Lausunto hallituksen esityksestä digipalvelulain 6 a §:n muuttamiseksi

Sitra tukee hallituksen tavoitteita edistää tekoälyn hyödyntämistä viranomaisneuvonnassa ja julkisten palvelujen uudistamisessa. Lausunnossaan Sitra tarkastelee, miten riskiperusteinen sääntely voi samanaikaisesti mahdollistaa uudenlaisten neuvontaratkaisujen aiempaa sujuvamman käyttöönoton ja varmistaa niiden hallitun, oikeusturvaa kunnioittavan toteutuksen.

Kirjoittaja

Sasa Kivisaari

Johtava asiantuntija, Digisote – tekoälyllä ja datalla uudistuva sosiaali- ja terveydenhuolto

Artikkelin tyyppi

Lausunnot

Julkaistu

14.4.2026

Kuvituskuva: ihminen maalaustikkailla maalaamassa tekstiä Sitran lausunto — Kuva: Minna Hemmilä/Sitra

Kuuntele

Yhteenveto

Lausunto hallituksen esityksestä digipalvelulain 6 a §:n muuttamiseksi (VN/12980/2025).

Digipalvelulain päivittäminen on tarpeellista ja tavoite oikeansuuntainen, mutta esityksen perustelujen nykyinen muoto luo menettelytasoisia velvoitteita, jotka tekevät automaation käytöstä hallinnollisesti raskasta ja voivat estää tuottavuushyötyjen toteutumisen.

Tekoälyasetus tarjoaa digineuvonnalle merkittävän sääntelykehyksen, mutta se on luonteeltaan sisämarkkinasääntelyä eikä kata perustuslain viranomaistoiminnalle asettamia vaatimuksia, kuten hyvän hallinnon periaatteita ja virkavastuun kohdentamista. Kansalliselle täydentävälle sääntelylle on siten perusteltu tarve. Yksityiskohtainen kansallinen viranomaistasoinen menettelykerros ilman riittävän selvää riskiperusteista jaottelua ja ilman selkeää suhdetta tekoälyasetuksen velvoitteisiin kuitenkin vaarantaa juuri ne hyödyt, joita automaatiolla tavoitellaan.

Digipalvelulain tulisi nojata täysimääräisesti tekoälyasetukseen teknisten ja riskiperusteisten velvoitteiden osalta ja täydentää sitä periaatteellisella tasolla siltä osin kuin perusoikeuksien turvaaminen sitä edellyttää. Esitys tunnistaa itsekin, että tekoälyasetus ei aseta erityisiä vaatimuksia suurimmalle osalle tekoälyjärjestelmistä ja että viranomainen voi hyödyntää synergioita eri velvoitteita täyttäessään. Näiden lähtökohtien tulisi heijastua myös itse sääntelyratkaisuun eikä jäädä vain perustelujen tasoisiksi toteamuksiksi. Konkreettisesti tämä tarkoittaa säännöstason riskiperusteisuutta, päällekkäisten arviointien välttämistä, valmisratkaisujen hyödyntämisen tunnustamista ja testiympäristömekanismien huomioimista. Tämä vahvistaisi ratkaisujen laatua, luotettavuutta ja yhdenmukaisuutta, parantaisi skaalautuvuutta ja kustannustehokkuutta ja vapauttaisi viranomaisresursseja suoraan palvelutuotantoon tinkimättä oikeusturvasta.

Yleinen arvio

Suomi kohtaa parhaillaan poikkeuksellisen vakavan julkisen sektorin kustannuskriisin. Nykyisissä olosuhteissa on olennaista, että lainsäädäntö tukee automaation ja tekoälyn vastuullista käyttöönottoa merkittävien tuottavuusvaikutusten aikaansaamiseksi. Tämä potentiaali on vaarassa jäädä hyödyntämättä, mikäli lakiesitys toteutetaan nykyisessä muodossaan.

Esityksen tavoite edistää tekoälyn ja kehittyneemmän palveluautomaation hyödyntämistä viranomaisneuvonnassa on perusteltu ja kannatettava. Nykyinen sääntely ja sen varovaiset tulkintakäytännöt ovat rajoittaneet automaattisen neuvonnan kehittämistä ja heikentäneet digitaalisten palvelujen laatua, saatavuutta ja vaikuttavuutta. Ehdotetut velvoitteet laadunvarmistuksesta, käytönaikaisesta valvonnasta ja riskien hallinnasta ovat perusoikeuksien näkökulmasta ymmärrettäviä.

Lausunnonantajan keskeinen huoli liittyy siihen, että vaikka esityksen perusteluissa viitataan riskienhallinnan suhteuttamiseen ja todetaan matalariskisen teknologian valinnan olevan itsessään asianmukainen riskienhallinnan toimenpide, itse säännöstasolla ei tehdä erottelua eri riskitasoisten käyttötapausten välillä. EU:n tekoälyasetus perustuu nimenomaan riskiperusteiseen sääntelyyn: yksinkertainen ja yleisluonteinen automatisoitu neuvonta kuuluu pääsääntöisesti matalan tai rajatun riskin järjestelmiin, joille on tarkoituksella asetettu vain kevyet vaatimukset. Käytännössä perustelujen yleisluontoiset viittaukset suhteuttamiseen eivät riitä estämään sitä, että matalariskiset käyttötapaukset ohjautuvat tarpeettoman raskaiden menettelyjen piiriin, jolloin menetetään juuri ne matalalla roikkuvat hedelmät, joista automaation välittömät hyödyt syntyisivät.

