del av säkerhetsarrangemangen när det gäller myndigheternas informationssystem, vilket innebär att logginformationen enligt en tolkning som motsvarar vedertagen rättspraxis (HFD 2014:69 och HFD 27.5.2015 l. 1419) är sekretessbelagd med stöd av offentlighetslagens 24 § 1 mom. 7 punkten, om det inte är uppenbart att utlämnandet av uppgifter ur en handling inte äventyrar genomförandet av syftet med skyddsarrangemangen. Syftet med och grunden för insamling av logginformation är att genomföra informationssäkerheten i fråga om myndigheternas informationssystem så att det är möjligt att med stöd av logginformationen utreda felsituationer och övervaka användningen av systemen, bland annat i syfte att förverkliga rättssäkerheten och fastställa tjänsteansvaret. Syftet med logginformationen är också att dokumentera överföringar från informationssystem och samtidigt säkerställa att det funnits en laglig grund för utlämnandet. På detta sätt uppkommer informationssystemens användarloggar och överföringsloggar. Loggregistret beskriver informationssystemens och användarnas verksamhet och innehåller i regel personuppgifter. Av denna anledning definieras logginformationens användningsändamål i paragrafens andra mening. Logginformation samlas in om användningen av informationssystem, varmed avses lagring, ändring, avräknande, optisk granskning eller någon annan åtgärd som avser informationen. I paragrafen föreskrivs inte om logginformationens tillgänglighet, utan den frågan bestäms med stöd av offentlighetslagen eller speciallagar. Paragrafen innehåller inte heller någon bestämmelse om förvaringstiden för logginformation, utan förvaringstiden bestäms i stället med beaktande av behovet på samma sätt som när det gäller annan förvaring av information. Förvaringstiden för logginformation är i typfallet vanligen minst fem år, på grund av de straffrättsliga preskriptionstider som tillämpas i myndighetsverksamhet. I speciallagstiftning kan det föreskrivas särskilt om förvaringstiderna för logginformation, i synnerhet i sådana fall då logginformation förvaras under en längre tid än behövligt för att fullgöra myndighetens skyldigheter. I paragrafen föreskrivs inte heller om innehållet i logginformationen. Informationens användningsbehov avgör vilka uppgifter som kan samlas in som logginformation ur ett visst informationssystem. 
18 §. Handlingar som ska säkerhetsklassificeras inom statsförvaltningen. Enligt paragrafens 1 mom. ska en handling eller informationen i den säkerhetsklassificeras och förses med anteckning om säkerhetsklass, om handlingen eller informationen i den är sekretessbelagd enligt offentlighetslagens 24 § 1 mom. 2, 5 eller 7—11 punkten och om obehörigt avslöjande eller obehörig användning av handlingen kan orsaka skada för försvaret, för förberedelser inför undantagsförhållanden, för internationella relationer, för brottsbekämpningen, för den allmänna säkerheten eller för stats- och samhällsekonomins funktion, eller på något annat jämförbart sätt för Finlands säkerhet.  
Det föreslås att regleringen av säkerhetsklassificering ändras så att säkerhetsklassificering av handlingar blir obligatorisk och så att säkerhetsklassificeringen utsträcks till att omfatta också handlingar som avses i offentlighetslagens 24 § 1 mom. 5 och 11 punkten – dvs. bland annat handlingar som innehåller information om polisens taktiska och tekniska metoder och planer samt handlingar som innehåller information om penning- och valutapolitiska beslut eller åtgärder eller om beredningen av sådana beslut eller information om beredning av finans- och inkomstpolitik eller utredning av finans-, inkomst-, penning- eller valutapolitiska beslut eller åtgärder. Delvis beror detta på behov som framkommit i praktiken, delvis på att den föreslagna regleringen innebär att i fortsättningen andra än säkerhetsklassificerade handlingar inte längre ska klassificeras på olika skyddsnivåer. I stället kan de behandlas på ett sätt som uppfyller minimikraven i fråga om riskhantering.  
Om en handling fortfarande är under beredning, dvs. inte ännu är färdig, kan man i den göra en anteckning om säkerhetsklass, om handlingen i fråga om dess innehåll är en sådan säkerhetsklassificerad handling som avses i denna bestämmelse. 
Anteckningar kan göras också i kopior av en sådan handling. I informationssystem ska anteckning göras också i metadata om en handling. En anteckning kan göras på ett separat dokument som fogas till handlingen, om det inte tekniskt är möjligt att göra anteckningar på handlingen eller ändra en anteckning eller om det endast under en relativt kort tid behöver ställas behandlingskrav som motsvarar säkerhetsklassen. En anteckning om säkerhetsklass ska vara tydlig och korrekt och klassificeringen ska bevaras endast så länge som det behövs för intresset som ska skyddas. En säkerhetsklassificering kan göras också så att kraven i fråga om informationssäkerheten avser endast sådana handlingar eller sådana behandlingsskeden för vilka särskilda åtgärder behövs med tanke på det skyddade intresset. Klassificeringen får inte utsträckas till en sådan handling eller del av en handling för vilken behandlingskraven inte behöver iakttas på grund av det skyddade intresset. 
Enligt föreslagna 2 mom. får en anteckning om säkerhetsklasser inte användas i andra fall än sådana som avses i 1 mom., om inte anteckningen behövs för att fullgöra en internationell förpliktelse som gäller informationssäkerheten eller om handlingen annars har samband med internationellt samarbete. 
Enligt föreslagna 3 mom. ska sådana handlingar som avses i lagen om internationella förpliktelser som gäller informationssäkerhet förses med en anteckning om säkerhetsklass så som föreskrivs i den lagen.  
Enligt föreslagna 4 mom. ska genom förordning av statsrådet föreskrivas närmare om säkerhetsklassificering samt om anteckningar i och behandling av säkerhetsklassificerade handlingar. Avsikten är inte att ändra de nuvarande säkerhetsklasserna som det föreskrivs om i förordningen om informationssäkerhet och som har fastställts så att de motsvarar de klassificeringar och anteckningar som i allmänhet används i internationella sammanhang. Bestämmelser om dessa anteckningar ska också i fortsättningen ingå i en förordning. Avsikten är också att på förordningsnivå möjliggöra behandling av handlingar som hör till den lägsta säkerhetsklassen, med iakttagande av de grundläggande krav i fråga om informationshanteringen som föreskrivs i den föreslagna lagen. Vid behandlingen ska naturligtvis beaktas också informationssäkerheten, på basis av en riskbedömning i enlighet med den föreslagna lagens 13 § 1 mom. Föreslagna 4 mom. innehåller också en informativ hänvisningsbestämmelse om sekretessanteckningar enligt offentlighetslagens 25 §, som också föreslås blir ändrad genom denna proposition.  
5 kap. Skapande och elektronisk överföring av informationsmaterial
19 §. Omvandling av informationsmaterial till elektroniskt format och materialens tillgänglighet. I denna paragraf föreskrivs om omvandling av informationsmaterial till elektroniskt format. Syftet med paragrafen är att styra myndigheterna så att de behandlar sina informationsmaterial endast i elektroniskt format, oberoende av i vilket format materialet inkommit. I paragrafen nämns myndigheten som subjekt i stället för informationshanteringsenheten, eftersom handlingarna inkommer till en myndighet och behandlas av en behörig myndighet. 
I paragrafens 1 mom. första meningen föreskrivs det att om en handling inkommer till en myndighet i annat än elektroniskt format ska den omvandlas till elektroniskt format, om det i eller med stöd av lag föreskrivs att handlingen ska förvaras varaktigt eller arkiveras. Vissa handlingar och informationsmaterial ska enligt lag förvaras varaktigt. Varaktig förvaring innebär i fråga om behandling av personuppgifter att informationen ska förvaras för sitt ursprungliga användningsändamål så att den inte förstörs eller över huvud taget arkiveras i egentlig mening. För förvaringen ska då finnas en varaktig grund som anger intressena, rättigheterna eller skyldigheterna. I vissa situationer föreskrivs det med stöd av lag om varaktig förvaring. Också i regleringen av arkivering används begreppet varaktig förvaring som på grund av sin speciella innebörd är problematiskt när det gäller förvaring av personuppgifter. Den föreslagna bestämmelsen innebär således att varaktig förvaring av information för sitt ursprungliga användningsändamål eller för arkivering som bestämts på förhand utgör en grund för omvandling av en handling till elektroniskt format. Tidpunkten då en inkommen handling ska omvandlas till elektroniskt format blir beroende av myndighetens prövning. När en myndighet omvandlar en handling till elektroniskt format ska den värna om den omvandlade handlingens beviskraft på så sätt att den till elektroniskt format omvandlade handlingens tillförlitlighet och integritet kan säkerställas. Av denna anledning måste myndigheten ha sådana tekniska arrangemang som behövs för att på ett tillförlitligt sätt omvandla pappershandlingar till elektroniskt format på ett sådant sätt att den i handlingarna ingående informationens beviskraft bevaras. Den teknik som används ska garantera att omvandlade handlingars informationsinnehåll har granskats och verifierats av myndigheten. Omvandlade handlingar ska till exempel verifieras elektroniskt genom den persons försorg som har gjort omvandlingen. Verifieringen ska vara sådan att det i efterhand är möjligt att konstatera om det har gjorts ändringar i en handling som har omvandlats till elektroniskt format. En omvandlad handling är en kopia av originalet och det är därför särskilt viktigt att säkerställa att informationsinnehållets integritet i samband med omvandlingen kontrolleras tillräckligt noggrant och att integriteten bevaras också i det elektroniska formatet. Med en omvandlad handlings beviskraft avses att det med stöd av den kan konstateras vad som krävts av en myndighet eller vad handlingens informationsinnehåll berättigar eller förpliktar till och att handlingens informationsinnehåll inte har ändrats från det ursprungliga. 
Enligt paragrafens 1 mom. tredje meningen ska handlingar som en myndighet upprättat förvaras i elektroniskt format. Detta är utgångspunkten men det är också möjligt att göra en avvikelse från den. I momentets fjärde mening nämns situationer där det är möjligt att avvika från bestämmelsen om elektronisk förvaring av en handling som inkommit till en myndighet eller som en myndighet upprättat. Avvikelse får göras från kravet på omvandling till elektroniskt format och förvaring om det är nödvändigt på grund av behandlingskraven för säkerhetsklassificerade handlingar, övriga informationssäkerhetskrav eller av någon annan nödvändig orsak som har samband med handlingens karaktär. En sådan nödvändig orsak som avses i bestämmelsen kan ha samband med handlingens form eller innehåll på så sätt att handlingen inte kan omvandlas till elektroniskt format på grund av säkerhetsfaktorer eller innehållets format. En handling kan också ha ett sådant innehåll att det är nödvändigt att behandla den i pappersformat utan att den kopieras till elektroniskt format. I paragrafens 1 mom. föreskrivs inte vad som ska göras med originalpappershandlingar som omvandlats till elektroniskt format. Bedömningen av till vilka delar handlingar är av ett sådant slag att det är skäl att bevara deras originalformat för senare vetenskaplig eller historisk forskning eller för bevarandet av kulturarvet. ska enligt arkivlagstiftningen göras av arkivverket.  
I paragrafens 2 mom. föreskrivs om skyldigheten att hålla elektroniska informationsmaterial tillgängliga. Bestämmelsen har samband med det nationella genomförandet av Europaparlamentets och rådets direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn (PSI-direktivet) och det ändringsdirektivet 2013/37/EU. Enligt direktivets artikel 2.6 avses med maskinläsbart format ett filformat som är strukturerat på så sätt att datorprogram enkelt kan identifiera, känna igen och extrahera specifika uppgifter, inklusive särskilda faktauppgifter, och dessas interna struktur. Enligt direktivets artikel 5.1 ska offentliga myndigheter göra sina handlingar tillgängliga i alla befintliga format och språkversioner samt, om möjligt och lämpligt, i ett öppet och maskinläsbart format tillsammans med tillhörande metadata. 
Enligt paragrafens 2 mom. ska myndigheten, med beaktande av vad som särskilt föreskrivs om rätten till information och om skyddet av personuppgifter, se till att informationsmaterialet är tillgängligt och att det inklusive beskrivningsuppgifter kan utnyttjas i ett allmänt maskinläsbart format, om materialet direkt från originalformatet kan omvandlas till maskinläsbart format. Bestämmelsen innebär att myndigheten har omfattande prövningsrätt när det gäller vilka informationsmaterial som ska omvandlas till maskinläsbart format. Bestämmelsen är inte självständig utan den ska tolkas tillsammans med bestämmelserna om informationsrättigheter och behandlingsrättigheter. I bestämmelsen föreskrivs inte heller på vilket sätt informationsmaterial ska hållas tillgängliga utan den blir beroende av bestämmelserna om rätten till information och skyddet av personuppgifter.  
En myndighet är skyldig att ombesörja informationens tillgänglighet och användbarhet då det föreligger rätt att ta del av och behandla informationen. Informationens tillgänglighet och möjligheterna att utnyttja den sammanhänger med formatet på så sätt att elektroniska informationsmaterial ska omvandlas till ett sådant format att allmänheten kan utnyttja dem i maskinläsbart format. Med allmänt tillgängligt format avses en standard, ett filformat eller en filstruktur som är i allmän användning. Myndighetens skyldighet enligt 2 mom. avser omvandling av material till elektroniskt format. Materialet ska då vara tillgängligt i ett format som är i allmän användning och till materialet ska fogas beskrivande uppgifter (metadata). Dessa krav ska tas i beaktande redan då informationsmaterial omvandlas till elektroniskt format.  
Bestämmelsen ska i samband med utnyttjande av informationsrättigheter tillämpas så att den som har rätt till information kan få informationsmaterialet, inklusive metadata, i ett maskinläsbart format som är i allmän användning. Hur informationen sa lämnas ut, eller om informationen kan fås från en offentlig webbadress, blir huvudsakligen beroende av annan reglering och i vissa avseenden också av myndighetsprövning. En myndighet är inte skyldig att bearbeta handlingar på ett sådant sätt att samtliga material finns i maskinläsbart format, om det finns något tekniskt skäl därtill, exempelvis om en skannad handling inte kan läsas maskinellt eller inte på ett tillförlitligt sätt omvandlas till maskinläsbart format. Kravet att information ska finnas i maskinläsbart format gäller i synnerhet informationsmaterial som finns i strukturerat format som dokumentär information. Bestämmelsen innebär inte heller för myndigheterna någon skyldighet att hålla informationsmaterial i elektroniskt format allmänt tillgängliga, utan tillgängligheten avser i detta moment det format i vilket information lämnas ut till behöriga mottagare. 
Enligt paragrafens 3 mom. kan en informationshanteringsenhet ge en privat aktör i uppdrag att omvandla tekniska handlingar till ett elektroniskt format. Grundlagsutskottet har i ett av sina utlåtanden (GrUU 30/2012 rd) konstaterat att sådana offentliga förvaltningsuppgifter som avses i grundlagens 124 § är mottagning och sortering av deklarationer och andra handlingar som ges in till Skatteförvaltningen samt lagring av handlingarna och registrering av de upplysningar som ingår i dem. Eftersom omvandling av handlingar till elektroniskt format är detsamma som lagring av handlingar, är också detta en offentlig förvaltningsuppgift. Enligt grundlagens 124 § kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Uppgifter som innebär betydande utövning av offentlig makt får dock ges endast myndigheter. Enligt föreslagna 3 mom. kan en privat aktör av en myndighet ges i uppdrag att omvandla handlingar till elektroniskt format. De allmänna förvaltningslagarna ska tillämpas i fråga om sådana bestämmelser som direkt enligt respektive lags tillämpningsområde avser privata aktörer. I momentet hänvisas till straffrättsligt tjänsteansvar och till skadeståndslagen, för att en uppgift ska kunna ges i uppdrag åt en privat aktör. Omvandling av handlingar till elektroniskt format innebär inte utövning av offentlig makt utan det är då fråga om att sköta en biträdande uppgift i anslutning till utövning av offentlig makt. Strafflagens bestämmelser om tjänstebrott ska således inte tillämpas direkt med stöd av strafflagens (39/1889) 40 kap. utan det krävs speciallagstiftning för att straffrättsligt tjänsteansvar ska kunna utsträckas till andra offentliga förvaltningsuppgifter än sådana som innebär offentlig makt. Grundlagsutskottet har förutsatt att det straffrättsliga tjänsteansvaret utsträcks också till sådana offentliga förvaltningsuppgifter som inte innebär utövning av offentlig makt (se t.ex. GrUU 11/2006 rd, GrUU 3/2009 rd och GrUU 30/2012 rd). Omvandling av handlingar till elektroniskt format är en uppgift av teknisk karaktär som emellertid förutsätter särskild omsorgsfullhet. Dessa tekniska och rutinmässiga uppgifter kan det, beroende på myndigheten, anses vara ändamålsenligt att anlita en privat aktör, bland annat med tanke på myndighetsverksamhetens effektivitet och en effektiv resursanvändning samt för att jämna ut arbetstoppar. Varje myndighet ska särskilt bedöma om det är ändamålsenligt att utkontraktera uppgiften till en privat aktör, även om lagen tillåter sådan utkontraktering (FiUB 10/2006 rd). Grundlagsutskottet har ansett det vara möjligt att inom ramen för de regleringskrav som gäller i fråga om offentliga förvaltningsuppgifter lägga ut uppgifter som avser lagring av handlingar till enskilda aktörer (GrUU 30/2012 rd). I bestämmelsen ingår emellertid tilläggskravet att myndigheten då den upphandlar en tjänst av en sådan privat aktör ska säkerställa att aktören har tillräckliga tekniska förutsättningar för omvandling av handlingar till elektroniskt format och att aktören har tillräckliga kunskaper för omvandling av pappershandlingar till elektroniskt format. I kompetensen ingår ett särskilt krav på omsorgsfullhet när det gäller att säkerställa att handlingarnas integritet, oföränderliga form och användbarhet bevaras. Också informationssäkerheten ska säkerställas på det sätt som föreskrivs i denna lag och i andra lagar. I momentet ingår emellertid inte en sådan hänvisning utan informationssäkerhetsbestämmelserna ska beaktas vid all behandling av informationsmaterial. 
20 §. Insamling av informationsmaterial för myndighetsuppgifter. I denna paragraf föreskrivs om metoderna för insamling av material som ska användas för skötsel av myndighetsuppgifter. Syftet med bestämmelsen är att minska myndigheternas insamling av parallella och överlappande material hos förvaltningskunder samt att säkerställa att myndigheterna utnyttjar uppdaterad information från ursprungliga informationskällor. I bestämmelsen föreskrivs inte om informationsrättigheter utan i stället om begränsningar i myndigheters informationsinsamling. Enligt paragrafens 1 mom. är en myndighet skyldig att utnyttja en annan myndighets informationsmaterial om myndigheten med hjälp av dem kan sköta sina uppgifter på ett ändamålsenligt sätt, med beaktande av förvaltningskundernas rättssäkerhet. Skyldigheten gäller enligt bestämmelsen situationer där en myndighet har rätt att få tillgång till en annan myndighets information via ett tekniskt gränssnitt eller en elektronisk förbindelse. Bestämmelsen innebär att en myndighet i sin planering av verksamhetsprocesser ska bedöma vilken information som den från befintliga informationslager kan få i uppdaterad form inom ramen för sina rättigheter att få behandla information utan att särskilt behöva be en part eller någon annan förvaltningskund om informationen. Syftet med bestämmelsen är att styra förvaltningsverksamheten till ändamålsenliga verksamhetsprocesser och att samtidigt uppmärksamma parter och andra förvaltningskunder på vikten av rättssäkerhet vid utnyttjande och användning av information. En myndighet kan inte enbart på basis av insamlad information fatta sådana beslut rörande en förvaltningskund som får direkta rättsverkningar, utan förvaltningskunden måste bland annat höras före beslutsfattandet eller också måste ärendebehandlingen eller tjänsteproduktionen ordnas så att parten eller kunden redan i samband med ärendebehandlingen eller tjänsteproduktionen kan säkerställa att de uppgifter som myndigheten har är korrekta. Bestämmelsen innebär således ingen ovillkorlig skyldighet för myndigheten att utnyttja en annan myndighets informationsmaterial, som den andra myndigheten behöver för skötsel av sina egna uppgifter. Avsikten med bestämmelsen är att styra planeringen, i vilken ska beaktas de procedurkrav som gäller för ärendebehandling och tjänsteproduktion. 
I paragrafens 2 mom. föreskrivs om insamling av information när det är fråga om information som samlas in i form av utdrag eller intyg. I många situationer kan information som ingår i utdrag eller intyg för myndighetsbruk fås direkt från en annan myndighet via ett tekniskt gränssnitt eller en elektronisk förbindelse, bland annat från befolkningsdatasystemet (ämbetsbevis), handelsregistret (handelsregisterutdrag) och fastighetsdatasystemet (fastighetsregisterutdrag). Bestämmelsen är inte ovillkorlig utan den innehåller villkor som innebär att bestämmelsen som begränsar insamling av information ska tillämpas.  
Med tillförlitlighet och uppdatering avses i bestämmelsen att uppdateringen av informationsmaterialen i den utlämnande myndighetens informationslager har kontrollerats och att informationens autenticitet och integritet har säkerställts i informationshanteringsprocesserna. Tillförlitligheten innebär också att en förvaltningskund ska ha möjlighet att bekanta sig med informationen i den myndighets informationslager som lämnar ut informationen till en annan myndighet.  
Myndigheten har i de flesta situationer möjlighet att från en annan myndighet få uppdaterad information i anslutning till olika intyg och utdrag. Det finns av denna anledning inga skäl att förutsätta att en förvaltningskund ska lämna sådan information. Om en myndighet har rätt att för skötsel av sina uppgifter från en annan myndighets informationslager med hjälp av ett tekniskt gränssnitt eller en elektronisk förbindelse få sådan tillförlitlig och uppdaterad information som framgår av utdraget eller intyget, får utdrag eller intyg inte avkrävas förvaltningskunden. Förvaltningskunden får inte heller på något annat sätt avkrävas motsvarande information. Avsikten är att säkerställa att förvaltningskunden inte åläggs att på nytt inkomma med information som myndigheten redan fått eller annars registrerat. Avsikten är också att slopa förfaranden som innebär att en förvaltningskund ska inkomma med intyg eller utdrag som utfärdats av en annan myndighet. Ett sådant förfarande är redan möjligt med stöd av speciallagar, men avsikten är att också de ska upphävas i samband med reformen. Utgångspunkten är den att en myndighet för behandlingen av ett ärende eller produktionen av en tjänst själv ska skaffa all den information som finns i utdrag och intyg, om detta är möjligt inom ramen för myndighetens informationsrättigheter. Myndigheterna har emellertid inte i alla situationer någon möjlighet att få information i anslutning till utdrag om intyg, exempelvis när det är fråga om en utländsk förvaltningskund.  
Avsikten med paragrafen är att minska onödig informationsinsamling och att effektivare utnyttja myndigheternas informationslager i myndigheternas verksamhet. En myndighet ska fortfarande be om utdrag och intyg, om den inte har rätt att få informationen direkt från en annan myndighet eller om den inte kan kontrollera att den andra myndighetens informationslager är uppdaterat. Bestämmelsen inverkar inte heller på skyldigheter som föreskrivs någon annanstans i lag, utan den ska tillämpas närmast i ansökningsärenden som inletts av parter.  
21 §. Definition av behovet att förvara informationsmaterial. I denna paragraf föreskrivs på vilka grunder behovet att förvara informationsmaterial ska definieras i fråga om informationsmaterial eller handlingar vilkas förvaringstider inte bestäms i lag. Avsikten med paragrafen är att förenhetliga grunderna för definition av förvaringstiderna för handlingar och andra informationsmaterial. Informationsmaterial som är föremål för en sådan definition kan innehålla informationshelheter med varierande förvaringstider. Den föreslagna bestämmelsen gäller alla typer av informationsmaterial, oberoende av deras innehåll. I paragrafen föreskrivs inte om grunderna för arkivering av informationsmaterial, utan de baseras på annan reglering. Förvaringstiden avser således inte hur länge informationsmaterial hanteras hos en informationshanteringsenhet utan hur länge materialet förvaras för det användningsändamål för vilket handlingarna eller motsvarande information har samlats in. Syftet med paragrafen om bestämmande av förvaringstiderna är att säkerställa rättssäkerheten och det straffrättsliga tjänsteansvaret i fråga om myndigheternas informationsmaterial.  
I Finland finns det cirka 300 bestämmelser om förvaringstiderna för handlingar och information som ska förvaras i personregister samt om bestämmande av förvaringstider. Regleringen av förvaringstiderna är emellertid inte heltäckande. I paragrafen föreskrivs om grunderna för definition av förvaringstiderna inom den offentliga förvaltningen. Paragrafen uppfyller de krav som grundlagsutskottet framför i sina utlåtanden gällande exakthet, täckning och noggrann avgränsning i fråga om de krav som i den allmänna lagen föreskrivs om behandling av personuppgifter. I fortsättningen är det skäl att i lag särskilt föreskriva om förvaringstiderna för informationsmaterial och handlingar, inklusive personuppgifter, endast om man i fråga om bestämmandet av förvaringstider avviker från de grunder som föreskrivs i denna paragraf eller om förvaringstiderna ska definieras på lagnivå exempelvis av skäl som sammanhänger med Europeiska unionens lagstiftning eller om det är fråga om information som hör till särskilda personuppgiftskategorier eller om förvaringstiderna för annan känslig information.  
Grundlagsutskottet har upprepade gånger konstaterat att förvaringstiderna för personregister hör till den kategori av omständigheter som enligt grundlagens 10 § 1 mom. ska regleras genom lag (GrUU 14/1998 rd och GrUU 25/1998 rd). I fråga om varaktig förvaring av personuppgifter har grundlagsutskottet konstaterat att det inte är förenligt med personuppgiftsskyddet att förvara sådan information varaktigt (GrUU 51/2002 rd och GrUU 54/2010 rd). Om det emellertid finns en grund som är förenlig med informationssystemets karaktär eller syften får personuppgifter förvaras varaktigt (GrUU 3/2009 rd och GrUU 54/2010). Grundlagsutskottet har i sin senaste praxis konstaterat att det inte finns något hinder för att kravet, när det gäller regleringens täckning, exakthet och noggranna ansträngning i anslutning till skyddet för personuppgifter, till vissa delar kan uppfyllas också genom en allmän EU-förordning eller genom en allmän nationell lag (GrUU 14/2008 rd, GrUU 2/2018 rd, GrUU 31/2017 rd, GrUU 5/2017 rd och GrUU 38/2016 rd).  
Den föreslagna bestämmelsen gäller alla typer av information och kompletterar således Europeiska unionens allmänna dataskyddsförordnings bestämmelser om förvaringstider. Enligt artikel 5.1 e i Europeiska unionens allmänna dataskyddsförordning får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Enligt artikeln får personuppgifter lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). Till inbyggt dataskydd och dataskydd som standard, som beskrivs i dataskyddsförordningens artikel 25, hör bland annat att den personuppgiftsansvarige fastställer lagringstiderna för personuppgifter och ser till att de iakttas. Den personuppgiftsansvarige ska således fastställa lagringstiderna i anslutning till behandlingen av personuppgifter med beaktande av nödvändighetskravet.  
Behandlingen av personuppgifter inom den offentliga förvaltningen är baserad på de rättsliga förpliktelserna enligt dataskyddsförordningens artikel 6.1 c samt på att behandlingen enligt artikel 6.1 e är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Med tanke på den rättsgrund för behandlingen som avses i artikel 6.1 c och 6.1 e kan i den nationella lagstiftningen enligt dataskyddsförordningens artikel 6.3 föreskrivas bland annat om förvaringstiderna. I föreslagna 21 § föreskrivs inte om förvaringstiderna utan om de grunder som ska beaktas när förvaringstiderna fastställs. Förteckningen i paragrafens 1 mom. är inte uttömmande utan i den anges de förvaringsgrunder som utgår från individens intressen, rättigheter och skyldigheter, myndigheternas rättigheter och skyldigheter samt konstaterandet av tjänsteansvaret enligt grundlagens 118 § genom myndighetshandlingar. En viktig ställning med tanke på förverkligandet och konstaterandet av tjänsteansvaret intar i praktiken de hos en myndighet uppkomna handlingar som administreras i informationslager. Definitionen av förvaringstiderna är relevant med tanke på rättsskyddet enligt grundlagens 21 § samt förverkligandet av tjänsteansvaret enligt grundlagens 118 §, då man i efterhand bedömer en tjänstemans ansvar för sina åtgärder utifrån dokumentär information.  
Informationshanteringsenheterna ska se till att de myndigheter och personregisteransvariga som verkar i samband med dem bestämmer förvaringstiderna i anslutning till informationsbehandlingen samt uppdaterar informationen om dem i informationshanteringsmodellen. I informationshanteringsmodellen ska informationen om förvaringstiderna för personuppgifter, handlingar, andra motsvarande uppgifter samt informationsmaterial sammanställas i myndighetens verksamhetsprocesser.  
I paragrafen föreskrivs inte separat om grunderna för beräkning av förvaringstiderna utan dessa blir beroende av branschens rekommendationer. Efter att förvaringstiderna har bestämts ska informationshanteringsenheterna bestämma hur förvaringstiderna ska räknas i respektive verksamhetsprocess. Förvaringstiden kan räknas bland annat från utgången av det år då ärendebehandlingen hos myndigheten har upphört eller tjänsteproduktionen för kunden har avslutats. Ärendebehandlingen anses ha upphört hos en myndighet efter det att exempelvis myndighetens beslut har vunnit laga kraft. Om ett beslut till exempel har överklagats inverkar detta på räknandet av förvaringstiden för de handlingar och den övriga dokumentära information som uppkommit under ärendebehandlingen. Dessutom kan förvaringstiden räknas från utgången av den räkenskapsperiod då informationsmaterialet i anslutning till bokföringen har uppkommit. Bestämmelsen gäller i synnerhet förvaringstiderna för handlingar som uppkommit inom ekonomiförvaltning. Informationshanteringsnämnden för den offentliga förvaltningen kan utfärda rekommendationer om grunderna för beräkning av förvaringstider.  
I paragrafens 1 mom. föreskrivs om de grunder som ska beaktas när förvaringstiderna för informationsmaterial och handlingar bestäms. Av momentets förteckning framgår de grunder för bestämmande av förvaringstiderna som ska beaktas. Förteckningens kriterier utesluter inte utan snarare kompletterar varandra och förteckningen är inte uttömmande. I den nämns de synpunkter som ska beaktas när förvaringstiden bestäms. Således kan till exempel preskriptionstiden för det straffrättsliga straffansvaret i anslutning till en viss myndighets åtgärder vara fem år, men de uppgifter som finns i ett informationslager kan påverka en parts eller registrerads ställning också under en längre tid. I dessa fall är grunden för den längsta förvaringstiden avgörande för bestämmande av förvaringstiden.  
Enligt förteckningens 1 punkt ska förvaringstiderna bestämmas med beaktande av i vilken utsträckning informationsmaterialet i myndighetens verksamhet behövs för det ursprungliga användningsändamålet. Därefter ska förvaringstiden bestämmas med beaktande av punkterna 2—5. Enligt förteckningens 2 punkt ska förvaringstiden bestämmas med beaktande av genomförandet och verifieringen av fysiska eller juridiska personers förmåner, rättigheter, förpliktelser och rättsskydd. Myndigheternas beslut, registrerade anteckningar samt registreringar i informationssystem skapar olika förmåner, rättigheter och skyldigheter för förvaltningskunderna och personalen. Myndigheterna har behov att i sina informationslager förvara olika informationsmaterial i syfte att verifiera och förverkliga olika rättigheter samt säkerställa rättsskyddet. Sådana informationsmaterial kan under en längre tid inverka på genomförandet eller verifieringen av olika personers rättigheter. I vissa situationer kan förvaringstiden vara kortare, till exempel vid betalning av engångsersättningar, då en handling som ansluter sig till ekonomiförvaltningen som en del av bokföringsmaterialet ska förvaras i 10 år.  
Enligt förteckningens 3 punkt ska förvaringstiden bestämmas med beaktande av rättsverkningarna av avtal eller andra privaträttsliga rättshandlingar. Således ska avtalshandlingar och andra handlingar som beskriver rättshandlingar förvaras under en varierande tid, som påverkas av avtalets längd men också av därtill anslutna ekonomiska konsekvenser och kontrollen av dem. Trots att avtalsperioden är till exempel ett år måste informationshanteringsenheten förvara avtalet under en längre tid bland annat med tanke på efterhandsövervakningen eller för konstaterande av skadeståndsskyldigheten. Bestämmelser om denna regleringsgrund finns i förteckningens 4 punkt enligt vilken de skadeståndsrättsliga preskriptionstiderna inverkar på bestämmandet av förvaringstiden. I förteckningens 5 punkt hänvisas till de straffrättsliga preskriptionstiderna. När det gäller bestämmandet av förvaringstiderna ska i myndighetsverksamheten beaktas de straffrättsliga preskriptionstiderna som definieras i strafflagens (39/1889) 8 kap. Informationshanteringsenheterna ska således på basis av 1—5 punkten i fråga om varje informationsmaterial göra en helhetsbedömning av vilka omständigheter som är relevanta för förvaringen av informationsmaterial. I synnerhet rättssäkerhetsaspekter ska vägas in när förvaringstiden bestäms. 
Enligt paragrafens 2 mom. ska informationsmaterialen, efter det att förvaringstiden gått ut, utan dröjsmål arkiveras eller förstöras på ett informationssäkert sätt. Då förvaringstiden för informationsmaterial eller handlingar som ingår i det har gått ut ska de arkiveras eller omedelbart förstöras på ett informationssäkert sätt. Bestämmelsen motsvarar i detta avseende offentlighetslagens 18 § 1 mom. 4 punkten. Genom bestämmelsen understryks det att myndigheten efter att förvaringstiden gått ut omedelbart ska arkivera informationsmaterial och handlingar. Frågan om hur arkiveringen ska genomföras blir beroende av myndighetens eller arkivbildarens prövning och av regleringen av arkiveringen. Informationsmaterial ska arkiveras eller förstöras på ett informationssäkert sätt så att utomstående inte har tillgång till informationsmaterialet och så att informationsmaterialet inte längre behandlas för sitt ursprungliga användningsändamål. Med förstöring avses att materialet ska tas ur bruk så att det inte längre kan vidareutnyttjas. Förstöring avser åtgärder varmed informationsmaterialet de facto förstörs. Informationsmaterial kan förstöras med olika tekniska åtgärder, exempelvis genom radering av hårddisken eller genom att fysiskt krossa den. Pappersmaterial kan förstöras till exempel genom att bränna det. Genom att enbart strimla papper förstörs dokumenten inte utan de blir oanvändbara. Bestämmelsen understryker att materialen de facto ska förstöras då det inte länger finns några grunder för att förvara dem eller om informationsmaterialet enligt vad som särskilt föreskrivs inte ska arkiveras.  
Paragrafens 3 mom. är en informativ hänvisningsbestämmelse vars syfte är att förtydliga att det föreskrivs särskilt om ansvaren för bestämmande av förvaringstiderna och om arkivverkets uppgifter. Myndigheten förvarar informationsmaterial för skötsel av de uppgifter som föreskrivs ankomma på myndigheten. När det inte finns något behov av att förvara information för myndighetsuppgifter ska informationen antingen förstöras eller överföras till ett arkiv. Bestämmelser om arkivering finns åtminstone i Europeiska unionens allmänna dataskyddsförordning, dataskyddslagen, lagen om elektronisk kommunikation i myndigheternas verksamhet samt i arkivlagen, enligt vilken Riksarkivet beslutar om arkivering. Bestämmelserna i de ovan nämnda författningarna bildar lagstiftningen om arkivering. I momentet ingår för tydlighetens skull en hänvisning till arkivverkets uppgifter, som påverkas både av dataskyddslagstiftningen och av arkivlagen. I det föreslagna momentet hänvisas emellertid inte uttryckligen till dessa författningar.  
Enligt arkivlagen är det arkivbildaren som bestämmer förvaringstiderna för handlingar. Enligt den allmänna dataskyddsförordningen är det den personregisteransvarige som bestämmer förvaringstiderna för personuppgifter. I den allmänna dataskyddsförordningen och i dataskyddslagen föreskrivs om grunderna för arkivering av personuppgifter. Arkiveringen utgör i förening med allmänt intresse sitt eget användningsändamål som bestäms utifrån den personregisteransvariges bedömning av frågan om det är förenligt med allmänt intresse att arkivera personuppgifter. Beroende på vilken lag som tillämpas i det enskilda fallet ska ansvaren för bestämmande av förvaringstiderna definieras på olika grunder. Om den allmänna dataskyddsförordningen inte ska tillämpas på behandlingen av informationsmaterial ska arkivbildaren således bestämma förvaringstiden med stöd av arkivlagen.  
22 §. Informationsöverföring mellan myndigheter via tekniska gränssnitt. I denna paragraf föreskrivs om de förutsättningar under vilka en myndighet för en annan myndighet kan öppna ett tekniskt gränssnitt för utlämnande av information för skötsel av den andra myndighetens lagstadgade uppgifter. I paragrafen föreskrivs inte om informationsrättigheter utan de bestämmelserna finns fortfarande i offentlighetslagen eller i speciallagstiftningen. Avsikten med bestämmelsen är att ersätta de bestämmelser om tekniska anslutningar mellan myndigheter som ingår i speciallagstiftning. Grundlagsutskottet har upprepade gånger konstaterat att regleringsobjektet gällande skyddet av personuppgifter enligt grundlagens 10 § 1 mom. omfattar tekniska anslutningar (fr.o.m. GrUU 12/2002 rd), men i den senaste tidens utlåtandepraxis har grundlagsutskottet inte längre uttryckligen nämnt tekniska anslutningar som viktiga regleringsobjekt (se GrUU 14/2018 rd, GrUU 2/2018 rd och GrUU 31/2017 rd). Grundlagsutskottet har i sin senaste praxis ansett att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän unionsförordning eller genom en allmän nationell lag (se GrUU 14/2018 rd, GrUU 2/2018 rd, GrUU 31/2017 rd, GrUU 5/2017 rd och GrUU 38/2016 rd). Syftet med den föreslagna paragrafen och med 23 och 24 § i anslutning till den är att i allmän lag föreskriva om förutsättningarna för att en myndighet ska kunna lämna ut information med hjälp av tekniskt gränssnitt eller elektronisk förbindelse på motsvarande sätt som enligt det gällande begreppet ”teknisk anslutning”. Regleringen påverkar inte i och för sig informationsrättigheterna utan sättet för utlämnandet, så att den antingen förpliktar eller möjliggör användning av vissa tekniska lösningar för informationsutbyte mellan myndigheter. Regleringen uppfyller kraven på exakthet och noggrann avgränsning på det sätt som grundlagsutskottet har förutsatt.  
I fortsättningen kan en myndighet till en annan myndighet lämna ut handlingar och information via ett tekniskt gränssnitt, om de förutsättningar för utlämnandet som föreskrivs i paragrafen är uppfyllda. Paragrafen möjliggör inte obegränsad tillgång till en annan myndighets informationslager och informationsmaterialen i dem, utan sådana överföringar ska övervakas med tekniska metoder på så sätt att man i den mottagande myndighetens informationssystem säkerställer att överföringen är korrekt och behövlig till exempel genom kontroller av kundförhållandet, den konkreta situationen eller andra verksamhetsprocesser.  
Enligt paragrafens 1 mom. första meningen ska myndigheterna regelbundet via tekniska gränssnitt överföra periodisk och standardiserad elektronisk information mellan informationssystem, om den mottagande myndigheten enligt lag har rätt till informationen. Denna bestämmelse gäller situationer där en myndighet till en annan myndighet regelbundet lämnar ut information från sitt informationslager för den andra myndighetens informationsbehov. I sådana regelbundet återkommande i situationer är utlämnande av information via tekniska gränssnitt en regel som man kan avvika från endast om det föreskrivs något annat i denna lag eller i någon annan lag. Skyldigheten att ordna utlämnandet av information via tekniska gränssnitt gäller inte situationer där information sällan lämnas ut. Med regelbundet utlämnande av information avses situationer där information regelbundet, dagligen eller varje vecka, överförs mellan myndigheter. Vid utlämnande av information via gränssnitt krävs det dessutom att informationen lämnas ut i standardiserat format, vilket innebär att den kan lämnas ut automatiskt via gränssnitt.  
Bestämmelsen gäller inte situationer där en myndighet med stöd av informationsskyldigheten eller annars överför information till en annan myndighet genom att, till exempel för ett meddelande, använda en teknisk tjänst eller någon annan elektronisk överföringsmetod. Det är då inte fråga om användning av tekniska gränssnitt och om överföring av information mellan informationssystem. 
Både den utlämnande och den mottagande myndigheten är då skyldig att se till att trafiken mellan deras informationssystem sköts med hjälp av kompatibla tekniska gränssnitt. Bestämmelsen innebär bland annat att vardera myndigheten ska se till att i deras informationssystem kan införas de tekniska gränssnitt som behövs för informationsöverföringar. Myndigheterna ska således redan i samband med avtal om anskaffning av informationssystem beakta kraven när det gäller utlämnande av information via tekniska gränssnitt. I praktiken ska detta beaktas också i samband med skyldigheten att planera informationshanteringen, då informationshanteringsenheten förnyar sina förfaranden och skaffar eller förnyar sina informationssystem.  
Paragrafens 1 mom. första meningen innehåller också villkoret att information kan lämnas ut via ett tekniskt gränssnitt endast om den mottagande myndigheten enligt lag har rätt till information som överförs via tekniska gränssnitt. I annan lagstiftning föreskrivs om informationsrättigheter. I offentlighetslagen eller i någon annan lag kan således tas in en bestämmelse som ger rätt att få information.  
