Hoppa till huvudnavigeringen

Direkt till innehållet

KoUU 3/2020 rd

Senast publicerat 18-06-2020 11:39

Utlåtande KoUU 3/2020 rd RP 101/2020 rd  Regeringens proposition till riksdagen med förslag till lag om temporär ändring av lagen om smittsamma sjukdomar

Kommunikationsutskottet

Till social- och hälsovårdsutskottet

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lag om temporär ändring av lagen om smittsamma sjukdomar (RP 101/2020 rd): Ärendet har remitterats till kommunikationsutskottet för utlåtande till social- och hälsovårdsutskottet. 

Sakkunniga

Utskottet har hört 

  • regeringssekreterareOutiÄyräs-Blumberg
    social- och hälsovårdsministeriet
  • konsultativ tjänstemanJoniKomulainen
    social- och hälsovårdsministeriet
  • konsultativ tjänstemanOlliLehtilä
    kommunikationsministeriet
  • direktörSauliPahlman
    Cybersäkerhetscentret.

Skriftligt yttrande har lämnats av 

  • justitieministeriet
  • finansministeriet
  • dataombudsmannens byrå
  • Folkpensionsanstalten
  • Tillstånds- och tillsynsverket för social- och hälsovården (Valvira)
  • Institutet för hälsa och välfärd (THL)
  • BaseN Corporation
  • F-Secure Oyj
  • Solita Ab
  • Electronic Frontier Finland - Effi ry
  • MyData Finland
  • Tietoliikenteen ja tietotekniikan keskusliitto, FiCom ry.

UTSKOTTETS ÖVERVÄGANDEN

Allmänt

Kommunikationsutskottet anser i princip att det är bra och värt att understöda att man försöker utnyttja mobil teknik för att utreda och bryta smittkedjorna för coronaviruset. Utskottet anser att förslaget är betydande, eftersom det skapar helt nya sätt att samla in, behandla och sprida information om medborgarna. Därför är projektet oundvikligen förenat också med risker. Utskottet betonar att de delvis känsliga uppgifter det handlar om framhäver betydelsen av att sörja för informationssäkerheten i hela systemet. 

Utskottet anser att propositionens mål och behovet av reglering har beskrivits och motiverats på ett synnerligen täckande sätt i propositionen. Vid utfrågningen av sakkunniga har den mobilapplikation som föreslås i propositionen i vid bemärkelse ansetts vara nyttig: den stöder traditionell spårning och brytande av smittkedjor med manuella metoder, och den gagnar medborgarna och bidrar till större delaktighet.. 

Med tanke på användarnas integritetsskydd bedömer utskottet som ändamålsenligt att modellen i propositionen beskrivs som decentraliserad, baserad på frivillighet och användarens samtycke och att användningsändamålet begränsas endast till förebyggande av coronaviruset. 

Enligt utredning till utskottet är propositionen inte problematisk med tanke på EU:s allmänna dataskyddsförordning 2016/679 och den nationella lagstiftningen om behandling av personuppgifter. Kommunikationsutskottet anser inte heller att propositionen är problematisk med tanke på lagen om tjänster inom elektronisk kommunikation (917/2014). På basis av den information som i detta skede finns tillgänglig om applikationen och dess egenskaper verkar mobilapplikationen inte heller vara problematisk med tanke på lagen om tjänster inom elektronisk kommunikation. Till denna del är det dock möjligt att göra en slutlig bedömning först när applikationens egenskaper och genomförande preciseras. 