Ehdotettu velvoitekehikko tuottaa myös päällekkäisyyttä EU:n tekoälyasetuksen korkeamman riskin käyttötapauksia koskeville vaatimuksille. Esityksessä perustellaan kansallisen sääntelyn tarve sillä, että tekoälyasetus on luonteeltaan sisämarkkinasääntelyä eikä kata perustuslain viranomaistoiminnalle asettamia vaatimuksia, ja todetaan, että viranomainen voi hyödyntää synergioita eri velvoitteita täyttäessään. Tämä perustelu ei kuitenkaan poista sitä tosiasiaa, että mikäli neuvontatyökalun toiminnallisuudet tosiasiallisesti vaikuttavat yksilön oikeuksiin, tekoälyasetuksen suuririskistä sääntelyä koskevat laajat ja yksityiskohtaiset velvoitteet tulevat jo suoraan sovellettaviksi. Kansalliset menettelyvelvoitteet eivät tällöin tuota todellista lisäarvoa oikeusturvalle, vaan luovat tarpeetonta epäselvyyttä ja päällekkäisyyttä, ellei niiden suhdetta tekoälyasetuksen velvoitteisiin selkeästi osoiteta.

Lakiehdotus ei toisaalta tarjoa riittäviä välineitä vaativimpien käyttötapausten hallittuun käyttöönottoon. Esityksessä todetaan nimenomaisesti, ettei siinä ehdoteta sääntelyä automatisoiduista yksittäispäätöksistä, ja automaattisesta päätöksenteosta säädetään erikseen hallintolain 8 b luvussa. Neuvonnan osalta vaativimmat käyttötapaukset, joissa neuvonta on hyvin yksityiskohtaista ja yksilöllistä, voivat kuitenkin lähestyä tosiasialliselta vaikutukseltaan päätöksentekoa. Näissä tilanteissa viranomaiskohtainen riskienhallinta ei ole yksinään tarkoituksenmukainen tai riittävä ratkaisu. Käyttöönoton tulisi tapahtua strategisesti, valtakunnallisella tasolla ja tekoälyasetuksen mukaisissa testiympäristöissä, joissa riskienhallinta, oppiminen ja viranomaisvalvonta voidaan toteuttaa hallitusti ennen laajaa käyttöönottoa.

Esityksen perusteluissa todetaan, ettei säännös estäisi yksityisen tuottaman palveluautomaation tai tietojärjestelmän hankkimista ja että laadun varmistaminen ja valvonta koskisi itse neuvontaa, ei sitä tietojärjestelmää, jolla neuvontaa tuotetaan. Tästä huolimatta esitys nojaa implisiittisesti oletukseen, jossa viranomainen kantaa laajan vastuun laadunvarmistuksesta ja riskienhallinnasta riippumatta siitä, onko käytössä markkinoilta hankittu, EU-sääntelyn mukaisesti vaatimustenmukaiseksi osoitettu järjestelmä. Palveluautomaatio tulisi lähtökohtaisesti kehittää tai hankkia skaalautuvina järjestelminä, joissa keskeiset laadunvalvonta- ja riskienhallintamekanismit on merkittäviltä osin toteutettu jo valmistajatasolla. Digipalvelulain tulisi selkeämmin tukea mallia, jossa vaatimustenmukaiseksi osoitettujen järjestelmien käyttö ei johda viranomaiselle tosiasiallisesti raskaampaan vastuuseen kuin mitä EU-sääntely edellyttää.

Ehdotetun lakimuutoksen keskeiset riskit

Ensimmäinen riski liittyy riskiperusteisuuden puutteelliseen toteutumiseen. Esityksen perusteluissa todetaan, että riskienhallinnan toimenpiteet suunnitellaan ja mitoitetaan riskin arvion perusteella, ja että matalariskisen teknologian valinta on itsessään asianmukainen riskienhallinnan toimenpide. Esitys sisältää siten periaatteellisen viittauksen riskitasojen erotteluun. Esitys ei kuitenkaan tarjoa konkreettisia kriteereitä, joiden avulla matalariskiset ja korkeariskiset käyttötapaukset eroteltaisiin toisistaan, vaan käytännössä kaikki automaation muodot joutuvat saman arviointikuorman piiriin, mikä on tekoälyasetuksen riskiperusteisten periaatteiden vastaista.