Enligt paragrafens 1 mom. andra meningen kan elektronisk överföring av periodisk och standardiserad information genomföras på något annat sätt om det inte är tekniskt eller ekonomiskt ändamålsenligt att genomföra eller använda ett tekniskt gränssnitt. Denna bestämmelse ska tillämpas då det för myndigheter har uppkommit en skyldighet att lämna ut information via tekniska gränssnitt, men informationen inte kan lämnas ut via gränssnitt till exempel på grund av särskilda förutsättningar som gäller informationssäkerheten eller i en ändringssituation där det inte är ekonomiskt lönsamt att för informationsutbyte via tekniska gränssnitt genomföra tekniska lösningar i ett gammalt system i slutet av sin livscykel. Om gränssnitt saknas förutsätter regleringen i praktiken i varje fall att myndigheterna inom övergångstiden överväger om det tekniskt eller ekonomiskt är mera ändamålsenligt att överföra information på något annat sätt än genom att bygga gränssnitt. Man borde emellertid sträva efter att inte sammanställa innehållet i ett ursprungligt informationslager till onödigt omfattande personuppgiftsregister i form av kopior, utan i stället överföra eller utnyttja informationen i ett informationslager som fungerar som en ursprunglig informationskälla endast då det finns ett konkret behov för ärendebehandling eller tjänsteproduktion. En teknisk orsak kan också vara olika service- och driftsavbrott eller ett inkörningsskede för ett förnyat informationssystem. Enligt den tredje meningen i paragrafens 1 mom. kan en myndighet också i andra situationer öppna ett tekniskt gränssnitt för en behörig myndighet. Syftet med den andra meningen är att möjliggöra informationsutbyte mellan myndigheters informationssystem också när det gäller andra än periodiska och standardiserade informationsöverföringar, men till denna del är det inte obligatoriskt att ordna med informationsöverföring mellan olika system. Här kommer sådana situationer i fråga där överföringarna inte är regelbundna men är standardiserade till innehållet.  
Paragrafens 1 mom. ska inte tillämpas om myndigheternas informationsöverföringar är oregelbundna och informationsbehovet i anslutning till dem inte kan standardiseras utan i stället varierar i olika situationer, vilket innebär att informationsbegäran preciseras till exempel med användning av elektroniska överföringsmetoder, vilket i sin tur också innebär att informationen överförs elektroniskt eller på något annat lämpligt sätt.  
Dessutom hänvisas det i momentet till de bestämmelser av överföring av handlingar och information i vilka det föreskrivs särskilt om överföring av information på annat sätt än via tekniska gränssnitt. Sådana bestämmelser är bland annat denna lags bestämmelser om elektroniska förbindelser och offentlighetslagens bestämmelser om lämnande av uppgifter som kopia eller utskrift eller i elektronisk form. 
I paragrafens 2 mom. föreskrivs om ytterligare förutsättningar för att information ska kunna överföras via tekniska gränssnitt. De förutsättningar som nämns i 2 mom. innebär i praktiken skyldigheter för myndigheterna, eftersom de måste genomföras om det finns förutsättningar för att ordna informationsöverföringen via tekniska gränssnitt. Enligt momentets första mening ska informationsöverföring via tekniska gränssnitt mellan informationssystem genomföras så att man tekniskt säkerställer informationsmaterialens behövlighet och nödvändighet i det enskilda fallet med tanke på skötseln av den mottagande myndighetens uppgifter, om överlåtelsen avser personuppgifter eller sekretessbelagd information. Bestämmelsen förutsätter att överföringen kontrolleras när den myndighet som behöver informationen behandlar ett ärende eller producerar en tjänst och informationen utlämnas via tekniska gränssnitt. Exempelvis enligt gällande lagstiftning ska en patients vårdrelation verifieras datatekniskt innan informationen överförs mellan patientregister. Ett informationssystem som sänder en teknisk informationsbegäran ska ha en kontrollfunktion som säkerställer att användaren av den myndighets informationssystem som begär informationen behandlar ett sådant ärende eller producerar en sådan tjänst för att uttryckligen den begärda informationen behövs för att utreda ärendet eller producera tjänsten. Den myndighet som begär informationen ska med hjälp av teknisk kontroll och den andra myndighetens tekniska gränssnitt på basis av den överföra informationen och kunna sammankoppla informationen från den andra myndigheten med det ärende som behandlas eller den tjänst som produceras. Momentets bestämmelser gäller situationer där överföringen avser personuppgifter eller sekretessbelagd information. I andra situationer ska således inte tillämpas de ytterligare förutsättningar som föreskrivs i momentet i fråga om överföringar via gränssnitt.  
I paragrafens 3 mom. föreskrivs hur sådana informationsstrukturer som är nödvändiga för genomförande av tekniska gränssnitt ska definieras hos myndigheterna. Syftet med bestämmelsen är att främja och säkerställa interoperabiliteten mellan informationssystemen. Enligt momentets första mening ska beskrivningen av strukturerna när det gäller information som överförs via ett tekniskt gränssnitt definieras av den myndighet som överför informationen. I många situationer är informationsutbytet mellan myndigheter via tekniska gränssnitt emellertid nätverksbaserat, vilket innebär att det inte nödvändigtvis på basis av den första meningen är möjligt att ange vilken myndighet som ska definiera informationsstrukturen. Sådana situationer förekommer i synnerhet i kommuner och hos andra myndigheter som sköter myndighetsuppgifter inom sitt eget område. Av denna anledning föreskrivs i momentets andra mening om den situationen att information överförs mellan flera myndigheter. I så fall ska informationsstrukturerna definieras under ledning av det ministerium som svarar för verksamhetsområdet, vilket innebär att det kan säkerställas att informationsstrukturerna definieras på ett koordinerat och effektivt sätt. Ministerierna ska sålunda bland annat i samband med lagberedningen utreda hur arbetet med att definiera informationsstrukturernas beskrivningar ska organiseras i samband med ändringar. Vid behov kan det med tanke på exceptionella situationer föreskrivas separat i en speciallag om ansvaret för att definiera och upprätthålla beskrivningar av informationsstrukturer, ifall exempelvis ett statligt ämbetsverk eller en statlig inrättning ska ansvara för definitionen. Den definition av informationen som ska göras under ledning av ministerierna har ett naturligt samband med finansministeriets och ministeriernas skyldighet att i enlighet med föreslagna 6 § upprätthålla riktlinjer för utvecklingen av de gemensamma informationslagren och informationssystemen i syfte att främja interoperabiliteten. Ministerierna kan i samband med planeringen av informationsöverföring mellan flera ministerier upprätthålla riktlinjer för sitt eget ansvarsområde samt göra ändringar i informationshanteringskartan för den offentliga förvaltningen. Styrningen av myndigheternas planering genom ministeriernas försorg kommer dessutom att förbättra ministeriernas möjlighet att på det sätt som kraven i 8 § 2 mom. förutsätter bedöma de konsekvenser som den lagstiftning som de bereder kommer att få för informationsmaterialen och informationssystemen samt för handlingsoffentligheten och sekretessbeläggningen av handlingar.  
Med uttrycket ”beskrivningen av strukturen för information” avses i momentet ett framställningssätt som gäller ett visst användningsändamål och på basis av vilket myndigheten ska utforma den information som den lämnar ut i motsvarande syfte. Beskrivningen av informationsstrukturen består av den definition av genomförandet av informationsöverföringen varmed standardiseras bland annat de termer, begrepp och koder samt förhållandena mellan dem, som används för beskrivning av information som är föremål för överlåtelse. Syftet med den närmare definitionen av informationsstrukturerna är att säkerställa att informationsmaterialen är maskinläsbara och tillgängliga. Med tanke på tillgängligheten ska i samband med utlämnande av information utnyttjas sådana beskrivningsmetoder och teknologier som tryggar användningen av informationen med hjälp av allmänt tillgänglig och kostnadseffektiv utrustning. Den strukturella styrningen av informationsmaterialen ändrar inte myndigheternas ansvar för ordnande av den informationshantering som förutsätts för den uppgiftsrelaterade verksamheten.  
23 §. Öppnande av elektronisk förbindelse till en myndighet. I denna paragraf föreskrivs om förutsättningarna för öppnande av en förbindelse, men öppnandet ger inte obegränsad tillgång till en myndighets informationslager och till informationsmaterialen och personregistren i det. Syftet med bestämmelsen är att ersätta regleringen av teknisk anslutning i sådana situationer där avsikten med en teknisk anslutning är att öppna en separat elektronisk förbindelse till en annan myndighet, exempelvis via en tjänst på dennas hemsidor. Enligt den första meningen i paragrafens 1 mom. kan en myndighet öppna en elektronisk förbindelse till en annan myndighet för överföring av sådan information i ett informationslager som den mottagande myndigheten har rätt att få tillgång till. I paragrafen föreslås inte någon bestämmelse om informationsrätten utan om det sätt på vilket information i vissa situationer kan ges en annan myndighet för påseende. En myndighet kan således inte öppna en elektronisk förbindelse i vilken situation som helst utan endast då den myndighet till vilken förbindelsen öppnas har lagstadgad rätt att få tillgång till information via den elektroniska förbindelsen. Rätten att få tillgång till information kan baseras på offentlighetslagen eller på speciallagstiftning.  
Enbart rätten att få information räcker inte för öppnande av en elektronisk förbindelse, utan dessutom krävs skyddsåtgärder i anslutning till informationssystemen för att elektroniska förbindelser inte ska utnyttjas för onödig datainsamling och för att förhindra lagstridig informationsbehandling. Av denna anledning föreskrivs i paragrafens andra mening om ytterligare förutsättningar för att öppna en elektronisk förbindelse. Tilläggsförutsättningarna ska vara uppfyllda i alla avseenden för att en elektronisk förbindelse ska kunna öppnas.  
Den första förutsättningen är att den elektroniska förbindelse kan begränsas till sådana behövliga eller nödvändiga uppgifter som informationsrätten förutsätter. Syftet med bestämmelsen är att begränsa den elektroniska förbindelsen till att omfatta endast information som är behövlig eller nödvändig för att den mottagande myndigheten ska kunna sköta sina egna uppgifter, med beaktande av de informationsrättigheter som uttryckligen föreskrivs i lagen. Öppnandet av en elektronisk förbindelse ska således först bedömas utifrån respektive myndighets informationsrättigheter och möjligheten att ta del av information ska begränsas till sådana uppgifter som myndigheten behöver inom ramen för sina informationsrättigheter. Möjligheten att ta del av information kan inte vara obegränsad och en elektronisk förbindelse får inte öppnas till vilken information som helst, utan endast efter en förhandsbedömning till vissa myndigheter, om det inte finns en förbindelse till registrerade uppgifter som är avsedda särskilt för lagstadgad allmän användning eller som var och en har rätt att ta del av. I sådana situationer kan öppnandet av en elektronisk förbindelse förverkligas för en större krets av informationsberättigade aktörer, exempelvis till att omfatta handelsregistret, föreningsregistret eller stiftelseregistret. Det bör föreskrivas särskilt om informationstjänster som möjliggör elektronisk förbindelse och är avsedda för allmänt bruk. Grundlagsutskottet har ansett att offentliggörande av personuppgifter inom ramen för grundlagen kan genomföras som en offentlig informationstjänst, om det med tanke på garantierna för rättssäkerheten och målsättningarna för systemet med grundläggande rättigheter finns goda grunder för detta (GrUU 2/2017 rd, GrUU 65/2014 rd och GrUU 32/2018 rd). Enligt utskottet har det emellertid med tanke på skyddet för privatlivet och personuppgifter relevans att det i personregister i datanätet inte går att söka uppgifter på stora grupper utan till exempel endast som enskilda sökningar (GrUU 2/2017 rd och GrUU 32/2008 rd). Den föreslagna första förutsättningen ligger i linje med att grundlagsutskottet har förutsatt att det genomförs ett system med öppna informationstjänster. I den paragraf som nu föreslås föreskrivs det dock inte om sådana informationstjänster i det allmänna datanätet som grundlagsutskottet avser, utan om elektroniska förbindelser mellan myndigheter inom ramen för deras rätt till information. Bestämmelser om informationstjänster för allmänt bruk utfärdas särskilt. I fråga om det här föreslås det i lagens 24 § 2 mom. en informativ hänvisning till informationstjänster till allmänheten och till behovet av bestämmelser om dem. 
Enligt förslaget ska möjligheten till elektronisk förbindelse i enlighet med den andra förutsättningen begränsas till enskilda sökningar och med hjälp av den elektroniska förbindelsemodellen ska det inte vara möjligt att utan begränsning hämta mängder av information från en annan myndighets informationslager. Detta krav framgår också av den andra förutsättningen enligt vilken informationens användningsändamål datatekniskt ska utredas i samband med ansökan om information. Syftet med förutsättningen är att kontrollera för vilket användningsändamål den som söker information har gått in i en annan myndighets informationslager. Detta kan i praktiken genomföras så att en användare som söker information i en meny eller på något annat motsvarande sätt ska välja en grund för informationssökningen. Denna grund inklusive användaruppgifter ska framgå av de logguppgifter som samlas in med hjälp av den elektroniska förbindelsen, vilket innebär att det i efterhand är möjligt att ta reda på syftet med varje sökning som gjorts med hjälp av den elektroniska förbindelsen samt den rättsliga grunden för behandlingen. Samtidigt ska användaren i samband med varje sökning och innan den görs bedöma om sökningen är motiverad med tanke på skötseln av tjänste- eller arbetsuppgifter. Med hjälp av en elektronisk förbindelse är det möjligt att göra endast enskilda sökningar och användaren måste varje gång särskilt uppge användningsändamålet. På detta sätt förhindras det också att sökningar görs automatiskt till exempel med hjälp av en sökrobot.  
Enligt paragrafens 2 mom. ska myndigheten upprätta en elektronisk förbindelse till sitt informationslager så att det informationssystem som möjliggör förbindelsen automatiskt identifierar avvikande informationssökning. Avsikten med bestämmelsen är att säkerställa att det i samband med förbindelserna inrättas tillräckliga kontroller för att förhindra storskalig sökning av information i en annan myndighets informationslager. Den elektroniska förbindelsen ska genomföras så att det informationssystem som möjliggör förbindelsen har kontrollfunktioner som identifierar avvikande informationssökningar exempelvis i fråga om en viss registrerad, eller en viss användares avvikande informationssökningar på grund av deras stora antal. Genom dessa kontrollfunktioner förhindras eller begränsas situationer där någon via en elektronisk förbindelse utan behörighet genomsöker information. Det informationssystem genom vilket sökningen görs kan då exempelvis till huvudanvändaren sända ett meddelande om avvikande sökningar för att huvudanvändaren ska kunna utreda orsaken till den omotiverat omfattande sökningen. Detta hindrar i sin tur automatiska sökningar till exempel med hjälp av en sökrobot.  
24 §. Överföring av informationsmaterial via tekniska gränssnitt till andra än myndigheter. I denna paragraf föreskrivs om överföring av informationsmaterial via ett tekniskt gränssnitt till andra än myndigheter. Paragrafen möjliggör sådan överföring och i den föreskrivs inte om rättigheter till information. På grundval av paragrafen kan ingen kräva att ett tekniskt gränssnitt öppnas, utan detta blir beroende av respektive myndighets prövning och beslut. Ett tekniskt gränssnitt kan i enlighet med bestämmelsen öppnas också för information som överförs med stöd av särskilt föreskrivna rättigheter till information och som innehåller också sekretessbelagda uppgifter eller uppgifter om särskilda persongrupper. Enligt den första meningen i paragrafens 1 mom. kan en myndighet via tekniska gränssnitt överföra information till en aktör som inte är en annan myndighet, om den mottagande aktören uttryckligen enligt lag har rätt att få informationen och hantera den. Bestämmelsen innebär att det blir möjligt att via ett tekniskt gränssnitt överföra information också till informationssystem utanför förvaltningen, om förutsättningarna är uppfyllda och om myndigheten anser att överföringsmetoden är ändamålsenlig. I offentlighetslagen och speciallagstiftning föreskrivs om informationsrättigheter. En myndighet ska utöver informationsrätten särskilt utreda om informationsmottagaren med stöd av bestämmelserna om skydd för personuppgifter har rätt att behandla överförda personuppgifter. En överföring via ett tekniskt gränssnitt kan således ske först efter det att myndigheten har bestämt att mottagaren har rätt att få och behandla information vid sådan upprepad och kontrollerad informationsöverföring som sker via ett tekniskt gränssnitt. Bestämmelsen möjliggör informationsöverföring via tekniska gränssnitt utan att det behövs några särskilda bestämmelser om saken i speciallagstiftning. Sådana åtgärder kan ha samband exempelvis med näringsverksamhet, utvecklingsverksamhet eller forskningsverksamhet. Bestämmelserna om användning av tekniska gränssnitt för informationsöverföring ska i regel ingå i en enda lag. Genom bestämmelsen möjliggörs inte vidareöverföring av information med hjälp av tekniska gränssnitt till någon annan verksamhet, utan bestämmelser om saken ska tas in i speciallagstiftning. I paragrafens andra mening hänvisas till de allmänna förutsättningarna i 22 §. I praktiken ska samma krav uppfyllas i fråga om överföring av information via tekniska gränssnitt både mellan myndigheters informationssystem och mellan förvaltningsexterna informationssystem.  
Enligt den tredje meningen i paragrafens 1 mom. ska den överlåtande myndigheten säkerställa att den mottagande aktören vid hanteringen av informationen vidtar motsvarande informationssäkerhetsåtgärder som en informationshanteringsenhet är skyldig att vidta enligt denna lag. En myndighet ska med stöd av bestämmelsen utreda och säkerställa att den verksamhet för vilken information överförs uppfyller motsvarande säkerhetskrav som informationsmaterialen i myndighetens informationslager och behandlingen av dem. Myndigheten kan be om en utredning av hur informationssäkerheten ordnats, ställa krav på den eller förutsätta en rapport om säkerhetsauditering av den aktör som får informationen. Om det är fråga om information som inte är belagd med begränsningar i fråga om tillgången eller användningen, kan myndigheten lämna ut informationen via ett tekniskt gränssnitt också utan någon särskild utredning. Av denna anledning nämns i den andra meningen att myndigheten vid behov ska säkerställa informationssäkerheten. Därför ska myndigheten särskilt bedöma vilka informationsmaterial som behöver förses med kontrollfunktioner. Om materialet i ett informationslager är helt offentligt finns det inga skäl för myndigheten att utreda grunderna för användningen av informationsmaterialet eller informationssäkerhetsarrangemangen i mottagarens verksamhet. Informationen kan i så fall överföras öppet utan någon särskild utredning.  
I paragrafens 2 mom. föreskrivs det särskilt om överföring av information i annat elektroniskt format och om elektroniska förbindelser som erbjuds allmänheten som informationstjänster. Bestämmelsen är en allmän informativ hänvisning vars syfte är att förtydliga att det finns särskilda bestämmelser om informationsöverföring på annat elektroniskt sätt bland annat i lagen om offentlighet i myndigheternas verksamhet. En myndighet kan med stöd av paragrafen inte öppna allmänna informationstjänster i ett datanät när det gäller informationsmaterial som innehåller personuppgifter som ingår i myndighetens datalager, utan det måste föreskrivas särskilt om saken i lag, så som grundlagsutskottet i fråga om personuppgifter i olika sammanhang har förutsatt (GrUU 2/2017 rd, GrUU 65/2014 rd och GrUU 32/2008 rd). 
6 kap. Ärendehantering samt informationshantering av tjänster
25 §. Registrering i ärenderegister. I denna paragraf föreskrivs om anteckningar i ärenderegister samt om informationshanteringsenhetens skyldighet att se till att offentliga anteckningar i ärenderegister eller dess delar kan användas för produktion av information som gör det möjligt att specificera begäran om information. Ärenderegistret är ett logiskt register bestående av metadata som uppkommer i samband med behandlingen i en informationshanteringsenhet, oberoende av i vilket informationssystem metadatan har uppkommit. Av denna anledning bildar metadata som enbart finns i ett informationshanteringssystem inte i alla situation ett ärenderegister. Till registret hör också metadata som uppkommer i ett operativt informationssystem och beskriver ärendebehandlingens förlopp. Ärenderegistret upprätthålls i syfte att förverkliga handlingsoffentligheten, specificera informationsbegäran, strukturera dokumentär information, organisera åtgärder i anslutning till ärendebehandlingen, följa upp offentlighetsprincipen och styra processerna. Ärenderegistret främjar således förverkligandet av offentlighetsprincipen samt uppföljningen och verifieringen av en ändamålsenlig och smidig ärendebehandling på det sätt som hör till en god förvaltning. Med ärenderegister avses myndighetsdiarier som stämmer överens med den tidigare terminologin och andra motsvarande förteckningar, men till ärenderegister hör också sådana uppgifter om ärendehantering som ingår i informationssystem. Paragrafens innehåll motsvarar huvudsakligen offentlighetslagens 18 § 1 mom. 1 punkten som föreslås bli upphävd samt 5—6 § i förordningen om offentlighet och god informationshantering i myndigheternas verksamhet, som också upphävs.  
Enligt den första meningen i paragrafens 1 mom. ska en informationshanteringsenhet över de ärenden som behandlas hos en myndighet upprätthålla ett ärenderegister för registrering av information om ärenden, ärendebehandling och handlingar. Informationshanteringsenheterna och myndigheter inom dem är således skyldiga att upprätthålla informationen i ärenderegistret samt att koppla informationen till respektive ärende som behandlas. Enligt momentets andra mening ska myndigheten utan dröjsmål föra in sådana handlingar i ärenderegistret som har inkommit till myndigheten eller som den har upprättat, eftersom varje myndighet i praktiken ombesörjer registreringen av handlingar i ärenderegistret. Avsikten med bestämmelsen är att effektivisera myndigheternas registrering i anslutning till ärendehanteringen. En myndighet ska utan dröjsmål registrera ärenden som har inkommit till den eller som den har upprättat. Registreringen ska således göras då en handling har inkommit till myndigheten eller då myndigheten har upprättat en handling för sitt användningsändamål. Registreringsskyldigheten gäller handlingar som uppkommer i samband med att ett ärende inleds, behandlas och delges, men också andra handlingar som uppkommer i samband med myndighetens verksamhet. I 27 § föreskrivs uttryckligen om handlingar som uppkommer i samband med tjänsteproduktion och om informationshanteringen av dem.  
Ärenderegistrets informationsinnehåll består av basmetadata om ärendebehandling. Bestämmelser om basmetadata finns i 26 §. I ärenderegistret finns således metauppgifter om ärenden och ärendebehandling samt om handlingar. Ärenderegistret är således inte nödvändigtvis ett informationssystem och information som hör till ett ärenderegister inte behöver tas in i ett enda informationssystem. Informationshanteringsenheterna ska ha en tydlig beskrivning av var det uppkommer information som hör till ärenderegistret och hur denna information kan fås i ett sådant format att handlingsoffentligheten kan förverkligas.  
Den föreslagna bestämmelsen kan på ett heltäckande sätt tillämpas på informationshanteringsenheternas och de inom dessa verksamma myndigheternas verksamhet samt också på privata aktörer, till den del som de behandlar sådana handlingar som avses i denna lag. Bestämmelsen om registrering är brett tillämplig eftersom det på grund av informationen i ärenderegistren finns ett viktigt samband mellan specificeringen av informationsbegäran och förverkligandet av handlingsoffentligheten. Bestämmelsen främjar förverkligandet av den grundlagsfästa handlingsoffentligheten. Av denna anledning föreskrivs i paragrafens 2 mom. uttryckligen om informationshanteringsenhetens skyldighet att se till att ett ärenderegister som uppkommer i dess verksamhet eller delarna av ett sådant register gör det möjligt att producera information utifrån offentliga anteckningar som gör det möjligt att individualisera individualiseringsbegäran i enlighet med offentlighetslagen. Det räcker således inte att ärendehanteringssystemen har egenskaper som gör att de kan användas för att producera en vy av ärenderegistrets offentliga anteckningar, utan informationssystemen måste kunna användas för att skapa förteckningar eller vyer som gör det möjligt att specificera en handlingsbegäran. Bestämmelsen, som inte är ny, ingår i offentlighetslagens 18 § 1 mom. 1 punkten, men den preciseras så att det blir möjligt att i en elektronisk verksamhetsmiljö säkerställa att tillgången till information de facto förverkligas på det sätt som avses i offentlighetslagen. 
26 §. Uppgifter som ska registreras i ärenderegister. I denna paragraf föreskrivs om hantering av ärenderelaterade basmetadata och om ärendekoder som används för specificering av basmetadata. I lagen definieras inte begreppet ärende, men därmed avses vanligen inom dokumentförvaltningen en helhet som inkommit till en myndighet för behandling eller som myndigheten tagit upp till behandling och som resulterar i att myndigheten i sin verksamhetsprocess (ärendehanteringsprocess) vidtar åtgärder som i slutändan leder till att myndigheten fattar ett beslut, exempelvis ett förvaltningsbeslut, ger ett förordnande, ett utlåtande, en proposition, en anvisning eller någon annat ställningstagande. I förvaltningslagen definieras inte uttryckligen begreppet förvaltningsärende, utan det har lämnats öppet. Av dessa skäl definieras begreppet ärende inte i den föreslagna informationshanteringslagen. På basis av ett ärendes basmetadata är det möjligt att identifiera handlingar och annan information som har samband med ett ärende.  
Enligt paragrafens 1 mom. ska en informationshanteringsenhet förse de ärenden som myndigheten behandlar eller som tilldelats myndigheten med en ärendekod som gör det möjligt att identifiera uppgifter som rör ärendet. Med hjälp av ärendekoden ska det vara möjligt att identifiera metadata i anslutning till ärendet och med bestämmelsen uppställs för ärendekoden inga innehållsmässiga formkrav. De diarienummer, diariekoder och ärendenummer som myndigheterna använder motsvarar således syftet med en ärendekod om kodserierna som används specificerar metadata i anslutning till ärendet. Bestämmelsen får således inga direkta konsekvenser för de ärendekoder som är i användning. Bestämmelsen koordinerar terminologin i fråga om ärendekoder och metadata så att de metadata som avser ett ärende ska kunna sökas och specificeras på basis av ärendekoden. Ärendekodens innehåll blir beroende av informationshanteringsenhetens prövning, men vid behov kan metadata om ett ärende, liksom tidigare, utnyttjas i ärendekoden. Informationshanteringsenheten ska emellertid skapa en integrerad helhet av ärendekoderna så att ärendena kan identifieras på ett entydigt sätt.  
Paragrafens 2 mom. är en förteckning över de basmetadata som en informationshanteringsenhet ska fastställa för varje ärende som behandlats i en verksamhetsprocess. Förteckningen är inte uttömmande utan den anger minimikraven när det gäller basmetadata i ett ärende. Bestämmelsen är ny i förhållande till den nuvarande regleringen, men motsvarar huvudsakligen vad som också hittills har registrerats i diarier och andra förteckningar.  
Till basmetadata hör enligt förteckningen i paragrafens 2 mom. 1 punkten informationshanteringsenhetens företags- och organisationsnummer. Exempelvis kommuner och statliga ämbetsverk har FO-nummer som börjar användas som basmetadata för identifiering av den informationshanteringsenhet inom vars verksamhet de handlingar och annan information som ingår i informationsmaterialet har uppkommit. Via ett allmänt datanäts informationsservice om företag och sammanslutningar kan var och en ta redan på FO-nummer. FO-nummer kan vara behövlig metadata då man skapar mera omfattande informationslager av olika informationshanteringsenheters informationsmaterial, vilket innebär att den information som specificerar en organisation ska vara entydig och baserad på en permanent kod. I samband med fusion mellan informationshanteringsenheter, exempelvis kommunsammanslagningar och sammanslagningar av ämbetsverk, är det viktigt att specificera och göra åtskillnad mellan informationsmaterial som har uppkommit i en tidigare organisation respektive informationsmaterial som har uppkommit i en ny struktur. Också i samband med utvecklandet av centraliserade elektroniska arkivtjänster behövs det information på organisationsnivå. I fråga om centraliserade informationslager och arkiv ska informationen specificeras så att det kan verifieras hos vilken av en informationshanteringsenhets myndigheter informationsmaterialet har uppkommit och vem som svarar för behandlingen av informationen. För närvarande används identifieringskoder för myndigheter inte över hela linjen och inte heller bokstavskombinationer om utvecklats inom dokumentförvaltningen utgör en tillräckligt heltäckande och integrerad bas för specificering av informationsmaterial inom förvaltningen eller för hantering av information i anslutning till ärendebehandling.  
Enligt paragrafens 2 mom. 2 punkten ska i basmetadata ingå en identifieringskod, dvs. information som gör det möjligt att utreda vilken myndighet i en informationshanteringsenhet som ska lämna information i ett ärende och i övrigt ansvara för hanteringen. Informationen ska vara i en så begriplig form att också en utomstående förstår till vilken myndighets informationsmaterial uppgifterna i ärendet hör. Också en allmänt använd förkortning av myndighetens namn kan identifiera myndigheten. 
Enligt 3 punkten ska metadata förses med en kod som identifierar verksamhetsprocessen och som kan vara till exempel en beteckning som anger uppgiftsklassen eller motsvarande. I den nuvarande verksamhetsmiljön är det inte möjligt att standardisera verksamhetsprocessernas beteckningar, trots att informationshanteringsenheterna målmedvetet har arbetat för att utveckla uppgiftsklassificeringarna. I samband med lagberedningen har gjorts den bedömningen att myndigheterna i detta skede inte har beredskap att skapa enhetliga beteckningar för verksamhetsprocesserna, trots att det skulle förbättra interoperabiliteten och främja effektiviseringen av informationshanteringen. I och med att verksamheten utvecklas kan det vara skäl att ompröva beteckningarna i anslutning till specificeringen av verksamhetsprocesserna, då verkställigheten av den föreslagna lagen följs upp. En informationshanteringsenhet kan således själv besluta om de beteckningar som anger verksamhetsprocesserna, om inte något annat föreskrivs i speciallagstiftning. I förteckningens 4 punkt förskrivs om basmetadata som anger tidpunkten då ett ärende inleddes, dvs. den tidpunkt då en myndighet enligt vad som framgår av de handlingar som inkommit till den har inlett ärendet eller på eget initiativ har vidtagit åtgärder för att inleda ärendet.  
I paragrafens 3 mom. föreskrivs om minimikraven när det gäller basmetadata som anger en handling som inkommit till en myndighet. Vid behov kan informationshanteringsenheterna definiera också andra metadata. I fråga om en handling ska enligt momentets 1 punkt registreras åtminstone sådana uppgifter att handlingen kan identifieras på något sätt. Identifieringen kan baseras på en numerisk kod eller på något annat kännetecken eller på handlingens rubrik. Enligt momentets 2 punkt ska också handlingens ankomsttidpunkt registreras. Den registreringen är delvis beroende av på vilket sätt handlingen inkommit, eftersom handlingar som kommit per post kan hänföras till ett visst ankomstdatum, medan handlingens ankomsttidpunkt i samband med elektroniska överföringsmetoder eller digitala tjänster kan hänföras till ett klockslag en bestämd dag. Registreringen av ankomsttidpunkten, som behövs bland annat för beräkning a tidsfrister, har således en särskild betydelse för rättsskyddet. Enligt 3 punkten ska det också registreras på vilket sätt handlingen inkommit, vilket har samband ankomsttidpunkten. Ankomstsättet har betydelse för hur ankomsttidpunkten ska anges då tidsfrister beräknas eller fastställs. I fråga om elektroniska metoder för informationsöverföring föreskrivs det på allmän lagnivå om ankomsttiden och om åtgärder gällande inkommande handlingar i lagen om elektronisk kommunikation i myndigheternas verksamhet, medan det i förvaltningslagen finns bestämmelser om åtgärder vid mottagande av en handling som inkommit till en myndighet per post eller på något motsvarande sätt, om bestämmande av ankomsttidpunkten och om inledande av ärenden. Registreringen av ankomstsättet har samband med säkerställande av avsändarens rättsskydd samt fastställande av tillämpningen av bestämmelserna om inkommande och inledande av ärenden i efterhand exempelvis i samband med laglighetsövervakningen eller räknande av tidsfrister. Enligt momentets 4 punkt ska i fråga om en handling registreras också dess avsändare eller ombud. Handlingen har eventuellt avsänts av någon annan än parten själv, vilket innebär att det med tanke på uppkomsten av dokumentärt material i olika skeden av ärendebehandlingen är viktigt att registrera uppgifter om avsändarna, i synnerhet om avsändaren inte är en part. Det finns bestämmelser om avsändare och ombud i annan lagstiftning.  
I paragrafens 4 mom. föreskrivs om registrering av handlingar som upprättats av en myndighet. Handlingar som upprättats av en myndighet ska på basis av basmetadata kunna identifieras på något sätt, antingen med en identifieringskod eller på basis av rubrikuppgifter. I fråga om den som upprättat en handling ska registreras sådana uppgifter att det i efterhand är möjligt att verifiera vem som ansvarar för handlingens innehåll. Med tidpunkten för upprättandet avses den tidpunkt då en myndighetshandling registreras i ärenderegistret eller den tidpunkt då en handling har blivit färdig för sitt användningsändamål. Till metadata för en myndighetshandling kan dessutom fogas också annan information som kan gälla bland annat beslutsfattandet eller undertecknarna.  
I paragrafens 5 mom. föreskrivs om andra uppgifter som har samband med ärendebehandlingen. Enligt momentets 1 punkt ska i ärenderegistret registreras vem som inlett ärendet och vid behov övriga parter. Uppgifter om vem som inlett ärendet och vilka parterna är behövs bland annat för delgivning i ett senare skede och således för tryggande av parternas rättsskydd. Om samtliga parter inte kan identifieras eller om det är fråga om en omfattande grupp av personer, ska i fråga om parterna registreras åtminstone vilka partskategorier det är fråga om, om de kan fastställas. Av ärenderegistret ska enligt 2 punkten framgå hur behandlingen framskridit. Denna bestämmelse sammanhänger med förvaltningslagens 23 § 2 mom. där det föreskrivs att en myndighet på en parts begäran ska ge en uppskattning om när ett beslut kommer att ges samt svara på förfrågningar om hur behandlingen framskrider. Uppgifterna om hur ett ärende framskridit underlättar kundbetjäningen eller också är det möjligt att på basis av dem tillhandahålla informationstjänst som gör det möjligt för en part att följa hur behandlingen av ett ärende har framskridit. Med uppgifter om hur ett ärende framskridit avses i lagen inte teknisk information om ett ärende eller en handling, utan sådana uppgifter som avser ärendebehandlingen. I momentets 3 punkt föreskrivs om myndighetens skyldighet att i ärenderegistret registrera förberedande åtgärder och behandlingsskeden så att det i efterhand kan konstateras hur behandlingen har genomförts och vilka åtgärder som har vidtagits i samband med den. Exempelvis en utredningsbegäran eller ett remissförfarande är förberedande åtgärder som inte utgör en egen ärendebehandlingsprocess. Myndigheterna ska således också ombesörja att i ärenderegistren inte i onödan registreras nya omständigheter som de facto har samband med åtgärder som avser redan existerande ärenden. Myndigheterna ska undvika att inom ramen för samma ärendebehandling inleda och registrera flera ärenden. Ärendebehandlingarna ska utgöra en integrerad helhet.  
27 §. Hantering av informationsmaterial i samband med tjänsteproduktion. I myndighetsverksamhet produceras en hel del informationsmaterial också i andra sammanhang än ärendebehandling. Hittills har det i lagstiftningen inte funnits några allmänna bestämmelser om hur hanteringen av metadata som avser denna typ av informationsmaterial ska ordnas. I speciallagstiftning har det emellertid kunnat föreskrivas hur exempelvis enskilda dokument uppkommer i samband med tjänsteproduktion. I syfte att förverkliga handlingsoffentligheten måste informationshantering och informationsbegäran också säkerställas i samband med tjänsteproduktion. Enligt den föreslagna paragrafen ska en informationshanteringsenhet organisera hanteringen av informationsmaterial som uppkommer i annat sammanhang än ärendehantering på ett sådant sätt att de dokument som skapas utifrån informationsmaterialet kan sökas med en kod som anger informationsmängder, så att informationen utan svårighet kan överföras till behöriga personer. Syftet med bestämmelsen är att understryka handlingsoffentligheten i fråga om informationsmaterial som inte har uppkommit i samband med ärendebehandling. Information ska kunna hämtas också ur dessa material, bland annat i syfte att förverkliga handlingsoffentligheten och parternas rättigheter. Informationshanteringen när det gäller informationsmaterial som uppkommer i samband med produktion av sådana tjänster ska ordnas så att informationen kan sökas med hjälp av en identifieringskod. Det kan vara fråga om ett kundnummer, en personbeteckning, ett FO-nummer, en fastighetsbeteckning, ett studentnummer, en tjänstekod eller någon annan motsvarande identifieringsuppgift. Enligt paragrafens andra mening ska myndigheten utan dröjsmål registrera handlingar och övrig information som uppkommer i samband med tjänsteproduktion så att det i efterhand är möjligt att konstatera handlingar och övrig information sambandet med tjänsteproduktion. Vid skapandet av sådana metadata kan man utnyttja bestämmelserna om metadata, men metadata som uppkommer i samband med tjänsteproduktion blir beroende av speciallagstiftning och informationshanteringsenheternas egna definitioner. I paragrafen förutsätts således att informationsmaterial som uppkommer närmast i samband med tjänsteproduktion ska utformas så att man kan göra informationssökningar i dem. I samband med tjänsteproduktion ska i praktiken produceras samma typ av metadata om tjänsteprocesser som i fråga som ärendebehandlingsprocesser. Det ska vara möjligt att i informationsmaterialet ange i samband med vilken verksamhetsprocess det i informationsmaterialet har uppkommit handlingar eller annan motsvarande information. Sådana tjänster som avses i paragrafen är bland annat barndagvård, undervisning och hemvård. I samband med produktion av dessa tjänster kan det också förekomma verksamhetsprocesser som utgör en ärendebehandlingsprocess, exempelvis i samband med ansökan om dagvårdsplats.  
28 §. Beskrivning i syfte att genomföra handlingsoffentligheten. I denna paragraf föreskrivs om en informationshanteringsenhets skyldighet att beskriva de informationslager och ärenderegister som den förvaltar. Beskrivningen ska ersätta offentlighetslagens gällande 18 § 1 mom. 2 punkten där det föreskrivs om skyldigheten att beskriva datasystem och de offentliga uppgifter som kan tas fram ur dessa. Genom beskrivningen genomförs offentlighetsprincipen, eftersom beskrivningen underlättar informationsbegäran. Enligt offentlighetslagens 13 § 1 mom. ska en begäran om att få ta del av innehållet i en myndighetshandling individualiseras tillräckligt noggrant så att myndigheten ska kunna utreda vilken handling den avser. Den som begär en handling ska med diarier och andra register bistås vid individualiseringen av de handlingar som han eller hon önskar ta del av. För att individualiseringen av en sådan informationsbegäran som avses i offentlighetslagen ska kunna genomföras hos en informationshanteringsenhet, ska enheten ha en beskrivning varav framgår tillräcklig information för att framställa en informationsbegäran. Med hjälp av beskrivningen kan var och en få information om i vilken omfattning och hur myndigheten behandlar information i anslutning till ärendebehandling och tjänsteproduktion.  
Enligt paragrafens 1 mom. ska en informationshanteringsenhet för genomförande av offentlighetsprincipen upprätthålla en beskrivning av de informationslager och ärenderegister som den förvaltar. I momentet ingår en förteckning över vilka uppgifter som ska framgå av beskrivningen. Enligt momentets 1 punkt ska av beskrivningen framgå vilka informationssystem som innehåller uppgifter eller informationsmaterial som hör till ärenderegistret eller informationshanteringen för tjänsterna. Ärenderegistret i en informationshanteringsenhet utgör en logisk helhet i vilken ingår samtliga metadata om ärendebehandlingen. Hos de flesta informationshanteringsenheterna ingår ärenderegistrets uppgifter i ärendehanteringssystemet, men också i olika operativa informationssystem. Avsikten är att informationshanteringsenheterna bättre ska beskriva i vilka informationssystem och på vilka andra underlag de har uppgifter som hör till ärenderegistret. Av beskrivningen ska framgå hur informationshanteringsenhetens ärenderegister är uppbyggda. På motsvarande sätt ska informationshanteringsenheterna beskriva i vilka informationssystem det uppkommer information som hör till informationshanteringen för tjänsterna, för att det ska framgå hur informationshanteringen är uppbyggd. Enligt momentets 2 punkt ska av beskrivningen framgå vilken myndighet som beslutar om utlämnande av information från ärenderegistret och informationssystemet samt kontaktuppgifter för framställande av en informationsbegäran till myndigheten. Enligt offentlighetslagens 14 § ska beslut om att en myndighetshandling lämnas ut fattas av den myndighet som innehar handlingen, om inte något annat föreskrivs i 15 § 3 mom. eller någon annanstans i lag. Med hjälp av beskrivningen kan den som ber om information framföra sin begäran tydligt och mödolöst till den myndighet som fattar beslut om utlämnandet. Enligt momentets 3 punkt ska av beskrivningen framgå vilka kategorier av informationsmaterial som ingår i informationssystemen. Skyldigheten att offentliggöra systemens informationsmaterial kategorivis förbättrar offentligheten och möjliggör tillräcklig individualisering av informationsbegäran. Enligt momentets 4 punkt ska av beskrivningen framgå grunderna för sökning av offentliga handlingar eller annan information. Enligt 5 punkten ska av beskrivningen framgå om det finns öppen tillgång till informationsmaterial via ett tekniskt gränssnitt. Om det finns öppen tillgång till informationsmaterial via ett tekniskt gränssnitt ska det av beskrivningen framgå var informationen finns tillgänglig. Förteckningens 5 punkt innebär inte att i beskrivningen ska ingå vilken som helst information via gränssnitt, utan endast information om sådana gränssnitt som är allmänt tillgängliga och genom vilka det är möjligt att få och utnyttja informationsmaterial som uppkommit hos myndigheter. I 19 § 2 mom. finns en särskild bestämmelse om informationsmaterial i maskinläsbart format.  
