Kansalaisaloite digitaalisen itsenäisyyden puolesta on hyödyllinen herätyshuuto

Kansalaisaloitteen taustalla on useita henkilöitä, mutta erityisesti Otso Kivekäs lienee toiminut keskeisenä aktivistina tässä työssä. Kivekäs on aiemminkin nostanut esiin julkishallinnon tietojärjestelmien riippuvuutta amerikkalaisista toimijoista, esimerkiksi toimiessaan Helsingin kaupunginvaltuutettuna.

Tämä asiahan ei ole mitenkään uusi, koska amerikkalaisille palvelimille tallennettavan datan riskeistä on puhuttu jo vuosia. Viime vuosina ohjelmistoalalla monet organisaatiot ovat kuitenkin arvioineet riskien olevan melko pieniä ja käytännössä jatkaneet palveluiden siirtoa amerikkalaisiin pilviympäristöihin. Esimerkiksi Kelan päätös siirtää etuuksien käsittelyjärjestelmä amerikkalaisen Salesforcen alustalle on herättänyt paljon keskustelua.

Osa julkishallinnon asiakkaista onkin keskittynyt vaatimaan lähinnä datan sijaintia Euroopan sisällä sijaitsevissa palvelinkeskuksissa, vaikka ympäristön operointi tapahtuisikin muualta maailmasta. Esimerkiksi mainitun Kelan Salesforce-alustan tapauksessa datan sijainniksi on sanottu ”Länsi-Euroopan” palvelinkeskukset.

Nyt valokeilassa on amerikkalainen lainsäädäntö, joka antaa huomattavat oikeudet viranomaisille suhteessa amerikkalaisiin yrityksiin

Nyt tässä viime kuukausien keskustelussa on otettu yksi askel pidemmälle, ja keskitytty siihen poliittiseen riskiin, joka liittyy amerikkalaisen lainsäädännön pakottavuuteen suhteessa amerikkalaisiin yhtiöihin. Väitteen ydin on siinä, että datan sijainnilla ei ole amerikkalaisessa lainsäädännössä merkitystä, jos ympäristöä operoi amerikkalainen yhtiö. Täten esimerkiksi Kelan Salesforce-ympäristön käyttämällä datan sijoituspaikalla ei ole merkitystä siinä, pääsevätkö amerikkalaiset viranomaiset käsiksi tietoihin vai eivät. Juridisesti tämä asia ei ole tietysti aivan näin suoraviivainen, mutta tämä on yksi merkittävä riski tässä asiassa.

Tuore kansalaisaloite kohdistaakin valokeilan juuri tähän ongelmaan: Voimmeko luovuttaa kriittisten tietojärjestelmien operoinnin yrityksille, jotka ovat EU/ETA-alueen ulkopuolisten hallitusten määräysvallassa?

Lainaus digitaalinen itsenäisyys -kansalaisaloitteesta:

”Suomalaisen yhteiskunnan toimivuuden kannalta kriittisen tärkeitä palveluita on siirretty tai suunnitellaan toteutettavaksi EU/ETA-alueen ulkopuolisten yritysten hallitsemiin järjestelmiin ja palveluihin. Esimerkiksi Kela suunnittelee siirtävänsä sotilasavustusten, perhe-eläkkeiden ja kuntoutusrahojen käsittelyn järjestelmät amerikkalaisille palvelimille vuodesta 2027 alkaen, Verohallinto on siirtämässä verotietoja Microsoft Azureen, ja oikeusministeriö suunnittelee siirtävänsä vaalidatan Amazon Web Servicesiin.

Yhteiskunnan kannalta kriittisten tietojen käsittely Suomen ja EU/ETA-alueen ulkopuolella omistetun yrityksen tuottamassa järjestelmässä muodostaa kuitenkin merkittäviä riskejä. Esimerkiksi Yhdysvaltain lainsäädäntö edellyttää maansa yrityksiä antamaan yhdysvaltalaisille viranomaisille pääsyn yritysten hallinnoimaan tietoon, vaikka palvelimet sijaitsisivat fyysisesti Euroopassa. EU/ETA-alueen ulkopuolisen hallituksen määräysvalta palveluita toteuttaviin yrityksiin mahdollistaa myös esimerkiksi kriisitilanteissa suomalaisten toimijoiden ja koko yhteiskunnan painostuksen, ja saattaa vaarantaa yhteiskunnan keskeisten perustoimintojen jatkuvuuden.”

Aiemmin oli ehkä helpompi sanoa, että eurooppalaiset ja amerikkalaiset ovat vahvasti liittouneita toimijoita, jotka kunnioittavat toistensa tietojen yksityisyyttä ja keskeisten tietojärjestelmien toimintakykyä. Nyt erityisesti viimeisen vuoden aikana on nähty, että johtoportaan vaihtuminen voi vaikuttaa yllättäviin asioihin, eikä vahvaan liittosuhteeseen voi enää luottaa samalla tavalla. Täten olisi yllättävää, jos tällä luottamuksen rapautumisella ei olisi myös tietojärjestelmiin liittyviä vaikutuksia.