Utskottet anser att det är mycket viktigt med ett tillvägagångssätt i propositionen enligt vilket de uppgifter som ska lagras och behandlas inte heller senare används för något annat ändamål än spårningen och brytandet av coronavirusepidemins smittkedjor enligt definitionen i propositionen. I propositionen har man dessutom på många sätt strävat efter att minimera behandlingen av uppgifter och lagringen av dem i tidsmässigt hänseende, bland annat genom bestämmelser om avförande av uppgifter som inte längre behövs för det föreskrivna ändamålet. Utskottet välkomnar också propositionens utgångspunkt enligt vilken införandet och användningen av mobilapplikationen till alla delar är frivilligt för medborgarna. Utöver frivillighet är det självklart att behandlingen och skyddet av medborgarnas uppgifter ska respektera de grundläggande fri- och rättigheterna, såsom integritetsskyddet och skyddet för personuppgifter. 

På basis av den utredning som utskottet fått och på de grunder som framförts i regeringspropositionen anser utskottet att ibruktagandet av mobilapplikationen och de föreslagna författningsändringarna är nödvändiga och ändamålsenliga. Utskottet noterar dock att för att man ska få genuina fördelar av mobilapplikationen när det gäller identifiering och brytande av smittkedjor måste applikationen tas i bruk i bred omfattning bland befolkningen. Utöver effektiv information anser utskottet att en hög nivå på informationssäkerheten är en nödvändig förutsättning för att systemet ska väcka förtroende och tas i allmänt bruk. 

Informationssäkerhetens centrala betydelse

Det är nödvändigt både med tanke på ett tillräckligt omfattande användning applikationen och med tanke på respekten för medborgarnas grundläggande fri- och rättigheter att med alla till buds stående medel säkerställa en hög informationssäkerhetsnivå för applikationen och bakgrundssystemet, anser utskottet. Tillräckligt effektiva cybersäkerhets- och informationssäkerhetsåtgärder är nödvändiga för att skydda uppgifternas användbarhet, integritet och konfidentialitet. 

Utskottet anser det naturligt att Transport- och kommunikationsverkets Cybersäkerhetscentral bedömer applikationens och bakgrundssystemets informationssäkerhet på det sätt som föreslås i propositionen. Utskottet fäster dock uppmärksamhet vid att den i propositionen nämnda utvärderingstiden på fyra veckor är en rätt kort period för uppgiften. Utskottet anser det vara nödvändigt att Cybersäkerhetscentret reserveras både tillräckligt med tid och resurser för att bedöma informationssäkerheten. Dessutom fäster utskottet uppmärksamhet vid att om en applikation utvecklas eller ändras efter den ovan nämnda utvärderingen, ska också dessas ändringar och uppdateringar bedömas på motsvarande sätt. Cybersäkerhetscentralens bedömning undanröjer inte heller i något som helst avseende behovet av att systemets ägare utför sin egen riskbedömning och informationssäkerhetsplanering. 

I propositionen har man tydligt identifierat riskerna med systemet med tanke på integritetsskyddet och skyddet av personuppgifter samt den traditionella nätbrottsligheten. Utskottet fäster dock också uppmärksamhet vid att i synnerhet uppgifter om personer som arbetar med samhällets kritiska funktioner också kan vara av intresse i underrättelsehänseende. Detta framhäver ytterligare betydelsen av att sörja för informationssäkerheten och att vid genomförandet av systemet också beakta i vilket lands territorium delar av systemet placeras eller uppgifter lagras, eller exempelvis till vem stödfunktionerna i systemet läggs ut på entreprenad. 

Utöver informationssäkerheten anser utskottet att det är särskilt viktigt att man effektivt övervakar att systemet är lagenligt och bland annat att de uppgifter som behandlas raderas på behörigt sätt i olika skeden. 

Vissa synpunkter som lyfts fram vid hörandet av sakkunniga

Vid utfrågningen av sakkunniga har det framförts kritik mot bedömningen av propositionens ekonomiska konsekvenser så till vida att den knappt alls berör fördelningen av kostnaderna mellan olika aktörer. 