I paragrafens 2 mom. föreskrivs om informationshanteringsenhetens skyldighet att i ett allmänt datanät offentliggöra en sådan beskrivning som avses i 1 mom., till den del som informationen i beskrivningen inte är sekretessbelagd. Med stöd av bestämmelsen ska beskrivningen vara tillgänglig exempelvis på informationshanteringsenhetens webbsidor. Beskrivningens tillgänglighet betjänar genomförandet av offentlighetsprincipen.  
7 kap. Särskilda bestämmelser
29 §. Ikraftträdande. I denna paragraf ingår en ikraftträdandebestämmelse. Avsikten är att lagen ska träda i kraft så snart som möjligt, på grund av att regleringen av informationshanteringen är föråldrad och i syfte att eliminera inkonsekvenser i regleringen. Enligt paragrafen om ikraftträdandet ska lagen om informationsförvaltning inom den offentliga förvaltningen upphävas.  
30 §. Övergångsbestämmelser. I den föreslagna lagen ingår övergångsbestämmelser eftersom informationshanteringsenheterna när lagen träder i kraft inte har all den beredskap som behövs för tillämpning av den nya lagen och de nya bestämmelserna i den. Till den del som lagens bestämmelser motsvarar den gällande lagen, men lagstiftning som ska upphävas eller ändras eller om regleringen motsvarar redan gällande praxis ska det enligt förslaget inte föreskrivas om övergångstider.  
Enligt paragrafens 1 mom. ska informationshanteringsenheterna utarbeta en informationshanteringsmodell enligt 5 § senast 12 månader efter att denna lag trätt i kraft. För närvarande har myndigheterna beskrivningar av behandlingsåtgärder och informationssystem, arkivbildningsplaner (informationsstyrningsplan) och arkitekturbeskrivningar, för vilkas sammanställande och koordinering det är skäl att reservera tillräckligt med tid. Eftersom en informationshanteringsmodell ska produceras på basis av existerande dokument kan 12 månader anses vara en tillräckligt lång tid för utarbetandet av informationshanteringsplanen.  
I paragrafens 2 mom. föreskrivs om genomförande av andra myndigheters informationssäkerhetskrav än sådana som verkar inom statliga ämbetsverk och inrättningar. En del av informationssäkerhetskraven är baserade på gällande krav som föreskrivs i offentlighetslagens 18 § samt i EU:s dataskyddsförordning. För kraven har tidigare föreskrivits om egna övergångstider. Då kraven dessutom motsvarar myndigheternas gällande praxis, är de föreslagna ändringarna inte så betydande att det för dem skulle behövas en längre övergångstid än tre år. I fråga om de myndigheter som är verksamma vid statliga ämbetsverk och inrättningar förändras kraven inte på ett sätt som skulle förutsätta att det föreskrivs om en särskild övergångstid.  
I paragrafens 3 mom. finns övergångsbestämmelser för genomförande av förfaranden i anslutning till elektroniskt format samt för tillgängligheten i fråga om informationsmaterial. En myndighet ska inom 18 månader efter det att lagen trätt i kraft genomföra de förfaranden som kraven avser när det gäller att till elektroniskt format omvandla handlingar som inkommer i annat än elektroniskt format, förvaring av handlingar i elektroniskt format samt utnyttjande av en annan myndighets informationsmaterial. Myndigheten ska ombesörja informationsmaterialens tillgänglighet och användningsmöjligheter i ett allmänt maskinläsbart format inom två år efter det att lagen trätt i kraft i enlighet med 19 § 2 mom. Genom övergångsbestämmelser ges myndigheterna tillräckligt med tid för att säkerställa förfarandenas lagenlighet. Bestämmelserna gäller nya informationsmaterial som uppkommer, vilket innebär att bestämmelserna inte tillämpas på informationsmaterial som uppkommit före utgången av övergångsperioderna. Det finns dock heller inget hinder för att lagens bestämmelser tillämpas vid myndigheterna redan före utgången av övergångsperioden. Dessutom innehåller momentet en övergångsperiod på 12 månader som gäller bestämmelserna i 20 § om insamling av uppgifter. Den föreslagna övergångsperioden på 12 månader gör det möjligt för myndigheterna att se över tillvägagångssätten för insamling av uppgifter.  
I paragrafens 4 mom. föreskrivs om ministeriernas skyldighet att inom sina respektive ansvarsområden inom 12 månader från det att lagen trätt i kraft, med hjälp av tekniska gränssnitt mellan myndigheterna utreda vilka objekt som förutsätter reglering och upprätthållande av regelbunden och standardiserad informationsöverföring. Ministerierna ansvarar för beredningen av regleringen som gäller utlämnande av information och ministeriernas uppgift har ända till september 2011, i enlighet med 8 § 1 mom. i lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen, varit att utarbeta och upprätthålla beskrivningar och definitioner av interoperabiliteten mellan informationssystemen inom sitt eget ansvarsområde. Eftersom det finns sådan information som förutsätts för genomförande av den skyldighet som ministerierna ska ansvara för enligt föreslagna 22 § 3 mom., kan 12 månader anses vara en tillräckligt lång tid för utredning av de objekt för definition av gränssnitten som avses i lagen.  
I paragrafens 5 mom. föreskrivs om tidsfristerna för ändringar i informationssystemen när det gäller myndigheternas insamling av logginformation, utlämnande av information via tekniska gränssnitt och öppnande av elektronisk förbindelse till myndigheter. Bestämmelserna ska tillämpas på informationssystem som anskaffas efter det att lagen trätt i kraft, vilket innebär att myndigheterna får tillräckligt med tid för att säkerställa att de krav som ställs på de framtida anskaffningarna motsvarar kraven enligt informationshanteringslagen. De krav gällande elektroniskt utlämnande av information som anges i lagens 22—24 § ska genomföras på informationssystem som anskaffats innan lagen trätt i kraft, i samband med uppdateringen av informationssystemens tekniska gränssnitt och elektroniska förbindelser. De ändringar som görs i samband med uppdateringar ska dock genomföras senast fyra år efter det att lagen trätt i kraft. De krav gällande insamling av logginformation som föreskrivs i lagens 17 § ska genomföras i informationssystemen senast två år efter det att lagen trätt i kraft. Övergångsbestämmelserna innebär att myndigheterna enligt prövning kan ändra sina informationssystem så att de blir lagenliga vid en ändamålsenlig tidpunkt, i samband med utvecklingen av systemanskaffningarna och utvecklingen under systemens normala livscykel. De lagar som innehåller sådana bestämmelser om tekniska anslutningar som enligt vad som föreslås i denna regeringsproposition ska upphävas träder enligt förslaget i kraft samtidigt som informationshanteringslagen, men på gamla tekniska anslutningar tillämpas i högst 48 månader de gamla, upphävda bestämmelserna. I enlighet med den nya informationshanteringslagen kan tekniska anslutningar moderniseras under övergångsperioden, varvid informationshanteringslagens bestämmelser börjar tillämpas efter ändringarna. 
I paragrafens 6 mom. finns övergångsbestämmelser för förfarandena i fråga om ärendehanteringen och informationshanteringen av tjänster. Myndigheterna ska inom 12 månader efter det att lagen trätt i kraft ordna ärende- och handlingsregistreringen och hanteringen av informationsmaterial i samband med tjänsteproduktion och beskriva de informationslager och ärenderegister som de förvaltar i enlighet med kraven i 26—28 §. De krav gällande registrering av handlingar som inkommit till en myndighet och som myndigheten utformat är redan baserade på de krav som föreskrivs i den gällande offentlighetslagens 18 § och för vilka egna övergångstider gällde, så 25 § börjar tillämpas genast vid ikraftträdandet av lagen. Eftersom innehållet i beskrivningen av ärenderegister och informationslager motsvarar innehållet i beskrivningarna som gäller behandlingen av information som upprätthålls av myndigheter, informationssystembeskrivningarna, arkivbildningsplanerna (informationsstyrningsplanen) och arkitekturbeskrivningarna, kan övergångstiden på 12 månader anses vara tillräcklig för utarbetande av beskrivningen. 
1.2
Lagen om offentlighet i myndigheternas verksamhet
3 §. Lagens syfte. I paragrafens bestämmelse om lagens syfte föreslås en sådan ändring att i ordalydelsen stryks hänvisningen till god informationshantering. Ett viktigt syfte med offentlighetslagen har varit att främja god informationshantering. Avsikten har varit att med det begreppet förena sådana förpliktelser i fråga om beaktande av olika intressen i anslutning till myndigheternas informationsmaterial som exempelvis handlingsoffentlighet och sekretess, arkivering, skyddandet av personuppgifter och användningsbegränsningar för information samt informationssäkerhet. Begreppet god informationshantering har inneburit att myndigheterna ska ombesörja tillgängligheten, användbarheten och kvaliteten när det gäller informationen om sin verksamhet och i samband med den samt se till att informationen skyddas på ett ändamålsenligt sätt. Informationsrelaterade rättigheter ska beaktas bland annat i samband med planeringen och införandet av informationssystem på ett sådant sätt att offentliga handlingar är lätt tillgängliga. 
Ombesörjandet av tillgängligheten innebär dels skötsel av uppgifter som avser handlingsoffentlighet och dels också skyldighet att främja produktion och distribution av information om myndighetsverksamhet och om sådana åtgärders genomslag som vidtas inom den offentliga förvaltningen. Tillgängligheten betjänas av att handlingarna katalogiseras och arkiveras. Myndigheterna ska också säkerställa tillgången på information som behövs inom deras verksamhet, vilket förutsätter utredning av vilken information som behövs för skötseln av uppgifterna samt att det inte finns några legislativa eller tekniska hinder för att informationen ska kunna användas på ett ändamålsenligt sätt. 
För att informationen ska vara användbar krävs det att den på ett planerat sätt står till deras förfogande som är behöriga att ta del av den. Begreppet användbarhet har också kunnat förstås så att informationen ska vara användningsduglig, vilket innebär att begreppet också har hänvisat till informationens kvalitet. Ombesörjandet av användbarheten som ett element i god informationshantering har inneburit att den behövliga informationen störningsfritt och på ett sätt som verksamheten förutsätter är tillgänglig för skötseln av tjänsteuppgifter. Användbarheten har även hängt samman med beaktandet av andra myndigheters informationsbehov och till det anslutna krav i sådana fall då en annan myndighet är beroende av information som kommer från något annat håll och av informationens kvalitet. 
Kvaliteten på myndigheternas informationsmaterial har betydelse också för individernas och sammanslutningarnas rättssäkerhet samt bland annat när det gäller att säkerställa en solid kunskapsbas för det samhällspolitiska beslutsfattandet. Det har gjorts försök att med hjälp av informationssäkerhetsåtgärder minska de risker som är förenade med databehandling. Med informationens integritet avses bevarande av informationens form mot oavsiktliga eller lagstridiga ändringar. Andra kvalitativa krav på informationen har bland annat samband med dess innehåll i förhållande till användningsändamålet. 
I offentlighetslagens 18 § föreskrivs om införande och genomförande av en god informationshantering. I fortsättningen ska motsvarande bestämmelser finnas i lagen om informationshantering inom den offentliga förvaltningen. Av denna anledning föreslås det också att till paragrafen fogas ett nytt 2 mom. med en informativ hänvisning till den föreslagna lagen om informationshantering inom den offentliga förvaltningen. I bestämmelsen om lagens syfte föreslås inga andra ändringar. 
15 §.Överföring till en annan myndighet av en begäran om att få ta del av en handling. I paragrafens 3 mom. föreskrivs om situationer där en myndighet är skyldig att överföra en sådan begäran om en handling som inkommit till den till en annan myndighet. Utgångspunkten för offentlighetslagen är den att beslut om att en myndighetshandling lämnas ut ska fattas av den myndighet som innehar handlingen (14 § 1 mom.). När det är fråga om en handling som en myndighet är skyldig att förse med en anteckning om säkerhetsklass, ska emellertid den myndighet besluta om utlämnande av handlingen som har de bästa förutsättningarna för utredning av ärendet. Av denna anledning ska en begäran om att få ta del av en handling enligt den gällande lagen överföras till den myndighet som har upprätta den säkerhetsklassificerade handlingen eller, om det är fråga om en handling som är säkerhetsklassificerad enligt lagen om internationella förpliktelser som gäller informationssäkerhet, till den myndighet till vilken en avtalspart har översänt den säkerhetsklassificerade handlingen. 
I den gällande offentlighetslagens 25 § och i statsrådets med stöd av den utfärdade förordning om informationssäkerheten inom statsförvaltningen föreskrivs om skyldigheten att anteckna säkerhetsklassen. Enligt förslaget ska det i fortsättningen föreskrivas om skyldigheten att anteckna säkerhetsklassen i lagen om informationshantering inom den offentliga förvaltningen. Därför föreslås det att hänvisningen till 25 § ersätts med en hänvisning till lagen om informationshantering inom den offentliga förvaltningen. I bestämmelsen föreslås inga ändringar i andra avseenden. 
16 §.Hur en handling skall lämnas ut. I denna paragraf föreskrivs på vilka sätt handlingar ska lämnas ut, dvs. hur handlingars offentlighet i praktiken ska förverkligas i tekniskt hänseende. I paragrafen föreskrivs inte om rätten till information utan denna rätt regleras i enlighet med lagens 9—12 §. Då tillgången till information är baserad på någon annan lag ska de bestämmelser iakttas om utlämnande av information som eventuellt ingår i en speciallag. Uppgifter ur en handling ska alltid lämnas ut på något av de sätt som föreskrivs i paragrafens 1 mom., dvs. muntligen eller så att handlingen läggs fram för påseende och kopiering eller får avlyssnas hos myndigheten eller så att en kopia eller utskrift av den lämnas ut. Utgångspunkten är den att informationen ska lämnas ut på det sätt som den som begärt informationen önskar. Enligt vad som föreskrivs i lagens 5 § avses med handling också elektroniskt lagrade anteckningar som är avsedda att höra samman. En kopia som avses i bestämmelsen kan också vara en kopia av en elektronisk handling. En handling kan ges till påseende också exempelvis så att den visas på en bildskärm. 
I paragrafens 2 mom. föreskrivs om utlämnande av information ur andra än traditionella handlingar. Enligt bestämmelsen har man av de offentliga uppgifterna i ett beslutsregister som förs av en myndighet med hjälp av automatisk databehandling rätt att få en kopia i form av en teknisk upptagning eller annars i elektronisk form, om inte särskilda skäl talar för något annat. Utlämnande av uppgifter i motsvarande form ur en annan offentlig handling beror på myndighetens prövning, om inte något annat föreskrivs. Den som begär information har i allmänhet rätt att få en kopia av myndighetens avgörande i form av en teknisk upptagning, till den del som avgörandet är offentligt. Rätten till information avser enligt bestämmelsen register som förs av en myndighet med hjälp av automatisk databehandling. Av särskilda skäl kan en begäran om en kopia emellertid avslås. Då information begärs i elektronisk form ur andra handlingar, ska myndigheten i enlighet med 17 § när den överväger sitt beslut beakta användningsändamålet för den begärda informationen i förhållande till offentlighetsprincipen och syftet med den. 
Paragrafens gällande 3 mom. innehåller en specialbestämmelse om utlämnande av personuppgifter. En begränsning gäller utlämnande av uppgifter ur en myndighets personregister i form av en kopia eller en utskrift eller i elektronisk form. Enligt den föreslagna lagens 29 § 3 mom. kan en myndighet för en annan myndighet öppna en teknisk anslutning till sådana uppgifter i sitt personregister som den andra myndigheten enligt en i lag särskilt bestämd skyldighet ska beakta när den fattar beslut. Syftet med bestämmelsen har varit att minska behovet av specialbestämmelser i sådana situationer i vilka det kan anses vara godtagbart att information lämnas ut och vilka är baserade på specialbestämmelser. Sekretessbelagd information har enligt bestämmelsen emellertid med hjälp av en teknisk anslutning kunnat lämnas ut endast om personer som givit sitt samtycke, om det inte uttryckligen föreskrivs något annat om utlämnande av sekretessbelagd information.  
Det föreslås att till paragrafen om utlämnande av handlingar ska fogas ett nytt 4 mom. med en hänvisning till vad som i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om överföring av information via ett tekniskt gränssnitt och en elektronisk förbindelse. I 22 § i den föreslagna informationshanteringslagen föreskrivs om överföring av information mellan myndigheter via ett tekniskt gränssnitt, i 23 § om öppnande av en elektronisk förbindelse till ett informationslager och i 24 § om överföring av informationsmaterial via ett tekniskt gränssnitt till andra än myndigheter. I de nämnda paragraferna föreskrivs också om förutsättningarna för att en myndighet kan öppna ett tekniskt gränssnitt eller en elektronisk förbindelse för överföring av information till en annan myndighet eller till andra än myndigheter. Syftet med bestämmelsen är att ersätta speciallagstiftningens bestämmelser om tekniska anslutningar. I den föreslagna lagen om informationshantering inom den offentliga förvaltningen föreskrivs inte annat om rätten till information eller utlämnande av handlingar, utan de bestämmelserna ska fortfarande finnas i offentlighetslagen och delvis i speciallagstiftning. 
Regleringen av förutsättningarna för öppnande av en teknisk anslutning har inte någon direkt inverkan på sättet för utlämnande av en handling enligt 16 §. Via ett tekniskt gränssnitt och en elektronisk förbindelse lämnas information alltid ut i elektronisk form. Det är således fråga om en sådan kopia av en elektronisk handling som avses i paragrafens 1 mom. eller om att lägga fram en handling för påseende så som avses i 1 mom. Det är skäl att observera att som en sådan handling som avses i offentlighetslagen och ur vilken en myndighet är skyldig att lämna ut information betraktas inte informationsmaterial som kan sammanställas av uppgifter som en myndighet har, t.ex. genom att sammanställa uppgifter som lagrats för olika användningsändamål. 
Handlingar kan också i fortsättningen liksom för närvarande överföras i elektroniskt format via ett tekniskt gränssnitt eller en elektronisk förbindelse eller annan elektronisk metod. Enligt paragrafens föreslagna 4 mom. ska i den föreslagna lagen om informationshantering inom den offentliga förvaltningen föreskrivas om förutsättningarna för att överföra information till en annan myndighet eller till en enskild person via ett tekniskt gränssnitt eller en elektronisk förbindelse som öppnats till ett annat informationssystem. Om förutsättningarna för öppnande av ett tekniskt gränssnitt eller en elektronisk förbindelse inte uppfylls eller om myndigheten inte anser det vara motiverat att öppna en förbindelse, kan handlingen fortfarande med stöd av offentlighetslagen i övrigt överföras i elektroniskt format. I den gällande paragrafens 2 mom. föreskrivs att av de offentliga uppgifterna i ett beslutsregister som förs av en myndighet med hjälp av automatisk databehandling har man rätt att få en kopia i form av en teknisk upptagning eller annars i elektronisk form, om inte särskilda skäl talar för något annat. Utlämnande av uppgifter i motsvarande form ur en annan offentlig handling beror på myndighetens prövning, om inte något annat föreskrivs. Personuppgifter ur en myndighets personregister får, om inte något annat särskilt bestäms i lag, lämnas ut i form av en kopia eller en utskrift eller i elektronisk form om mottagaren enligt bestämmelserna om skydd för personuppgifter har rätt att registrera och använda sådana personuppgifter. Det är också skäl att observera att handlingar som inkommer till en myndighet och som utarbetats av en myndighet i fortsättningen med stöd av den föreslagna informationshanteringslagens 19 § ska förvaras i huvudsak i ett elektroniskt format. 
I 22 § 1 mom. i den föreslagna lagen om informationshantering inom den offentliga förvaltningen föreskrivs att myndigheterna regelbundet via tekniska gränssnitt ska överföra periodisk och standardiserad information mellan informationssystem, om den mottagande myndigheten enligt lag har rätt till informationen. Information kan överföras på något annat sätt endast om det är nödvändigt på grund av informationsmaterialets karaktär eller av en tillfällig teknisk orsak. De föreslagna bestämmelserna är när det är fråga om informationsöverföring mellan myndigheter en specialbestämmelse i förhållande till offentlighetslagens 16 § 2 mom. samt i förhållande till huvudregeln i 16 § 1 mom. enligt vilken information ska ges på begärt sätt. 
5 kap. Myndigheternas skyldighet att främja tillgången till information
Det föreslås att kapitlets rubrik ändras så att hänvisningen till en god informationshantering stryks till följd av att 18 § upphävs. 
18 §.God informationshantering. Det föreslås att paragrafen upphävs. I paragrafen föreskrivs hur god informationshantering ska genomföras i myndigheternas dokument- och informationshantering. Begreppet god informationshantering beskrivs också ovan i motiveringen till 3 §. 
I den gällande paragrafens 1 mom. föreskrivs att en myndighet för att införa och genomföra en god informationshantering ska se till att dess handlingar och datasystem samt uppgifter i dem är behörigen tillgängliga, användbara, skyddade och integrerade samt sörja även för andra omständigheter som påverkar kvaliteten på uppgifterna och i detta syfte särskilt iaktta de skyldigheter som anges närmare i paragrafen. Bestämmelsen är varken uttömmande eller detaljerad. 
I paragrafens 1 mom. 1 punkten förskrivs om skyldigheten att föra förteckning över offentliga handlingar. Enligt bestämmelsen ska myndigheten föra en förteckning över de ärenden som har inkommit för behandling, tagits upp till behandling, avgjorts eller behandlats eller annars se till att dess offentliga handlingar kan hittas på ett smidigt sätt. Syftet med bestämmelsen har varit att garantera att också utomstående utan svårighet kan utreda vilka offentliga handlingar en myndighet har. Med stöd av bestämmelsen har emellertid inte skapats någon allmän registreringsskyldighet. Handlingar har kunnat katalogiseras med hjälp av flera register och system eller genom arkivering på så sätt att offentliga handlingar är lätta att hitta. Den gällande katalogiseringen och arkiveringsskyldigheten gäller dels ärenden som sänts till en myndighet för behandling och dels också ärenden som myndigheten själv har tagit upp till behandling. I praktiken innebär detta en skyldighet att föra förteckningar t.ex. över planeringsprojekt som har inletts på myndighetens eget initiativ. Uppgifter om ärenden som tagits upp till behandling måste emellertid inte föras in i ett egentligt förvaltningsdiarium utan det har räckt att de katalogiseras på ett eller annat sätt. I fortsättningen ska det föreskrivas om informationshantering av ärenden och tjänster i 6 kap. i den föreslagna lagen om informationshantering inom den offentliga förvaltningen. 
Enligt gällande 18 § 1 mom. 2 punkten ska en myndighet göra upp och tillhandhålla beskrivningar på de datasystem som den upprätthåller och på de offentliga uppgifter som kan tas fram ur dessa, om inte utlämnandet strider mot bestämmelserna i 24 § eller i någon annan lag. Avsikten med denna punkt är att förverkliga möjligheten att hämta uppgifter också ur andra material än sådana som gäller en myndighets verksamhet och som lagrats som traditionella handlingar. I fortsättningen ska det föreskrivas om beskrivningsskyldigheten i 28 § i den föreslagna lagen om informationshantering inom den offentliga förvaltningen samt om informationshanteringsmodellen i lagens 5 §. 
Den gällande lagens 1 mom. 3 punkt gäller myndighetens skyldighet att utreda och beakta informationsrelaterade rättigheter i planeringsverksamheten. Med informationsrelaterade rättigheter avses förutom rätten att få information med stöd av offentlighetsprincipen, parts rätt till handling och den registrerades rätt till insyn också t.ex. rätten till skydd för privatlivet och skydd för personuppgifter vid behandlingen av information. Ibruktagande av datasystem samt förvaltnings- eller lagstiftningsreformer kan inverka på myndigheternas tillgång till handlingar. Enligt bestämmelsen är myndigheterna skyldiga att utreda och beakta vilka följder deras planerade utvecklingsåtgärder kommer att ha för de informationsrelaterade rättigheterna. Skyldigheten gäller beredningen av förvaltningsreformer och lagstiftningsreformer samt ibruktagandet av datasystem. 
Vid beredningen av utvecklingsåtgärder har man utrett om planerade reformer innebär onödiga begränsningar när det gäller tillgången till information eller offentliggörande av skyddad information eller om ett planerat informationssystem kan förverkligas inom ramen för gällande lagstiftning. På basis av utredningen görs en bedömning av vilka åtgärder som behövs, exempelvis behovet av ny lagstiftning, dataskydd och nivån på informationssäkerhetsåtgärderna samt behovet av och innehållet i interna anvisningar om utlämnande av information. I fortsättningen ska motsvarande omständigheter beaktas i den bedömning av hur ändringarna inverkar på informationshanteringen som det föreskrivs om i 5 § i den föreslagna lagen om informationshantering inom den offentliga förvaltningen. 
Enligt gällande 18 § 1 mom. 4 punkten ska myndigheten planera och sköta dokument- och informationshanteringen samt datasystemen och databehandlingen så att handlingsoffentlighet kan genomföras smidigt och så att handlingarna och datasystemen samt uppgifterna i dem arkiveras och utplånas på ett behörigt sätt. 
Vidare ska myndigheten se till att skyddet, integriteten och kvaliteten i fråga om handlingarna och uppgifterna i dem tryggas genom ändamålsenliga förfaranden och datasäkerhetsarrangemang med beaktande av uppgifternas betydelse och ändamål. Denna förpliktelse förutsätter att myndigheten utreder bland annat betydelsen av informationsmaterialens tillgänglighet, användbarhet och kvalitet samt de riskfaktorer som riktar sig mot handlingarna och datasystemen samt de kostnader som orsakas av datasäkerhetsåtgärderna. Vidare ska myndigheten planera och på basis av denna grundläggande utredning genomföra sina informationssäkerhetsåtgärder. I fortsättningen ska det föreskrivas om organisering av informationshanteringen i 4 § i den föreslagna lagen om informationshantering inom den offentliga förvaltningen, i 5 § om planering av informationshanteringen och i 4 kap. om informationssäkerheten. 
Enligt gällande 18 § 1 mom. 5 punkten ska myndigheten se till att dess anställda har nödvändig kunskap om offentligheten för de handlingar som behandlas och om förfarandet, datasäkerhetsarrangemangen och uppgiftsfördelningen vid utlämnande och behandling av uppgifter samt vid skyddandet av uppgifter, handlingar och datasystem. Myndigheten ska likaså se till att de bestämmelser, föreskrifter och anvisningar som syftar till en god informationshantering iakttas. 
I samband med genomförandet av offentlighetsprincipen aktualiseras också frågan om kundbetjäningens funktion. En omständighet som kan försvåra tillgången till information ur offentliga handlingar är exempelvis att myndigheten inte har givit tillräckliga interna anvisningar om förfarandet vid utlämnandet av information ur handlingar som är under beredning. En förutsättning för en fungerande kundbetjäning är att myndighetens anställda känner till bestämmelserna om handlingsoffentlighet och också att förfarandet för behandling av begäran om handlingar på förhand har planerats väl. Den myndighetsinterna styrningen och övervakningen behövs för genomförande av de förfaranden som ska iakttas i samband med skyddande av handlingar och informationssystem och för genomförande av datasäkerhetsarrangemang. Syftet med bestämmelsen är att säkerställa att de som ska få uppgifter ur myndighetshandlingar betjänas så effektivt och snabbt som möjligt. I fortsättningen ska det i 4 § i den föreslagna lagen om informationshantering inom den offentliga förvaltningen föreskrivas om organisering av informationshanteringen i informationshanteringsenheterna. 
25 §.Anteckningar om sekretess och användningsbegränsning. Enligt paragrafens 1 mom. ska anteckning om sekretess göras i en myndighetshandling som en myndighet ger ut till en part och som ska vara sekretessbelagd på grund av någon annans eller allmänt intresse. Parten ska informeras om sin sekretessplikt också när sekretessbelagda uppgifter lämnas ut muntligen. I paragrafens 2 mom. föreskrivs att anteckning får göras också i andra än i 1 mom. avsedda sekretessbelagda handlingar. Av anteckningen ska framgå till vilka delar handlingen är sekretessbelagd och vad sekretessen grundar sig på. Om sekretessen grundar sig på en bestämmelse som innehåller en klausul om skaderekvisit, får anteckningen dock göras så att bara den bestämmelse som sekretessen grundar sig på framgår av anteckningen. Denna möjlighet understryker att sekretessbedömningen ska göras från fall till fall. 
I paragrafens 2 mom. föreslås en sådan ändring att till den fogas en bestämmelse som förtydligar och förenhetligar terminologin i fråga om sekretessanteckningar. Det föreslås att till paragrafens 25 § 2 mom. fogas en bestämmelse enligt vilken en sekretessbelagd handling ska förses med anteckningen ”SALASSAPIDETTÄVÄ” och på svenska ”SEKRETESSBELAGD”. Av anteckningen ska liksom enligt den gällande lagen framgå till vilka delar handlingen är sekretessbelagd och vad sekretessen grundar sig på. Om sekretessen grundar sig på en bestämmelse som innehåller en klausul om skaderekvisit, får anteckningen också i fortsättningen göras så att bara den bestämmelse som sekretessen grundar sig på framgår av anteckningen.  
Det föreslås att paragrafens 2 mom. också kompletteras med en bestämmelse om avlägsnande av en sekretessanteckning. Sekretessanteckningen får inte påverka myndighetens skyldighet att varje gång särskilt bedöma en handlings offentlighet då någon ber att få ta del av den med stöd av offentlighetslagen. När det inte längre finns grunder för att helt eller delvis sekretessbelägga en handling eller informationen i den ska det på handlingen med den ursprungliga anteckningen antecknas att anteckningen har avlägsnats eller ändrats. Senast när handlingen lämnas ut till utomstående ska anteckningens korrekthet kontrolleras. Den föreslagna bestämmelsen motsvarar till innehållet informationssäkerhetsförordningens 10 § 3 mom. om slopande och ändring av en klassificeringsanteckning. 
I paragrafens gällande 3 mom. föreskrivs att i en handling kan göras en anteckning som anger vilka krav på datasäkerhet som ska iakttas vid hantering av handlingen. Dessutom föreskrivs om anteckningar som avser säkerhetsklassificering. En anteckning om säkerhetsklassificering är enligt den gällande lagen obligatorisk i följande två fall: en anteckning ska göras i handlingar som avses i lagen om internationella förpliktelser som gäller informationssäkerhet samt när så föreskrivs genom en förordning av statsrådet som utfärdats med stöd av 36 § i denna lag. 
En anteckning om säkerhetsklassificering kan ha betydelse också för sekretessbeläggningen av en handling. Tillämpningsområdet för lagen om internationella förpliktelser som gäller informationssäkerhet omfattar handlingar på vilka det har gjorts en klassificeringsanteckning och som är sekretessbelagda enligt 6 § i den nämnda lagen. Däremot innebär en klassificeringsanteckning på handlingar som upprättats av finska myndigheter och är avsedda för nationellt bruk inte i sig att handlingarna är sekretessbelagda, utan myndigheten ska bedöma handlingens offentlighet från fall till fall. 
Det föreslås att paragrafens 3 mom. ändras i dess helhet. I fortsättningen slopas klassificeringen av informationsmaterial i den nuvarande formen i syfte att genomföra ändamålsenliga informationssäkerhetsåtgärder (skyddsnivåklassificering). Den nuvarande klassificeringen i fyra nivåer har i praktiken visat vara sig svår att genomföra. Bestämmelserna om säkerhetsklassificering och om klassificeringsanteckningar ska enligt förslaget överföras från offentlighetslagen till den föreslagna lagen om informationshantering inom den offentliga förvaltningen, eftersom dessa anteckningar snarare har samband med informationshantering än med handlingsoffentlighet. I stället föreslås att i offentlighetslagens 25 § 3 mom. föreskrivs om anteckningar som kan göras på en handling som inte är sekretessbelagd. På en sådan handling kan enligt förslaget antecknas ”HARKINNANVARAISESTI ANNETTAVA” och på svenska ”UPPGES ENLIGT PRÖVNING”, om utlämnande av handlingen enligt lag är beroende av en myndighets prövning eller om uppgifterna i handlingen enligt lag får användas eller lämnas ut endast för det ändamål som angetts och om obehörigt avslöjande av uppgifterna kan orsaka olägenheter för allmänna eller enskilda intressen eller försämra en myndighets verksamhetsförutsättningar. 
Enligt 9 § 2 mom. i den gällande informationssäkerhetsförordningen kan också en annan sekretessbelagd handling klassificeras som hörande till skyddsnivå IV, om utlämnande av handlingen enligt lag är beroende av en myndighets prövning eller om uppgifterna i handlingen enligt lag får användas eller lämnas ut endast för det ändamål som angetts och om obehörigt avslöjande av uppgifterna kan orsaka olägenheter för allmänna eller enskilda intressen eller försämra en myndighets verksamhetsförutsättningar. 
I fortsättningen kan det under vissa förutsättningar vara skäl att göra anteckningar på andra än sekretessbelagda handlingar. Detta kan vara fallet för det första om utlämnandet av en handling enligt lagen är beroende av en myndighets prövning. Det är då fråga om situationer där en handling inte ännu har blivit offentlig i enlighet med 6 och 7 §. För det andra kan det vara skäl att göra en anteckning om sekretess då den information som ingår i handlingen enligt lag får användas eller lämnas ut endast för ett visst ändamål. Exempelvis utlämnande av information ur en myndighets personregister får i allmänhet ske endast för vissa användningsändamål. I båda de fall som beskrivs ovan är en ytterligare förutsättning för en anteckning att obehörigt avslöjande av uppgifterna kan orsaka olägenheter för allmänna eller enskilda intressen eller försämra en myndighets verksamhetsförutsättningar. De föreslagna förutsättningarna motsvarar förutsättningarna för de anteckningar om skyddsklassificering som görs på andra handlingar än sekretessbelagda handlingar med stöd av den gällande informationssäkerhetsförordningen. Avsikten med bestämmelsen är att förtydliga de anteckningar som görs på handlingar. Sådana anteckningar är enligt förslaget alltid frivilliga. 
Syftet med de föreslagna anteckningarna är endast att för handläggaren ange att handlingen innehåller information som får lämnas ut endast under särskilda förutsättningar, antingen av den anledningen att handlingen inte ännu är offentlig eller på grund av att den, trots att den är offentlig, får lämnas ut endast under vissa förutsättningar. Anteckningen har ingen betydelse för handlingens offentlighet och den utvidgar inte heller sekretessen. Anteckningen kan inte heller till sina verkningar jämställas med en anteckning om sekretess. I beredningsskedet kan information om handlingar lämnas ut i enlighet med 9 § 2 mom. och 17 §. I den allmänna bestämmelsen i 16 § 3 mom. föreskrivs om utlämnande av information som lagras i personregister. Avsikten är inte heller att det i beredningsskedet ska göras anteckningar på alla handlingar utan endast på sådana som uppfyller förutsättningarna och om det anses föreligga särskilda grunder för en anteckning. I fråga om avslöjande av personuppgifter ska i varje fall beaktas tystnadsplikten i samband med behandling av personuppgifter. 
Eftersom det i paragrafens 3 mom. inte längre kommer att föreskrivas om anteckningar som anger datasäkerhet (klassificeringsanteckningar) men det i momentet enligt förslaget däremot ska föreskrivas om anteckningar som kan göras på andra än sekretessbelagda handlingar, föreslås att paragrafens rubrik ändras i överensstämmelse med det förändrade innehållet. 
Det föreslås också att till paragrafen fogas ett nytt 4 mom. med en informativ hänvisning till anteckningar om säkerhetsklassificering. I fortsättningen ska det föreskrivas om sådana i den föreslagna lagen om informationshantering inom den offentliga förvaltningen. Hänvisningen behövs med tanke på lagstiftningens begriplighet. 
29 §.Utlämnande av sekretessbelagda uppgifter till en annan myndighet. Det föreslås att paragrafens 3 mom. upphävs. I momentet föreskrivs under vilka förutsättningar en myndighet för en annan myndighet kan öppna en teknisk anslutning till uppgifter i sitt personregister. I fortsättningen föreskrivs om utlämnande av information via ett tekniskt gränssnitt och en elektronisk förbindelse enligt vad som framgår ovan i motiveringen till 16 § i den föreslagna lagen om informationshantering inom den offentliga förvaltningen. 
36 §.Bemyndigande att utfärda förordning. I 36 § i den gällande lagen föreskrivs om utfärdande av föreskrifter och bestämmelser på en lägre hierarkisk nivå. I paragrafens 1 mom. bemyndigas statsrådet att genom förordning utfärda bestämmelser om genomförande av sådana förpliktelser inom statsförvaltningen som avses i 5 kap. Dessa förpliktelser avser med undantag för momentets gällande 6 punkt god informationshantering och genomförandet av den. Enligt momentets 1 punkt gäller bestämmelserna skyldigheten att utreda och bedöma informationsmaterial som en myndighet har i sin besittning samt hantering av materialet för genomförande av god informationshantering. Sådana bestämmelser ingår för närvarande i offentlighetsförordningens 1 §. Enligt momentets 2 punkt kan det föreskrivas om uppgifter som ska antecknas i diarier och andra dokumentregister samt i datasystembeskrivningar. Sådana bestämmelser ingår för närvarande i offentlighetsförordningens 5—8 §. Enligt momentets 3 punkt kan genom förordning av statsrådet föreskrivas om klassificering av informationsmaterial för genomförande av behövliga informationssäkerhetsåtgärder. Enligt momentets 4 punkt kan genom förordning av statsrådet föreskrivas som skyldighet att göra en anteckning om säkerhetsklass i handlingar, om obehörigt utlämnande av uppgifter ur dem kan orsaka skada för försvaret, statens säkerhet, internationella relationer eller annan allmän fördel på det sätt som avses i 24 § 1 mom. 2 och 7—10 punkten. Enligt momentets 5 punkt kan genom förordning av statsrådet föreskrivas om informationssäkerhetskrav i fråga om olika säkerhetsklasser, inbegripet krav på lokalers säkerhet, samt om tillämpning av informationssäkerhetskraven på sekretessbelagda handlingar och uppgifterna i dem samt på sådana handlingar vilkas överlåtelse av någon annan orsak begränsas i lag om uppgifterna i dem eller vilka innehåller uppgifter som enligt lag enbart kan användas för ett bestämt ändamål. Med stöd av de gällande punkterna 3—5 har utfärdats statsrådets förordning om informationssäkerheten inom statsförvaltningen. 
Enligt paragrafens 2 mom. kan genom förordning av justitieministeriet bestämmas om anteckningar som ska göras i domstolarnas och åklagarnas diarier samt i andra dokumentregister. Det har inte utfärdats några närmare bestämmelser om sådana anteckningar. 
Det föreslås att paragrafen ändras så att de bemyndiganden att utfärda förordning som avses i gällande 1—5 punkten och 2 mom. upphävs. Motsvarande bestämmelser tas in i den föreslagna lagen om informationshantering inom den offentliga förvaltningen. I fortsättningen kommer det i allmän lag att föreskrivas också om anteckningar som ska göras i domstolarnas och åklagarnas diarier samt i andra dokumentregister. 
Gällande 1 mom. 6 punkten gäller genomförande av öppenhet i myndigheternas verksamhet och skyldigheten att främja tillgången till information. Bestämmelsen berättigar till utfärdande av bestämmelser om genomförande av öppenhet i verksamheten genom planering och organisering av informationsförmedlingen. I fortsättningen kan också dessa frågor regleras genom en statsrådsförordning som utfärdas med stöd av offentlighetslagen. Bestämmelser om detta finns i nuläget i 2 a kap. i offentlighetsförordningen. Till denna del kommer bemyndigandet att utfärda förordning att motsvara nuläget. Av lagstiftningstekniska skäl föreslås emellertid att paragrafen ändras i dess helhet. Samtidigt föreslås att paragrafrubriken ändras så att den stämmer överens med den nuvarande skrivningen. 
1.3
Lagen om elektronisk kommunikation i myndigheternas verksamhet
3 §.Övrig lagstiftning. Det föreslås att denna paragraf ändras så att till den fogas en informativ hänvisning till bestämmelserna om informationshantering. 
13 §.Diarieföring eller registrering av elektroniska dokument. Det föreslås att paragrafen upphävs. Enligt den gällande bestämmelsen ska alla elektroniska dokument som kommer in diarieföras eller deras ankomst registreras på något annat tillförlitligt sätt. Av diarieanteckningarna eller andra motsvarande anteckningar ska framgå tidpunkten då ett dokument kommit in och att dokumentets integritet och autenticitet konstaterats. 
I fortsättningen kommer det att föreskrivas om registreringskravet samt om information som ska registreras i 25 och 26 § i den föreslagna lagen om informationshantering inom den offentliga förvaltningen. 
Med anteckningarna om integritet och autenticitet avses enligt regeringens propositioner RP 17/2002 rd och RP 153/1999 rd ”för det första att man konstaterar att det elektroniska dokumentet inkommit till myndigheten i oförändrad form, dvs. i den i form det hade när det avsändes, för det andra att man konstaterar att den som avsänt det elektroniska dokumentet är just den person som anges som avsändare i meddelandet. I praktiken betyder dessa anteckningar att myndigheten kontrollerar att dokumentet när det mottogs var försett med en godtagbar elektronisk signatur, dvs. en elektronisk signatur som uppfyller kraven på elektroniska signaturer i lagen om elektroniska signaturer eller, enligt myndighetens prövning, också en elektronisk signatur av något annat slag. En anteckning skall göras om detta i diariet eller något annat register så att dokumentets äkthet senare vid behov obestridligen kan bevisas.” Bestämmelsen har förlorat sin praktiska betydelse då man huvudsakligen har gått över till elektronisk kommunikation. Dessutom har man infört olika identifieringssystem och -tjänster. 
21 §.Arkivering. Det föreslås att i 2 mom. ska tas in det bemyndigande att utfärda förordning gällande arkivering av elektroniska handlingar som för närvarande ingår i 22 §. 