Tätä kulmaa pohtii myös tuore Uuden Jutun artikkeli (kuunteluversio on laajempi kuin tekstiversio), jossa haastattelussa muun muassa Aalto-yliopiston tutkijatohtori Otto Kässi.

Kannattajien motiiveja on monia ja ehdotetut muutokset myös vaikeita käytännössä

Tässä keskustelussa on toki muitakin näkökulmia. Osa kannattajista haluaisi eroon Microsoftista kokonaan ja kannattaa siksi avoimempia vaihtoehtoja. Osa kannattajista katsoo asiaa taloudellisesta näkökulmasta, toivoen eurooppalaisille yhtiöille isompia markkinoita, kun julkishallinto ryhtyisi suosimaan vahvemmin eurooppalaisia ohjelmistoja.

Avoimen kilpailun kannalta amerikkalaisten vaihtoehtojen sulkeminen pois markkinasta on myös ongelmallinen tavoite, vaikka epäilemättä tähän hyviä argumentteja onkin. Amerikkalaisten yhtiöiden tuotteet ovat myös usein aika laadukkaita, joten niiden pärjääminen avoimissa kilpailutuksissa ei ole täysin yllättävää. Esimerkiksi Salesforce on aidosti isoimpia ja kyvykkäimpiä alustoja, joiden sopivuus monenlaiseen asiakastietojen käsittelyyn voi olla aidosti joissain tapauksissa selvästi parempi kuin eurooppalaisten vaihtoehtojen.

Microsoftin asema on Suomen julkishallinnossa huomattavan iso

Lisenssimaksujen valuminen amerikkalaisille yhtiöille on myös yksi väite sen suuntaan, että jotain muutoksia pitäisi tehdä. Microsoftin valta-asema esimerkiksi Suomessa on huomattava, ja Microsoft on nostanut systemaattisesti hintoja viime vuosina. Ehkä tästä syystä Microsoft-ekosysteemistä ei tähän keskusteluun olekaan tullut mitään kovin terävää vastalausetta. Todennäköisesti Microsoftinkin leirissä tiedostetaan, että Microsoftin asema esimerkiksi julkishallinnossa on huomattavan laaja, ja käytännössä lisenssit uusitaan vuodesta toiseen ilman muille teknologioille avoimia kilpailutuksia.

Kansalaisaloite ei keskity lisensseihin tai Microsoftiin

Kansalaisaloitteen yksi vahvuus onkin siinä, että se ei hyökkää Microsoftia tai vaikkapa Teamsia kohtaan. Todennäköisesti kansalaisaloitteen takana tiedostetaan se, että esimerkiksi toimisto-ohjelmistoissa voi olla hyvätkin perusteet pysyä amerikkalaisten yhtiöiden tarjoamissa pilviratkaisuissa. Olennaisempi keskustelu liittyy julkishallinnon kriittisiin perusjärjestelmiin, kuten potilastietojärjestelmiin, asiointijärjestelmiin, käsittelyjärjestelmiin, asianhallintajärjestelmiin sekä monenlaisiin rekistereihin ja tietovarastoihin. Voidaanko nämä järjestelmät sijoittaa sellaisten yritysten hallintaan, jotka eivät ole eurooppalaisen tai suomalaisen lainsäädännön piirissä?

Tällä hetkellä meillä ei ole lakia, joka tekisi tällaisen linjauksen helpoksi, ja tämä lienee yhtenä syynä siihen, miksi Kela ja monet muut ovat päätyneet amerikkalaisten yhtiöiden järjestelmien käyttäjiksi. Käytännössä tarvittaisiin linjauksia, jotka edellyttäisivät, että liiallista riippuvuutta ja poliittista riskiä ei pääse syntymään tilanteissa, joissa muutoskustannukset ovat merkittäviä ja muutoksia ei ole mahdollista tehdä nopeasti.

Esimerkiksi johonkin toiseen videoneuvotteluohjelmistoon siirtyminen on aika helppoa käytännössä. Moni asiantuntija käyttää jo nykyisin välillä Teamsia, välillä Googlea, välillä Zoomia, ja niin edespäin. Tällaiset ohjelmistot eivät yleensä muodosta itseensä vahvaa riippuvuutta.

Siksi keskustelun toivoisi kohdistuvan ensisijaisesti niihin järjestelmiin, joiden kohdalla pienetkin muutokset maksavat miljoonia euroja ja muutostyöt kestävät kuukausia, tai jopa vuosia käytännössä. Tämän asian herättelyssä tuore kansalaisaloite on hyvin kirjoitettu aloite. Jos asia tuntuu tärkeältä omasta mielestä, kannattaa aloite allekirjoittaa.

> Siirry allekirjoittamaan