tiistaina, helmikuuta 24, 2009

Urkintalaki

Miksi urkintalakia ei pidä säätää?

Keskeisiä perusteita on useampiakin.

Ensinnäkin laki antaa yrityksille sellaisia tutkintaoikeuksia, joita ei edes poliisilla ole. Toiseksi se loukkaa viestintäsalaisuutta. Kolmanneksi laki murtaisi lähdesuojan. Ja niin edelleen.

Tämä kaikki aiotaan hallituksen voimin säätää tavallisen lain säätämisjärjestyksessä, vaikka oikeusoppineet ovat olleet sitä mieltä, että lailla kosketaan kansalaisten perustuslaillisiin oikeuksiin niin paljon, että vaikeutettu säätämisjärjestys olisi paikallaan. Perustuslaki on siis tämän urkintalain edessä vain paperia.

Selvitys siitä, että lain noudattaminen vaatisi yhteisötilaajilta (jotka siis voivat olla yritysten lisäksi, kirjastoja, oppilaitoksia, taloyhtiöitä jne.) täytettäväksi ensin tiukat tietoturvakriteerit, on tyhjän päällä, sillä missään ei ole riittävällä tarkkuudella kerrottu mitä nuo kriteerit ovat.

Näiden tietoturvakriteerien määrääminen olisi syytä säätää samassa yhteydessä tai seuranta voi mennä mielivaltaiseksi.

Tietosuojavaltuutettu ehdotti Aamulehdessä yleisen tietoturvalain säätämistä ja Aamulehti pääkirjoituksessaan kannattaa ideaa. Sellainen tarvitaan, mikäli urkintalain perusteluja aiotaan käyttää, sillä suuri osa nykyisistä tietosuojaan ja tietoturvaan liittyvistä ongelmista johtuu siitä, että "yritysten johto ei tajua tietoturvasta yhtään mitään".

Samoin koko tietosuojapolitiikka on harhapoluilla eikä kokonaisuus tunnu olevan oikein kenelläkään hallinnassa. Lisää kansalaisten kontrollia tuodaan lainsäädäntöön pikkuhiljaa ilman, että kokonaisuus ja suunta ovat selkeitä. Se ei voi olla johtamatta huonoihin lopputuloksiin esimerkiksi tietoyhteiskuntastrategioiden kehittämisessä.

Sillä ei oikeastaan ole mitään merkitystä onko teollisuuden ja talouden piiristä uhkailtu tämän lain yhteydessä virkamiehiä ja poliitikoita, vaikka sekin on vakava asia, joka sietäisi tutkia.

Laki on siis kansalaisten oikeuksien kannalta vahingollinen ja varsin epäselvä.

Lisää Vaiheisessa:

2 kommenttia:

zache kirjoitti...

"Selvitys siitä, että lain noudattaminen vaatisi yhteisötilaajilta (jotka siis voivat olla yritysten lisäksi, kirjastoja, oppilaitoksia, taloyhtiöitä jne.) täytettäväksi ensin tiukat tietoturvakriteerit, on tyhjän päällä, sillä missään ei ole riittävällä tarkkuudella kerrottu mitä nuo kriteerit ovat."

Ja ne "tiukat kriteerit" mitä julkisuudessa on mainittu on sellaisia et ne on toteutettu anyway, koska mitään isompaa verkkoa ei voi käytännössä ylläpitää ilman kirjallisia ohjeita käyttäjille, nimettyjä ylläpitäjiä ja jollain säällisellä tasolla olevaa tietoturvaa jne.

Ne on juttuja jotka on olemassa by default.

Vaiheinen kirjoitti...

Kirjoittaisin asian ehkä muotoon "pitäisi olla", sillä kaikissa yrityksissä ei ole niin isoa verkkoa, että toimintaprosessit olisivat riittävästi määriteltyjä. Lisäksi julkisuudessa esitetyissi kriteereissä on koko joukko muitakin asioita, joihin läheskään kaikkien yritysten tietoturvapolitiikat eivät ota kantaa tai niitä ei ole viety käytännön tasolle.

Firmoissa, joissa osataan ja halutaan tehdä asit kunnolla, ne on myös usein toteutettu niin.

Lain säätämisen näkökulmasta se ei ole vielä riittävää, että on olemassa joihinkin parhaisiin käytäntöihin ja kenties järkeen perustuvia menttelyitä, jotka ovat de facto-standardeja. Näin siksi, että ne muuttuvat ja niissä voi olla variaatioita toimijoiden välillä jne.