22 §.Närmare föreskrifter. Det föreslås att paragrafen upphävs. Enligt paragrafen har arkivverket kunnat meddela närmare föreskrifter och anvisningar om diarieföring eller annan registrering samt om arkivering av elektronisk kommunikation. Dessutom har finansministeriet kunnat ge anvisningar och rekommendationer om säkerställande av samordningen och datasäkerheten inom den elektroniska kommunikationen samt om anordnande av myndigheternas elektroniska service. I fortsättningen ska motsvarande bestämmelser med undantag för vad som gäller arkivering tas in i den föreslagna lagen om informationshantering inom den offentliga förvaltningen. Om utfärdande av anvisningar ska inte heller i övrigt föreskrivas genom lag. Det föreslås att bemyndigandet att utfärda förordning om arkivering ska flyttas till 21 §.  
1.4
Lagen om internationella förpliktelser som gäller informationssäkerhet
3 §.Förhållande till annan lagstiftning. I paragrafen föreskrivs om lagens förhållande till annan lagstiftning som gäller informationssäkerheten för myndigheters handlingar. Enligt den gällande lagen gäller i fråga om offentlighet för särskilt känsligt informationsmaterial och god informationshantering av materialet offentlighetslagen och vad som bestäms med stöd av den, om inte något annat föreskrivs i lagen om internationella förpliktelser som gäller informationssäkerhet. Eftersom det inte längre ska föreskrivas om god informationshantering i lagen om offentlighet i myndigheternas verksamhet, föreslås det att ordalydelsen i 1 mom. ändras så att det utöver till offentlighetslagen också hänvisas till lagstiftningen om informationshantering. I fortsättningen ska det föreskrivas om frågor som hänför sig till god informationshantering i lagen om informationshantering inom den offentliga förvaltningen. 
8 §.Anteckning om säkerhetsklass. Det föreslås att paragrafen ändras så hänvisningen till lagen om offentlighet i myndigheternas verksamhet ändras till en hänvisning till lagen om informationshantering inom den offentliga förvaltningen, eftersom det i fortsättningen ska föreskrivas om anteckning om säkerhetsklass i den lagen. 
1.5
Säkerhetsutredningslagen
3 §.Definitioner. I paragrafen ingår de centrala definitionerna med tanke på tillämpningen av säkerhetsutredningslagen. Enligt 1 mom. 11 punkten i den gällande paragrafen avses med klassificerad handling en i 5 § 1 mom. i lagen om offentlighet i myndigheternas verksamhet avsedd handling där det med stöd av vad som föreskrivs i eller med stöd av den lagen eller med stöd av lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) har gjorts eller kan göras en klassificeringsanteckning om skyddsnivå som anger vilka krav i fråga om informationssäkerhet som ska iakttas vid hanteringen av handlingen.  
I samband med totalreformen av informationshanteringen inom den offentliga förvaltningen slopas skyddsnivåklassificeringen av handlingar. Säkerhetsklassificeringen ska kvarstå och bli obligatorisk inom statsförvaltningen. Av denna anledning föreslås det att 3 § 1 mom. 11 punkten i säkerhetsutredningslagen ändras så att med klassificerad handling i fortsättningen avses endast en handling där det med stöd av vad som föreskrivs i eller med stöd av lagen informationshantering inom den offentliga förvaltningen eller med stöd av lagen om internationella förpliktelser som gäller informationssäkerhet har gjorts en anteckning om säkerhetsklassificering som anger vilka krav i fråga om informationssäkerhet som ska iakttas vid hanteringen av handlingen. Klassificerade handlingar ska således utgöra en del av de sekretessbelagda handlingarna. 
I gällande 3 mom. preciseras att bestämmelserna om klassificerade handlingar också ska tillämpas på uppgifter som har fåtts i muntlig form eller kan fås genom observationer, om en handling med sådana uppgifter skulle kunna klassificeras i enlighet med de bestämmelser som avses i 1 mom. 11 punkten. Eftersom begreppet klassificerad handling inskränks på ovan beskrivna sätt till att endast gälla säkerhetsklassificerade handlingar, föreslås det att 3 mom. ändras så att säkerhetsutredningslagens bestämmelser om sekretessbelagda eller klassificerade handlingar också ska tillämpas på uppgifter som har fåtts i muntlig form eller genom observationer, om en handling med sådana uppgifter skulle kunna klassificeras i enlighet med de bestämmelser som avses i 1 mom. 11 punkten. Den föreslagna ändringen är teknisk och motsvarar till sitt innehåll gällande 3 mom.  
16 §.Statsförvaltningsmyndigheters skyldighet att ansöka om säkerhetsutredning av person. Enligt gällande 1 mom. har statsrådet rätt att genom förordning föreskriva om skyldigheten att skaffa en säkerhetsutredning. Skyldigheten kan enligt bestämmelsen gälla sådana personer som i sina arbetsuppgifter annat än tillfälligt har rätt att hantera handlingar på skyddsnivå I eller II. Det kan även föreskrivas att skyldigheten ska gälla andra sådana uppgifter där den som är föremål för utredningen genom att röja sekretessbelagda uppgifter eller på annat sätt kan äventyra statens säkerhet, försvaret, internationella förbindelser, säkerhetsarrangemang, beredskap för undantagsförhållanden eller befolkningsskyddet. Det kan således vara fråga om uppgifter där det är möjligt att oberoende av klassificeringsnivå eller till exempel enbart genom lagstridig faktisk verksamhet orsaka sådana följder som anges i momentet.  
Eftersom det inte längre ska göras någon skyddsnivåklassificering av handlingar, föreslås det att 1 mom. ändras så att omnämnandet av skyddsnivåer stryks. Däremot ska i bestämmelsen öppnas upp villkoren för den nuvarande skyddsnivåklassificeringen. Handlingar ska således i fortsättningen klassificeras med hjälp av säkerhetsklassificeringen samt genom de kriterier för skyddsnivåerna som fastställs i den gällande 9 § i statsrådets förordning om informationssäkerheten inom statsförvaltningen.  
Enligt 1 mom. får det genom förordning av statsrådet föreskrivas att en statsförvaltningsmyndighet ska skaffa en säkerhetsutredning av en sådan person som annat än tillfälligt har rätt att hantera handlingar som hör till säkerhetsklass I eller II eller andra sekretessbelagda handlingar, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka särskilt stor eller betydande skada för de allmänna intressen som avses i sekretessbestämmelsen. Begreppet handling i säkerhetsklass I eller annan sekretessbelagd handling, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka särskilt stor skada för de allmänna intressen som avses i sekretessbestämmelsen motsvarar en handling på skyddsnivå I i den gällande lagen.  
En handling i säkerhetsklass II eller annan sekretessbelagd handling, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka betydande skada för de allmänna intressen som avses i sekretessbestämmelsen motsvarar en handling på skyddsnivå II. Det är fråga om en teknisk ändring och avsikten är inte att ändra på bestämmelsens tillämpningsområde. 
Det kan också i framtiden föreskrivas att skyldigheten också ska gälla andra sådana uppgifter där den som är föremål för utredningen genom att röja sekretessbelagd information eller begå någon annan lagstridig gärning, på ett betydande sätt kan äventyra statens säkerhet, försvaret, internationella förbindelser, beredskapen för undantagsförhållanden, befolkningsskyddet eller vitala samhällsfunktioner eller säkerhetsarrangemang för skyddet av nämnda intressen,  
19 §.När får en normal säkerhetsutredning av person göras. I paragrafens 1 mom. föreskrivs om de förutsättningar som fastställer när det får göras en normal säkerhetsutredning av person i fråga om personer i arbetslivet eller personer som söker anställning. Momentet gäller såväl tjänstemän och personer som söker en tjänst som personer som sköter uppgifter i arbetsavtalsförhållande eller på uppdrag och personer som väljs till sådana uppgifter. 
Normal säkerhetsutredning av person får enligt gällande 1 mom. göras i fråga om den som får rätt att annat än tillfälligt hantera myndighetshandlingar som kan eller ska säkerhetsklassificeras på skyddsnivåerna II eller III. Sådana uppgifter förekommer särskilt inom utrikesförvaltningen samt i förvaltningsuppgifter inom försvarsförvaltningens och säkerhetssektorn i övrigt. Enligt punkten får säkerhetsutredningen också göras i fråga om den som sköter sådana uppgifter där personen genom att röja sekretessbelagd information eller begå någon annan lagstridig gärning, på ett betydande sätt kan äventyra statens säkerhet, försvaret, internationella förbindelser, beredskapen för undantagsförhållanden, befolkningsskyddet eller vitala samhällsfunktioner eller säkerhetsarrangemang för skyddet av nämnda intressen. 
Det föreslås att ordalydelsen i 1 mom. 1 punkten preciseras så att omnämnandet av skyddsnivåer stryks. I fortsättningen ska normal säkerhetsutredning av person enligt 1 punkten kunna göras på samma sätt som nu i fråga om den som ska utses till ett anställningsförhållande eller ett uppdrag eller som arbetar i ett anställningsförhållande eller med ett uppdrag och som får rätt att annat än tillfälligt hantera myndighetshandlingar som ska säkerhetsklassificeras i säkerhetsklasserna II eller III. Eftersom det föreslås att mängden säkerhetsklassificerade handlingar ska utökas från den nuvarande ska en normal säkerhetsutredning av person i fortsättningen kunna göras också i fråga om den som får rätt att annat än tillfälligt hantera handlingar som säkerhetsklassificeras på basis av de nya grunderna för sekretess, dvs. på basis av 24 § 1 mom. 5 och 11 punkten i lagen om offentlighet i myndigheternas verksamhet.  
Enligt 1 punkten får normal säkerhetsutredning också skaffas, om den som är föremål för utredningen annars sköter sådana uppgifter där personen genom att röja sekretessbelagd information eller begå någon annan lagstridig gärning, på ett betydande sätt kan äventyra statens säkerhet, försvaret, internationella förbindelser, beredskapen för undantagsförhållanden, befolkningsskyddet eller vitala samhällsfunktioner eller säkerhetsarrangemang för skyddet av nämnda intressen, 
Ändringsförslaget är tekniskt och avsikten är inte att ändra de förutsättningar för normal säkerhetsutredning av person som avses i 19 § 1 mom. 1 punkten.  
20 §.När får en omfattande säkerhetsutredning av person göras. I bestämmelserna anges i vilka situationer sådana ytterligare uppgifter som avses i 27—29 § i säkerhetsutredningslagen får inhämtas om den som är föremål för säkerhetsutredning. Detta är möjligt endast av de särskilda skäl som anges i paragrafen. Ett mer utvidgat kunskapsunderlag kan enligt skaffas i fråga om en person som i sina arbetsuppgifter får rätt att annat än tillfälligt hantera klassificerade handlingar på skyddsnivå I eller II. Sådana uppgifter som avses i punkten förekommer framför allt inom försvars- och utrikesförvaltningen samt inom skyddspolisen. 
Eftersom det inte längre ska göras någon skyddsnivåklassificering av handlingar, föreslås det att momentets 1 punkt ändras så att omnämnandet av skyddsnivåer stryks. Däremot ska i paragrafen öppnas upp villkoren för den nuvarande skyddsnivåklassificeringen. Handlingar ska således i fortsättningen klassificeras med hjälp av säkerhetsklassificeringen samt genom de kriterier för skyddsnivåerna som fastställs i den gällande 9 § i statsrådets förordning om informationssäkerheten inom statsförvaltningen. Den föreslagna definitionen handling i säkerhetsklass I eller annan sekretessbelagd handling, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka särskilt stor skada för de allmänna intressen som avses i sekretessbestämmelsen som föreslås motsvarar definitionen på en handling på skyddsnivå I i den gällande lagen. En handling i säkerhetsklass II eller annan sekretessbelagd handling, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka betydande skada för de allmänna intressen som avses i sekretessbestämmelsen motsvarar en handling på skyddsnivå II i den gällande lagen. Det är således fråga om en teknisk ändring. Det föreslagna ändrar inte på förutsättningarna för en omfattande säkerhetsutredning av person. 
21 §.När får en begränsad säkerhetsutredning av person göras. I den gällande paragrafens 1 mom. föreskrivs att en begränsad säkerhetsutredning av person får göras i fråga om den som med anledning av ett anställningsförhållande eller en myndighets uppdrag eller upphandlingsavtal får rätt att hantera myndighetshandlingar på skyddsnivåerna III och IV (1 punkten). Bestämmelsen gäller till exempel arbetstagare i ett serviceföretag som arbetar med informationsbehandling i de situationer som avses i punkten. 
Eftersom det inte längre ska göras någon skyddsnivåklassificering av handlingar, föreslås det att momentets 1 punkt ändras så att omnämnandet av skyddsnivåer stryks. Däremot ska i paragrafen öppnas upp villkoren för den nuvarande skyddsnivåklassificeringen. Handlingar ska således i fortsättningen klassificeras med hjälp av säkerhetsklassificeringen samt genom de kriterier för skyddsnivåerna som fastställs i den gällande 9 § i statsrådets förordning om informationssäkerheten inom statsförvaltningen. Den föreslagna definitionen handling i säkerhetsklass III eller annan sekretessbelagd handling, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka skada för de allmänna eller enskilda intressen som avses i sekretessbestämmelsen som föreslås motsvarar definitionen på en handling på skyddsnivå III i den gällande lagen. En handling i säkerhetsklass IV eller annan sekretessbelagd handling, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka olägenhet för de allmänna eller enskilda intressen som avses i sekretessbestämmelsen motsvarar en handling på skyddsnivå IV i den gällande lagen. Det är således fråga om en teknisk ändring. Det föreslagna ändrar inte på förutsättningarna för en begränsad säkerhetsutredning av person. 
25 §.Informationskällor vid normal säkerhetsutredning av person. I paragrafen definieras de personregister vilkas uppgifter en normal säkerhetsutredning av person kan grunda sig på. Enligt paragrafens 2 mom. för en normal säkerhetsutredning också användas sådana uppgifter som framgår av registret över misstänkta som centralkriminalpolisen ansett det vara nödvändigt att förmedla för att skydda ett intresse som ligger till grund för säkerhetsutredningen mot åtgärder från organiserad brottslighet. Enligt gällande 2 mom. 3 punkten får centralkriminalpolisen göra en anmälan till den behöriga myndigheten, om det i informationssystemet för misstänkta i fråga om den som utredningen gäller finns flera sådana anteckningar som till sin natur och sitt innehåll är betydande för bedömningen av personens tillförlitlighet och som sammantagna ger centralkriminalpolisen grundad anledning att misstänka att den som utredningen gäller kan äventyra skyddet för de handlingar på skyddsnivåerna I och II och uppgifterna i dem som personen fått i den arbetsuppgift som ligger till grund för utredningen och därmed gynna organiserade kriminella sammanslutningars åtgärder, om det är nödvändigt att förmedla informationen för att skydda statens viktiga säkerhetsintressen mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida eller för att förebygga brott. 
Det föreslås att 2 mom. 3 punkten ändras så att omnämnandet av skyddsnivåer stryks. Däremot ska i paragrafen öppnas upp villkoren för den nuvarande skyddsnivåklassificeringen. Handlingar ska således i fortsättningen klassificeras med hjälp av säkerhetsklassificeringen samt genom de kriterier för skyddsnivåerna som fastställs i den gällande 9 § i statsrådets förordning om informationssäkerheten inom statsförvaltningen. En handling i säkerhetsklass I eller annan sekretessbelagd handling, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka särskilt stor skada för de allmänna intressen som avses i sekretessbestämmelsen motsvarar en handling på skyddsnivå I. En handling i säkerhetsklass II eller annan sekretessbelagd handling, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka betydande skada för de allmänna intressen som avses i sekretessbestämmelsen motsvarar en handling på skyddsnivå II. Således är det inte meningen att genom den föreslagna bestämmelsen ändra centralkriminalpolisens tröskel för anmälan. 
33 §.Rätt att ansöka om säkerhetsutredning av företag. Enligt 1 mom. 2 punkten har en myndighet som ämnar ingå avtal med ett företag rätt att ansöka om säkerhetsutredning av företag, om företaget i samband med avtalet får eller det med anledning av avtalet uppkommer handlingar på skyddsnivå I–III  
Det föreslås att det görs en teknisk ändring i 1 mom. 2 punkten så att omnämnandet av handlingars skyddsnivåer stryks. Däremot ska i paragrafen öppnas upp villkoren för den nuvarande skyddsnivåklassificeringen. Handlingar ska således i fortsättningen klassificeras med hjälp av säkerhetsklassificeringen samt genom de kriterier för skyddsnivåerna som fastställs i den gällande 9 § i statsrådets förordning om informationssäkerheten inom statsförvaltningen. Säkerhetsutredning av företag får enligt den föreslagna 2 punkten sökas av den myndighet som ämnar ingå avtal med det företag som utredningen gäller, om företaget i samband med avtalet får eller det med anledning av avtalet uppkommer handlingar som hör till säkerhetsklass I–III eller andra sekretessbelagda handlingar, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i dessa handlingar kan orsaka skada för de allmänna eller enskilda intressen som avses i sekretessbestämmelsen. 
Bestämmelsens begrepp en handling i säkerhetsklass I eller annan sekretessbelagd handling, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka särskilt stor skada för de allmänna intressen som avses i sekretessbestämmelsen motsvarar en handling på skyddsnivå I. En handling i säkerhetsklass II eller annan sekretessbelagd handling, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka betydande skada för de allmänna intressen som avses i sekretessbestämmelsen motsvarar en handling på skyddsnivå II. En handling i säkerhetsklass III eller annan sekretessbelagd handling, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka skada för de allmänna eller enskilda intressen som avses i sekretessbestämmelsen motsvarar en handling på skyddsnivå III. 
34 §.Statsförvaltningsmyndigheters skyldighet att ansöka om säkerhetsutredning av företag. Enligt gällande paragraf får det genom förordning av statsrådet föreskrivas att en statsförvaltningsmyndighet ska skaffa en säkerhetsutredning i fråga om ett företag som i syfte att fullfölja ett avtal med statsförvaltningsmyndigheten tar emot klassificerade handlingar på skyddsnivåerna I—III eller vid fullföljandet av vilket det annars uppstår eller tas emot sådana handlingar.  
Eftersom det inte längre ska göras någon skyddsnivåklassificering av handlingar, föreslås det att paragrafen ändras så att omnämnandet av skyddsnivåer stryks. Däremot ska i paragrafen öppnas upp villkoren för den nuvarande skyddsnivåklassificeringen. Handlingar ska således i fortsättningen klassificeras med hjälp av säkerhetsklassificeringen samt genom de kriterier för skyddsnivåerna som fastställs i den gällande 9 § i statsrådets förordning om informationssäkerheten inom statsförvaltningen. En handling i säkerhetsklass I eller annan sekretessbelagd handling, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka särskilt stor skada för de allmänna intressen som avses i sekretessbestämmelsen motsvarar en handling på skyddsnivå I. En handling i säkerhetsklass II eller annan sekretessbelagd handling, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka betydande skada för de allmänna intressen som avses i sekretessbestämmelsen motsvarar en handling på skyddsnivå II. En handling i säkerhetsklass III eller annan sekretessbelagd handling, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka skada för de allmänna eller enskilda intressen som avses i sekretessbestämmelsen motsvarar en handling på skyddsnivå III. Det är fråga om en teknisk ändring och avsikten är inte att ändra på tillämpningsområdet. 
Genom förordning av statsrådet får det i fortsättningen föreskrivas att en statsförvaltningsmyndighet ska skaffa en säkerhetsutredning i fråga om ett företag som i syfte att fullfölja ett avtal med statsförvaltningsmyndigheten tar emot handlingar som hör till säkerhetsklass I—III eller andra sekretessbelagda handlingar, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i dessa handlingar kan orsaka skada för de allmänna eller enskilda intressen som avses i sekretessbestämmelsen. 
36 §.Förutsättningar för säkerhetsutredning av företag. Behovet av säkerhetsutredning av företag hänför sig till olika situationer. I paragrafen föreskrivs det om i vilka fall en utredning får göras. Enligt 1 mom. 2 punkten får en säkerhetsutredning av företag göras, när en myndighet håller på att ingå ett avtal med ett företag och myndighetens klassificerade handlingar kommer att överlämnas till företaget i samband med detta. Syftet med bestämmelsen är att säkerställa att skyddet och en ändamålsenlig behandling av klassificerade handlingar kan tryggas även när de är i en annan myndighets besittning. 
Eftersom definitionen på klassificerade handlingar i 3 mom. 11 punkten ska ändras till att enbart avse handlingar som säkerhetsklassificeras, föreslås det att 1 mom. 2 punkten ska ändras så att punkten omfattar alla sekretessbelagda handlingar. Detta motsvarar nuvarande praxis. 
Enligt förslaget kan en säkerhetsutredning av företag också göras, om utredningen behövs för bedömning av företaget när en myndighet håller på att ingå ett avtal med ett företag och myndighetens sekretessbelagda handlingar kommer att överlämnas till företaget i samband med detta. 
44 §.Innehållet i ett intyg över säkerhetsutredning av person. I ett intyg över säkerhetsutredning av person antecknas enligt 1 mom. den som utredningen gäller, datum, utfärdaren och de arbetsuppgifter för vilka intyget har utfärdats. Vid behov antecknas i intyget enligt 2 mom. 3 punkten på vilka skyddsnivåer de handlingar får vara klassificerade som den som utredningen gäller ges tillgång till. 
Det föreslås att det görs en teknisk ändring i 2 mom. 3 punkten så att omnämnandet av handlingars skyddsnivåer stryks. Däremot ska i paragrafen öppnas upp villkoren för den nuvarande skyddsnivåklassificeringen. Handlingar ska således i fortsättningen klassificeras med hjälp av säkerhetsklassificeringen samt genom de kriterier för skyddsnivåerna som fastställs i den gällande 9 § i statsrådets förordning om informationssäkerheten inom statsförvaltningen. 
I fortsättningen kan i intyget enligt 3 punkten vid behov antecknas uppgift om till vilka säkerhetsklassificerade handlingar eller andra sekretessbelagda handlingar vilkas obehöriga avslöjande eller obehöriga användning kan orsaka skada eller olägenhet för de intressen som avses i sekretessbestämmelsen som den som utredningen gäller ges tillgång till. 
47 §.Innehållet i ett intyg över säkerhetsutredning av företag. I paragrafen föreskrivs om de uppgifter som ska antecknas i ett intyg över säkerhetsutredning av företag. I intyget antecknas enligt 1 mom. 4 punkten vid behov också uppgift om för vilka skyddsnivåer företaget uppfyller kraven på hantering av klassificerade handlingar. 
Det föreslås att det görs en teknisk ändring i 1 mom. 4 punkten så att omnämnandet av handlingars skyddsnivåer stryks. Däremot ska i paragrafen öppnas upp villkoren för den nuvarande skyddsnivåklassificeringen. Handlingar ska således i fortsättningen klassificeras med hjälp av säkerhetsklassificeringen samt genom de kriterier för skyddsnivåerna som fastställs i den gällande 9 § i statsrådets förordning om informationssäkerheten inom statsförvaltningen. 
I fortsättningen ska i intyget över säkerhetsutredning av företag vid behov kunna antecknas i fråga om vilka säkerhetsklassificerade handlingar eller andra handlingar vilkas obehöriga avslöjande eller obehöriga användning kan orsaka skada för de intressen som avses i sekretessbestämmelsen företaget uppfyller kraven på hantering, 
1.6
Lagen om offentlig försvars- och säkerhetsupphandling
3 §.Definitioner. I gällande 3 § 2 mom. i lagen om offentlig försvars- och säkerhetsupphandling ska definitionen av säkerhetsklassificerad handling enligt 3 § 1 mom. 14 punkten preciseras. Bestämmelsen i 2 mom. baserar sig på definitionen av sekretessbelagd information i artikel 1.1 led 8 i Europaparlamentets och rådets direktiv 2009/81/EG om samordning av förfarandena vid tilldelning av vissa kontrakt för byggentreprenader, varor och tjänster av upphandlande myndigheter och enheter på försvars- och säkerhetsområdet och om ändring av direktiven 2004/17/EG och 2004/18/EG. Enligt den gällande bestämmelsen ska vad som i denna lag förskrivs om en säkerhetsklassificerad handling tillämpas också på en handling där det för skyddande av ett nationellt säkerhetsintresse som enligt lag är sekretessbelagt har gjorts en anteckning om den skyddsnivå som ska iakttas vid hanteringen av handlingen i enlighet med vad som föreskrivs särskilt. Med säkerhetsklassificerad handling avses enligt 3 § 1 mom. 14 punkten en handling eller uppgifter i en handling som i enlighet med lag eller en bestämmelse som utfärdats med stöd av lag har försetts med en anteckning om säkerhetsklass. 
Det föreslås att 3 § 2 mom. ska ändras eftersom skyddsnivåklassificeringen av handlingar ska slopas när den nya lagen om informationshantering inom den offentliga förvaltningen antas. Bestämmelser om skyddsnivåklassificeringen av handlingar finns i statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010, nedan informationssäkerhetsförordningen). Informationssäkerhetsförordningen ska upphävas och med stöd av den nya informationshanteringslagen ska det utfärdas en ny statsrådsförordning som gäller handlingars informationssäkerhetskrav inom statsförvaltningen. Den nya förordningen ska dock inte längre innehålla bestämmelser om skyddsnivåklassificeringen av handlingar, utan förordningen ska gälla endast säkerhetsklassificering samt märkning och hantering av säkerhetsklassificerade handlingar. 
Enligt den föreslagna bestämmelsen ska de bestämmelser om säkerhetsklassificerade handlingar som finns i lagen om offentlig försvars- och säkerhetsupphandling tillämpas också på sekretessbelagda handlingar, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka olägenhet eller skada för de intressen som avses i sekretessbestämmelsen. Den föreslagna bestämmelsen motsvarar till sitt innehåll den ändrade bestämmelsen och omfattar samma handlingar som enligt informationssäkerhetsförordningen kan klassificeras enligt skyddsnivåerna I—IV. Således har den föreslagna ändringen inga konsekvenser för hur 5, 41 och 54 § i lagen om offentlig försvars- och säkerhetsupphandling tillämpas i nuläget. 
1.7
Lagen om statsbudgeten
12 b §.Skötseln av vissa ekonomiförvaltningsuppgifter. I 4 mom. föreskrivs det om servicecenters rätt att få information. 
Enligt gällande bestämmelse har det ämbetsverk eller den inrättning som ansvarar för de centraliserade ekonomiförvaltningsuppgifterna, dvs. servicecentret, oberoende av sekretessbestämmelserna rätt att av ämbetsverk, inrättningar och andra organ som hör till bokföringsenheterna få för skötseln av sina uppgifter nödvändiga handlingar som med stöd av lagen om offentlighet i myndigheternas verksamhet (621/1999) hör till skyddsnivå fyra. Servicecentret har dessutom rätt att få sådana handlingar som hör till skyddsnivå tre. Undantag från detta utgör dock handlingar som hör till skyddsnivå tre och som t.ex. med hänsyn till statens säkerhet är sekretessbelagda med stöd av 24 § 1 mom. 2 och 7–10 punkten i offentlighetslagen.  
Den gällande bestämmelsen innebär – med beaktande av att enligt informationssäkerhetsförordningen som utfärdats med stöd av offentlighetslagen klassificeras endast handlingar som är sekretessbelagda på grund av allmänt intresse till skyddsklasserna ett eller två – att ett servicecenter har rätt att få alla för skötseln av sina uppgifter nödvändiga handlingar som är sekretessbelagda på grund av enskilt intresse (t.ex. uppgifter om affärs- eller yrkeshemlighet eller om tjänstemäns sjukfrånvaro) samt handlingar som är sekretessbelagda på grund av allmänt intresse med de ovannämnda begränsningarna av skyddsnivån och sekretessintresset. Ett servicecenter har möjlighet att behandla handlingar och information som omfattas av centrets rätt att få information för skötseln av sina uppgifter som anges i lag eller som föreskrivits med stöd av lag. Enligt den gällande lagen har ett servicecenter inte rätt att få handlingar som hör till skyddsnivå ett eller två. Obehörigt avslöjande eller obehörig användning av dessa handlingar eller uppgifterna om dem kan orsaka mycket stor eller betydande skada för ett allmänt intresse som skyddas av sekretessen. Om ett servicecenter inte med stöd av gällande 12 b § 4 mom. har rätt att få för skötseln av sina uppgifter nödvändig information, ska bokföringsenheten ansvara för uppgifterna som bestäms med stöd av 12 b § 1 och 2 mom., om inte ämbetsverket eller inrättningen och bokföringsenheten har överenskommit något annat om skötseln av ekonomiförvaltningsuppgiften. 
Eftersom informationssäkerhetsförordningen som utfärdats med stöd av offentlighetslagen ska upphävas och det i den statsrådsförordning som utfärdas med stöd av den nya informationshanteringslagen eller en förordning som utfärdas med stöd av den anges att andra än säkerhetsklassificerade handlingar inte längre ska klassificeras enligt olika skyddsnivåer, föreslås det att första meningen i 4 mom. ändras så att omnämnandena av skyddsnivåer stryks. För att bestämma omfattningen av ett servicecenters rätt att få information ska i bestämmelsen däremot användas säkerhetsklassificeringen av handlingar samt i fråga om andra sekretessbelagda handlingar än säkerhetsklassificerade handlingar det skadebelopp som kan orsakas av obehörigt avslöjande eller obehörig användning av informationen. I andra meningen i 4 mom. föreslås inga ändringar. 
Enligt den föreslagna bestämmelsen ska ett servicecenter oberoende av sekretessbestämmelserna ha rätt att av ämbetsverk, inrättningar och andra organ som hör till bokföringsenheterna få för skötseln av sina uppgifter nödvändiga sekretessbelagda handlingar, med undantag av handlingar som med stöd av lagen om informationshantering inom den offentliga förvaltningen eller bestämmelser som utfärdats med stöd av den klassificerats som handlingar som hör till säkerhetsklass I, II eller III. Servicecentret har inte heller rätt att få andra sekretessbelagda handlingar, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i dessa handlingar kan orsaka betydande eller särskilt stor skada för de allmänna intressen som avses i sekretessbestämmelsen. Bestämmelserna motsvarar således i stor utsträckning den gällande paragrafens bestämmelser om skyddsnivåer. Eftersom det föreslås att bestämmelserna om säkerhetsklassificering ska ändras så att säkerhetsklassificeringen av handlingar utvidgas, inskränks servicecenters rätt att få information på motsvarande sätt i fråga om de säkerhetsklassificerade handlingar som i nuläget hör till skyddsnivå III. Utvidgningen av säkerhetsklassificeringen gäller offentlighetslagens 24 § 1 mom. 5 punkt (handlingar som innehåller uppgifter om polisens, gränsbevakningsväsendets och tullverkets samt fångvårdsmyndigheternas taktiska och tekniska metoder och planer) och 24 § 1 mom. 11 punkt (handlingar som innehåller uppgifter om penning- och valutapolitiska beslut eller åtgärder eller beredning av dessa eller uppgifter om beredning av finans- och inkomstpolitiken eller utredning av behovet av finans-, inkomst-, penning- eller valutapolitiska beslut eller åtgärder). I samband med beredningen av lagen har det utretts att inskränkningen av rätten att få information inte till denna del försvårar skötseln av ett servicecenters uppgifter. 
Dessutom föreslås till paragrafens 6 mom. en teknisk ändring enligt vilken omnämnandet av teknisk anslutning stryks. De allmänna bestämmelserna om sätten för utlämnande av uppgifter med hjälp av ett tekniskt gränssnitt och en elektronisk förbindelse ska i framtiden ingå i lagen om informationshantering inom den offentliga förvaltningen. 
1.8
Statstjänstemannalagen
7 §. Gällande 7 § 1 mom. i statstjänstemannalagen innehåller en förteckning bestående av 13 punkter över de tjänster till vilka endast finska medborgare kan utses. I 1 mom. 3 punkten föreskrivs det om ministerietjänster vars uppgifter omfattar att vara beredskapschef eller sköta beredskaps- och förberedelseuppgifter vid ett ministerium eller att annat än tillfälligt hantera klassificerade handlingar på skyddsnivå I eller II. I 1 mom. 7 punkten föreskrivs det om tjänsterna som chef eller direktör som är direkt underställd en verkschef inom inrikesministeriets ansvarsområde, polismanstjänster enligt polislagen (872/2011), andra tjänster vid skyddspolisen än polismanstjänster, sådana tjänster inom polisförvaltningen vars uppgifter omfattar att annat än tillfälligt hantera klassificerade handlingar på skyddsnivå I eller II, samt gränsbevakningsväsendets tjänster. 
Till de tjänster som avses i de ovannämnda punkterna hör uppgifter som har en nära koppling till den nationella säkerheten. I nästan alla dessa tjänster utövas betydande offentlig makt och fås i stor utsträckning sekretessbelagda uppgifter. Dessutom kan en person ha tillträde till platser om vilka uppgifter inte får avslöjas eller på annat sätt användas obehörigt eftersom det kan äventyra den nationella säkerheten och internationella relationer. 
Eftersom informationssäkerhetsförordningen som innehåller bestämmelser om skyddsnivåklassificering av handlingar ska upphävas genom den nya lagen om informationshantering inom den offentliga förvaltningen (nedan informationshanteringslagen) och skyddsnivåklassificeringen av handlingar ska slopas, föreslås det att 1 mom. 3 och 7 punkten ändras så att omnämnandena av skyddsnivåklassificering stryks. I punkterna ska säkerhetsklassificeringen av handlingar enligt den nya informationshanteringslagen i stället användas som grund för kravet på medborgarskap när det gäller vissa tjänster. I övrigt föreslås inga ändringar i 3 eller 7 punkten. 
Enligt bestämmelserna om säkerhetsklassificering i informationshanteringslagen ska en handling förses med en anteckning om säkerhetsklass, om handlingen är sekretessbelagd med stöd av 24 § 1 mom. 2, 5 eller 7—11 punkten i offentlighetslagen och obehörigt avslöjande eller obehörig användning av uppgifter i handlingen kan orsaka skada för försvaret, beredskapen för undantagsförhållanden, de internationella relationerna, brottsbekämpningen, den allmänna säkerheten eller statsfinanserna och samhällsekonomin eller på andra därmed jämförbara sätt för Finlands säkerhet. Säkerhetsklassificeringen är inte längre frivillig utan blir obligatorisk. Nya sekretessgrunder för säkerhetsklassificeringen är dessutom 5 och 11 punkten i 24 § 1 mom. i offentlighetslagen. 
Enligt den nya 3 punkt som föreslås kan endast finska medborgare utnämnas till ministerietjänster vars uppgifter omfattar att vara beredskapschef eller sköta beredskaps- och förberedelseuppgifter vid ett ministerium eller att annat än tillfälligt hantera handlingar som hör till säkerhetsklass I eller II. 
Enligt den nya 7 punkt som föreslås kan endast finska medborgare utnämnas till tjänster inom polisförvaltningen vars uppgifter omfattar att annat än tillfälligt hantera handlingar som hör till säkerhetsklass I eller II. 
8 c §. Den gällande 8 c § innehåller ett bemyndigande att föreskriva om de uppgifter för vilka den som utnämns ska ha ett intyg över säkerhetsutredning. Bestämmelsen har samband med behovet av att stegvis effektivisera personalsäkerheten inom statsförvaltningen. Enligt 3 mom. får kravet på intyg över säkerhetsutredning av person enligt 2 mom. föreskrivas genom förordning av statsrådet endast, om den som utnämns till en tjänst annat än tillfälligt får rätt att hantera klassificerade handlingar på skyddsnivå I eller II eller om avsikten är att denne ska arbeta i en uppgift vars karaktär i övrigt är sådan att där krävs särskild tillförlitlighet. 
Eftersom informationssäkerhetsförordningen som innehåller bestämmelser om skyddsnivåklassificering ska upphävas och det i fortsättningen inte för andra än säkerhetsklassificerade handlingar längre ska fastställas särskilda hanteringskrav, dvs. skyddsnivåer, föreslås det att 3 mom. ändras så att i stället för utifrån skyddsnivåer ska handlingar klassificeras utifrån en säkerhetsklassificering och storleken på den skada som avslöjandet av sekretessbelagd information eventuellt orsakar. 
Enligt den föreslagna bestämmelsen får kravet på intyg över säkerhetsutredning av person enligt 2 mom. föreskrivas genom förordning av statsrådet, om den som utnämns till en tjänst annat än tillfälligt får rätt att hantera handlingar som hör till säkerhetsklass I eller II eller andra sekretessbelagda handlingar, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i dessa handlingar kan orsaka särskilt stor eller betydande skada för de allmänna intressen som avses i sekretessbestämmelsen eller om avsikten är att denne ska arbeta i en uppgift vars karaktär i övrigt är sådan att där krävs särskild tillförlitlighet. Förslaget motsvarar till sitt innehåll den gällande bestämmelsen. 
1.9
Bilskattelagen
87 a §. I paragrafen stryks den särskilda bestämmelsen om utlämnande av uppgifter via en teknisk anslutning genom att upphäva 4 mom. Allmänna bestämmelser om olika sätt att lämna ut uppgifter via ett tekniskt gränssnitt och en elektronisk förbindelse ska i fortsättningen ingå i lagen om informationshantering inom den offentliga förvaltningen. 
1.10
Lagen om Finlands Banks tjänstemän
58 a §. I den gällande paragrafens 3 mom. hänvisas det till 26 d och 26 e § i lagen om statens pensioner (280/1966) sådana de lyder i lag 656/2002. Den lagen har upphävts genom lagen om införande av lagen om statens pensioner (1296/2006). Den sistnämnda lagen har upphävts genom lagen om införande av pensionslagen för den offentliga sektorn (82/2016). I 26 d § i lagen om statens pensioner föreskrevs om statskontorets rätt att lämna uppgifter som grundar sig på verkställigheten av denna lag, utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet och trots sekretessbestämmelserna och andra begränsningar av rätten till information, i sådana situationer som närmare beskrivs i lagen. I 26 e § i lagen om statens pensioner föreskrevs om statskontorets rätt att i vissa situationer öppna en teknisk anslutning. Det föreslås att i paragrafen stryks hänvisningen till utlämnande av uppgifter genom en teknisk anslutning eller i någon annan elektronisk form, eftersom på utlämnandet ska tillämpas lagen om offentlighet i myndigheternas verksamhet och lagen om informationshantering inom den offentliga förvaltningen. 
I 11 kap. i lagen om statens pensioner (1296/2006) föreskrevs om utlämnande, erhållande och hemlighållande av uppgifter. Lagens 156 § motsvarade 26 d § 1 mom. 6 punkten i lagen om statens pensioner (280/1966), 157 § motsvarade 26 d § 1 mom. 1 och 5 punkten i den nämnda lagen, 159 § motsvarade 26 d § 1 mom. 2 och 3 punkten samt 2 mom. och 160 § motsvarade 26 d § till den del som den gällde uppgifter om överlåtarens ansvar. I 161 § i lagen om statens pensioner (1295/2006) föreskrevs liksom i 26 e § i lagen om statens pensioner (280/1966) om utlämnande av uppgifter genom en teknisk anslutning. 
I 10 kap. i pensionslagen för den offentliga sektorn (81/2016) föreskrivs om utlämnande, erhållande och hemlighållande av uppgifter. Lagens 157 § stämmer till övriga delar överens med 156 § i lagen om statens pensioner (1295/2006), men statskontoret har ersatts med Keva och bestämmelsens rubrik har ändrats. 
I 161 § i pensionslagen för den offentliga sektorn föreskrivs det om vidareutlämnande av uppgifter. Bestämmelsen stämmer huvudsakligen överens med 159 § i lagen om statens pensioner (1295/2006). 
I 162 § i pensionslagen för den offentliga sektorn föreskrivs det om Kevas ansvar för vidareutlämnande av uppgifter. Bestämmelsen stämmer huvudsakligen överens med 160 § i lagen om statens pensioner (1295/2006). 
I 163 § i pensionslagen för den offentliga sektorn föreskrivs det om utlämnande av uppgifter med hjälp av teknisk anslutning. Bestämmelsen stämmer huvudsakligen överens med 161 § i lagen om statens pensioner (1295/2006). 
Hänvisningen till paragrafens 3 mom. ska rättas så att den avser de ovan nämnda bestämmelserna i pensionslagen för den offentliga sektorn. 
1.11
Lagen om offentlighet och sekretess i fråga om beskattningsuppgifter
12 §. Mottagarens skyldigheter. Det föreslås att 12 § i lagen om offentlighet och sekretess i fråga om beskattningsuppgifter upphävs. Bestämmelsen kan upphävas i sin helhet, eftersom de skyldigheter som nämns i bestämmelsen binder mottagarna direkt med stöd av den allmänna lagstiftningen. I 22 och 23 § i lagen om offentlighet i myndigheternas verksamhet föreskrivs om handlingars offentlighet, skyldighet att iaktta sekretess och förbud mot utnyttjande av uppgifter. Bestämmelser om uppgifters ändamålsbundenhet finns i 7 § i personuppgiftslagen (523/1999) och bestämmelser om principer för behandling av personuppgifter finns i artikel 5 i Europeiska unionens allmänna dataskyddsförordning (EU) 2016/679. Dataskyddslagen (RP 9/2018 rd) som för närvarande behandlas i riksdagen utvidgar tillämpningen av dataskyddsförordningen till behandling av personuppgifter i anslutning till verksamhet som inte omfattas av tillämpningsområdet för unionens lagstiftning, dvs. vid beskattningen alla skatteslag. I paragrafen stryks de särskilda bestämmelserna om utlämnande av uppgifter med hjälp av teknisk anslutning, eftersom allmänna bestämmelser om olika sätt att lämna ut uppgifter i fortsättningen ska ingå i lagen om informationshantering inom den offentliga förvaltningen. 
14 §.Utlämnande av uppgifter till kommunen. Genom upphävandet av paragrafens 3 mom. bortfaller den särskilda bestämmelsen om utlämnande av uppgifter via en teknisk anslutning eller på annat sätt i elektronisk form. Allmänna bestämmelser om olika sätt att lämna ut uppgifter ska i fortsättningen ingå i lagen om informationshantering inom den offentliga förvaltningen. 