Tillstånds- och tillsynsverket för social- och hälsovården (Valvira) ansåg vid utfrågningen av sakkunniga att det till lagförslaget bör fogas en bestämmelse om tillsynsförfarandet motsvarande den som till exempel finns i klientuppgiftslagen (159/2007): ”Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner som krävs för tillsynen. För att utföra en inspektion har en inspektör rätt att få tillträde till alla lokaler där det bedrivs verksamhet som avses i denna lag eller där det förvaras uppgifter som är viktiga för tillsynen över efterlevnaden av denna lag. Inspektioner får dock inte utföras i utrymmen som används för boende av permanent natur. Vid inspektionen ska alla handlingar som inspektören begär och som behövs för inspektionen läggas fram. På inspektörens begäran ska dessutom kopior av de handlingar som behövs för inspektionen överlämnas till inspektören utan avgift.” Kommunikationsutskottet anser att tillsynen över informationssäkerheten är ytterst viktig och understöder således med tanke på detta Valviras förslag. Enligt det bemötande som utskottet fått av det föredragande ministeriet kan det vara motiverat att foga den beskrivning som Valvira föreslagit till lagen för att precisera rättigheterna och skyldigheterna i anslutning till tillsynen. Dessutom fäster utskottet uppmärksamhet vid att Valvira har ansett att det är nödvändigt att få de tilläggsresurser som nämns i propositionen för att tillsynen ska kunna genomföras och samtidigt lyft fram utmaningarna med att hitta sådana resurser. Kommunikationsutskottet anser att det är mycket viktigt att det finns tillräckliga resurser för tillsynen över att systemet fungerar lagenligt. 

I sakkunnigyttrandena har man dessutom lyft fram behovet av att beakta tillgänglighetskraven för digitala tjänster vid genomförandet av systemet och att mobilapplikationen utöver på finska och svenska ska finnas tillgänglig åtminstone på engelska, för att applikationen ska kunna nå en så stor användargrupp som möjligt. 

Utskottet fäster också uppmärksamhet vid att Folkpensionsanstalten, som enligt propositionen ansvarar för upprätthållandet av bakgrundssystemet för Institutet för hälsa och välfärds räkning, vid sakkunnighörandet har föreslagit att det i förslaget utöver underhållet också ska föreskrivas att Folkpensionsanstalten också ska delta i utvecklandet av hela informationssystemet och i synnerhet det bakgrundssystem som behövs. Enligt det föredragande ministeriets bemötande till utskottet innebär dock ordalydelsen i propositionen en möjlighet och rentav en skyldighet för FPA att också delta i utvecklandet av systemet. 

Vid sakkunnighörandet har man också lyft fram vissa svagheter i mätningen av Bluetooth-radiosignalens styrka. Den planerade bedömningen av avstånd baserad på styrkan hos Bluetooth-signalen kan inte ta hänsyn till exempelvis om det används skyddsglas mellan personer. Möjligheten till sådan falsk positiv exponering bör beaktas vid användningen av applikationen. 

Utskottet fäster uppmärksamhet vid att det vid sakkunnighörandet har framförts att eventuella senare ändringar i det tekniska gränssnitt som applikationen använder kan inverka till exempel på förvaringstiden för uppgifter i en mobil apparat, och dessa omständigheter kan inte nödvändigtvis påverkas genom lösningar som gäller utvecklandet av den nationella applikationen. Enligt sakkunnighörandet är det således åtminstone i teorin möjligt att förslagsvis tillverkare av operativsystem i något skede genom sina egna beslut förlänger exempelvis förvaringstiden för uppgifter i en mobil apparat. 

Öppen källkod

Utskottet anser att offentliggörandet av källkoden för mobilapplikationen är mycket viktigt för att systemets funktion och säkerhet ska kunna bedömas på ett oberoende sätt. I propositionen står det inte entydigt att avsikten är att källkoden för applikationen ska publiceras öppet. Enligt det svar som utskottet fått från det föredragande ministeriet kan öppen källkod utnyttjas vid utvecklingen av applikationen och applikationen kan publiceras som öppen källkod. Vid utskottets utfrågning framförde det föredragande ministeriet muntligen att det också är meningen att agera så i praktiken. 