Toinen riski on, että raskas ja epäselvä velvoiteympäristö luo epäsuoran kannustimen välttää automaatiota tai rajata se suppeisiin käyttötapauksiin. Vaikka esityksen valmistelussa tehdyn verkkokyselyn vastausten yhteenveto toteaa, että ehdotetuilla muutoksilla ei pääosin olisi merkittäviä vaikutuksia olemassa oleviin palveluautomaatioratkaisuihin, yksittäisissä vastauksissa ennakoitiin työmäärän lisääntymistä ja jopa nykyisistä ratkaisuista luopumista. Nämä signaalit ovat erityisen huolestuttavia, koska ne koskevat todennäköisimmin juuri niitä pienempiä viranomaisia ja kuntia, joille automaation tuottavuushyödyt olisivat merkittävimmät ja joiden resurssit ovat jo valmiiksi niukimmat. Esityksen oma tavoite eli neuvonnan saatavuuden parantaminen ja palvelutason ylläpitäminen sopeutustoimien keskellä vaarantuu, jos velvoitteet muodostuvat käyttöönoton esteeksi juuri niissä organisaatioissa, joissa tarve on suurin.

Kolmas keskeinen riski liittyy hallinnolliseen taakkaan ja päällekkäisiin arviointeihin. Esityksen perusteluissa todetaan, että riskienhallinnan toimenpiteet ovat tapauskohtaisia ja riippuvat käytettävästä teknologiasta ja käsiteltävistä tiedoista. Samalla esityksessä tunnistetaan, että palveluautomaatioratkaisuja voidaan kehittää viranomaisten yhteistyössä ja monistaa sama ratkaisu usean eri viranomaisen käyttöön. Kun sama tekninen ratkaisu on käytössä usealla viranomaisella, jokaisen viranomaisen itsenäisesti suorittama riskiarviointi ja laadunvarmistus tuottavat väistämättä pitkälti päällekkäistä työtä ja dokumentaatiota. Esitys ei tarjoa mekanismia, jolla yhden viranomaisen tekemä arviointi voitaisiin hyödyntää toisen viranomaisen velvoitteiden täyttämisessä, vaikka tämä olisi luonteva seuraus esityksen omasta tavoitteesta edistää skaalautuvia ratkaisuja. Päällekkäinen arviointityö ei tuota lisäarvoa oikeusturvalle tai yhdenvertaisuudelle, mutta lisää hallinnollista kuormaa merkittävästi erityisesti pienemmissä viranomaisissa.

Tarvittavat muutokset ja täsmennykset

Lakiin tai perusteluihin tulisi sisällyttää tulkinta, jonka mukaan laadunvarmistuksen ja riskienhallinnan tulee seurata tekoälyasetuksen riskiluokitusta ja olla suhteutettu neuvonnan luonteeseen ja vaikutusten vakavuuteen. Näin matalariskiset käyttötapaukset voidaan käsitellä kevyemmin.
Lakiehdotuksen perusteluissa tulisi huomioida tekoälyasetuksen 57 artiklan mukaiset tekoälyn sääntelytestiympäristöt, jotka on nimenomaisesti tarkoitettu innovatiivisten tekoälyjärjestelmien kehittämiseen, testaamiseen ja validointiin valvotuissa olosuhteissa ennen markkinoille saattamista tai käyttöönottoa. Testiympäristöissä suoritettu arviointi tuottaa dokumentoitua näyttöä järjestelmän toiminnasta ja riskeistä, jota viranomaisen tulisi voida hyödyntää omaa riskienhallintavelvoitettaan täyttäessään. Perusteluissa tulisi selkeästi todeta, että testiympäristössä arvioitu ja hyväksytty käyttötapaus ei edellytä viranomaiselta päällekkäistä arviointia samoista seikoista, vaan viranomainen voi keskittyä omaan käyttötilanteeseensa liittyviin erityisiin riskeihin. Näin voidaan rakentaa kansallinen hyväksyntämekanismi, joka tukee skaalautuvaa ja yhdenmukaista käyttöönottoa.
Digipalvelulain sääntelyratkaisun tulisi perustua periaatetasoon, ja perustelujen tulisi välttää hyvin yksityiskohtaisia menettelykuvauksia. Lakiin tulisi kirjata automaation sallittavuus, oikeusturvan ja syrjimättömyyden turvaaminen, ihmiskontaktin saatavuus sekä valvonnan ja korjattavuuden yleiset periaatteet. Mahdolliset toteutuksen yksityiskohdat ja ohjenuorat tulisi sisällyttää erilliseen elävään ohjeistukseen, jotta sääntely ei jää jälkeen teknologian kehittyessä.
Lain tulisi tunnistaa, että viranomainen voi täyttää velvoitteitaan myös hyödyntämällä vaatimustenmukaisia valmisratkaisuja, joissa laadunvarmistus ja riskienhallinta on osin sisäänrakennettu valmistajatasolla.
Lainsäädännön soveltamisessa tulee periaatteellisesti painottaa jatkuvaa seurantaa, dokumentointia ja korjattavuutta täydellisen ennakollisen virheettömyyden vaatimisen sijaan. Tämä vastaa paremmin digitaalisten palveluiden toimintalogiikkaa ja ihmisen antaman neuvonnan käytäntöjä.