17 §.Utlämnande av uppgifter för verkställande av förskottsinnehållning. Genom upphävandet av paragrafens 3 mom. bortfaller den särskilda bestämmelsen om utlämnande av uppgifter med hjälp av teknisk anslutning Allmänna bestämmelser om olika sätt att lämna ut uppgifter ska i fortsättningen ingå i lagen om informationshantering inom den offentliga förvaltningen. 
17 a §. Utlämnande av uppgifter om skattenummer. Genom upphävandet av paragrafens 2 mom. bortfaller den särskilda bestämmelsen om utlämnande av uppgifter med hjälp av teknisk anslutning eller annars elektroniskt. Allmänna bestämmelser om olika sätt att lämna ut uppgifter ska i fortsättningen ingå i lagen om informationshantering inom den offentliga förvaltningen. 
19 §. Utlämnande av uppgifter till åklagar- och förundersökningsmyndigheter. I paragrafens 3 punkt stryks de särskilda bestämmelserna om utlämnande av uppgifter med hjälp av teknisk anslutning. Allmänna bestämmelser om olika sätt att lämna ut uppgifter ska i fortsättningen ingå i lagen om informationshantering inom den offentliga förvaltningen. 
20 §.Utlämnande av uppgifter till vissa myndigheter. I paragrafens 1 och 3 punkt stryks de särskilda bestämmelserna om utlämnande av uppgifter med hjälp av teknisk anslutning. Allmänna bestämmelser om olika sätt att lämna ut uppgifter ska i fortsättningen ingå i lagen om informationshantering inom den offentliga förvaltningen. 
20 e §.Utlämnande av uppgifter i skatteskuldsregistret till beställare och upphandlingsenheter. Genom upphävandet av paragrafens 3 mom. slopas den särskilda bestämmelsen om utlämnande av uppgifter genom en teknisk anslutning. Allmänna bestämmelser om olika sätt att lämna ut uppgifter ska i fortsättningen ingå i lagen om informationshantering inom den offentliga förvaltningen. 
1.12
Lagen om bränsleavgift som betalas för privata fritidsbåtar
15 §.Rätt att få uppgifter ur trafik- och transportregistret. I paragrafen stryks den särskilda bestämmelsen om utlämnande av uppgifter med hjälp av en teknisk anslutning eller på annat sätt i elektronisk form. Allmänna bestämmelser om olika sätt att lämna ut uppgifter ska i fortsättningen ingå i lagen om informationshantering inom den offentliga förvaltningen. 
1.13
Lagen om Finansinspektionen
20 b §.Rätt att få uppgifter av myndigheter och aktörer som sköter offentliga uppdrag. I paragrafens 4 mom. föreslås en strykning av hänvisningen till utlämnande av uppgifter genom teknisk anslutning eller på något annat elektroniskt sätt, eftersom på utlämnandet ska tillämpas 16 § i lagen om offentlighet i myndigheternas verksamhet och lagen om informationshantering inom den offentliga förvaltningen. 
1.14
Lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster
22 §.Övriga myndigheters behörighet. Det föreslås att i paragrafens 7 mom. stryks dess sista mening där det föreskrivs att Befolkningsregistercentralen får ge kommunen rätt att med hjälp av teknisk anslutning använda de uppgifter om byggprojekt, byggnader, lägenheter och lokaler som registrerats i befolkningsdatasystemet. Kommunen kan med stöd av de allmänna bestämmelserna om utlämnande av uppgifter använda informationen i detta syfte. Bestämmelsen om teknisk anslutning är onödig, eftersom det i fortsättningen ska föreskrivas om sätten för utlämnande av information i lagen om informationshantering inom den offentliga förvaltningen. 
26 §.Anmälning av uppgifter. Det föreslås att begreppet teknisk anslutning i paragrafens 1 mom. ska ersättas med termen gränssnitt. I momentet föreslås dessutom en sådan ändring att en förutsättning för anmälningstillstånd är en redogörelse för hur uppgifterna ska skyddas endast i det fall att på anmälaren inte tillämpas lagen om informationshantering inom den offentliga förvaltningen. 
44 §. Redogörelse för användningen och skyddet av uppgifter. I paragrafen föreskrivs fortsättningsvis om redogörelse för användningen och skyddet av uppgifter. Bestämmelsen om redogörelsen flyttas från 2 mom. och blir en del av 1 mom. Bestämmelserna om när redogörelse ska krävas är oförändrade, men ingår enligt förslaget i 2 mom. I stället för till teknisk anslutning ska i bestämmelsen hänvisas till utlämnande av uppgifter via ett tekniskt gränssnitt eller en elektronisk förbindelse. I paragrafens nya 3 mom. föreskrivs om undantag från 2 mom. Enligt undantaget krävs ingen redogörelse av en användare då behandlingen av dennes uppgifter hör till tillämpningsområdet för lagen om informationshantering inom den offentliga förvaltningen. I den sist nämnda lagen ingår allmänna bestämmelser om uppgiftsskydd, och till denna del behöver skyddsnivån inte utredas i samband med utlämnandet. 
46 §. Sätt och metoder för att lämna ut uppgifter. I paragrafens 1 mom. stryks de särskilda bestämmelserna om utlämnande av uppgifter med hjälp av en teknisk anslutning. Allmänna bestämmelser om olika sätt att lämna ut uppgifter kommer i fortsättningen att finnas i lagen om informationshantering inom den offentliga förvaltningen. Det föreslås att till paragrafens 1 mom. fogas en hänvisning till den allmänna lagen och att i den tas in ett bemyndigande att utfärda förordning som innebär att det kan utfärdas närmare bestämmelser om intyg och utdrag. 
47 §. Myndigheter som beslutar om utlämnande av uppgifter. I paragrafens 1 mom. byts begreppet teknisk anslutning ut. I stället hänvisas till utlämnande av uppgifter via ett tekniskt gränssnitt eller en elektronisk förbindelse. 
49 §. Annan behörighet att lämna ut uppgifter. Det föreslås att första meningen i paragrafens 2 mom. ändras. Ändringen beror på att det enligt 44 § inte längre förutsätts en redogörelse från alla aktörer. Av den anledningen är en redogörelse inte längre en absolut förutsättning för ett avtal om utlämnande av uppgifter. I paragrafens ordalydelse föreslås en sådan ändring att på den som lämnar ut uppgifterna ska tillämpas vad som i 44 § föreskrivs om mottagaren. Befolkningsregistercentralen får inte ingå ett avtal om den som lämnar ut uppgifterna förutsätts ge en redogörelse, men en tillräcklig redogörelse inte har inkommit. 
53 §. Användarregister. I det inledande stycket i paragrafens 1 mom. föreslås att begreppet teknisk anslutning byts ut. I stället hänvisas till behandling av uppgifter via ett tekniskt gränssnitt eller en elektronisk förbindelse. 
56 §. Loggregister. I det inledande stycket i paragrafens 1 mom. föreslås att begreppet teknisk anslutning byts ut. I stället hänvisas till behandling av uppgifter via ett tekniskt gränssnitt eller en elektronisk förbindelse. 
73 §. Datasystemens tillgänglighet. Paragrafen föreslås bli upphävd som onödig. De ärenden som första meningen i paragrafen omfattar ingår i den föreslagna lagen om informationshantering inom den offentliga förvaltningen, och detta leder till överlappningar. Paragrafens andra mening om statens kostnadsansvar kan också upphävas eftersom staten är kostnadsansvarig och kostnadsansvaret fastställs i enlighet med statsbudgeten och lagen om grunderna för avgifter till staten (150/1992). Bestämmelserna som gäller kostnadsansvar slopas som onödiga i speciallagstiftningen. 
1.15
Punktskattelagen
4 a §.Utbyte av information mellan Tullen och Skatteförvaltningen. I paragrafen stryks den särskilda bestämmelsen om utlämnande av uppgifter med hjälp av teknisk anslutning eller på annat elektroniskt sätt genom att 4 mom. upphävs. Allmänna bestämmelser om olika sätt att lämna ut uppgifter ska i fortsättningen ingå i lagen om informationshantering inom den offentliga förvaltningen. 
1.16
Lagen om Enheten för utredning av grå ekonomi
8 §. Avgiftsfrihet. I paragrafen stryks den särskilda bestämmelsen om utlämnande av uppgifter med hjälp av teknisk anslutning. Allmänna bestämmelser om olika sätt att lämna ut uppgifter ska i fortsättningen ingå i lagen om informationshantering inom den offentliga förvaltningen. 
1.17
Lagen om investeringstjänster
7 kap. Organisering av värdepappersföretags verksamhet
6 §.Anknutet ombud. I paragrafens 5 mom. föreslås en strykning av hänvisningen till utlämnande av uppgifter genom teknisk anslutning eller i elektronisk form, eftersom på utlämnandet ska tillämpas lagen om offentlighet i myndigheternas verksamhet och lagen om informationshantering inom den offentliga förvaltningen. I momentet föreskrivs fortfarande om undantag som gäller utlämnande av uppgifter om fysiska personer enligt 16 § i lagen om offentlighet i myndigheternas verksamhet. 
1.18
Lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster
1 §. Lagens syfte och tillämpningsområde. Det föreslås att 2 mom. ändras så att hänvisningen till lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen ändras till en hänvisning till lagen om informationshantering inom den offentliga förvaltningen. Lagen om informationshantering inom den offentliga förvaltningen är en allmän lag i förhållande till lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster.  
4 §.Styrning av gemensamma tjänster. I paragrafen föreskrivs om finansministeriets ansvar och uppgifter vid styrningen av den verksamhetshelhet som avses i lagen. Det föreslås att hänvisningen till lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen ska strykas som onödig i paragrafen eftersom det föreslås att lagen ska upphävas. Finansministeriet har fortfarande till uppgift att styra statens informations- och kommunikationstekniska tjänsters förenlighet med den övergripande arkitekturen som en del av den övriga styrningen. 
1.19
Lagen om verksamheten i den offentliga förvaltningens säkerhetsnät
1 §.Lagens syfte och tillämpningsområde. Det föreslås att 4 mom. ändras så att hänvisningen till lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen ändras till en hänvisning till lagen om informationshantering inom den offentliga förvaltningen. Lagen om informationshantering inom den offentliga förvaltningen är en allmän lag i förhållande till lagen om verksamheten i den offentliga förvaltningens säkerhetsnät. 
1.20
Lagen om brottsbekämpning inom Tullen
6 §. Hänvisningsbestämmelse om utlämnande av information. Paragrafen innehåller en hänvisningsbestämmelse om utlämnande av information. Bestämmelsen innehåller en med den föreslagna lagen om informationshantering inom den offentliga förvaltningen oförenlig hänvisning om att bestämmelser om utlämnande av information ur Tullens personregister via teknisk anslutning eller i maskinläsbar form till andra myndigheter finns i lagen om behandling av personuppgifter inom Tullen. Det föreslås att denna hänvisning stryks. Bestämmelsen innehåller också en hänvisning om att bestämmelser om utlämnande av personuppgifter ur Tullens personregister till utlandet finns i de lag som hänvisningen gäller. Också denna hänvisning, som enbart har en informativ betydelse, kan upphävas med beaktande av att Tullens brottsbekämpningsuppgifter, i den nya lagstiftning som föreslås i syfte att genomföra EU:s nya dataskyddslagstiftning i fråga om utlämnande av personuppgifter till utlandet föreskrivs både i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten samt i lagen om behandling av personuppgifter inom Tullen. 
1.21
Lagen om förvaltningens gemensamma stödtjänster för e-tjänster
1 §.Lagens syfte och tillämpningsområde. Paragrafens 4 mom. upphävs, eftersom lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen upphävs. Det moment som upphävs är en informativ bestämmelse visavi den lag som upphävs. Av denna anledning ändras 3 mom. så att till momentet fogas en hänvisning som gäller tillämpning av lagen om informationshantering inom den offentliga förvaltningen som allmän lag när det gäller informationshantering och användning av informationssystem. Med avvikelse från den bestämmelse som upphävs är hänvisningen till lagen om informationshantering inom den offentliga förvaltningen inte enbart en informativ hänvisning. Det föreslås att hänvisningen i 3 mom. till personuppgiftslagen och informationssamhällsbalken ändras till en hänvisning till allmänna dataskyddsförordningen, dataskyddslagen och, eftersom namnet på informationssamhällsbalken har ändrats, till lagen om tjänster inom elektronisk kommunikation. I lagen föreslås en informativ hänvisning till dataskyddsförordningen, eftersom man inom produktionen av stödtjänster både behandlar uppgifter om förmedling av kommunikation och andra personuppgifter, och lagen om stödtjänster innehåller särskilda bestämmelser om behandling av dessa uppgifter. I lagen hänvisas det i fråga om behandlingen av personuppgifter och andra uppgifter också till personuppgiftslagen. För att det ska vara konsekvens i laghänvisningarna är det skäl att på ett heltäckande sätt hänvisa till såväl de allmänna lagar som gäller förmedlingsuppgifter som de allmänna lagar som gäller personuppgifter. 
9 §. Informationskällor som regelbundet utnyttjas inom tjänsteproduktionen. I det inledande stycket i denna paragraf stryks hänvisningen till behandling genom en teknisk anslutning, eftersom den föreslagna lagen om informationshantering inom den offentliga förvaltningen i fortsättningen ska tillämpas på förfarandet. 
12 §.Behandling av uppgifter inom tjänsteproduktionen. Det föreslås att paragrafens 6 mom. upphävs eftersom det inte längre behövs en särskild bestämmelse om utlämnande med hjälp av en teknisk anslutning. På förfarandet ska i fortsättningen tillämpas lagen om informationshantering inom den offentliga förvaltningen. 
13 §.Bevarande av uppgifter som behandlas inom tjänsteproduktionen. Paragrafens 5 mom. upphävs som obehövligt, eftersom bestämmelsen varit informativ och eftersom det föreskrivs om arkivering i den allmänna dataskyddsförordningen och dataskyddslagen. Till den del som det inte föreskrivs om arkivering i dataskyddsförordningen eller dataskyddlagen ska arkivlagens och övriga nationella lagars bestämmelser om arkivering och arkivbildning tillämpas. 
14 §. Utlämnande av uppgifter som behandlas inom tjänsteproduktionen. Det föreslås att paragrafens 3 mom. upphävs eftersom det inte längre behövs en särskild bestämmelse om utlämnande med hjälp av en teknisk anslutning. På förfarandet ska i fortsättningen tillämpas lagen om informationshantering inom den offentliga förvaltningen. 
15 §.Behandling av uppgifter inom användarorganisationen. Det föreslås att i paragrafens 2 mom. stryks hänvisningen till utlämnande med hjälp av en teknisk anslutning, eftersom på förfarandet i fortsättningen ska tillämpas lagen om informationshantering inom den offentliga förvaltningen. 
16 §.Kvalitets- och informationssäkerhetskrav som gäller stödtjänsterna. Hänvisningen i 2 mom. till 32 § i personuppgiftslagen ändras till en hänvisning till den allmänna dataskyddsförordningen och till dataskyddslagen. 
22 §.Allmän styrning. I paragrafen föreskrivs om finansministeriets ansvar och uppgifter vid styrningen av de tjänster som avses i lagen. Det föreslås att hänvisningen till lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen ska strykas som onödig i paragrafen eftersom det föreslås att lagen ska upphävas. Det ska fortfarande vara finansministeriets uppgift att styra i lagen avsedda stödtjänsters interoperabilitet och förenlighet med den övergripande arkitekturen. 
1.22
Lagen om ombud för obligationsinnehavare
21 §. Tillhandahållande av information. I paragrafens 2 mom. föreslås en strykning av hänvisningen till utlämnande av uppgifter genom teknisk anslutning eller på något annat sätt i elektronisk form, eftersom på utlämnandet ska tillämpas 16 § i lagen om offentlighet i myndigheternas verksamhet och lagen om informationshantering inom den offentliga förvaltningen. 
1.23
Lagen om förbättrande av konkurrenskraften för fartyg som används för sjötransport
17 §. Stödmyndighetens rätt att få uppgifter. Det föreslås att paragrafens 2 mom. upphävs. Eftersom det i 22 § i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om myndigheternas skyldighet att lämna ut uppgifter via tekniskt gränssnitt är 17 § 2 mom. i lagen om förbättrande av konkurrenskraften för fartyg som används för sjötransport obehövlig. Ändringen innebär att den i 22 § i den föreslagna lagen om informationshantering inom den offentliga förvaltningen avsedda skyldigheten att direkt med stöd av lag använda tekniskt gränssnitt kommer att gälla samtliga myndigheter, dvs. bland annat Skatteförvaltningen, Tullen och Transport- och kommunikationsverket. 
23 §.Behandling av uppgifter. Hänvisningarna i paragrafens 1 mom. till annan lagstiftning ändras så att de motsvarar den gällande och den föreslagna lagstiftningen, och detta görs så att hänvisningen till personuppgiftslagen ändras till en hänvisning till den allmänna dataskyddslagen och så att det tas in en hänvisning till den föreslagna lagen om informationshantering inom den offentliga förvaltningen. Hänvisningen till lagen om offentlighet i myndigheternas verksamhet kvarstår i paragrafen. 
Omnämnandet av sättet att lämna ut information ändras så att det motsvarar lagen om informationshantering inom den offentliga förvaltningen, och detta görs så att omnämnandet av en teknisk anslutning ändras till ett tekniskt gränssnitt. Den tidigare ordalydelsen i paragrafen i fråga om de uppgifter som avses i denna lag ändras så att det preciseras att det är fråga om den sökandes, Sjömanspensionskassans och försäkringsbolagets uppgifter. Bestämmelsen om att inlämnande av dessa uppgifter förutsätter att parterna på förhand kommer överens om sättet för inlämnande av uppgifterna. 
29 §. Information och meddelanden. Det föreslås att till paragrafens 5 mom. fogas en hänvisning till lagen om informationshantering inom den offentliga förvaltningen. 
1.24
Lagen om fordonsbesiktningsverksamhet
27 §.Bevarande och utlämnande av besiktningshandlingar. I denna paragraf föreskrivs om att intyg och andra handlingar som gäller registrerings-, ändrings- och kopplingsbesiktningar ska sändas till Transport- och kommunikationsverket för bevarande och att dessa intyg och handlingar trots sekretessbestämmelserna med hjälp av teknisk anslutning ska lämna ut till andra besiktningsställen för besiktningsverksamheten. Fordon godkänns för användning i trafik bland annat på basis av intyg och andra handlingar som gäller registrerings-, ändrings- och kopplingsbesiktningar, varav framgår tekniska uppgifter om fordon. Dessa uppgifter om fordon behövs exempelvis för senare periodisk besiktning och därför är det nödvändigt att för dessa syften lämna ut uppgifterna till andra besiktningsställen. 
Vid fordonsbesiktning är det fråga om en sådan offentlig förvaltningsuppgift som avses i 124 § i grundlagen eftersom ett fordon vid besiktningen i enlighet med fordonslagen kan godkännas eller underkännas samt beläggas med körförbud. Eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan aktörer som sköter offentliga förvaltningsuppgifter och myndigheter via tekniskt gränssnitt samt om öppnande av förbindelse till informationslager, föreslås att omnämnandet om teknisk anslutning i samband med utlämnandet av handlingar stryks som obehövligt. 
1.25
Lagen om ordnande av enskilt godkännande av fordon
20 §.Bevarande och utlämnande av dokument. I denna paragraf föreskrivs att beviljare av enskilt godkännande ska sända de dokument som gäller beviljande av enskilda godkännanden till Transport- och kommunikationsverket som trots sekretessbestämmelserna får lämna ut dessa dokument genom teknisk anslutning till bland annat dem som utför uppgifter i anslutning till besiktning. I bestämmelsen stryks det obehövliga omnämnandet om utlämnande genom teknisk anslutning, eftersom i fråga om utlämnandet ska tillämpas de bestämmelser i lagen om informationshantering inom den offentliga förvaltningen som gäller utlämnande av information mellan myndigheter via tekniskt gränssnitt samt öppnande av förbindelse till informationslager. Beviljare av enskilt godkännande och de som utför uppgifter i anslutning till besiktning eller registrering av fordon är inte myndigheter, men de uppgifter som de utför enligt paragrafen är sådana offentliga förvaltningsuppgifter som avses i grundlagens 124 §. 
28 §.Transport- och kommunikationsverkets rätt att få upplysningar och rätt att lämna uppgifter vidare. Paragrafens bestämmelse om Transport- och kommunikationsverkets rätt att få information ur straffregistret ska enligt förslaget ändras så att i bestämmelsen inte längre ska nämnas att teknisk anslutning kan användas för utlämnandet, eftersom på utlämnandet i fortsättningen ska tillämpas de bestämmelser i lagen om informationshantering inom den offentliga förvaltningen som avser utlämnande av information mellan myndigheter via tekniskt gränssnitt samt öppnande av förbindelse till informationslager. 
1.26
Folkhälsolagen
13 h §. Det föreslås att denna bestämmelse upphävs som obehövlig, eftersom det i lagen om informationshantering inom den offentliga förvaltningen ingår bestämmelser om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
1.27
Läkemedelslagen
30 e §. Det föreslås att de två sista meningarna i paragrafens 3 mom., vilka gäller utlämnande av uppgifter via en teknisk anslutning samt skyddande av uppgifterna i samband med utlämnandet, upphävs. Bestämmelser om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser finns i lagen om informationshantering inom den offentliga förvaltningen. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
89 b §. Det föreslås att i 2 mom. upphävs sista meningen som gäller utlämnande av uppgifter via en teknisk anslutning eller på annat sätt i elektronisk form, eftersom bestämmelser om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser finns i lagen om informationshantering inom den offentliga förvaltningen. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
1.28
Lagen om privat hälso- och sjukvård
14 b §. Utlämnande av uppgifter ur registret över tillhandahållare av privat service samt uppgifternas offentlighet. Det föreslås att denna bestämmelse ändras, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
1.29
Lagen om utkomststöd
14 h §.Folkpensionsanstaltens rätt att lämna uppgifter som är nödvändiga för framställande av statistik till Institutet för hälsa och välfärd. Det föreslås att denna bestämmelse ändras, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
18 b §.Utlämnande av uppgifter. Det föreslås att denna bestämmelse ändras, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
18 d §.Utlämnande av sekretessbelagda uppgifter mellan Folkpensionsanstalten samt apotek och leverantörer av medicinskt syre. Det föreslås att paragrafens 3 mom. ändras, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
18 e §.Utlämnande av sekretessbelagda uppgifter mellan Folkpensionsanstalten och hyresvärdar. Det föreslås att denna bestämmelse ändras, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
1.30
Lagen om klientens ställning och rättigheter inom socialvården
14 §. Handlingssekretess. Det föreslås att paragrafens 2 mom. ändras, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
21 §. Utlämnande av uppgifter. Det föreslås att denna bestämmelse ändras, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
1.31
Lagen om arbetsverksamhet i rehabiliteringssyfte
27 §.Folkpensionsanstaltens skyldighet att lämna uppgifter. Det föreslås att paragrafens 2 mom. ändras, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
29 §.Teknisk anslutning. Det föreslås att denna bestämmelse upphävs som obehövlig, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
1.32
Lagen om elektroniska recept
15 §.Utlämnande av uppgifter till myndigheter och för vetenskaplig forskning. Det föreslås att paragrafens 1 och 2 mom. ändras, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
1.33
Lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården
14 §.Riksomfattande informationssystemtjänster. Det föreslås att paragrafens 3 mom. ändras, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
1.34
Lagen om privat socialservice
31 §.Utlämnande av uppgifter. Det föreslås att denna bestämmelse ändras, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
1.35
Lagen om vissa krav på asbestsanering
13 §.Utlämnande av uppgifter, behandling av personuppgifter och den registrerades rättigheter. Det föreslås att denna bestämmelse upphävs som obehövlig, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
1.36
Lagen om Enheten för hälso- och sjukvård för fångar
7 §.Rätt att få uppgifter av andra verksamhetsenheter för hälso- och sjukvård och av andra myndigheter. Det föreslås att paragrafens 3 mom. ändras, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
1.37
Lagen om laddare
23 §. Utlämnande av uppgifter, behandling av personuppgifter och den registrerades rättigheter. Det föreslås att denna bestämmelse ändras, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
1.38
Lagen om smittsamma sjukdomar
25 §.Tillgång till information för att avvärja en allvarlig epidemi. Det föreslås att denna bestämmelse upphävs som obehövlig, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
41 §. Användning av teknisk anslutning när registeruppgifter lämnas ut. Det föreslås att denna bestämmelse upphävs som obehövlig, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
51 §. Uppföljning av verkningarna av vaccinationer och utredning av biverkningar eller misstänkta fall av biverkningar. Det föreslås att denna bestämmelse upphävs som obehövlig, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
53 §.Dokumentation av anmälningar om biverkningar av vacciner och vaccinationer. Det föreslås att denna bestämmelse upphävs som obehövlig, eftersom det i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om utlämnande av information mellan myndigheter via tekniska gränssnitt och elektroniska förbindelser. Därmed kan speciallagstiftningens bestämmelser om teknisk anslutning mellan myndigheter upphävas som obehövliga. 
1.39
Miljöskyddslagen
222 §. Datasystemet för miljövårdsinformation. I den gällande miljöskyddslagens 222 § 5 mom. föreskrivs om utlämnande av uppgifter ur datasystemet för miljövårdsinformation. Det är fråga om en myndighets personregister och bestämmelsen innehåller jämfört med offentlighetslagen särskilda kompletterande bestämmelser om hur uppgifter kan lämnas ut, dvs. hur uppgifter kan lämnas ut ur informationssystem. Dessa kompletterande särskilda bestämmelser möjliggör att uppgifter vid behov kan lämnas ut både till myndigheter och till andra än myndigheter dels i enlighet med offentlighetslagen och dels också på maskinspråk eller med en teknisk anslutning samt på något annat för ändamålet lämpligt, tryggt och tillförlitligt sätt. En sådan i förhållande till offentlighetslagen kompletterande reglering har bedömts vara behövlig (RP 2014/2013 rd) för det första för att offentlighetslagens bestämmelser om utlämnande av information inte nödvändigtvis är tillräckliga i sådana fall där det är fråga om till exempel sådana stora överföringar av information i elektronisk form som behövs för skötsel av myndighetsuppgifter som avses i paragrafens 4 mom. Dessutom anses bestämmelsen vara behövlig (RP 2014/2013 rd) då uppgifter lämnas ut på grund av en sådan i offentlighetslagen avsedd begäran som gäller produktion av informationsmaterial. Den nya allmänna lagen om informationshantering inom den offentliga förvaltningen innehåller bestämmelser om utlämnande av uppgifter till myndigheter via ett tekniskt gränssnitt eller en elektronisk förbindelse och till andra än myndigheter via ett tekniskt gränssnitt. Den särskilda regleringen i den gällande bestämmelsen ska enligt förslaget ersättas med en hänvisning till den nämnda allmänna lagen. Det finns således inte något behov att i momentet ta in specialreglering som kompletterar offentlighetslagen och den allmänna lagen om informationshantering inom den offentliga förvaltningen. 
2
Ikraftträdande
Lagarna föreslås träda i kraft den 1 september 2019. 
Den lag som föreslås om informationshantering inom den offentliga förvaltningen och de lagar som föreslås bli ändrade i regeringens proposition föreslås träda i kraft samtidigt. I 22—24 § i lagen om informationshantering inom den offentliga förvaltningen föreskrivs om överföring av information och informationsmaterial via tekniska gränssnitt och öppnande av elektronisk förbindelse till en myndighet. Bestämmelserna omfattas av övergångsbestämmelsen i 30 § 5 mom. i lagen om informationshantering inom den offentliga förvaltningen. Enligt den ska bestämmelserna i 22—24 § tillämpas på informationssystem som anskaffas efter att lagen trätt i kraft. På informationssystem som anskaffats innan denna lag trätt i kraft ska kraven enligt 22—24 § för överlåtelse av information elektroniskt tillämpas vid uppdateringen av de tekniska gränssnitten och elektroniska förbindelserna i informationssystemen. Eftersom de tekniska gränssnitten och elektroniska förbindelserna ska förverkligas inom 48 månader enligt kraven i den nya lagen ska de bestämmelser som gäller vid ikraftträdandet av lagen tillämpas fram tills dess att övergångstiden enligt lagen om informationshantering inom den offentliga förvaltningen har gått ut. Gällande bestämmelser tillämpas på sådana informationssystem och tekniska anslutningar mellan dem som inte ännu har uppdaterats enligt den nya lagen. När de tekniska anslutningarna har uppdaterats så att de motsvarar kraven i den nya lagen börjar 22—24 § i den lagen tillämpas med stöd av den föreslagna övergångsbestämmelsen. I ikraftträdandebestämmelserna i de lagar som ska ändras föreslås därför bli föreskrivet att de upphävda bestämmelserna tillämpas på de tekniska anslutningar som var i bruk före upphävandet.  
3
Förhållande till grundlagen samt lagstiftningsordning
Syftet med regeringens proposition är att inom informationshanteringen främja framför allt handlingsoffentligheten enligt grundlagens 12 § 2 mom. samt genomförandet av de krav i fråga om god förvaltning och rättsskydd som föreskrivs i grundlagens 21 §. Regeringens proposition har också betydelse för skyddet för personuppgifter i myndigheternas verksamhet. Det råder i praktiken ett samband mellan skyddet för personuppgifter och den föreslagna lagens syften. I den föreslagna lagen föreskrivs om behandling av informationsmaterial, i vilket ingår myndigheternas samtliga handlingar. Regleringen gäller därmed också annat än personuppgifter och syftet med den är att samordna olika grundläggande rättigheter inom myndigheternas informationshantering. Sammantaget säkerställs genom den föreslagna lagstiftningen en ändamålsenlig myndighetsverksamhet inom informationshanteringen, informationens tillgänglighet för berättigade ändamål i elektronisk form samt individers och sammanslutningars rättssäkerhet inom myndigheternas verksamhet. 
Skyddet för personuppgifter 
Grundlagsutskottet har understrukit att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan ska tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (GrUU 14/2018 rd, GrUU 1/2018 rd och GrUU 25/2005 rd). Grundlagsutskottet framhåller att det i propositionen särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna finns anledning att tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 14/2018 rd, GrUU 1/2018 rd, GrUU 26/2017 rd, GrUU 2/2017 rd och GrUU 44/2016 rd). Det relevanta i en konstitutionell analys av användningen av det nationella handlingsutrymmet är enligt grundlagsutskottets ställningstagande dels de innehållsliga krav som ställs av skyddet för privatlivet och personuppgifter, dels relationen mellan skyddet för övriga informationsrelaterade grundläggande fri- och rättigheter och skyddet för privatlivet och personuppgifter. Dessutom finns det konstitutionella frågor relaterade till t.ex. handlingsoffentlighet, rättssäkerhet och garantier för god förvaltning vilka kräver nationell lagstiftning.  
Grundlagsutskottet har framhållit att skyddet för privatlivet och personuppgifter måste ställas i relation till övriga grundläggande och mänskliga rättigheter samt till övriga vägande samhälleliga intressen, exempelvis intressen som hör samman med den allmänna säkerheten och som i extrema fall kan falla tillbaka på den grundläggande rätten till personlig säkerhet (GrUU 5/1999 rd). Lagstiftaren ska garantera skyddet för privatlivet och personuppgifter på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Grundlagsutskottet har i sin praxis fäst särskilt avseende vid den enligt grundlagens 12 § 2 mom. tryggade handlingsoffentligheten i förhållande till skyddet för privatlivet och personuppgifter (se exempelvis GrUU 43/1998 rd och GrUU 60/2017 rd). Främjande av en annan grundläggande rättighet är således ett tvingande skäl som ger möjlighet att separat i lag begränsa offentligheten för handlingar i en myndighets besittning med stöd av 12 § 2 mom. i grundlagen (GrUU 2/2008 rd och GrUU 40/2005 rd). 
Grundlagsutskottet har understrukit att skyddet för privatlivet och personuppgifter inte har företräde framför andra grundläggande fri- och rättigheter. Analysen går ut på att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna (GrUU 54/2014 rd och GrUU 10/2014 rd). Utskottet har särskilt betonat balansen mellan handlingars offentlighet och skyddet för personuppgifter (GrUU 22/2008 rd). 
I propositionen har det varit nödvändigt att sammanjämka olika grundläggande rättigheter. Med tanke på handlingsoffentligheten samt garantierna för rättssäkerhet och god förvaltning måste myndigheterna organisera en ändamålsenlig informationshantering för att säkerställa vars och ens rättigheter till information samt uppdatering och säker hantering av den information som definierar förmåner, rättigheter och skyldigheter. För att kravet på en smidig ärendebehandling hos myndigheterna ska kunna genomföras förutsätts det ändamålsenliga och effektiva förfaranden och redskap för informationshanteringen. Regleringen av informationshanteringen leder sålunda till situationer där regleringsgrunderna hänför sig till garantierna för offentlighet samt rättssäkerhet och god förvaltning, men regleringsobjektet är samma information som när det gäller en reglering som är baserad på förverkligandet av skyddet för personuppgifter. Avsikten med den föreslagna regleringen är att säkerställa att det inte råder en konflikt mellan regleringen av informationshanteringen respektive dataskyddet, utan att dessa kan sammanjämkas på ett sätt som inte orsakar konfliktsituationer med tanke på de grundläggande rättigheterna. Regleringen av informationshanteringen måste ske på en mera detaljerad nivå än den allmänna regleringen av dataskyddet i syfte att förenhetliga förfarandena inom myndigheternas informationshantering i olika myndigheters verksamhet. 
I den föreslagna lagens 5 § hänvisas till dataskyddsförordningens artikel 30 där det föreskrivs om register över behandling. I paragrafen upprepas inte innehållet i register över behandling eller över huvud taget regleringen i dataskyddsförordningen, utan det konstateras att ärendena i ett register över behandling utgör en del av informationshanteringsmodellen. Förslaget är ändamålsenligt, eftersom uppgifterna i registret över behandling behövs i beskrivningen för att informationshanteringen ska kunna planeras. I dataskyddsförordningen föreskrivs inte om formen för registret över behandling, utan om skyldigheten att föra det. Således kan det integreras med den övriga allmänna beskrivningen av informationshanteringen, så länge uppgifterna om registret kan ges till tillsynsmyndigheten.  
I 4 kap. i propositionens första lagförslag föreslås bestämmelser om informationssäkerhet. Syftet med regleringen är att säkerställa en adekvat behandling av handlingar, trygga ändamålsenligheten i myndigheternas verksamhet, förverkligandet av rättssäkerheten och tillsynen i anslutning till den, bland annat genom insamling av logginformation. Regleringen har betydelse också för behandlingen av personuppgifter i den utsträckning det ingår personuppgifter i handlingarna. Myndigheternas behandling av handlingar hänger samman med de grunder som avses i artikel 6.1 c och e i dataskyddsförordningen. Bestämmelser om grunderna för behandlingen av dessa föreskrivs antingen i dataskyddslagen eller i speciallagar. Enligt dataskyddsförordningens artikel 6.3 får personuppgifter med stöd av nationell reglering enligt punkt 1 c och e behandlas bland annat för att säkerställa en laglig och rättvis informationsbehandling i fråga om nämnda åtgärder. Bestämmelserna om informationssäkerhet avser åtgärder för säkerställande av en laglig och rättvis informationsbehandling för att förverkliga skyddet för personuppgifter, handlingsoffentlighet, en god förvaltning och rättssäkerheten. 
I 17 § i det första lagförslaget i regeringens proposition föreskrivs om insamling av logginformation, vilket i regel också är behandling av personuppgifter. Syftet med insamling av logginformation är att genomföra olika felutredningar så att fel i informationssystem utan dröjsmål kan utredas och avhjälpas för att myndigheternas uppgifter inte ska äventyras på grund av utdragna felutredningar. Logginformation insamlas också för tillsynen över användningen av informationssystem samt i samband därmed för tillgodoseende av individens intressen, rättigheter och skyldigheter samt för fastställande av tjänsteansvar på basis av logginformation. Insamling och behandling av logginformation ska i fortsättningen basera sig på fullgörandet av myndighetens lagstadgade förpliktelse. För insamling och behandling av logginformation ska således finnas en behandlingsgrund enligt artikel 6.1 c i den allmänna dataskyddsförordningen. I den gällande allmänna lagstiftningen föreskrivs inte om insamling och behandling av logginformation. I speciallagar föreskrivs däremot till vissa delar om insamling av logginformation. Insamling av logginformation ska på basis av den föreslagna 17 § vara bunden till behovsprövning så att den insamlas ur de informationssystem där logginformation behövs för felutredningar, fastställande av tjänsteansvar, tillgodoseende av intressen, rättigheter och skyldigheter samt för säkerställande av rättsskyddet för informationssystemets användare. Med hjälp av logginformationen kan det i efterhand kontrolleras vad som gjorts med informationssystemet, vem som har behandlat uppgifter och vem som svarar för åtgärder som vidtagits med hjälp av informationssystemet. Om logginformation behöver behandlas i större utsträckning ska behandlingen vara baserad på en annan bestämmelse eller en annan rättslig grund för behandlingen.  
I 18 § i det första lagförslaget föreskrivs om behandling av säkerhetsklassificerade handlingar. Paragrafens reglering avser uppfyllande av internationella förpliktelser som gäller informationssäkerhet samt genomförande av förfaranden enligt internationella avtal. De föreslagna bestämmelserna avser sådana åtgärder för säkerställande av en rättvis och laglig behandling, möjliggjorda av det nationella handlingsutrymmet enligt dataskyddsförordningens artikel 6.3, som även uppfyller internationella informationssäkerhetsförpliktelser.  
I lagförslagets 5 kap. föreskrivs om omvandling av informationsmaterial till elektroniskt format och om elektronisk överföring av informationsmaterial. Kapitlets paragrafer har samband med informationsmaterialets format och sättet för utlämnande av materialet. I lagförslagets 20 § föreskrivs om grunderna för att myndigheterna ska kunna minska insamlingen av information och om minskning av den administrativa bördan för förvaltningskunderna. Paragraferna har ett nära samband med kravet på minimering av behandlingen av personuppgifter enligt dataskyddsförordningen, men den föreslagna bestämmelsen gäller alla informationsmaterial som myndigheterna samlar in hos förvaltningskunder, oberoende av om kunden är en fysisk eller juridisk person. De föreslagna paragraferna om elektronisk överföring preciserar bestämmelserna om rätt till information i fråga om överföringssättet. Enligt dataskyddsförordningens artikel 86 får personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd för personuppgifter i enlighet med förordningen. Således omfattas paragraferna 22—24 i lagförslaget av det handlingsutrymme som möjliggörs av artikel 86 i dataskyddsförordningen och de genomför tillsammans med offentlighetslagen handlingsoffentligheten, men innehåller samtidigt skyddsåtgärder som förhindrar en obegränsad åtkomst till personuppgifter och andra informationsmaterial via tekniska gränssnitt och elektroniska förbindelser. Regleringen är således delvis baserad också på det handlingsutrymme för säkerställande av en laglig och rättvis behandling som möjliggörs av artikel 6.3 i dataskyddsförordningen.  
I 21 § i lagförslaget föreskrivs om grunderna för bestämmande av förvaringstiderna för informationen. Bestämmelserna är relevanta såvida det ingår personuppgifter i informationsmaterialet. Grundlagsutskottet har upprepade gånger konstaterat att förvaringstiderna för personregister hör till de omständigheter som i enlighet med 10 § 1 mom. i grundlagen ska regleras genom lag (fr.o.m. GrUU 14/1998 rd och GrUU 25/1998 rd). Grundlagsutskottet har likaså upprepade gånger konstaterat att varaktig förvaring av information inte är förenlig med skyddet för personuppgifter (GrUU 51/2002 rd och GrUU 54/2010 RD). Om det emellertid med beaktande av informationssystemets karaktär eller syfte finns en grund för det, får personuppgifter förvaras varaktigt (GrUU 3/2009 rd och GrUU 54/2010 rd). Grundlagsutskottet har i sin nyare praxis ansett att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar även kan uppfyllas genom en allmän unionsförordning eller genom en allmän nationell lag (GrUU 14/2018 rd, GrUU 2/2018 rd, GrUU 31/2017 rd, GrUU 5/2017 rd och GrUU 38/2016 rd). Grundlagsutskottet har å andra sidan ansett att information om personer som hör till särskilda personuppgiftsgrupper, inklusive klientuppgifter inom socialvården, fortfarande ska regleras noggrannare än när det gäller annan behandling av personuppgifter (GrUU 14/2018 rd). 