På grund av ärendets betydelse föreslår kommunikationsutskottet för social- och hälsovårdsutskottet att ett öppet offentliggörande av källkoden för mobilapplikationen i den mån offentliggörandet inte har några konsekvenser som äventyrar informationssäkerheten ska antecknas som ett tydligt krav i motiveringen till social- och hälsovårdsutskottets betänkande. Detta kan öka förtroendet för systemet och bidra till att det tas i bruk, eftersom det är klart för alla att vem som helst i princip i fortsättningen har möjlighet att bedöma vad tillämpningen gör och om det eventuellt finns säkerhetsbrister i den. Utskottet uppmuntrar också till öppenhet i de säkerhetsbedömningar som Cybersäkerhetscentret utför inom de gränser som systemets säkerhet möjliggör. 

Fortsatta åtgärder

Propositionen möjliggör ännu inte informationsutbyte mellan EU-medlemsstaterna i den föreslagna formen, och enligt utredning till utskottet är det ännu oklart hur och på vilka villkor information ska kunna utbytas mellan EU-medlemsstaterna. Utskottet anser att det är viktigt att man i fortsättningen aktivt följer utvecklingen i olika länder och beredningen av interoperabiliteten mellan olika medlemsstaters applikationer. 

Utskottet anser att propositionen är av samhällelig betydelse, eftersom den skapar ett helt nytt tekniskt system där uppgifter om medborgarna samlas in, behandlas och sprids på nya sätt. Detta medför oundvikligen också risker, särskilt om genomförandet av projektet framskrider med alltför stor brådska. Enligt medieuppgifter avskaffades exempelvis det system som upprättats för motsvarande ändamål i Norge av orsaker som hänför sig till integritetsskyddet. Av dessa orsaker anser utskottet att uppföljningen av projektets framgång, eventuella problem och nyttan med projektet är mycket viktig och föreslår att social- och hälsovårdsutskottet i sitt betänkande föreslår att riksdagen godkänner ett uttalande enligt vilket 

Riksdagen förutsätter att statsrådet ägnar mobilapplikationens och bakgrundssystemets utveckling och funktion en mycket tät uppföljning, i synnerhet med tanke på integritetsskyddet och informationssäkerheten, och vid behov upprätthåller beredskap för snabba ändringar i regleringen eller på systemnivå. Statsrådet ska lämna en utredning om saken till riksdagen senast under höstsessionen 2021. 

FÖRSLAG TILL BESLUT

Kommunikationsutskottet föreslår

att social- och hälsovårdsutskottet beaktar det som sägs ovan och att social- och hälsovårdsutskottet föreslår att riksdagen godkänner ett uttalande. (Utskottets förslag till uttalande)

Utskottets förslag till uttalande

Riksdagen förutsätter att statsrådet ägnar mobilapplikationens och bakgrundssystemets utveckling och funktion en mycket tät uppföljning, i synnerhet med tanke på integritetsskyddet och informationssäkerheten, och vid behov upprätthåller beredskap för snabba ändringar i regleringen eller på systemnivå. Statsrådet ska lämna en utredning om saken till riksdagen senast under höstsessionen 2021. 
Helsingfors 17.6.2020 

I den avgörande behandlingen deltog

ordförande
SunaKymäläinensd
vice ordförande
AriTorniainencent
medlem
PekkaAittakumpucent
medlem
SandraBergqvistsv
medlem
SeppoEskelinensd
medlem
JanneHeikkinensaml
medlem
JuhoKauttovänst
medlem
JohanKvarnströmsd
medlem
JoonasKönttäcent
medlem
SheikkiLaaksosaf
medlem
MatiasMarttinensaml
medlem
JenniPitkogröna
medlem
MirkaSoinikoskigröna
medlem
PaulaWerningsd
ersättare
JariRonkainensaf.

Sekreterare var

utskottsråd
JuhaPerttula.