Syftet med bestämmelserna i förslaget är att säkerställa konstaterandet av förvaltningskundernas intressen, rättigheter och skyldigheter med hjälp av myndigheternas informationsmaterial samt att förverkliga tjänsteansvaret bland annat genom att konstatera hur en myndighet har utfört sin uppgift och om lag noggrant har iakttagits vid utförandet, så som förutsätts i 2 § 3 mom. i grundlagen. Utifrån informationsmaterial som uppkommer i samband med myndighetsverksamhet är det möjligt att konstatera både fullgörandet av myndigheternas skyldigheter och förvaltningskundernas intressen, rättigheter och skyldigheter. Det finns av denna anledning skäl att i lag föreskriva om grunderna för förvaring av informationsmaterial. I sig föreskrivs det om förvaring av personuppgifter på allmän nivå även i dataskyddsförordningen, enligt vilken den personuppgiftsansvarige bör införa tidsfrister för radering eller för regelbunden kontroll av personuppgifter för att säkerställa att personuppgifter inte sparas längre än nödvändigt. Den föreslagna regleringen strider inte mot det som föreskrivs i dataskyddsförordningen, eftersom lagen inte innehåller några bestämmelser om vem som ansvarar för att bestämma förvaringstiderna, utan i 21 § 3 mom. hänvisas det till särskilda bestämmelser genom vilka det hänvisas till dataskyddsförordningen i fråga om dess tillämpningsområde och i övrigt till arkivlagen enligt vilken förvaringstiden för handlingar bestäms av arkivbildaren. Den nationella arkivlagen kan tillämpas endast i den mån den inte strider med dataskyddsförordningen eller behandlingsåtgärderna inte omfattas av tillämpningsområdet för dataskyddsförordningen. Myndigheterna bestämmer i egenskap av personuppgiftsansvarig förvaringstiderna för personuppgifter med beaktande av kravet på uppgiftsminimering samt andra krav på myndigheternas informationsmaterial. Vid förvaring är det i sista hand fråga om att det därmed säkerställs en rättvis och laglig behandling och förvaring av handlingar hos myndigheter, inom ramen för handlingsutrymmet enligt artikel 6.3 i dataskyddsförordningen. De grunder som anges i förteckningen i 21 § 1 mom. i lagförslaget ska beaktas när förvaringstider bestäms. Förteckningen är inte uttömmande utan där har lyfts fram de grunder för förvaring som utgår från tillgodoseende av individens intressen, rättigheter och skyldigheter samt för genomförande av ansvar för ämbetsåtgärder enligt 118 § i grundlagen. I praktiken har de handlingar som uppkommit för en myndighet och som hanteras i datalager en viktig ställning när det gäller genomförande och verifiering av ansvaret för ämbetsåtgärder. Målet med regleringen är alltså också att säkerställa att frågor som anknyter till ämbetsansvar kan verifieras på ett behörigt sätt i myndigheternas handlingar. Den föreslagna lagen innehåller inga bestämmelser om arkivering, utan om den utfärdas särskilda bestämmelser. Dataskyddsförordningen gäller även arkivering enligt allmänt intresse när de uppgifter som ska behandlas är uppgifter om en levande person. Samordning av bestämmelserna om arkivering med dataskyddsförordningen ingår inte i det första lagförslaget. 
I lagförslagets 6 kap. föreslås bestämmelser om skapande av metadata i samband med ärendebehandling och tjänsteproduktion i syfte att förverkliga offentlighetsprincipen, följa upp smidighetskravet i anslutning till en god förvaltning samt trygga rättssäkerheten vid ärendebehandling. I metadata som insamlas i samband med ärendebehandling och tjänsteproduktion ingår också i viss mån personuppgifter. Regleringen är emellertid baserad på det handlingsutrymme som möjliggörs i artikel 6.3 i dataskyddsförordningen i syfte att säkerställa en laglig och rättvis behandling. Bestämmelserna är nödvändiga i syfte att förverkliga handlingsoffentligheten samt säkerställa en adekvat ärendebehandling hos myndigheterna och genomföra myndighetsintern arbetshandledning med hjälp av ärendehantering och informationshantering i fråga om tjänster. Med hjälp av ärendehantering kan ärendebehandlingen styras och anhopningar mellan myndigheternas olika verksamhetsställen automatiskt jämnas ut oberoende av plats. Detta gynnar en snabb ärendebehandling. Med hjälp av uppgifterna i ärendehanteringen kan även iakttagandet av föreskrivna tidsfrister övervakas i ärendebehandlingen. 
Organisatorisk tillämpning och styrning 
Tillämpningsområdet för det första lagförslaget i regeringens proposition kommer att vara omfattande och i huvudsak gälla samma organisationer som lagen om offentlighet i myndigheternas verksamhet, som i tiden stiftades med grundlagsutskottets medverkan (GrUU 43/1998 rd). 
Informationshanteringslagen ska gälla riksdagens ämbetsverk, offentligrättsliga inrättningar som är underställda riksdagen (Finlands Bank och Folkpensionsanstalten) samt universiteten. Med tanke på grundlagen kommer lagen således att ha betydelse i fråga om dessa organisationer. Enligt 76 § 1 mom. i grundlagen finns det bestämmelser om den evangelisk-lutherska kyrkans organisation och förvaltning i kyrkolagen. Det första lagförslaget tillämpas inte på den evangelisk-lutherska kyrkan utan innehåller en informativ hänvisningsbestämmelse till kyrkolagen. Lagen om offentlighet i myndigheternas verksamhet tillämpas med stöd av kyrkolagen på den evangelisk-lutherska kyrkan. Det är beroende av den evangelisk-lutherska kyrkans prövning och lagstiftningsåtgärder i vilken utsträckning bestämmelserna om informationshantering ska tillämpas på kyrkan och dess informationshantering på det sätt som föreskrivs i kyrkolagen. Den evangelisk-lutherska kyrkan sköter offentliga förvaltningsuppgifter och får information för att kunna utföra sina uppgifter samt lämnar i samband med detta ut information bland annat till statliga myndigheter. Skötseln av offentliga förvaltningsuppgifter och ordnande av verksamhet enligt offentlighetslagen hänför sig till innehållet i det första lagförslaget. 
Bestämmelserna om styrningen av informationshanteringen i 3 kap. i informationshanteringslagen ska inte tillämpas på riksdagens ämbetsverk och i regleringen har beaktats grundlagsutskottets ställningstagande om begränsningar i statliga myndigheters styrningsmakt i relation till riksdagens ämbetsverk (GrUU 46/2010 rd). 
I lagförslaget föreslås att bestämmelserna ska gälla även universiteten, eftersom offentlighetslagen ska tillämpas på universitetens verksamhet. Förslaget är således av betydelse med tanke på 123 § 1 mom. i grundlagen. Universiteten har självstyrelse enligt vad som bestäms närmare genom lag. Med självstyrelse avses enligt förarbetena till grundlagen framför allt att universitetets egna, inte statens allmänna, förvaltningsmyndigheter beslutar om universitetens interna förvaltning (RP 7/2009 rd och GrUU 11/2009 rd). I propositionen ingår inga förslag som innebär att statens förvaltningsmyndigheter skulle kunna påverka universitetens interna förvaltning, exempelvis utföra uppgifter som har samband med informationsförvaltningen eller dokumentförvaltningen. Finansministeriets behörighet att styra informationslagrens interoperabilitet sträcker sig inte till universiteten, eftersom lagens 3 kap. inte tillämpas på universitet. Behörigheten i anknytning till informationshanteringsnämndens bedömningsuppgift sträcker sig inte heller till universiteten, även om statliga myndigheter i sig enligt särskilda bestämmelser har rätt att övervaka och bedöma universitetens lagstadgade verksamhet. I lagen föreslås inga bestämmelser om sådana bemyndiganden att utfärda förordning som skulle utsträcka sig till universitetens verksamhet. 
Informationshanteringslagen gäller också Folkpensionsanstalten och Finlands Bank som är självständiga offentligrättsliga inrättningar underställda riksdagen. I lagen föreslås inga bestämmelser om bemyndiganden att utfärda förordning eller om annan sådan styrning som skulle utsträcka sig till dessa självständiga offentligrättsliga inrättningar som är underställda riksdagen. Inte heller informationshanteringsnämnden har behörighet för dessa informationshanteringsenheter även om nämndens sektioner skulle kunna bestå av sakkunniga även från dessa informationshanteringsenheter. Grundlagsutskottet har i fråga om de ovan nämnda informationshanteringsenheterna förutsatt att myndigheterna inom statsförvaltningen inte ska ha styrningsbehörighet i förhållande till dessa organisationer (GrUU 46/2010 rd), vilket innebär att lagförslaget uppfyller dessa krav. Även om statliga myndigheter har rättigheter enligt många lagar att övervaka Folkpensionsanstaltens och Finlands Banks verksamhet, har det inte för informationshanteringsnämnden föreskrivits någon behörighet för bedömningsuppgiften när det gäller dessa informationshanteringsenheter, eftersom den hör nära samman med den övriga administrativa styrningen. 
I det första lagförslaget i regeringens proposition har även beaktats den grundlagsenliga ställningen för de högsta laglighetsövervakarna. Bestämmelserna om finansministeriets eller informationshanteringsnämndens styrning i 3 kap. ska inte tillämpas på verksamhet som bedrivs av riksdagens justitieombudsman eller justitiekanslern i statsrådet. I propositionen har beaktats grundlagsutskottets ställningstagande om de högsta laglighetsövervakarnas ställning (GrUU 14/2018 rd). 
Informationshanteringslagen ska också tillämpas på lagskipning. Förslaget är således av betydelse med tanke på 3 § 3 mom. i grundlagen. Tillämpningen av lagförslaget är i viss utsträckning begränsad till lagskipning främst på grund av arten av verksamheten. Av konstitutionella skäl ska bestämmelserna i 3 kap. i informationshanteringslagen inte tillämpas på domstolars eller andra rättskipningsorgans verksamhet. Frågan om styrningsbehörighet har således ytterligare begränsats i jämförelse med vad som i informationsförvaltningslagen, som stiftades med grundlagsutskottets medverkan, föreskrivs om finansministeriets och andra ministeriers behörighet i relation till domstolarnas förvaltningsverksamhet. Således har statliga förvaltningsmyndigheter inte styrningsbehörighet i relation till domstolarna med stöd av informationshanteringslagen. Däremot kan styrningsbehörigheten användas för de informationssystem som domstolarna använder, eftersom produktionen av system inte hör till domstolarna utan i huvudsak till Rättsregistercentralen på vars verksamhet informationshanteringslagen ska tillämpas på samma sätt som på andra statliga informationshanteringsenheter. 
Enligt 120 § i grundlagen har landskapet Åland självstyrelse enligt vad som bestäms särskilt i självstyrelselagen för Åland. Enligt grundlagens 75 § 1 mom. gäller angående lagstiftningsordningen för självstyrelselagen för Åland och jordförvärvslagen för Åland det som särskilt bestäms i dessa lagar. Lagen enligt det första lagförslaget tillämpas inte på åländska myndigheter och därför har förslaget inga konsekvenser för Ålands självstyrelseställning. Den begränsande bestämmelsen motsvarar begränsningen av tillämpningsområdet för informationsförvaltningslagen som stiftats med grundlagsutskottets medverkan (GrUU 46/2010 rd). 
Kommunal självstyrelse 
Det föreslås att informationshanteringslagen generellt ska tillämpas på kommuner, samkommuner och landskap. I 121 § i grundlagen finns bestämmelser om den kommunala självstyrelsen, och enligt paragrafens 2 mom. utfärdas bestämmelser om de allmänna grunderna för kommunernas förvaltning och om uppgifter som åläggs kommunerna genom lag. Enligt grundlagsutskottets ställningstaganden går det inte att genom vanlig lag göra sådana ingrepp i självstyrelsens mest centrala särdrag att den urholkas i sak (GrUU 37/2006 rd, GrUU 22/2006 rd och GrUU 65/2002 rd). I det första lagförslaget i regeringens proposition föreslås inga bestämmelser om hur en kommun ska organisera sin förvaltning för att uppfylla förpliktelserna i lagen, utan kommunen får i stället själv besluta hur den organiserar uppgifterna i anslutning till informationshanteringen, dock med beaktande av de begränsningar som följer av grundlagens 124 §. I lagen föreskrivs inte hur kommunerna ska organisera uppgifter som hör till informationsförvaltningen eller dokumentförvaltningen. Kommunledningens skyldighet är att sörja för grunderna för organisering av informationshanteringen. Kommunstyrelsen svarar för kommunens förvaltning och ekonomi, vilket innebär att kommunstyrelsen ska sköta informationshanteringen inom kommunens förvaltning och tjänsteproduktion. I enlighet med 90 § i kommunallagen (410/2015) ska bestämmelser om ordnandet av kommunernas dokumentförvaltning finnas i förvaltningsstadgan som godkänns av fullmäktige. 
Genom den föreslagna lagen ändras den praxis som innebär att statliga myndigheter de facto, på grunder som sammanhänger med informationssäkerheten, har ålagt kommunerna nya skyldigheter som inte har stöd i lag för att informationssäkerheten eller annan informationshantering ska kunna genomföras. I den föreslagna lagen föreskrivs både om de grundläggande kraven på informationssäkerhet och om grunderna för informationsförvaltning, vilket innebär att kommunernas skyldigheter i fortsättningen är baserade på uttryckliga bestämmelser i lag och inte på olika villkor som statliga myndigheter har ställt eller på föreskrifter eller andra bindande förfaranden. Den föreslagna lagen förändrar således den med tanke på 121 § i grundlagen nuvarande problematiska situationen så att kraven på informationssäkerhet är baserade på lagstadgade krav. 
Kraven gällande förverkligandet av informationssäkerheten motsvarar huvudsakligen gällande praxis inom området. Det finns vägande skäl att genom lagstiftningen göra en ändring i den i praktiken tvingande styrning av informationsskyddet som statliga myndigheter i nuläget föreskriver i samband med informationsöverföringar så att en statlig myndighet inte ska kunna ställa nya förpliktande krav på kommunerna, utan kraven är direkt baserade på lag. Kraven i anslutning till förverkligandet av informationssäkerheten förutsätter att kommunerna säkerställer att informationssäkerhetsåtgärderna hålls uppdaterade. Detta kan medföra kostnader för kommunerna. Kommunerna ska i varje fall säkerställa att informationssäkerhetsarrangemangen i informationssystemen uppdateras i enlighet med bestämmelserna om dataskydd. Sådana bestämmelser finns dels i dataskyddsförordningen och dels också i speciallagstiftning, exempelvis i social- och hälsovårdslagstiftningen.  
Grundlagsutskottet har i sin praxis också framhållit att man i samband med regleringen av kommunernas uppgifter enligt finansieringsprincipen också måste se till att kommunerna har faktiska möjligheter att klara av sina förpliktelser (GrUU 16/2014 rd, GrUU 34/2013 rd, GrUU 30/2013 rd, GrUU 12/2011 rd och GrUU 41/2010 rd). Finansieringsprincipen ingår också i artikel 9.2 i europeiska stadgan om lokal självstyrelse. Enligt den artikeln ska de lokala myndigheternas ekonomiska resurser motsvara de uppgifter som tilldelats dem i grundlag och annan lag. Statsandelssystemet täcker kostnaderna för den kommunala basservicen och därmed genomförs finansieringsprincipen mellan stat och kommun.  
Kommunerna har en stor roll när det gäller att tillförsäkra var och en de grundläggande rättigheter som ankommer på det allmänna. Kommunernas lagstadgade uppgifter har ett nära samband med ett flertal ekonomiska, sociala och kulturella grundläggande fri- och rättigheter. Ett centralt syfte med lagen är att främja offentlighetsprincipen, god förvaltning och rättssäkerheten inom och med hjälp av informationshanteringen. Bestämmelserna ger kommunerna prövningsrätt hur skyldigheterna ska fullgöras och i viss utsträckning kan en avvikelse från dem göras även på ekonomiska grunder.  
De skyldigheter som föreslås i lagförslaget i fråga om beskrivning av informationshanteringen samt ärendehanteringen baserar sig på gällande reglering som föreslås bli upphävd och preciserad genom nya bestämmelser. Kommunerna har också nyligen varit tvungna att se över sina beskrivningar av informationshanteringen, i och med att EU:s allmänna dataskyddsförordning började tillämpas den 25 maj 2018. Kommunerna har varit tvungna att utarbeta och uppdatera beskrivningar av informationshanteringen med stöd av offentlighetslagen, personuppgiftslagen och arkivlagen. Dessutom föreskrivs i informationsförvaltningslagen om beskrivning av den övergripande arkitekturen, men det har inte varit en bindande reglering. Överlag har kommunerna varit tvungna att ställa resurser till förfogande för de lagstadgade beskrivningarna av informationshanteringen. Därmed kan en centralisering av beskrivningsskyldigheterna till en enda beskrivning som informationshanteringsmodell leda till vissa besparingar för kommunerna på längre sikt tack vare en minskning av de mångfaldiga beskrivningarna. Centraliseringen av beskrivningsskyldigheten förbättrar förutsättningarna för att utveckla planeringen av kommunernas verksamhet och effektivisera den operativa informationsledningen av kommunernas verksamhet. Den beskrivningsskyldighet som hör samman med informationshanteringsmodellen är i det första skedet samordning av de beskrivningar som gjorts med stöd av olika lagar och samordningen kan tilldelas de resurser som har reserverats för de mångfaldiga beskrivningarna av informationshanteringen.  
Den föreslagna regleringen förutsätter att kommunerna uppdaterar och samordnar sina existerande beskrivningar i överensstämmelse med informationshanteringsmodellen. Kommunerna har enligt offentlighetslagens 18 § 1 mom. 3 punkten, som föreslås bli upphävd, varit tvungna att på förhand planera ändringar som är påverkar informationshanteringen när datasystem tas i bruk eller i samband med ändringar i kommunernas förvaltning. Skyldigheten att beskriva förändringar i informationshanteringen innebär inte en ny uppgift för kommunerna, utan det är fråga om en precisering av den existerande skyldigheten.  
I propositionens första lagförslag föreskrivs också om utlämnande av information via tekniska gränssnitt eller elektroniska förbindelser. Tidigare fanns det bestämmelser om utlämnande av information med användning av tekniska anslutningar och enligt de bestämmelserna var den myndighet som lämnade ut informationen skyldig att säkerställa att mottagaren hade adekvata förfaranden för skyddande av informationen. Detta ledde till diverse förfaranden och krav på informationsutbytet mellan myndigheter. Problemen i samband med informationssystemens interoperabilitet har redan länge varit en faktor som försvårat en effektiv skötsel av myndighetsuppgifter inom den offentliga förvaltningen. Avsikten med den nya regleringen är att effektivisera myndigheternas verksamhet och utnyttjande av information samt att minska flerfaldig insamling av information. De tekniska gränssnitten och elektroniska förbindelserna i kommunerna måste uppdateras i överensstämmelse med de krav som ställs i de föreslagna bestämmelserna. En del av de krav som förskrivs i lagen har redan uppfyllts i och med att tekniska anslutningar har öppnats samt på grund av att en del av skyldigheterna hänför sig till social- och hälsovården där det redan tidigare funnits närmare bestämmelser om användning av elektroniska förbindelser. En förbättring av informationssystemens interoperabilitet främjar effektiviseringen av kommunernas verksamhet. Således kan den bedömningen göras att fungerande gränssnitt är en investering som stödjer utvecklingen av verksamheten, eftersom en förbättring av informationens rörlighet också effektiviserar utförandet av myndigheternas uppgifter. I bestämmelserna om gränssnitt har lämnats kvar ändamålsenlighetsprövning för förverkligandet av gränssnitt och kommunerna måste därför inte med stöd av informationshanteringslagen utbyta information med hjälp av tekniska gränssnitt, utan kan även utbyta information på annat sätt. Det överlåts åt kommunerna att bedöma om gränssnitten förverkligas på det sätt som förutsätts i lagen, dock så att gränssnitten inte kan användas om förutsättningarna i lagen inte uppfylls. 
Kostnadsverkningarna av det första lagförslaget för enskilda kommuner eller samkommuner kommer att vara fördelade över flera år och kommer inte att vara betydande med beaktande av skyldigheterna i de bestämmelser och föreskrifter som upphävs samt övergångsperioderna i lagen, de genomförandealternativ som kommunerna ska bestämma om och ändamålsenlighetsfrågor. Ändringarna kan också integreras i de normala uppdateringstidtabellerna i informationssystemen. För små kommuners vidkommande minskar kostnadseffekterna av den anledningen att kommunerna har organiserat sina informations- och kommunikationstekniska funktioner hos regionala företag som verkar som interna enheter. De tekniska kraven i fråga om informationshanteringen förverkligas således i praktiken i dessa företag genom samarbete mellan kommunerna.  
Staten svarar för finansieringen av landskapen och lagen ska vara i kraft då landskapen inleder sin verksamhet, vilket innebär att landskapen i sin egen verksamhet ska beakta bestämmelserna i de föreslagna lagarna. Den nya lagen skapar grunderna för hur informationssystemen ska förverkligas i landskapen. 
I 3 kap. i det första lagförslaget i propositionen finns styrningsbehörighet på olika nivåer för finansministeriet och informationshanteringsnämnden i relation till kommuner, samkommuner och landskap. Grundlagsutskottet har ansett att en sådan styrning är möjlig, så länge den är begränsad till kommunernas lagstadgade uppgifter (GrUU 46/2010 rd). Av denna anledning har tillämpningen av 3 kap. begränsats till kommuner, samkommuner och landskap endast för skötseln av lagstadgade uppgifter. 
Offentlig förvaltningsuppgift 
I 19 § 3 mom. i propositionens första lagförslag föreskrivs att omvandlingen av handlingar till elektroniskt format kan utkontrakteras till privata aktörer. Det är fråga om en dispositiv bestämmelse. Grundlagsutskottet har i sitt utlåtande GrUU 30/2012 rd konstaterat att sådana offentliga förvaltningsuppgifter som avses i grundlagens 124 § är mottagning och sortering av deklarationer och andra handlingar som ges in till Skatteförvaltningen samt lagring av handlingarna och lagring av de uppgifter som ingår i dem. Eftersom omvandling av handlingar till elektroniskt format är detsamma som lagring av handlingar, är också detta en offentlig förvaltningsuppgift. Enligt 124 § i grundlagen kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Uppgifter som innebär betydande utövning av offentlig makt får dock ges endast myndigheter. Enligt det föreslagna 3 mom. kan en privat aktör med stöd av avtal anlitas av en myndighet för att omvandla handlingar till elektroniskt format.  
De allmänna förvaltningslagarna blir tillämpliga i fråga om sådana bestämmelser som direkt enligt respektive lags tillämpningsområde avser privata aktörer. I momentet hänvisas till straffrättsligt tjänsteansvar och till skadeståndslagen för att en uppgift ska kunna ges i uppdrag åt en privat aktör. Omvandling av handlingar till elektroniskt format innebär inte utövning av offentlig makt utan det är då fråga om att sköta en biträdande uppgift i anslutning till utövning av offentlig makt. Strafflagens bestämmelser om tjänstebrott ska således inte tillämpas direkt med stöd av strafflagens (39/1889) 40 kap. utan det krävs speciallagstiftning för att straffrättsligt tjänsteansvar ska kunna utsträckas till andra offentliga förvaltningsuppgifter än sådana som innebär offentlig makt. Grundlagsutskottet har förutsatt att det straffrättsliga tjänsteansvaret utsträcks också till sådana offentliga förvaltningsuppgifter som inte innebär utövning av offentlig makt (se t.ex. GrUU 11/2006 rd, GrUU 3/2009 rd och GrUU 30/2012 rd). Omvandling av handlingar till elektroniskt format är en uppgift av teknisk karaktär som emellertid förutsätter särskild omsorgsfullhet. För dessa tekniska och rutinmässiga uppgifter kan det, beroende på myndigheten, anses vara ändamålsenligt att anlita en privat aktör, bland annat med tanke på myndighetsverksamhetens effektivitet och en effektiv resursanvändning samt för att jämna ut arbetstoppar. Varje informationshanteringsenhet ska särskilt bedöma om det är ändamålsenligt att utkontraktera uppgiften till en privat aktör, även om lagen tillåter sådan utkontraktering. Grundlagsutskottet har ansett det vara möjligt att inom ramen för de regleringskrav som gäller i fråga om offentliga förvaltningsuppgifter delegera uppgifter som avser lagring av handlingar till privata aktörer (GrUU 30/2012 rd). En tilläggsförutsättning i bestämmelsen skulle vara att säkerställa att en privat aktör har tillräckliga tekniska förutsättningar och tillräckligt kunnande för att omvandla handlingar till elektroniskt format. Genom detta skapas tilläggsförutsättningar för att det till dessa delar ska säkerställas att den offentliga förvaltningsuppgiften ordnas och handlingarna omvandlas till elektroniskt format på behörigt sätt. 
Sättet att lämna ut information via tekniska gränssnitt eller elektroniska förbindelser 
I det första lagförslagets 22—24 § föreskrivs om olika sätt att överföra information via tekniska gränssnitt och elektroniska förbindelser. Avsikten är att regleringen ska ersätta den splittrade regleringen av tekniska anslutningar. Förslaget är relevant med avseende på skyddet för personuppgifter enligt grundlagens 10 § 1 mom. Grundlagsutskottet har upprepade gånger konstaterat att regleringsobjekt gällande skyddet för personuppgifter enligt grundlagens 10 § 1 mom. omfattar tekniska anslutningar (fr.o.m. GrUU 12/2002 rd), men i den senaste tidens utlåtandepraxis har grundlagsutskottet inte längre uttryckligen nämnt tekniska anslutningar som viktiga regleringsobjekt (se GrUU 14/2018 rd, GrUU 2/2018 rd och GrUU 31/2017 rd). Grundlagsutskottet har i sin nyare utlåtandepraxis ansett att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän unionsförordning eller genom en allmän nationell lag (se GrUU 14/2018 rd, GrUU 2/2018 rd, GrUU 31/2017 rd, GrUU 5/2017 rd och GrUU 38/2016 rd). Lagförslagets bestämmelser om informationsöverföring med såväl tekniska gränssnitt som elektroniska förbindelser är detaljerade i det avseendet att i dem anges noggranna förutsättningar för i vilka situationer och på vilket sätt information kan lämnas ut via tekniska gränssnitt eller elektroniska förbindelser samt vilka förfaranden i anslutning till informationssäkerheten som ska iakttas då information lämnas ut på dessa sätt. Regleringen ska i fråga om nämnda överföringssätt uppfylla kraven på räckvidd för, exakthet hos och noggrann avgränsning av skyddsbestämmelserna så att det framgår av dem när de kan tillämpas, under vilka förutsättningar informationsöverföringen kan ske på detta sätt och hur den sker. De rättsliga grunderna för behandlingen kontrolleras i samband med behandlingen av uppgifterna. 
Informationshanteringslagen gör det inte möjligt att utveckla informationstjänsterna i ett datanät i sådana situationer när informationstjänsterna innehåller personuppgifter. Så som grundlagsutskottet har förutsatt ska det föreskrivas särskilt om sådana informationstjänster. Vid genomförandet av tekniska gränssnitt och elektroniska förbindelser säkerställs både att den som tar emot överlåtelsen har rätt att få informationen, men också rätt att behandla den i en särskild situation. När information lämnas ut på dessa sätt ska därför ordnas tillräcklig kontroll för att förhindra en okontrollerad massöverföring av information mellan myndigheter. Överföring av information ska vara behovsbaserad så att utlämning av information och grunderna för utlämningen kan kontrolleras även i efterhand.  
Bemyndiganden att utfärda förordningar och föreskrifter 
I det första lagförslaget i regeringens proposition föreskrivs om bemyndiganden att utfärda förordningar. Republikens president, statsrådet och ministerierna kan i enlighet med grundlagens 80 § 1 mom. utfärda förordningar med stöd av ett bemyndigande i grundlagen eller i någon annan lag. Genom lag ska dock utfärdas bestämmelser om grunderna för individens rättigheter och skyldigheter samt om frågor som enligt grundlagen i övrigt hör till området för lag. Med anledning av grundlagens 80 § har grundlagsutskottet i sin praxis ställt krav på regleringens exakthet och noggranna avgränsning i bemyndiganden att utfärda förordning (exempelvis GrUU 38/2013 rd). Utskottet understryker att när förordningar endast kan utfärdas med stöd av lagstadgad fullmakt och bemyndigande att utfärda en förordning inte kan ges i ärenden som enligt grundlagen ska föreskrivas genom lag, måste ett bemyndigande att utfärda förordning som tas in i lagen formuleras så att innehållet i bemyndigandet tydligt framgår av lagen och att det avgränsas tillräckligt noggrant (exempelvis GrUU 26/2017 rd). Utifrån 80 § i grundlagen är det väsentligt att det finns tillräckligt uttömmande grundläggande bestämmelser i lag om det som ska regleras och att ett bemyndigande i regel bör placeras i samband med den grundläggande bestämmelsen (exempelvis GrUU 10/2016 rd och GrUU 49/2014 rd). 
Enligt 4 § 2 mom. i det första lagförslaget i propositionen kan det genom förordning av statsrådet föreskrivas närmare om skötsel av uppgifter mellan statliga informationshanteringsenheter. Bestämmelsen om bemyndigande ska gälla organiseringen av informationshanteringsenheters uppgifter enligt denna lag mellan statliga informationshanteringsenheter. Genom förordning kan utfärdas bestämmelser om statliga informationshanteringsenheters gemensamma skötsel av informationshanteringsuppgifter, men genom förordning kan inte göras ändringar i behörighetsförhållanden som rör hanteringen av datamaterial och handlingar. Därmed kan det inte genom förordning utfärdas bestämmelser om organiseringen av sådana uppgifter som har riktats till en behörig myndighet. Genom bemyndigandet att utfärda förordning kan statsrådet genom förordning organisera statliga informationshanteringsenheters uppgifter i anknytning till informationshantering på ett ändamålsenligt sätt, exempelvis som gemensamma uppgifter för ministerierna. Inte heller i det fallet kan behörighetsförhållandena mellan myndigheter som är verksamma i ministerier ändras eller organiseras genom förordning. Bemyndigandet gäller organiseringen av uppgifter inom statsförvaltningen och påverkar bland annat inte behörighetsförhållandena vid utövning av offentlig makt. 
Enligt lagförslagets 6 § 2 mom. kan det genom förordning av statsrådet föreskrivas närmare om innehållet i och upprätthållandet av den allmänna informationshanteringskartan. Enligt förslaget är myndigheterna skyldiga att upprätthålla en allmän informationshanteringskarta. I en förordning ska det föreskrivas om utformningen av informationshanteringskartan samt om tekniken för upprätthållandet. Den föreslagna bestämmelsen preciserar skyldigheten att upprätthålla informationshanteringskartan i fråga om innehållet och teknologin, och regleringen avgränsas till ministerierna. Regleringen innebär i praktiken statsrådets interna organisering av arbetet. Förordningen ska gälla det datainnehåll som ansluter till informationslagrens interoperabilitet. Således ska det i förordningen inte föreskrivas om t.ex. behandlingen av personuppgifter, utan endast om beskrivningen av informationslagren och de informationssystem som använder dem. 
Enligt lagförslagets 7 § 2 mom. kan det genom förordning av statsrådet tillsättas delegationer eller andra samarbetsorgan för samarbetet samt föreskrivas om deras verksamhet. I paragrafens 1 mom. föreskrivs om samarbetsobjekten. Bemyndigandet att utfärda förordning sammanhänger i praktiken med finansministeriets uppgifter. Delegationerna eller samarbetsorganen har inte någon självständig beslutanderätt utan de ska vara forum för samarbetet mellan myndigheterna. Med tanke på organiseringen av delegationernas och samarbetsorganens verksamhet finns det emellertid behov av att genom statsrådsförordningar till behövliga delar ange samarbetsformerna och uppgifterna i anslutning till samarbetet. I 1 mom. föreskrivs om grunderna för dem. Delegationerna och samarbetsforumen ska inte utöva offentlig makt, och bemyndigandet att utfärda förordning är således inte problematiskt med tanke på kravet att genom lag reglera statsförvaltningens organ enligt 119 § 2 mom. i grundlagen. 
Lagförslagets 9 § gäller förfarandet i remissärenden. Bestämmelser om förfarandet i remissärenden har utfärdats med stöd av bemyndigandet att utfärda förordning i den gällande lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen. I förordningen ska närmare föreskrivas om på vilka grunder ett utlåtande ska inhämtas, om innehållet i utlåtandebegäran och om det förfarande som ska iakttas i remissärenden. Förordningen preciserar lagens bestämmelser i fråga om remissärenden och de detaljer som hänger samman med dem.  
Enligt 10 § 2 mom. i lagförslaget ska närmare bestämmelser om informationshanteringsnämndens sammansättning, organiseringen av verksamheten, beslutsförfarandet och behörighetskraven för dess medlemmar utfärdas genom förordning av statsrådet. Ordalydelsen i bemyndigandet att utfärda förordning begränsar redan i sig vilken typ av ärenden som ska regleras genom förordning av statsrådet. Med tanke på organiseringen av nämndens verksamhet och genomförandet av uppgifterna är det nödvändigt att utfärda en förordning. Den ska i detalj reglera beslutsförfarandet bland annat i omröstningssituationer. I beslutsfattandet och behandlingen ska i allmänhet iakttas förvaltningslagens bestämmelser, vilket innebär att det genom förordning inte kan föreskrivas om ärenden som regleras i förvaltningslagen. Enligt lagförslagets 10 § 3 mom. ska det genom förordning föreskrivas närmare om informationshanteringsnämndens sekreterare och deras uppgifter. I förordningen ska föreskrivas om uppgiftsfördelningen mellan sekreterarna samt om beredningen av ärenden som ska behandlas i nämnden. I förordningen preciseras och ordnas nämndens interna arbete. 
I 18 § 4 mom. i lagförslaget föreslås ett bemyndigande att utfärda förordning, enligt vilket det genom förordning av statsrådet föreskrivs närmare om säkerhetsklassificering samt om anteckningar i och behandling av säkerhetsklassificerade handlingar. Tidigare har på motsvarande sätt föreskrivits om säkerhetsklassificerade handlingar i förordningen om informationssäkerheten inom statsförvaltningen, som upphävs när lagförslaget antas. Av denna anledning finns det skäl att föreskriva om ett nytt bemyndigande att utfärda förordning om detaljerade förfaranden i samband med behandlingen av säkerhetsklassificerad information. På grundval av bemyndigandet kan motsvarande bestämmelser utfärdas i en förordning som gäller statens ämbetsverk och inrättningar. 
I 22 § 1 mom. i lagen om elektronisk kommunikation i myndigheternas verksamhet föreskrivs ett bemyndigande för arkivverket att meddela föreskrifter, enligt vilket arkivverket meddelar närmare föreskrifter och anvisningar om diarieföring eller annan registrering samt om arkivering av elektronisk kommunikation. Eftersom det i informationshanteringslagen enligt det första lagförslaget föreskrivs om registrering av handlingar oberoende av hur de registreras, upphävs 13 § i lagen om elektronisk kommunikation i myndigheternas verksamhet, där det föreskrivs om diarieföring eller registrering av elektroniska dokument. Eftersom paragrafen upphävs ska även det separata bemyndigandet att meddela föreskrifter om diarieföring av elektronisk kommunikation eller annan registrering upphävas. Bemyndigandet att meddela föreskrifter har placerats i en annan paragraf än den där bestämmelser som i sak hänför sig till bemyndigandet i första hand har funnits. Eftersom bemyndiganden att meddela föreskrifter på motsvarande sätt är bundna vid den grundläggande bestämmelsen föreslås i fråga om arkivering att det tas in som nytt 2 mom. i 21 §. Detta motsvarar även grundlagsutskottets ställningstagande att bestämmelser om bemyndigande att meddela föreskrifter ska placeras i samband med den grundläggande bestämmelsen (GrUU 10/2016 rd, GrUU 49/2014 rd). Själva bestämmelsen motsvarar till innehållet nuläget, men dess ordalydelse föreslås bli förtydligad och preciserad.  
Andra myndigheter än de som anges i 80 § 1 mom. i grundlagen kan genom lag bemyndigas att utfärda rättsnormer i bestämda frågor, om det med hänsyn till föremålet för regleringen finns särskilda skäl och regleringens betydelse i sak inte kräver att den sker genom lag eller förordning. Tillämpningsområdet för ett sådant bemyndigande ska vara exakt avgränsat. Jämfört med bemyndiganden att utfärda förordning gäller ett mer långtgående krav än det allmänna kravet på noggrann avgränsning för sådana bemyndiganden. Enligt kravet ska de frågor som bemyndigandet avser anges så exakt som möjligt i lag (GrUU 34/2012 rd, även t.ex. GrUU 17/2018 rd). Bemyndigandet att utfärda förordning har samband med tekniska detaljer som gäller förverkligande av elektroniska handlingars autenticitet och ett oföränderligt innehåll. Bestämmelsen är exakt avgränsad, eftersom dess användningsområde i sak gäller endast elektroniska handlingar som har samband med anhängiggörande och behandling av ärenden som hör till tillämpningsområdet för lagen om elektronisk kommunikation i myndigheternas verksamhet samt delgivning av beslut i nämnda ärenden, och även till dessa delar endast sådana tekniska omständigheter som är av betydelse för elektroniska handlingars autenticitet och oföränderlighet med tanke på arkiveringsskyldigheten. Det är fråga om en reglering med tekniskt innehåll som inte skapar nya förpliktelser utan preciserar tekniska genomförandesätt för säkerställandet av oföränderlighet. Således ska bemyndigandet av meddela föreskrifter inte gälla annan elektronisk arkivering, utan särskilda bestämmelser om arkivering och därtill anknutna befogenheter ska ingå i någon annan arkivlagstiftning. Ändringen ändrar inte i sak det nuvarande bemyndigandet att meddela föreskrifter, men för tydlighetens skull preciseras det med avseende på den gällande bestämmelsen. Grundlagsutskottet har upprepade gånger betonat att bestämmelserna i grundlagen begränsar direkt tolkningen av bestämmelser om bemyndigande liksom innehållet i föreskrifter som meddelas med stöd av bemyndigandena. Genom en föreskrift som är föremål för det föreslagna bemyndigandet går det således inte att utfärda allmänna rättsregler om grunderna för individens rättigheter och skyldigheter eller om andra frågor som hör till området för lag (GrUU 10/2016 rd och GrUU 10/2014 rd). De krav på autenticitet och oföränderlighet som har samband med arkiveringen av en elektronisk handling har en central betydelse med avseende på rättsskyddet för parterna i elektronisk kommunikation. Syftet med bemyndigandet att meddela föreskrifter är att genom bestämmelser säkerställa att elektroniska handlingar som hänför sig till anhängiggörande och behandling av ärenden eller delgivning av beslut arkiveras så att de på det sätt som förutsätts i lag förvaras med oförändrat innehåll. Ordalydelsen av bemyndigandet att meddela föreskrifter ger klart uttryck för möjligheten att utföra arkivering av elektroniska handlingar på olika sätt. Genom bemyndigandet att meddela föreskrifter eftersträvas därmed inte teknisk interoperabilitet mellan informations- och arkiveringssystemen inom den offentliga förvaltningen. Innehållet i bestämmelserna om arkivering och elektronisk kommunikation har inte beretts i det här sammanhanget. Enligt motiven till det ursprungliga bemyndigandet att meddela föreskrifter har arkivverket bedömts ha förmågan att i en elektronisk miljö som utvecklas snabbt utfärda sådana bestämmelser om arkivering som kräver teknisk specialsakkunskap i synnerhet med beaktande av att ärenden kan skötas via flera olika kanaler. 
Egendomsskyddet 
I det första lagförslaget i regeringens proposition finns bestämmelser om tekniska gränssnitt och andra krav som påverkar informationssystemen. Grundlagsutskottet har gjort en bedömning av retroaktiva ingrepp i avtalsförhållanden genom lagstiftning (GrUU 41/2010 rd och GrUU 36/2010 rd). Grundlagsskyddet för egendom tryggar också avtalsförhållandens fortbestånd, trots att förbudet mot att retroaktivt göra ingrepp i avtalsförhållanden inte är en absolut regel i utskottets praxis. Skyddet för kontinuiteten i förmögenhetsrättsliga rättshandlingar bottnar i tanken att skydda rättssubjektens berättigade förväntningar i ekonomiska frågor. I sin praxis har grundlagsutskottet ansett att det i skyddet för befogade förväntningar ingår en rätt att lita på att den lagstiftning som reglerar viktiga rättigheter och skyldigheter i avtalsförhållandet är bestående och att dessa frågor därför inte kan regleras på ett sätt som oskäligt försämrar parternas rättsliga ställning. Propositionens första lagförslag innebär sådana ändringar i vissa informationssystem som inom ramen för gällande avtal kan genomföras som uppdateringar av informationssystem eller vid anskaffningen av nya informationssystem. Om ändringar som garanterar den grundläggande informationssäkerheten inte kan göras i informationssystemet innebär det däremot att myndigheten i varje fall bör överväga en total förnyelse av informationssystemet. Den föreslagna lagen har inga omedelbara konsekvenser för avtalsförhållandenas fortbestånd. 
I det första lagförslaget föreskrivs om definition av gränssnitt och utbyte av information via tekniska gränssnitt. Gränssnitt i informationssystem har inte ansetts höra till kärnområdet för upphovsrättsligt skydd. Ett starkt upphovsrättsligt skydd för gränssnitt skulle inte möjliggöra en utveckling av konkurrerande informationssystemtjänster. Tillgången till gränssnittsbeskrivningar och möjliggörande av informationsöverlåtelse via gränssnitt har också i Europeiska unionen ansetts viktig med tanke på verksamheten på den inre marknaden (Meddelande från kommissionen ”Mot inlåsning: att bygga öppna IKT-system genom bättre utnyttjande av standarder vid offentlig upphandling” (COM(2013) 455 final, 25.6.2013). Därmed är regleringen om gränssnitt och deras öppenhet inte problematisk utifrån egendomsskyddet. Gränssnitt är en källkod i informationssystem som möjliggör informationsutbyte mellan olika informationssystem. Syftet med gränssnitt är att möjliggöra rörlighet för information, vilket innebär att också tillgången till beskrivningar av gränssnitten är viktig mellan olika organisationer. Lagen innehåller inga bestämmelser om en allmän tillgång till gränssnittsbeskrivningar. 
På dessa grunder anser regeringen att lagförslagen kan behandlas i vanlig lagstiftningsordning. 
Riksdagen föreläggs följande lagförslag: 
Lagförslag
1. 
Lag  
om informationshantering inom den offentliga förvaltningen  
I enlighet med riksdagens beslut föreskrivs: 
1 kap. 
Allmänna bestämmelser 
1 § 
Lagens syfte 
Syftet med denna lag är att  
1) säkerställa en enhetlig och kvalitativ hantering samt informationssäker behandling av myndigheternas informationsmaterial så att offentlighetsprincipen förverkligas, 
2) möjliggöra ett tryggt och effektivt utnyttjande av myndigheternas informationsmaterial så att myndigheterna i enlighet med god förvaltningssed kan sköta sina uppgifter och tillhandahålla, förvaltningskunderna tjänster på ett kvalitativt sätt och med gott resultat, 
3) främja interoperabiliteten mellan informationssystem och informationslager. 
Genom denna lag genomförs till vissa delar Europaparlamentets och rådets direktiv 2013/37/EU om ändring av direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn.  
2 § 
Definitioner 
I denna lag avses med  
1) myndighet de myndigheter som avses i 4 § 1 mom. i lagen om offentlighet i myndigheternas verksamhet (621/1999),  
2) informationssystem ett helhetsarrangemang som består av databehandlingsutrustning, programvara och annan databehandling, 
3) handling en myndighetshandling som avses i 5 § 2 mom. i lagen om offentlighet i myndigheternas verksamhet, 
4) informationsmaterial en datauppsättning som består av handlingar och annan motsvarande information och har samband med en viss myndighetsuppgift eller -tjänst,  
5) informationslager en uppsättning informationsmaterial som används för en myndighets uppgifter eller övriga verksamhet och som hanteras med hjälp av informationssystem eller manuellt,  
6) gemensamtinformationslager ett för användning av flera aktörer planerat och upprätthållet informationslager vars uppgifter kan lämnas ut och utnyttjas för olika ändamål, 
7) informationssäkerhetsåtgärder säkerställande av informationsmaterials tillgänglighet, integritet och tillförlitlighet genom administrativa, funktionella och tekniska åtgärder, 
8) informationshantering sådana åtgärder och informationssäkerhetsåtgärder baserade på behov som uppkommer i samband med en myndighets uppgifter eller övriga verksamhet, i syfte att hantera en myndighets informationsmaterial, informationen i olika behandlingsskeden och informationsmaterial, oberoende av på vilket sätt informationsmaterialen lagras och behandlas i övrigt, 
9) verksamhetsprocess en myndighets ärendebehandlings- eller tjänsteprocess, 
10) tekniskt gränssnitt en kommunikationsmetod för elektroniskt informationsutbyte mellan två eller flera informationssystem, 
11) elektroniskförbindelse en begränsad vy som genomförs i ett informationssystem och möjliggör visning av informationsmaterial, 
12) interoperabilitet mellan informationslager utnyttjande och utbyte av information mellan olika informationssystem så att informationens relevans och användbarhet bevaras, 
13) maskinläsbartformat ett filformat som är så strukturerat att datorprogram enkelt kan identifiera, känna igen och extrahera informationsmaterial, specifika uppgifter och strukturer i en handling. 
 
3 § 
Lagens tillämpningsområde och begränsningar i det 
Denna lag ska tillämpas på informationshantering och på användning av informationssystem, då myndigheter behandlar informationsmaterial, om inte något annat föreskrivs någon annanstans i lag. Vad som i denna lag föreskrivs om myndigheter ska tillämpas också på universitet som avses i universitetslagen (588/2009) och på yrkeshögskolor som avses i yrkeshögskolelagen (932/2014). 
Det föreskrivs särskilt om förfaranden som ska iakttas vid ärendehantering och tjänsteproduktion, om sekretessbeläggning och om rätten till information om myndighetshandlingar samt om arkivering av handlingar. I kyrkolagen (1054/1993) föreskrivs om informationshantering inom Finlands evangelisk-lutherska kyrka.  
Denna lags 19—20 och 26—27 § ska inte tillämpas på rättskipning. Denna lags 3 kap. ska inte tillämpas på riksdagens justitieombudsmans, justitiekanslerns i statsrådet, domstolarnas eller övriga rättskipningsorgans verksamhet och inte heller på presidentens kansli, riksdagens ämbetsverk, Folkpensionsanstalten, Finlands Bank, övriga självständiga offentligrättsliga inrättningar, universitet som avses i universitetslagen eller på yrkeshögskolor som avses i yrkeshögskolelagen. Denna lags 3 kap. ska tillämpas på landskap, kommuner och samkommuner då de sköter lagstadgade uppgifter. 
Denna lags 4 kap. och 22—25 § ska tillämpas på privatpersoner och sammanslutningar till den del som de handlar på uppdrag av en myndighet eller för en myndighets räkning. Vad som i denna lag föreskrivs om informationshanteringsenheter eller myndigheter i 4 §, 4 kap., 22—25 och 28 § ska tillämpas på privatpersoner och sammanslutningar samt på offentligrättsliga samfund då på dessas verksamhet i övrigt tillämpas lagen om offentlighet i myndigheternas verksamhet.  
Denna lag ska inte tillämpas på landskapsmyndigheter och inte heller på statliga och kommunala myndigheter i landskapet Åland.  
2 kap.  
Ordnande av informationshantering 
4 § 
Ordnande av informationshanteringen i informationshanteringsenheter 
En myndighet ska höra till en informationshanteringsenhet vars uppgift är att ordna informationshanteringen i enlighet med de krav som avses i denna lag. Informationshanteringsenheter är 
1) statliga ämbetsverk och inrättningar (statliga informationshanteringsenheter),  
2) riksdagens ämbetsverk, 
3) statliga affärsverk,  
4) landskap, 
5) kommuner,  
6) samkommuner, 
7) självständiga offentligrättsliga inrättningar, 
8) universitet som avses i universitetslagen och yrkeshögskolor som avses i yrkeshögskolelagen. 
Genom förordning av statsrådet kan det föreskrivas närmare om skötsel av uppgifter mellan statliga informationshanteringsenheter. 
En informationshanteringsenhets ledning ska ombesörja att det vid enheten  
1) har definierats ansvaren för de uppgifter i anslutning till informationshanteringen som föreskrivs i denna och i någon annan lag, 
2) finns uppdaterade anvisningar om hantering av informationsmaterial, om användning av informationssystem, om databehandlingsrättigheter, om informationshanteringsansvar, om informationsrättigheter, om informationssäkerhetsåtgärder samt om beredskap för undantagsförhållanden, 
3) kan erbjudas utbildning varmed det säkerställs att de anställda och personer som arbetar för informationshanteringsenhetens räkning är tillräckligt förtrogna med gällande författningar, föreskrifter och med informationshanteringsenhetens anvisningar om informationshantering och databehandling samt om handlingsoffentlighet och -sekretess, 
4) finns ändamålsenliga instrument för att genomföra informationshanteringsskyldigheter,  
5) har ordnats tillräcklig övervakning när det gäller iakttagandet av författningarna, föreskrifterna och anvisningarna om informationshantering.  
5 § 
Informationshanteringsmodell och konsekvensbedömning 
En informationshanteringsenhet ska upprätthålla en informationshanteringsmodell som definierar och beskriver informationshanteringen i dess verksamhetsmiljö. Informationshanteringsmodellen ska upprätthållas för planering och genomförande av tjänster, ärendebehandling och hantering av informationsmaterial, för genomförande av rättigheter och begränsningar i fråga om tillgången till information, för att minska överlappande insamling av information, för genomförande av interoperabilitet mellan informationssystem och informationslager samt för upprätthållande av informationssäkerhet. 
Av informationshanteringsmodellen ska framgå åtminstone uppgifter om  
1) beteckningar som beskriver verksamhetsprocesser, om processansvariga myndigheter, om syftet med processer samt om sambandet mellan en process och andra processer, 
2) beteckningar på informationslager, beskrivningar av sambanden mellan informationslager, verksamhetsprocesser och informationssystem samt om register som avses i artikel 30.1 i den allmänna dataskyddsförordningen eller, ifall ett sådant register enligt dataskyddsförordningen inte behöver upprättas, om myndigheten som ansvarar för ett informationslager, om informationslagrets användningsändamål, om informationsmaterialens centrala uppgiftskategorier, om mottagarna av utlämnad information och om informationens förvaringstider, 
3) överföring av informationsmaterial till arkiv, om arkiveringssättet och om arkiveringsplatsen eller om förstöring, 
4) informationssystemets beteckningar, om den systemansvariga myndigheten, om informationssystemets användningsändamål, om anslutningar till andra informationssystem och om överföringssätten via anslutningar,  
5) informationssäkerhetsåtgärder 
Vid planeringen av väsentliga administrativa reformer som har konsekvenser för innehållet i informationshanteringsmodellen och i samband med att informationssystem tas i bruk ska informationshanteringsenheten bedöma de förändringar som hänför sig till åtgärderna och deras konsekvenser i förhållande till ansvaren för informationshanteringen, informationssäkerhetskraven och -åtgärderna enligt 4 kap., kraven på skapande och sättet för utlämnande av informationsmaterial enligt 5 kap., kraven på ärendehantering och informationshantering av tjänster enligt 6 kap. och, enligt vad som föreskrivs någon annanstans i lag om handlingsoffentlighet, sekretessbeläggning, skyddande av information samt informationsrättigheter. Informationshanteringsenheten ska i sin bedömning av förändringar som avser informationshantering beakta interoperabiliteten mellan informationslager samt möjligheterna att utnyttja informationslager för skapande och utnyttjande av informationsmaterial. På basis av bedömningen ska informationshanteringsenheten vidta de åtgärder som behövs för att ändra informationshanteringsmodellen och genomföra ändringarna. Det föreskrivs särskilt om konsekvensbedömning i fråga om dataskydd och om förhandssamråd i samband därmed.  
3 kap.  
Allmän styrning av informationshanteringen inom den offentliga förvaltningen  
6 § 
Allmän styrning av interoperabiliteten mellan informationslager  
Finansministeriet ska svara för den allmänna styrningen av interoperabiliteten mellan den offentliga förvaltningens gemensamma informationslager. I detta syfte ska finansministeriet 
1) ombesörja uppdateringen av den offentliga förvaltningens informationshanteringskarta,  
2) upprätthålla de allmänna riktlinjerna för utveckling av informationshanteringen inom den offentliga förvaltningen i syfte att främja interoperabiliteten mellan de gemensamma informationslagren och informationssystemen. 
Varje ministerium ska inom sitt eget ansvarsområde sköta uppdateringen av innehållet i den offentliga förvaltningens informationshanteringskarta samt inom sitt eget ansvarsområde upprätthålla de allmänna riktlinjerna i syfte att främja interoperabiliteten mellan ansvarsområdets gemensamma informationslager och informationssystem. Genom förordning av statsrådet kan det föreskrivas närmare om innehållet i och upprätthållandet av den offentliga förvaltningens informationshanteringskarta. 
7 § 
Samarbetet mellan den offentliga förvaltningens informationshantering och produktionen av informations- och kommunikationstekniska tjänster 
Finansministeriet ska ombesörja att det för koordineringen av samarbetet mellan den offentliga förvaltningens informationshantering och produktionen av informations- och kommunikationstekniska tjänster har ordnats samarbetsmetoder och -förfaranden för myndigheter vid statliga ämbetsverk och inrättningar samt för landskaps och kommunala myndigheter. Syftet med samarbetet är att främja genomförandet av de syften som avses i denna lag samt att utveckla den offentliga förvaltningens förfaranden och metoder för tjänsteproduktion genom utnyttjande av informationslager samt informations- och kommunikationsteknik. Inom samarbetet ska utvecklingen, förändringarna i och konsekvenserna av den offentliga förvaltningens informationshantering samt de informations- och kommunikationstekniska tjänsterna följas upp.  
För samarbetet enligt 1 mom. kan statsrådet tillsätta delegationer eller andra samarbetsorgan.  
8 §  
Statliga informationshanteringsenheters bedömning av förändringar i informationshanteringen 
De statliga informationshanteringsenheterna ska i sin bedömning enligt 5 § 3 mom. utvärdera de ekonomiska konsekvenserna av förändringar som är relevanta för informationshanteringen.  
Det ministerium som ansvarar för verksamhetsområdet ska göra en bedömning enligt 5 § 3 mom. då bestämmelser som är under beredning återverkar på informationsmaterial och informationssystem. Dessutom ska ministeriet bedöma planerade bestämmelsers konsekvenser för handlingsoffentligheten och handlingssekretessen.  
9 § 
Utlåtande om bedömning av förändringar inom statsförvaltningen 
De statliga informationshanteringsenheterna ska för utlåtande tillställa finansministeriet en på basis av 5 § 3 mom. och 8 § 1 mom. gjord bedömning av utnyttjandet av informationslager och informationssystem samt om interoperabiliteten och informationssäkerheten, då en förändring bedöms få betydande ekonomiska eller funktionella konsekvenser för informationshanteringen eller verksamheten eller då det är fråga om väsentliga förändringar i strukturella gränssnitt för gemensamma informationslager inom den offentliga förvaltningen. Finansministeriet har för avgivande av utlåtande rätt att trots sekretessbestämmelserna få nödvändig information från statliga ämbetsverk och inrättningar. 
Genom förordning av statsrådet ska det närmare föreskrivas om förändringar i informationshanteringen och om förfarandena i remissärenden.  
10 § 
Den offentliga förvaltningens informationshanteringsnämnd 
I anslutning till finansministeriet inrättas en informationshanteringsnämnd för den offentliga förvaltningen (informationshanteringsnämnden), med uppgift att  
1) bedöma hur statliga ämbetsverk och inrättningar, kommuner, samkommuner samt landskap genomför och iakttar 4 § 3 mom., 5, 19, 22—24 och 28 § samt 6 kap. i denna lag, 
2) främja förfarandena i fråga om informationshantering och informationssäkerhet samt genomförandet av de krav som föreskrivs i denna lag. 
Statsrådet utser informationshanteringsnämnden för fyra år i sänder. Nämnden har en ordförande, en vice ordförande samt ledamöter med sakkunskap när det gäller informationssäkerhet inom den offentliga förvaltningen, interoperabilitet mellan informationssystem och informationslager, statistik eller hantering av informationsmaterial. Genom förordning av statsrådet föreskrivs det närmare om informationshanteringsnämndens sammansättning, organiseringen av dess verksamhet och beslutsförfarande samt behörighetskraven. 
Finansministeriet utser bland sina tjänstemän sekreterare i bisyssla för nämndens mandatperiod. Genom förordning av statsrådet föreskrivs närmare om sekreterarnas uppgifter.  
På ledamöterna och ersättarna tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de utför uppgifter som hör till nämnden. I skadeståndslagen (412/1974) föreskrivs om skadeståndsansvar. Till ledamöterna och ersättarna ska betalas ersättning för skötsel av uppgifterna. Finansministeriet fastställer ersättningsbeloppen.  
Informationshanteringsnämnden kan tillsätta tillfälliga sektioner för utveckling av informationshanteringsförfarandena. Till sektionerna kan höra sakkunniga vid informationshanteringsenheter. Nämndens sekreterare är ordförande för sektionerna. Befolkningsregistercentralen har i uppgift att för sektionerna producera sakkunnigtjänster i syfte att utveckla förfarandena för informationshantering och informationssäkerhet. 
11 § 
Informationshanteringsnämndens bedömningsuppgift 
Genomförandet av informationshanteringsnämndens bedömningsuppgift baserar sig på en bedömningsplan som nämnden godkänt. 
Informationshanteringsnämnden har trots sekretessbestämmelserna rätt att för skötsel av en bedömningsuppgift från de myndigheter som är föremål för bedömning kostnadsfritt få för uppgiften nödvändig information om informationshanteringsmodellen, om bedömningen av förändringar i informationshanteringen, om den beskrivning som avses i 28 §, om de informationshanteringsförfaranden som används för ärendehanteringen och tjänsterna, om teknologin för omvandling av handlingar till elektroniskt format, om upprättande av förbindelser för åtkomst till uppgifter och om beskrivningar av tekniska gränssnitt, om användning och administrering av tekniska gränssnitt samt om förfarandena för användning av gränssnitt, med undantag för säkerhetsklassificerade handlingar. Myndigheten ska inom utsatt tid tillställa informationshanteringsnämnden begärd information.  
Om informationshanteringsnämnden konstaterar brister i fråga om iakttagandet av de bestämmelser som i enlighet med 10 § 1 mom. 1 punkten är föremål för bedömning, kan nämnden uppmärksamgöra myndigheten på genomförandet av de till informationshanteringen anslutna förfarandena och uppfyllandet av kraven enligt denna lag.  
Informationshanteringsnämnden ska vartannat år utarbeta en berättelse över bedömningsresultaten och överlämna den till finansministeriet.  
4 kap. 
Informationssäkerhet 
12 § 
Identifiering av uppgifter som förutsätter tillförlitlighet och säkerställande av tillförlitligheten 
En informationshanteringsenhet ska identifiera uppgifter som förutsätter särskild tillförlitlighet hos anställda eller personer som handlar för enhetens räkning. I säkerhetsutredningslagen (726/2014) föreskrivs om säkerhetsutredningar och i lagen om integritetsskydd i arbetslivet (759/2004) föreskrivs om andra personbedömningar.  
13 § 
Informationssäkerhet i fråga om informationsmaterial och informationssystem 
En informationshanteringsenhet ska följa upp informationssäkerhetens tillstånd i sin verksamhetsmiljö och säkerställa informationsmaterialens och informationssystemens informationssäkerhet under hela deras livscykel. Informationshanteringsenheten ska identifiera relevanta risker som är förenade med informationsbehandlingen och dimensionera informationssäkerhetsåtgärderna utifrån riskbedömningen.  
De med tanke på skötseln av en myndighets uppgifter relevanta informationssystemens feltolerans och funktionella användbarhet ska regelbundet säkerställas genom tillräcklig testning.  
Myndigheten ska planera informationssystemen, informationslagrens strukturer och informationsbehandlingen i samband med dem på ett sådant sätt att handlingsoffentligheten utan svårighet kan genomföras. 
Myndigheten ska vid sina upphandlingar säkerställa att de aktuella informationssystemen har lämpliga säkerhetsåtgärder. 
Angående bedömning av informationssäkerheten i myndigheters informationssystem och datakommunikation föreskrivs särskilt.  
14 § 
Informationsöverföring i datanät 
Om informationen är sekretessbelagd ska myndigheten överföra den elektroniskt, i ett krypterat eller på annat sätt skyddat format. Dessutom ska överföringen ordnas så att mottagaren verifieras eller identifieras på ett tillräckligt informationssäkert sätt, innan mottagaren kommer åt att behandla den överförda sekretessbelagda informationen.  
I lagen om tillhandahållande av digitala tjänster ( / ) föreskrivs om identifiering av användaren i samband med digitala tjänster som tillhandahålls allmänheten.  
15 § 
Tryggande av säkerheten i fråga om informationsmaterial 
Myndigheterna ska genom adekvata säkerhetsåtgärder i fråga om sina informationsmaterial ombesörja att  
1) informationsmaterialens oföränderlighet har verifierats tillräckligt väl,  
2) informationsmaterialen har skyddats mot tekniska och fysiska skador, 
3) informationsmaterialens ursprung, uppdatering och felfrihet har verifierats,  
4) informationsmaterialens tillgänglighet och användbarhet har verifierats, 
5) informationsmaterialens tillgänglighet begränsas vid behov, 
6) informationsmaterialen kan arkiveras till behövliga delar. 
Informationsmaterial ska behandlas och förvaras i verksamhetslokaler som är tillräckligt säkra enligt kraven på tillförlitlighet, integritet och tillgänglighet. 
16 § 
Kontroll av användarrättigheter för informationssystem 
Den systemansvariga myndigheten ska definiera användarrättigheterna för informationssystem. Användarrättigheterna ska definieras och uppdateras utifrån användarens uppgiftsrelaterade användningsbehov.  
17 § 
Insamling av logginformation 
En myndighet ska ombesörja att logginformation insamlas om användning av dess informationssystem och om utlämnande av information från dem, om användningen förutsätter identifiering eller annan registrering. Syftet med logginformationen är uppföljning av användningen och utlämnandet av information från informationssystem samt utredning av tekniska systemfel.  
18 § 
Handlingar som ska säkerhetsklassificeras inom statsförvaltningen 
Statliga förvaltningsmyndigheter, domstolar samt övriga rättskipningsmyndigheter, statliga ämbetsverk och inrättningar ska säkerhetsklassificera handlingar och förse dem med anteckning om säkerhetsklass, om en handling eller informationen i den är sekretessbelagd enligt 24 § 1 mom. 2, 5 eller 7–11 punkten i lagen om offentlighet i myndigheternas verksamhet och om obehörigt avslöjande eller obehörig användning av handlingen kan orsaka skada för försvaret, för förberedelser inför undantagsförhållanden, för internationella relationer, för brottsbekämpningen, för den allmänna säkerheten eller för stats- och samhällsekonomins funktion, eller på något annat jämförbart sätt för Finlands säkerhet.  
En handling får inte förses med en anteckning om säkerhetsklass i andra fall än sådana som avses i 1 mom., om anteckningen inte behövs för att fullgöra en internationell förpliktelse som gäller informationssäkerhet eller om handlingen annars har samband med internationellt samarbete.  
Sådana handlingar som avses i lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) ska förses med anteckning om säkerhetsklass så som föreskrivs i den lagen.  
Genom förordning av statsrådet föreskrivs närmare om säkerhetsklassificering samt om anteckningar i och behandling av säkerhetsklassificerade handlingar. I 25 § i lagen om offentlighet i myndigheternas verksamhet föreskrivs om anteckning om sekretess och användningsbegränsningar.  
5 kap.  
Skapande och elektronisk överföring av informationsmaterial  
19 § 
Omvandling av informationsmaterial till elektroniskt format och materialens tillgänglighet 
Om en handling inkommer till en myndighet i annat än elektroniskt format ska den omvandlas till elektroniskt format, om det i eller med stöd av lag föreskrivs att handlingen ska förvaras varaktigt eller arkiveras. Myndigheten ansvarar för att en till elektroniskt format omvandlad handlings tillförlitlighet och integritet säkerställs. Handlingar som utarbetats av en myndighet ska förvaras elektroniskt. Undantag får göras från kravet på omvandling till elektroniskt format och elektronisk förvaring om det är nödvändigt på grund av behandlingskraven för säkerhetsklassificerade handlingar, övriga informationssäkerhetskrav eller av någon annan nödvändig orsak som har samband med handlingens karaktär.  
Med beaktande av vad som särskilt föreskrivs om rätten till information och om skydd för personuppgifter, ska myndigheten ombesörja att informationsmaterialet är tillgängligt och att materialet inklusive beskrivningsuppgifter kan utnyttjas i ett allmänt maskinläsbart format, om materialet direkt från originalformatet kan omvandlas till maskinläsbart format.  
Myndigheten får för omvandlingen till elektroniskt format anlita en privat aktör med tillräckliga tekniska förutsättningar och kunskaper för att sköta en sådan uppgift. På den aktör som utför uppgiften ska tillämpas bestämmelserna om straffrättsligt tjänsteansvar. I skadeståndslagen föreskrivs om skadeståndsskyldighet.  
20 § 
Insamling av informationsmaterial för myndighetsuppgifter 
En myndighet ska sträva efter att utnyttja en annan myndighets informationsmaterial, om den första myndigheten har rätt att via ett tekniskt gränssnitt eller en elektronisk förbindelse få den behövliga informationen från den andra myndigheten. Vid utnyttjandet av informationen ska parters och andra förvaltningskunders rättssäkerhet tillgodoses. 
Om en myndighet har rätt att från en annan myndighets informationslager via ett tekniskt gränssnitt eller en elektronisk förbindelse få tillförlitlig och uppdaterad information för skötsel av sina uppgifter, får den inte kräva att dess kunder visar upp eller lämnar in intyg eller utdrag, om det inte är nödvändigt för utredning av ärendet.  
21 § 
Definition av behovet att förvara informationsmaterial 
Om det inte i lag föreskrivs om förvaringstiderna för informationsmaterial eller handlingar ska förvaringstiderna bestämmas med beaktande av  
1) i vilken utsträckning informationsmaterialet i myndighetens verksamhet behövs för det ursprungliga användningsändamålet, 
2) genomförandet och verifieringen av fysiska eller juridiska personers förmåner, rättigheter, förpliktelser och rättssäkerhet,  
3) rättsverkningarna av avtal eller andra privaträttsliga rättshandlingar, 
4) de skadeståndsrättsliga preskriptionstiderna, och  
5) de straffrättsliga preskriptionstiderna. 
Efter det att förvaringstiden gått ut ska informationsmaterialen utan dröjsmål arkiveras eller förstöras på ett informationssäkert sätt.  
Det föreskrivs särskilt om ansvaren för bestämmande av förvaringstiderna och om arkivverkets uppgifter.  
22 § 
Informationsöverföring mellan myndigheter via tekniska gränssnitt 
Myndigheterna ska genomföra regelbundet återkommande och standardiserad elektronisk överföring av information mellan informationssystem via tekniska gränssnitt, om den mottagande myndigheten enligt lag har rätt till informationen. Regelbundet återkommande och standardiserad elektronisk överföring av information kan genomföras på något annat sätt, om det inte är tekniskt eller ekonomiskt ändamålsenligt att genomföra eller använda ett tekniskt gränssnitt. En myndighet kan också i andra situationer öppna ett tekniskt gränssnitt för en myndighet som har rätt till information. Det föreskrivs särskilt om överföring av handlingar och information på annat sätt. 
Utöver vad som föreskrivs i 4 kap. ska överföring av information mellan informationssystem via tekniska gränssnitt genomföras så att det tekniskt säkerställs att den information som ska överföras behövs i det enskilda fallet eller är nödvändig för att den mottagande myndigheten ska kunna sköta sina uppgifter, ifall överföringen avser personuppgifter eller sekretessbelagd information.  
Beskrivningen av strukturen för information som överförs via ett tekniskt gränssnitt ska definieras och uppdateras av den myndighet som lämnar ut informationen. Vid planeringen av informationsöverföring mellan flera myndigheter via tekniska gränssnitt ska beskrivningen av informationsstrukturen definieras och uppdateras under ledning av det ministerium som ansvarar för verksamhetsområdet.  
23 § 
Öppnande av elektronisk förbindelse till en myndighet 
En myndighet kan öppna en elektronisk förbindelse till en annan myndighet för överföring av sådan information i ett informationslager som den mottagande myndigheten har rätt att få tillgång till. Utöver vad som föreskrivs i 4 kap. är en förutsättning för öppnande av en elektronisk förbindelse att  
1) förbindelsen begränsas till endast sådana behövliga eller nödvändiga uppgifter som är förenliga med informationsrätten, samt att 
2) informationens användningsändamål utreds i samband med sökningen.  
Myndigheten ska upprätta en elektronisk förbindelse så att det informationssystem som möjliggör förbindelsen automatiskt identifierar avvikande informationssökningar.  
24 § 
Överföring av informationsmaterial via tekniska gränssnitt till andra än myndigheter 
En myndighet kan via ett tekniskt gränssnitt överföra information till en aktör som inte är en annan myndighet, om mottagaren uttryckligen enligt lag har rätt att få informationen och behandla den. Ett tekniskt gränssnitt kan under de förutsättningar som anges i 22 § öppnas så som föreskrivs i den paragrafen. Den utlämnande myndigheten ska vid behov säkerställa att mottagaren vid hanteringen av informationen iakttar de skyldigheter som föreskrivs i denna lag.  
Det föreskrivs särskilt om utlämnande av information i annat elektroniskt format och som informationstjänst till allmänheten via en elektronisk förbindelse.  
6 kap. 
Ärendehantering samt informationshantering av tjänster 
25 § 
Registrering i ärenderegister 
En informationshanteringsenhet ska över ärenden som behandlas hos en myndighet upprätthålla ett ärenderegister för information om ärenden, ärendebehandling och handlingar. Myndigheten ska utan dröjsmål i ärenderegistret registrera handlingar som har inkommit till myndigheten eller som den upprättat.  
Informationshanteringsenheten ska ombesörja att offentliga anteckningar i ett ärenderegister eller i en del av det kan användas för att producera information som gör det möjligt att individualisera informationsbegäranden. 
26 § 
Uppgifter som ska registreras i ärenderegister 
En informationshanteringsenhet ska förse de ärenden som myndigheten ska behandla eller som tilldelats myndigheten med en ärendekod som gör det möjligt att identifiera de uppgifter som rör ärendet. 
Informationshanteringsenheten ska för varje ärende registrera åtminstone följande identifieringsuppgifter: 
1) informationshanteringsenhetens företags- och organisationsnummer,  
2) uppgifter som identifierar myndigheten, 
3) uppgifter som identifierar verksamhetsprocessen, 
4) tidpunkten då ärendet inleddes.  
I fråga om en handling som inkommit till en myndighet ska registreras åtminstone 
1) uppgifter som identifierar handlingen, 
2) ankomsttidpunkten,  
3) på vilket sätt handlingen inkommit, 
4) handlingens avsändare eller ombud. 
I fråga om en handling som upprättats av en myndighet ska registreras åtminstone 
1) uppgifter som identifierar handlingen, 
2) vem som upprättat handlingen, 
3) tidpunkten då handlingen upprättats. 
I ärenderegistret ska dessutom registreras åtminstone 
1) vem som inlett ärendet och vid behov övriga parter, 
2) hur behandlingen framskridit, 
3) myndighetens åtgärder och i samband därmed behandlade handlingar i olika skeden. 
27 § 
Hantering av informationsmaterial i samband med tjänsteproduktion 
En informationshanteringsenhet ska ordna hanteringen av informationsmaterial som uppkommer i andra sammanhang än ärendebehandling så att handlingar som har samband med informationsmaterialet kan sökas med hjälp av en kod som anger informationsmängden, så att informationen utan svårighet kan överföras till behöriga personer. Myndigheten ska utan dröjsmål registrera handlingar och övrig information som uppkommer i samband med tjänsteproduktion så att det i efterhand är möjligt att konstatera att de uppkommit i samband med produktion av tjänster.  
28 § 
Beskrivning i syfte att genomföra handlingsoffentligheten 
En informationshanteringsenhet ska för genomförande av offentlighetsprincipen upprätthålla en beskrivning av de informationslager och ärenderegister som den förvaltar. Av beskrivningen ska framgå 
1) vilka informationssystem som innehåller uppgifter som hör till ärenderegistret eller till informationshanteringen av tjänster, 
2) vilken myndighet som beslutar om utlämnande av information från ärenderegistret eller informationssystemet samt kontaktuppgifter för informationsbegäranden, 
3) vilka kategorier av informationsmaterial som ingår i informationssystemen,  
4) grunderna för sökning av offentliga handlingar eller annan information, 
5) om det finns öppen tillgång till informationsmaterial via ett tekniskt gränssnitt. 
Informationshanteringsenheten ska i ett allmänt datanät offentliggöra en sådan beskrivning som avses i 1 mom., till den del som uppgifterna i beskrivningen inte är sekretessbelagda.  
7 kap. 
Särskilda bestämmelser 
29 § 
Ikraftträdande 
Denna lag träder i kraft den 20 . 
Genom denna lag upphävs lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011).  
30 § 
Övergångsbestämmelser 
Informationshanteringsenheterna ska inom 12 månader efter det att denna lag trätt i kraft utarbeta en sådan informationshanteringsmodell som avses i 5 §.  
Myndigheter som inte verkar i samband med statliga ämbetsverk och inrättningar ska uppfylla de krav om föreskrivs i 12–16 § i denna lag inom 36 månader efter det att lagen trätt i kraft. 
Denna lags 19 § 1 mom. ska 18 månader efter det att lagen trätt i kraft tillämpas på sådana nya handlingar som inkommer till en myndighet och som myndigheten upprättar. Informationsmaterial som uppkommit innan lagen har trätt i kraft ska förvaras som om de uppkommit före övergångstidens utgång. Informationsmaterialens tillgänglighet enligt 19 § 2 mom. ska genomföras inom 24 månader efter det att denna lag trätt i kraft. Denna lags 20 § ska börja tillämpas 12 månader efter det att lagen trätt i kraft. 
Ministerierna ska inom 12 månader efter det att denna lag trätt i kraft utreda vilka informationssystem som förutsätts för definition och upprätthållande av de gränssnitt som avses i 22 § 3 mom.  
Bestämmelserna i 17 och 22–24 § i denna lag ska tillämpas på informationssystem som anskaffas efter det att lagen trätt i kraft. På informationssystem som anskaffats innan denna lag trätt i kraft ska tillämpas de krav på elektroniskt utlämnande av information som föreskrivs i 22–24 § vid uppdatering av informationssystemens tekniska gränssnitt och elektroniska förbindelser, dock senast 48 månader efter det att lagen trätt i kraft, och de krav på insamling av logginformation som förutsätts i 17 § ska tillämpas 24 månader efter det att lagen trätt i kraft. 
Ärendehantering samt informationshantering av tjänster ska i enlighet med de krav som föreskrivs i 26–28 § ordnas inom 12 månader efter det att denna lag trätt i kraft. 
2. 
Lag 
om ändring av lagen om offentlighet i myndigheternas verksamhet 
I enlighet med riksdagens beslut 
upphävs i lagen om offentlighet i myndigheternas verksamhet (621/1999) 18 § och 29 § 3 mom., av dem 18 § sådan den lyder delvis ändrad i lag 635/2011,  
ändras 3 §, 15 § 3 mom., rubriken för 5 kap., rubriken för 25 § samt 25 § 2 och 3 mom. och 36 §, av dem 15 § 3 mom., rubriken för 25 § samt 25 § 2 och 3 mom. sådana de lyder i lag 495/2005 samt 36 § sådan den lyder i lagarna 495/2005 och 635/2011, samt 
fogas till 16 §, sådan den lyder delvis ändrad i lag 385/2007, ett nytt 4 mom. och till 25 §, sådan den lyder i lag 495/2005, ett nytt 4 mom. som följer: 
3 § 
Lagens syfte 
Rätten till information samt myndigheternas skyldigheter enligt denna lag syftar till öppenhet i myndigheternas verksamhet samt till att ge privata aktörer och sammanslutningar möjlighet att övervaka den offentliga maktutövningen och användningen av offentliga medel, att fritt bilda sig åsikter samt påverka sådant beslutsfattande som avser offentlig maktutövning och bevaka sina rättigheter och intressen. 
I lagen om informationshantering inom den offentliga förvaltningen ( / ) föreskrivs om informationshantering av myndighetshandlingar. 
15 § 
Överföring till en annan myndighet av en begäran om att få ta del av en handling 
Om någon hos en myndighet begär att få ta del av en handling i vilken enligt lagen om informationshantering inom den offentliga förvaltningen en anteckning om säkerhetsklass ska göras och som har upprättats av en annan myndighet, ska myndigheten för avgörande överföra ärendet till den myndighet som har upprättat handlingen. Ett ärende som gäller en säkerhetsklassificerad handling enligt lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) ska överföras till den myndighet till vilken avtalsparten har givit handlingen. 
16 § 
Hur en handling skall lämnas ut 
I lagen om informationshantering inom den offentliga förvaltningen föreskrivs om överföring av information via ett tekniskt gränssnitt och en elektronisk förbindelse. 
5 kap. 
Myndigheternas skyldighet att främja tillgången till information 
 
25 § 
Anteckningar om sekretess och användningsbegränsning 
Anteckning får göras också i andra än i 1 mom. avsedda handlingar. En anteckning om sekretess görs genom att på en handling anteckna ”SALASSA PIDETTÄVÄ” och på svenska ”SEKRETESSBELAGD”. Av anteckningen ska framgå till vilka delar handlingen är sekretessbelagd och vad sekretessen grundar sig på. Om sekretessen grundar sig på en bestämmelse som innehåller en klausul om skaderekvisit, får anteckningen dock göras så att bara den bestämmelse som sekretessen grundar sig på framgår av anteckningen. När det inte längre finns grunder för att sekretessbelägga en handling eller informationen i den ska det på den handling i vilken den ursprungliga anteckningen har införts antecknas att anteckningen har avlägsnats eller ändrats. Senast när handlingen lämnas ut till utomstående ska anteckningens korrekthet kontrolleras. 
På en handling som inte är sekretessbelagd enligt lag kan antecknas ”HARKINNANVARAISESTI ANNETTAVA” och på svenska ”UPPGES ENLIGT PRÖVNING”, om utlämnande av handlingen enligt lag är beroende av en myndighets prövning eller om uppgifterna i handlingen enligt lag får användas eller lämnas ut endast för det ändamål som angetts och om obehörigt avslöjande av uppgifterna kan orsaka olägenheter för allmänna eller enskilda intressen eller försämra en myndighets verksamhetsförutsättningar. 
I lagen om informationshantering inom den offentliga förvaltningen föreskrivs om skyldigheten att göra anteckning om säkerhetsklassificering. 
36 § 
Bemyndigande att utfärda förordning 
Genom förordning av statsrådet kan det för fullgörande av de skyldigheter som avses i 5 kap. inom statsförvaltningen föreskrivas om genomförande av öppenhet i verksamheten genom planering och organisering av informationsförmedlingen. 
Denna lag träder i kraft den 20 . 
På datasystem som anskaffats före ikraftträdandet av denna lag tillämpas det 29 § 3 mom. som gällde vid ikraftträdandet av denna lag i 48 månader efter ikraftträdandet. 
3. 
Lag 
om ändring av lagen om elektronisk kommunikation i myndigheternas verksamhet 
I enlighet med riksdagens beslut 
upphävs i lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003) 13 och 22 §, och 
ändras 3 och 21 §, av dem 3 § sådan den lyder i lag 534/2016, som följer: 
3 § 
Övrig lagstiftning 
Vid uträttande och behandling av ärenden hos myndigheter tillämpas i övrigt vad som föreskrivs om anhängiggörande av ärenden, delgivning av beslut, offentlighet i myndigheternas verksamhet, behandling av personuppgifter, informationshantering, arkivering av handlingar, det språk som används vid behandling av ärenden och om hur ärenden behandlas. 
21 § 
Arkivering  
Elektroniska dokument ska arkiveras på ett sådant sätt att det senare går att visa att de är autentiska och till innehållet oförändrade. 
Riksarkivet kan meddela närmare föreskrifter om det tekniska genomförandet av kraven i 1 mom.  
Denna lag träder i kraft den 20 . 
4. 
Lag 
om ändring av 3 och 8 § i lagen om internationella förpliktelser som gäller informationssäkerhet 
I enlighet med riksdagens beslut 
ändras i lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) 3 § 1 mom. och 8 § 1 mom. som följer: 
3 § 
Förhållande till annan lagstiftning 
I fråga om offentlighet för särskilt känsligt informationsmaterial gäller lagen om offentlighet i myndigheternas verksamhet (621/1999) och vad som föreskrivs med stöd av den och i fråga om informationshantering gäller lagen om informationshantering inom den offentliga förvaltningen ( / ) och vad som föreskrivs med stöd av den, om inte något annat föreskrivs i denna lag. 
8 § 
Anteckning om säkerhetsklass 
Särskilt känsligt informationsmaterial ska oberoende av vad som föreskrivs i lagen om informationshantering inom den offentliga förvaltningen eller med stöd av den förses med en sådan anteckning om säkerhetsklass som anges i en internationell förpliktelse som gäller informationssäkerhet och som anger vilka säkerhetskrav som skall iakttas vid hanteringen av materialet. Anteckningen kan göras också på en till handlingen fogad blankett som specificerar handlingen. 
Denna lag träder i kraft den 20 . 
5. 
Lag 
om ändring av säkerhetsutredningslagen 
I enlighet med riksdagens beslut 
ändras i säkerhetsutredningslagen (726/2014) 3 § 1 mom. 11 punkten och 3 mom., 16 § 1 mom., 19 § 1 mom. 1 punkten, 20 § 1 mom. 1 punkten, 21 § 1 mom. 1 punkten, 25 § 2 mom. 3 punkten, 33 § 1 mom. 2 punkten, 34 §, 36 § 1 mom. 2 punkten, 44 § 2 mom. 3 punkten samt 47 § 1 mom. 4 punkten som följer: 
3 § 
Definitioner 
I denna lag avses med 
11) klassificerad handling en i 5 § 1 mom. i lagen om offentlighet i myndigheternas verksamhet avsedd handling där det med stöd av vad som föreskrivs i eller med stöd av lagen om informationshantering inom den offentliga förvaltningen ( / ) eller med stöd av lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) har gjorts en anteckning om säkerhetsklassificering som anger vilka krav i fråga om informationssäkerhet som ska iakttas vid hanteringen av handlingen. 
Vad som i denna lag föreskrivs om sekretessbelagda eller klassificerade handlingar ska också tillämpas på uppgifter som har fåtts i muntlig form eller kan fås genom observationer, om en handling med sådana uppgifter skulle vara sekretessbelagd eller skulle kunna klassificeras i enlighet med de bestämmelser som avses i 1 mom. 11 punkten. 
16 § 
Statsförvaltningsmyndigheters skyldighet att ansöka om säkerhetsutredning av person 
Genom förordning av statsrådet får det föreskrivas att en statsförvaltningsmyndighet ska skaffa en säkerhetsutredning av en sådan person som annat än tillfälligt har rätt att hantera handlingar som hör till säkerhetsklass I eller II eller andra sekretessbelagda handlingar, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka särskilt stor eller betydande skada för de allmänna intressen som avses i sekretessbestämmelsen, eller som annars sköter sådana arbetsuppgifter där han eller hon genom att röja sekretessbelagda uppgifter eller begå någon annan lagstridig gärning, på ett betydande sätt kan äventyra statens säkerhet, försvaret, internationella förbindelser, beredskap för undantagsförhållanden, befolkningsskyddet eller vitala samhällsfunktioner eller säkerhetsarrangemang för skyddet av nämnda intressen. 
19 § 
När får en normal säkerhetsutredning av person göras 
En normal säkerhetsutredning av person får göras i fråga om den som ska utses till ett anställningsförhållande eller uppdrag eller som arbetar i ett anställningsförhållande eller med ett uppdrag och som 
1) får rätt att annat än tillfälligt hantera myndighetshandlingar som ska säkerhetsklassificeras i säkerhetsklasserna II—III, eller annars sköter sådana uppgifter där han eller hon genom att röja sekretessbelagd information eller begå någon annan lagstridig gärning, på ett betydande sätt kan äventyra statens säkerhet, försvaret, internationella förbindelser, beredskapen för undantagsförhållanden, befolkningsskyddet eller vitala samhällsfunktioner eller säkerhetsarrangemang för skyddet av nämnda intressen, 
20 § 
När får en omfattande säkerhetsutredning av person göras 
En omfattande säkerhetsutredning av person får göras endast i fråga om den som 
1) i sina arbetsuppgifter får rätt att annat än tillfälligt hantera klassificerade handlingar som hör till säkerhetsklass I eller II eller andra sådana sekretessbelagda handlingar där obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka särskilt stor eller betydande skada för de allmänna intressen som avses i sekretessbestämmelsen, 
21 § 
När får en begränsad säkerhetsutredning av person göras 
En begränsad säkerhetsutredning av person får göras i fråga om den som ska utses till ett anställningsförhållande eller ett uppdrag eller som arbetar i ett anställningsförhållande eller med ett uppdrag och som 
1) får rätt att hantera myndighetshandlingar som hör till säkerhetsklass III—IV eller andra sådana sekretessbelagda handlingar där obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka skada eller olägenhet för de allmänna eller enskilda intressen som avses i sekretessbestämmelsen, 
25 § 
Informationskällor vid normal säkerhetsutredning av person 
För en normal säkerhetsutredning får användas en anmälan som centralkriminalpolisen gjort utifrån uppgifter som framgår av informationssystemet för misstänkta, när anmälan innehåller sådana uppgifter som skyddspolisen behöver för att bedöma informationens betydelse. Centralkriminalpolisen får göra en anmälan, om 
3) det i fråga om den som utredningen gäller finns flera sådana anteckningar i informationssystemet för misstänkta som till sin natur och sitt innehåll är betydande för bedömningen av personens tillförlitlighet och som sammantagna ger centralkriminalpolisen grundad anledning att misstänka att den som utredningen gäller kan äventyra skyddet för sådana sekretessbelagda handlingar som personen fått i den arbetsuppgift som ligger till grund för utredningen som hör till säkerhetsklasserna I och II eller där obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka särskilt stor eller betydande skada för de allmänna intressen som avses i sekretessbestämmelsen och skyddet för uppgifterna i dem, och därmed gynna organiserade kriminella sammanslutningars åtgärder, om det är nödvändigt att förmedla informationen för att skydda statens viktiga säkerhetsintressen mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida eller för att förebygga brott. 
33 § 
Rätt att ansöka om säkerhetsutredning av företag 
Säkerhetsutredning av företag får sökas 
2) av den myndighet som ämnar ingå avtal med det företag som utredningen gäller, om företaget i samband med avtalet får eller det med anledning av avtalet uppkommer handlingar som hör till säkerhetsklass I—III eller andra sekretessbelagda handlingar, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i dessa handlingar kan orsaka skada för de allmänna eller enskilda intressen som avses i sekretessbestämmelsen, 
34 § 
Statsförvaltningsmyndigheters skyldighet att ansöka om säkerhetsutredning av företag 
Genom förordning av statsrådet får det föreskrivas att en statsförvaltningsmyndighet ska skaffa en säkerhetsutredning i fråga om ett företag som i syfte att fullfölja ett avtal med statsförvaltningsmyndigheten tar emot handlingar som hör till säkerhetsklass I—III eller andra sekretessbelagda handlingar, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i dessa handlingar kan orsaka skada för de allmänna eller enskilda intressen som avses i sekretessbestämmelsen. 
36 § 
Förutsättningar för säkerhetsutredning av företag 
En säkerhetsutredning av företag får göras, om en utredning behövs för att bedöma företaget, när 
2) en myndighet håller på att ingå ett avtal med ett företag och myndighetens sekretessbelagda handlingar kommer att överlämnas till företaget i samband med detta, 
44 § 
Innehållet i ett intyg över säkerhetsutredning av person 
Vid behov antecknas i intyget 
3) till vilka säkerhetsklassificerade handlingar eller andra sekretessbelagda handlingar vilkas obehöriga avslöjande eller obehöriga användning kan orsaka skada eller olägenhet för de intressen som avses i sekretessbestämmelsen som den som utredningen gäller kan ges tillgång till, 
47 § 
Innehållet i ett intyg över säkerhetsutredning av företag 
I ett intyg över säkerhetsutredning av företag antecknas 
4) vid behov i fråga om vilka säkerhetsklassificerade handlingar eller andra handlingar vilkas obehöriga avslöjande eller obehöriga användning kan orsaka skada för de intressen som avses i sekretessbestämmelsen företaget uppfyller kraven på hantering, 
Denna lag träder i kraft den 20 . 
6. 
Lag 
om ändring av 3 § i lagen om offentlig försvars- och säkerhetsupphandling 
I enlighet med riksdagens beslut 
ändras i lagen om offentlig försvars- och säkerhetsupphandling (1531/2011) 3 § 2 mom. som följer: 
3 § 
Definitioner 
Bestämmelserna om säkerhetsklassificerade handlingar i denna lag tillämpas också på sekretessbelagda handlingar, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka olägenhet eller skada för de intressen som avses i sekretessbestämmelsen. 
Denna lag träder i kraft den 20 . 
7. 
Lag 
om ändring av 12 b § i lagen om statsbudgeten 
I enlighet med riksdagens beslut 
ändras i lagen om statsbudgeten (423/1988) 12 b § 4 och 6 mom., sådana de lyder i lag 1053/2016, som följer: 
12 b § 
Skötseln av vissa ekonomiförvaltningsuppgifter 
Det ämbetsverk eller den inrättning som ansvarar för de centraliserade ekonomiförvaltningsuppgifterna har oberoende av sekretessbestämmelserna rätt att av ämbetsverk, inrättningar och andra organ som hör till bokföringsenheterna få för skötseln av sina uppgifter nödvändiga sekretessbelagda handlingar, med undantag av handlingar som med stöd av lagen om informationshantering inom den offentliga förvaltningen ( / ) eller bestämmelser som utfärdats med stöd av den klassificerats som handlingar som hör till säkerhetsklass I, II eller III eller andra sådana sekretessbelagda handlingar där obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka betydande eller särskilt stor skada för de allmänna intressen som avses i sekretessbestämmelsen. Om det ämbetsverk eller den inrättning som ansvarar för de centraliserade ekonomiförvaltningsuppgifterna inte enligt detta moment har rätt att få nödvändiga uppgifter för skötseln av de uppgifter som bestämts med stöd av 1 och 2 mom., ska bokföringsenheten ansvara för denna uppgift i stället för det ämbetsverk eller den inrättning som ansvarar för de centraliserade ekonomiförvaltningsuppgifterna, om inte ämbetsverket eller inrättningen och bokföringsenheten har överenskommit något annat om skötseln av ekonomiförvaltningsuppgiften. 
De handlingar och uppgifter som avses i 4 och 5 mom. kan även ges i elektronisk form enligt vad som överenskommits mellan det ämbetsverk eller den inrättning som hör till bokföringsenheten samt det ämbetsverk eller den inrättning som ansvarar för de centraliserade ekonomiförvaltningsuppgifterna. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
8. 
Lag 
om ändring av 7 och 8 c § i statstjänstemannalagen 
I enlighet med riksdagens beslut 
ändras i statstjänstemannalagen (750/1994) 7 § 1 mom. 3 och 7 punkten och 8 c § 3 mom., sådana de lyder i lag 948/2017, som följer: 
7 § 
Till följande tjänster kan endast finska medborgare utnämnas: 
3) ministerietjänster vars uppgifter omfattar att vara beredskapschef eller sköta beredskaps- och förberedelseuppgifter vid ett ministerium eller att annat än tillfälligt hantera handlingar som hör till säkerhetsklass I eller II, 
7) tjänsterna som chef eller direktör som är direkt underställd en verkschef inom inrikesministeriets ansvarsområde, polismanstjänster enligt polislagen (872/2011), andra tjänster vid skyddspolisen än polismanstjänster, sådana tjänster inom polisförvaltningen vars uppgifter omfattar att annat än tillfälligt hantera handlingar som hör till säkerhetsklass I eller II, samt Gränsbevakningsväsendets tjänster, 
8 c § 
Kravet på intyg över säkerhetsutredning av person enligt 2 mom. får föreskrivas genom förordning av statsrådet, om den som utnämns till en tjänst annat än tillfälligt får rätt att hantera handlingar som hör till säkerhetsklass I eller II eller andra sådana sekretessbelagda handlingar där obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka särskilt stor eller betydande skada för de allmänna intressen som avses i sekretessbestämmelsen eller om avsikten är att denne ska arbeta i en uppgift vars karaktär i övrigt är sådan att där krävs särskild tillförlitlighet. 
Denna lag träder i kraft den 20 . 
9. 
Lag 
om upphävande av 87 a § 4 mom. i bilskattelagen 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs 87 a § 4 mom. i bilskattelagen (1482/1994), sådant det lyder i lag 1192/2016. 
2 § 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
10. 
Lag 
om ändring av 58 a § i lagen om Finlands Banks tjänstemän 
I enlighet med riksdagens beslut 
ändras i lagen om Finlands Banks tjänstemän (1166/1998) 58 a § 3 mom., sådant det lyder i lag 1231/2004, som följer: 
58 a § 
Utöver det som föreskrivs i lagen om offentlighet i myndigheternas verksamhet (621/1999) ska på Finlands Banks rätt att trots sekretessbestämmelserna och andra begränsningar som gäller rätten till information lämna uppgifter som grundar sig på verkställigheten av pensionsskyddet enligt 58 §, tillämpas 157 och 161—163 i pensionslagen för den offentliga sektorn (81/2016). 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
11. 
Lag 
om ändring av lagen om offentlighet och sekretess i fråga om beskattningsuppgifter 
I enlighet med riksdagens beslut 
upphävs i lagen om offentlighet och sekretess i fråga om beskattningsuppgifter (1346/1999) 12 §, 14 § 3 mom., 17 § 3 mom., 17 a 2 mom. och 20 e § 3 mom., av dem 14 § 3 mom. sådant det lyder i lag 813/2013, 17 a § 2 mom. och 20 e § 3 mom. sådana de lyder i lag 793/2014, samt 
ändras 19 § 3 punkten samt 20 § 1 och 3 punkten som följer: 
19 § 
Utlämnande av uppgifter till åklagar- och förundersökningsmyndigheter 
Skatteförvaltningen kan utan hinder av sekretesskyldigheten i enskilda fall på begäran lämna ut beskattningsuppgifter jämte identifieringsuppgifter om den skattskyldige till 
3) åklagar- och förundersökningsmyndigheter samt domstolar för bestämmande av det dagsbotsbelopp som avses i 2 a kap. 2 § i strafflagen. 
20 § 
Utlämnande av uppgifter till vissa myndigheter 
Skatteförvaltningen kan utan hinder av sekretesskyldigheten på begäran 
1) till utsökningsmyndigheter lämna ut identifieringsuppgifter om arbetsgivare eller annan utbetalare av inkomst samt beskattningsuppgifter som behövs för utsökning eller annan verkställighet, 
3) för kontroll av uppgifterna i befolkningsdatasystemet till myndigheter som avses i lagen om registerförvaltningen (166/1996) lämna ut uppgifter om personers adresser, byggnaders identifieringsuppgifter samt om vem som äger en fastighet, byggnad eller lägenhet, jämte identifieringsuppgifter om den skattskyldige, samt beträffande bostadslägenheter uppgift om huruvida ägaren själv använder lägenheten, 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
12. 
Lag 
om ändring av 15 § i lagen om bränsleavgift som betalas för privata fritidsbåtar 
I enlighet med riksdagens beslut 
ändras i lagen om bränsleavgift som betalas för privata fritidsbåtar (1307/2007) 15 § som följer: 
15 § 
Rätt att få uppgifter ur trafik- och transportregistret  
De myndigheter som ansvarar för bränsleavgiften har trots sekretessbestämmelserna och begränsningar av utlämnande av uppgifter rätt att få de för beskattningen och tillsynen nödvändiga uppgifterna ur trafik- och transportregistret. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
13. 
Lag 
om ändring av 20 b § i lagen om Finansinspektionen  
I enlighet med riksdagens beslut 
ändras i lagen om Finansinspektionen (878/2008) 20 b § 4 mom., sådant det lyder i lag 402/2018, som följer: 
20 b §  
Rätt att få uppgifter av myndigheter och aktörer som sköter offentliga uppdrag 
Finansinspektionen har rätt att få de uppgifter som avses i 1 mom. avgiftsfritt. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
14. 
Lag 
om ändring av lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster  
I enlighet med riksdagens beslut 
upphävs i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) 73 §, 
ändras 22 § 7 mom., 26 § 1 mom., 44 §, 46 § 1 mom., 47 § 1 mom., 49 § 2 mom., det inledande stycket i 53 § 1 mom. samt det inledande stycket i 56 § 1 mom., av dem 22 § 7 mom. sådant det lyder i lag 145/2014 och 26 § 1 mom. sådant det lyder i lag 670/2016, som följer: 
22 § 
Övriga myndigheters behörighet 
Befolkningsregistercentralen kan komma överens med en kommun om att kommunen som personuppgiftsansvarig ska svara för att registeranteckningar om tillägg, ändringar eller rättelser som gäller uppgifter om byggprojekt, byggnader, lägenheter och lokaler inom kommunen görs i befolkningsdatasystemet så som föreskrivs i denna lag.  
26 §  
Anmälning av uppgifter 
Uppgifter som registreras i befolkningsdatasystemet ska anmälas till den personuppgiftsansvarige skriftligen, på elektronisk väg, via ett tekniskt gränssnitt eller på något annat ändamålsenligt sätt som är tillförlitligt och säkert. Tillstånd att anmäla uppgifterna via ett tekniskt gränssnitt eller annars i elektronisk form beviljas av Befolkningsregistercentralen. Om lagen om informationshantering inom den offentliga förvaltningen ( / ) inte ska tillämpas på anmälaren är ett villkor för tillstånd att anmälaren har lämnat Befolkningsregistercentralen en tillräcklig redogörelse för hur uppgifterna skyddas. 
44 §  
Redogörelse för användningen och skyddet av uppgifter  
Innan uppgifter lämnas ut får Befolkningsregistercentralen vid behov kräva att användaren lämnar en redogörelse för hur de utlämnade uppgifterna kommer att användas och skyddas. Redogörelsen ska ges skriftligen och av den ska det framgå hur den administrativa och fysiska säkerheten för de uppgifter som lämnas ut samt säkerheten i fråga om personal, datakommunikation, programvara, datamaterial, användning och utrustning kommer att säkerställas.  
En sådan redogörelse som avses i 1 mom. ska krävas, om  
1) uppgifter lämnas ut via ett tekniskt gränssnitt eller om det gäller en omfattande mängd data och det är fråga om utlämnande av sådana uppgifter som avses i 36—43 §, eller  
2) användningen av uppgifterna av annan grundad anledning kan antas kränka skyddet för en persons privatliv eller personuppgifter, kränka hans eller hennes intressen eller rättigheter eller äventyra statens säkerhet.  
Med avvikelse från 1 och 2 mom. krävs ingen redogörelse ifall lagen om i informationshantering inom den offentliga förvaltningen tillämpas på behandlingen av användarens uppgifter. 
46 §  
Sätt och metoder för att lämna ut uppgifter 
På utlämnande av uppgifter ur befolkningsdatasystemet ska tillämpas de sätt och metoder som föreskrivs i lagen om informationshantering inom den offentliga förvaltningen. Närmare bestämmelser om intyg och utdrag ur befolkningsdatasystemet eller ur handlingar och annat motsvarande datamaterial som ingår i systemet samt om uppgifterna i dessa kan utfärdas genom förordning av statsrådet. 
47 § 
Myndigheter som beslutar om utlämnande av uppgifter 
Befolkningsregistercentralen ska besluta om utlämnandet av uppgifter i befolkningsdatasystemet, om uppgifterna lämnas ut via ett tekniskt gränssnitt eller en elektronisk förbindelse eller om andra än enstaka uppgifter lämnas ut till utlandet. 
49 § 
Annan behörighet att lämna ut uppgifter 
I de fall som avses i 1 mom. ska på den som lämnar ut uppgifterna tillämpas vad som i 44 § föreskrivs om mottagaren. På personer som lämnar ut uppgifter med stöd av 1 mom. 2 punkten ska bestämmelserna om straffrättsligt tjänsteansvar tillämpas i fråga om denna arbetsuppgift. När uppgifter lämnas ut ska bestämmelserna i 4 kap. iakttas i tillämpliga delar. 
53 § 
Användarregister 
Befolkningsregistercentralen ska föra ett användarregister över sådan behandling av uppgifter i befolkningsdatasystemet som sker via ett tekniskt gränssnitt eller en elektronisk förbindelse. I användarregistret får följande registreras: 
56 § 
Loggregister 
Befolkningsregistercentralen ska föra ett loggregister över sådan behandling av uppgifter i befolkningsdatasystemet som sker via ett tekniskt gränssnitt eller en elektronisk förbindelse. I loggregistret får följande registreras: 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som använts före ikraftträdandet av denna lag tillämpas de bestämmelser om teknisk anslutning samt 53 och 56 § som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
15. 
Lag 
om upphävande av 4 a § 4 mom. i punktskattelagen 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs 4 a § 4 mom. i punktskattelagen (182/2010), sådant det lyder i lag 1178/2016. 
2 § 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
16. 
Lag 
om ändring av 8 § i lagen om Enheten för utredning av grå ekonomi 
I enlighet med riksdagens beslut  
ändras i lagen om Enheten för utredning av grå ekonomi (1207/2010) 8 §, sådan den lyder delvis ändrad i lag 252/2012, som följer 
8 § 
Avgiftsfrihet 
Utredningsenheten har rätt att få uppgifter avgiftsfritt. Om lämnandet av uppgifterna orsakar den som lämnar uppgifterna betydande merkostnader, ska kostnaderna dock ersättas. 
Utredningsenheten har rätt att använda Skatteförvaltningens och dess enheters datasystem för att tillgodose den rätt att få uppgifter som föreskrivs i lag. Enheten för utredning av grå ekonomi bedömer om uppgifterna är nödvändiga. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
17. 
Lag 
om ändring av 7 kap. 6 § i lagen om investeringstjänster 
I enlighet med riksdagens beslut 
ändras i lagen om investeringstjänster (747/2012) 7 kap. 6 § 5 mom., sådant det lyder i lag 1069/2017, som följer: 
7 kap. 
Organisering av värdepappersföretags verksamhet  
6 §  
Anknutet ombud 
Med tanke på övervakningen av lagligheten i de anknutna ombudens verksamhet ska Finansinspektionen föra ett offentligt register över anknutna ombud (registret över anknutna ombud) till vilket värdepappersföretaget anmäler anknutna ombud som det har utsett och som uppfyller kraven i 3 mom. I registret ska föras in fysiska personers fullständiga namn och adress samt adressen där verksamheten bedrivs. Om ombudet är en juridisk person ska i registret antecknas namn, företags- eller organisationsnummer, säte samt adressen där verksamheten bedrivs. De uppgifter som förts in i registret ska bevaras i fem år räknat från det att grunden för registreringen har upphört. Registret ska regelbundet uppdateras och registeruppgifterna ska vara offentligt tillgängliga. Trots vad som föreskrivs i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet (621/1999) får Finansinspektionen lämna ut uppgifter om fysiska personers namn, adress och verksamhetsställens adress på det sätt som föreskrivs i lagen om informationshantering inom den offentliga förvaltningen ( / ) eller göra dem allmänt tillgängliga i ett elektroniskt datanät.  
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
18. 
Lag 
om ändring av 1 och 4 § i lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster 
I enlighet med riksdagens beslut 
ändras i lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster (1226/2013) 1 § 2 mom. och 4 § som följer: 
1 § 
Lagens syfte och tillämpningsområde 
Om inte något annat bestäms i denna lag, tillämpas lagen om informationshantering inom den offentliga förvaltningen ( / ) på styrningen av informationshanteringen inom den offentliga förvaltningen och på främjandet och säkerställandet av informationssystemens interoperabilitet. 
4 § 
Styrning av gemensamma tjänster 
Finansministeriet har till uppgift att styra anordnandet av statens gemensamma informations- och kommunikationstekniska tjänster och tjänsternas kvalitet samt tjänsternas interoperabilitet och förenlighet med den övergripande arkitekturen. Finansministeriet svarar för den allmänna administrativa och strategiska styrningen av produktionen av de gemensamma tjänster som avses i denna lag samt för styrningen av den informations- och kommunikationstekniska aktionsberedskapen, övriga beredskapen och säkerheten. 
Denna lag träder i kraft den 20 . 
19. 
Lag 
om ändring av 1 § i lagen om verksamheten i den offentliga förvaltningens säkerhetsnät 
I enlighet med riksdagens beslut 
ändras i lagen om verksamheten i den offentliga förvaltningens säkerhetsnät (10/2015) 1 § 4 mom. som följer: 
1 § 
Lagens syfte och tillämpningsområde 
Om inte något annat föreskrivs i denna lag ska lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster (1226/2013) och lagen om informationshantering inom den offentliga förvaltningen ( / ) tillämpas på verksamheten i säkerhetsnätet. 
Denna lag träder i kraft den 20 . 
20. 
Lag 
om upphävande av 4 kap. 6 § i lagen om brottsbekämpning inom Tullen 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs 4 kap. 6 § i lagen om brottsbekämpning inom Tullen (623/2015), sådan paragrafen lyder i lag 310/2016. 
2 § 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
21. 
Lag 
om ändring av lagen om förvaltningens gemensamma stödtjänster för e-tjänster 
I enlighet med riksdagens beslut 
upphävs i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016) 1 § 4  mom., 12 § 6 mom., 13 § 5 mom. och 14 § 3 mom., och 
ändras 1 § 3 mom., det inledande stycket i 9 §, 15 § 2 mom., 16 § 2 mom. och 22 § 1 mom. som följer: 
1 §  
Lagens syfte och tillämpningsområde 
Om inte något annat föreskrivs i denna eller i någon annan lag ska Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, dataskyddslagen ( / ) och lagen om offentlighet i myndigheternas verksamhet (621/1999) tillämpas på behandlingen av personuppgifter och andra uppgifter vid produktionen av gemensamma stödtjänster för e-tjänster, lagen om tjänster inom elektronisk kommunikation (917/2014) tillämpas på förmedlingen av kommunikation och på behandlingen av meddelanden och förmedlingsuppgifter samt lagen om informationshantering inom den offentliga förvaltningen ( / ) tillämpas på informationshantering och användning av informationssystem. 
9 § 
Informationskällor som regelbundet utnyttjas inom tjänsteproduktionen 
För att fullgöra sina uppgifter enligt denna lag har Befolkningsregistercentralen, med iakttagande av detta kapitel, rätt att behandla i denna paragraf avsedda uppgifter som införts i följande informationssystem: 
15 §  
Behandling av uppgifter inom användarorganisationen 
De uppgifter som visas i servicevyn söks ur användarorganisationens register på personbeteckningen eller någon annan identifieringskod. Användarorganisationen ska omedelbart från servicevyn utplåna sådana uppgifter om personbeteckning eller någon annan identifieringskod som kommit in i dess informationssystem, om den inte har rätt att behandla uppgifterna i fråga. 
16 § 
Kvalitets- och informationssäkerhetskrav som gäller stödtjänsterna 
Utöver vad som föreskrivs i dataskyddsförordningen och i dataskyddslagen svarar serviceproducenten för att den sammankoppling av uppgifter som produktionen av stödtjänsten förutsätter är korrekt samt för informationssäkerheten när det gäller de uppgifter som behandlas inom stödtjänsterna. 
22 § 
Allmän styrning 
Finansministeriet har till uppgift att styra anordnandet av de stödtjänster som avses i denna lag, tjänsternas kvalitet samt tjänsternas interoperabilitet och förenlighet med den övergripande arkitekturen. Finansministeriet svarar för den allmänna administrativa och strategiska styrningen av produktionen av stödtjänster samt för styrningen av den informations- och kommunikationstekniska aktionsberedskapen, övriga beredskapen och säkerheten. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
22. 
Lag 
om ändring av 21 § i lagen om ombud för obligationsinnehavare 
I enlighet med riksdagens beslut 
ändras i lagen om ombud för obligationsinnehavare (574/2017) 21 § 2 mom. som följer: 
21 § 
Tillhandahållande av information 
Trots bestämmelserna i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet (621/1999) får uppgifter om en fysisk persons namn och födelsetid lämnas ut ur registret på det sätt som föreskrivs i lagen om informationshantering inom den offentliga förvaltningen ( / ) eller göras allmänt tillgängliga i ett elektroniskt datanät. Personuppgifter ska i ett elektroniskt datanät endast kunna sökas som enskilda sökningar. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
23. 
Lag 
om ändring av lagen om förbättrande av konkurrenskraften för fartyg som används för sjötransport 
I enlighet med riksdagens beslut 
upphävs i lagen om förbättrande av konkurrenskraften för fartyg som används för sjötransport (1277/2007) 17 § 2 mom., sådant det lyder i lag 1317/2009, samt 
ändras 23 § 1 och 2 mom. och 29 § 5 mom. som följer: 
23 § 
Behandling av uppgifter 
I fråga om behandlingen av personuppgifter som en myndighet förfogar över och som avses i denna lag ska tillämpas Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG samt dataskyddslagen ( / ) och i fråga om utlämnande av uppgifter ska tillämpas lagen om offentlighet i myndigheternas verksamhet och lagen om informationshantering inom den offentliga förvaltningen ( / ). 
Uppgifter om sökande som avses i denna lag samt Sjömanspensionskassans och försäkringsbolagets uppgifter kan lämnas ut till en myndighet och från en myndighet via ett tekniskt gränssnitt eller på annat sätt i elektronisk form. Inlämnande av dessa uppgifter förutsätter emellertid att parterna på förhand kommer överens om sättet för inlämnande av uppgifterna. 
29 §  
Information och meddelanden 
Stödmyndigheten lämnar ut uppgifter om beslut som har fattats och om stöd som har betalats enligt denna lag på det sätt som särskilt föreskrivs i lagen om informationshantering inom den offentliga förvaltningen och i andra bestämmelser. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
24. 
Lag 
om ändring av 27 § i lagen om fordonsbesiktningsverksamhet 
I enlighet med riksdagens beslut 
ändras i lagen om fordonsbesiktningsverksamhet (957/2013) 27 § 1 mom. som följer: 
27 §  
Bevarande och utlämnande av besiktningshandlingar 
Besiktningsstället ska sända intyg och andra handlingar som gäller registrerings-, ändrings- och kopplingsbesiktningar till Transport- och kommunikationsverket för bevarande, så snart som möjligt efter avslutad besiktning. Transport- och kommunikationsverket får trots sekretessbestämmelserna lämna ut sådana intyg och handlingar samt andra handlingar som behövs för besiktningsverksamhet till besiktningsställena för besiktningsverksamheten. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
25. 
Lag 
om ändring av 20 och 28 § i lagen om ordnande av enskilt godkännande av fordon 
I enlighet med riksdagens beslut 
ändras i lagen om ordnande av enskilt godkännande av fordon (958/2013) 20 § 1 mom. och 28 §, av dem 28 § sådan den lyder i lag 305/2018, som följer: 
20 § 
Bevarande och utlämnande av dokument 
Beviljare av enskilt godkännande ska sända de dokument som gäller enskilda godkännanden till Transport- och kommunikationsverket för bevarande efter det att det enskilda godkännandet har utförts. Transport- och kommunikationsverket får för verksamheten i fråga trots sekretessbestämmelserna lämna ut dessa dokument till dem som utför uppgifter i anslutning till besiktning och registrering av fordon samt till dem som bedriver verksamhet för beviljande av enskilda godkännanden. 
28 § 
Transport- och kommunikationsverkets rätt att få upplysningar och rätt att lämna uppgifter vidare 
Transport- och kommunikationsverket har trots vad som föreskrivs om hemlighållande av uppgifter rätt att få den information ur straffregistret som är nödvändig för skötseln av verkets uppgifter för utredning av att de krav på tillförlitlighet som föreskrivs för beviljande av enskilda godkännanden är uppfyllda och för tillsynen. Information om brott kan som grund för hävning av avtal trots sekretessbestämmelserna lämnas ut till beviljare av enskilt godkännande. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
26. 
Lag 
om upphävande av 13 h § i folkhälsolagen 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs 13 h § i folkhälsolagen (66/1972), sådan paragrafen lyder i lag 1429/2014. 
2 § 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
27. 
Lag 
om ändring av 30 e och 89 b § i läkemedelslagen 
I enlighet med riksdagens beslut 
ändras i läkemedelslagen (395/1987) 30 e § 3 mom. och 89 b § 2 mom., sådana de lyder, 30 e § 3 mom. i lag 330/2013 och 89 b § 2 mom. i lag 789/2016, som följer: 
30 e §  
Uppgifterna i ett register över biverkningar som förs av den som innehar försäljningstillstånd för läkemedelspreparat, försäljningstillstånd för läkemedelspreparat i parallellimport eller registrering av ett traditionellt växtbaserat preparat och uppgifterna i registret över biverkningar som förs av Säkerhets- och utvecklingscentret för läkemedelsområdet får användas endast för uppföljning och rapportering som gäller biverkningar av läkemedel, vetenskaplig forskning och bedömning av säkerheten hos läkemedel och förhållandet risk/nytta i fråga om läkemedel. Uppgifter får dock inte lämnas ut eller användas för beslut som gäller den registrerade. Säkerhets- och utvecklingscentret för läkemedelsområdet ska till Institutet för hälsa och välfärd lämna ut uppgifter som centret har fått i fråga om vaccin. 
89 b § 
Skatteförvaltningen ska trots sekretessbestämmelserna på begäran avgiftsfritt lämna Säkerhets- och utvecklingscentret för läkemedelsområdet sådana uppgifter som behövs för tillsynen över apoteken och som gäller skatteskulder och betalningsarrangemang samt apoteksskatt för den som driver apoteksrörelse. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
28. 
Lag 
om ändring av 14 b § i lagen om privat hälso- och sjukvård 
I enlighet med riksdagens beslut 
ändras i lagen om privat hälso- och sjukvård (152/1990) 14 b §, sådan den lyder i lagarna 377/2009 och 1549/2009, som följer: 
14 b §  
Utlämnande av uppgifter ur registret över tillhandahållare av privat service samt uppgifternas offentlighet 
Utan hinder av sekretessbestämmelserna och andra bestämmelser om användningen av uppgifter får Tillstånds- och tillsynsverket för social- och hälsovården och regionförvaltningsverken, utöver vad som föreskrivs på något annat ställe i lagstiftningen, ur registret över tillhandahållare av privat service 
1) till Folkpensionsanstalten lämna ut de uppgifter om privata serviceproducenter och självständiga yrkesutövare inom hälso- och sjukvården som behövs vid beviljandet av sjukförsäkrings-, pensions- och handikappförmåner samt uppgifter ur i 10 § avsedda verksamhetsberättelser för fastställande av taxor för sjukförsäkringsersättningen och utvecklande av ersättningssystemet, samt 
2) till Institutet för hälsa och välfärd lämna ut sådana uppgifter om serviceproducenter med tillstånd enligt 4 § och självständiga yrkesutövare som gjort anmälan enligt 9 a § samt om i 10 § avsedda verksamhetsberättelser som behövs för statistikändamål.  
Tillstånds- och tillsynsverket för social- och hälsovården får dessutom när det gäller tillhandahållare av privata hälso- och sjukvårdstjänster ur registret över privata serviceproducenter i ett allmänt datanät publicera och lämna ut namn eller firma och servicebransch samt alla verksamhetsenheters och verksamhetsställens adresser och andra kontaktuppgifter. För andra än självständiga yrkesutövare får det i ett allmänt datanät också finnas andra offentliga uppgifter om företagsverksamheten. En självständig yrkesutövare får dock förbjuda publicering av sin adress och sina övriga kontaktuppgifter. 
På utlämnande av offentliga personuppgifter som inte sker i ett allmänt datanät tillämpas 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet (621/1999). När serviceproducenter eller självständiga yrkesutövare meddelat att de upphör med verksamheten, får uppgifter om dem publiceras och lämnas ut i ett allmänt datanät i högst 12 månader från det att tillståndsmyndigheten har tagit emot meddelandet. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
29. 
Lag 
om ändring av lagen om utkomststöd 
I enlighet med riksdagens beslut 
ändras i lagen om utkomststöd (1412/1997) 14 h och 18 b §, 18 d § 3 mom. och 18 e § 2 mom., sådana de lyder, 14 h § i lag 815/2015 samt 18 b §, 18 d § 3 mom. och 18 e § 2 mom. i lag 1107/2016, som följer: 
14 h § 
Folkpensionsanstaltens rätt att lämna uppgifter som är nödvändiga för framställande av statistik till Institutet för hälsa och välfärd  
Folkpensionsanstalten har rätt att lämna i 14 g § avsedda uppgifter som är nödvändiga för framställande av statistik till Institutet för hälsa och välfärd, oberoende av klientens samtycke. Folkpensionsanstalten ska på förhand informera klienten om utlämnandet av uppgifterna. 
18 b § 
Utlämnande av uppgifter  
Folkpensionsanstalten har rätt att av en kommunal socialvårdsmyndighet och av skattemyndigheterna få i 18 a § avsedda sekretessbelagda personuppgifter som finns i deras personregister oberoende av klientens samtycke, om det är nödvändigt för behandlingen av ett utkomststödsärende som avses i denna lag. Folkpensionsanstalten ska på förhand informera klienten om denna möjlighet. Folkpensionsanstalten kan lämna en kommunal socialvårdsmyndighet sekretessbelagda personuppgifter, om rätten att lämna ut uppgifter grundar sig på en uttrycklig bestämmelse i lag. 
Bestämmelser som gäller en kommunal socialvårdsmyndighets rätt att av Folkpensionsanstalten och skattemyndigheterna få personuppgifter som motsvarar de i 1 mom. avsedda uppgifterna finns i 21 § i lagen om klientens ställning och rättigheter inom socialvården. 
18 d § 
Utlämnande av sekretessbelagda uppgifter mellan Folkpensionsanstalten samt apotek och leverantörer av medicinskt syre 
Folkpensionsanstalten ska på förhand informera klienten om utlämnandet av uppgifterna. 
18 e § 
Utlämnande av sekretessbelagda uppgifter mellan Folkpensionsanstalten och hyresvärdar 
Folkpensionsanstalten ska på förhand informera klienten om utlämnandet av uppgifterna. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
30. 
Lag 
om ändring av 14 och 21 § i lagen om klientens ställning och rättigheter inom socialvården 
I enlighet med riksdagens beslut 
ändras i lagen om klientens ställning och rättigheter inom socialvården (812/2000) 14 § 2 mom. och 21 § som följer: 
14 § 
Handlingssekretess 
En sekretessbelagd handling eller en kopia eller utskrift av en sådan handling får inte visas för eller lämnas ut till utomstående och inte heller lämnas till utomstående för påseende eller användning. 
21 § 
Utlämnande av uppgifter 
En socialvårdsmyndighet kan av skattemyndigheterna och Folkpensionsanstalten få sekretessbelagda personuppgifter som avses i 20 § ur dessas personregister oberoende av klientens samtycke för fastställande av avgift och kontroll av uppgifter. Socialvårdsmyndigheten ska i förväg underrätta klienten om utlämnande av uppgifter. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
31. 
Lag 
om ändring av lagen om arbetsverksamhet i rehabiliteringssyfte 
I enlighet med riksdagens beslut 
upphävs i lagen om arbetsverksamhet i rehabiliteringssyfte (189/2001) 29 §, och  
ändras 27 § 2 mom., sådant det lyder i lag 1109/2016, som följer: 
27 § 
Folkpensionsanstaltens skyldighet att lämna uppgifter 
Folkpensionsanstalten ska till kommunen trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av uppgifter lämna uppgifter om arbetslösa personer under 25 år vars huvudsakliga utkomst under de senaste fyra månaderna har grundat sig på utkomststöd som betalats på grund av arbetslöshet samt uppgifter om personer som har fyllt 25 år och vars huvudsakliga utkomst under de senaste 12 månaderna har grundat sig på utkomststöd som betalats på grund av arbetslöshet. Uppgifterna ska lämnas till personens hemkommun enligt lagen om hemkommun. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
32. 
Lag 
om ändring av 15 § i lagen om elektroniska recept  
I enlighet med riksdagens beslut 
ändras i lagen om elektroniska recept (61/2007) 15 § 1 och 2 mom., av dem 15 § 1 mom. sådant det lyder i lagarna 781/2009, 1567/2009 och 251/2014, som följer: 
15 § 
Utlämnande av uppgifter till myndigheter och för vetenskaplig forskning 
Utan hinder av sekretessbestämmelserna och andra bestämmelser om användningen av uppgifterna får Folkpensionsanstalten i egenskap av personuppgiftsansvarig, utöver vad som föreskrivs någon annanstans i lag, på begäran från receptcentret och receptarkivet 
1) till Tillstånds- och tillsynsverket för social- och hälsovården och till regionförvaltningsverket lämna ut sådana uppgifter om recept som läkemedelsförskrivarna gjort upp och om expedieringen av recepten vilka behövs för tillsynen över yrkesutbildade personer inom hälso- och sjukvården,  
2) till Säkerhets- och utvecklingscentret för läkemedelsområdet lämna ut det recept som förskrivits för ansökan om specialtillstånd enligt 21 f § i läkemedelslagen (395/1987), sådana uppgifter som behövs för vägledning i trygg och ändamålsenlig användning av läkemedel samt sådana uppgifter om recept och expediering av dem som behövs för övervakning enligt läkemedelslagen och narkotikalagen.  
Uppgifterna ska lämnas ut avgiftsfritt till de myndigheter som nämns i 1 mom. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
33. 
Lag 
om ändring av 14 § i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården 
I enlighet med riksdagens beslut 
ändras i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007) 14 § 3 mom., sådant det lyder i lag 539/2016), som följer: 
14 §  
Riksomfattande informationssystemtjänster 
Befolkningsregistercentralen är certifikatutfärdare i enlighet med lagen om stark autentisering och betrodda elektroniska tjänster för yrkesutbildade personer inom social- och hälsovården och annan personal inom social- och hälsovården, tillhandahållare av social- och hälsovårdstjänster samt organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. Befolkningsregistercentralen har rätt att för skötseln av dessa uppgifter av Tillstånds- och tillsynsverket för social- och hälsovården få den information som behövs för utfärdande och återkallande av certifikat, för certifikat, för det tekniska underlaget för certifikat och för sändande av certifikat, ur centralregistret över yrkesutbildade personer inom hälso- och sjukvården som verket upprätthåller. Tillstånds- och tillsynsverket för social- och hälsovården har på motsvarande sätt rätt att för skötseln av sina lagstadgade uppgifter av Befolkningsregistercentralen få information om de certifikat som centralen utfärdat på ovannämnda grunder. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
34. 
Lag 
om ändring av 31 § i lagen om privat socialservice 
I enlighet med riksdagens beslut 
ändras i lagen om privat socialservice (922/2011) 31 § som följer: 
31 § 
Utlämnande av uppgifter  
Trots sekretessbestämmelserna och andra bestämmelser om användningen av uppgifter får tillståndsmyndigheterna, utöver vad som föreskrivs någon annanstans i lag, ur registret över tillhandahållare av privat service 
1) till Folkpensionsanstalten lämna ut de uppgifter om privata socialserviceproducenter som behövs vid beviljande av sjukförsäkrings-, pensions- och handikappförmåner, 
2) till Institutet för hälsa och välfärd lämna ut sådana uppgifter om privata serviceproducenter och i 16 § avsedda verksamhetsberättelser som behövs för statistikändamål. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
35. 
Lag 
om upphävande av 13 § i lagen om vissa krav på asbestsanering 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs 13 § i lagen om vissa krav på asbestsanering (684/2015). 
2 § 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
36. 
Lag 
om ändring av 7 § i lagen om Enheten för hälso- och sjukvård för fångar 
I enlighet med riksdagens beslut 
ändras i lagen om Enheten för hälso- och sjukvård för fångar 7 § 3 mom. (1635/2015) som följer: 
7 § 
Rätt att få uppgifter av andra verksamhetsenheter för hälso- och sjukvård och av andra myndigheter 
Enheten för hälso- och sjukvård för fångar har rätt att få uppgifter som ingår i Brottspåföljdsmyndighetens verkställighetsregister, samhällspåföljdsregister samt övervaknings- och verksamhetsregister till den del det är nödvändigt för att de personer som är verksamma vid enheten ska kunna utföra sina uppgifter. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
37. 
Lag 
om ändring av 23 § i lagen om laddare 
I enlighet med riksdagens beslut  
ändras i lagen om laddare (423/2016) 23 § som följer: 
23 § 
Utlämnande av uppgifter, behandling av personuppgifter och den registrerades rättigheter 
Regionförvaltningsverket kan trots sekretessbestämmelserna lämna ut uppgifter enligt 22 § till andra myndigheter för utförande av deras lagstadgade uppgifter samt till myndigheter i en medlemsstat i Europeiska unionen eller en stat som hör till Europeiska ekonomiska samarbetsområdet för skötseln av uppgifter som gäller beviljande och kontroll av kompetensbrev.  
Bestämmelser om offentligheten för de uppgifter som införts i registret och om utlämnande av uppgifter finns i lagen om offentlighet i myndigheternas verksamhet (621/1999). Det föreskrivs skärskilt om behandlingen av personuppgifter och om den registrerades rättigheter. 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
38. 
Lag 
om upphävande av vissa bestämmelser i lagen om smittsamma sjukdomar 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs 25 § 3 mom., 41 §, 51 § 3 mom. och 53 § 4 mom. i lagen om smittsamma sjukdomar (1227/2016). 
2 § 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
39. 
Lag 
om ändring av 222 § i miljöskyddslagen 
I enlighet med riksdagens beslut 
ändras i miljöskyddslagen (527/2014) 222 § 5 mom. som följer: 
222 § 
Datasystemet för miljövårdsinformation 
Utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet får uppgifter ur datasystemet lämnas ut med iakttagande av vad som föreskrivs i lagen om informationshantering inom den offentliga förvaltningen ( / ). 
Denna lag träder i kraft den 20 . 
På tekniska anslutningar som används när lagen träder i kraft tillämpas de bestämmelser om teknisk anslutning som gällde vid ikraftträdandet i 48 månader efter lagens ikraftträdande. 
Helsingfors den 5 december 2018 
Statsminister
Juha
Sipilä
Kommun- och reformminister
Anu
Vehviläinen
Senast publicerat 5.12.2018 13:45