Kuntaliiton lausunto valtiovarainministeriölle 4.9.2018

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta

Tausta

Valtiovarainministeriö lähetti julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta lausuntokierrokselle 5.7.2018. Lausuntoaika päättyy 7.9.2018. Lausuntopyyntö (VM/276/00.01.00.01/2018) ja linjausluonnos ovat saatavilla lausuntopalveluista.

Ehdotetussa linjausluonnossa on tarkoitus määrittää, miten julkisen hallinnon organisaation omistamaa tietoa voidaan sijoittaa ja hallita maantieteellisesti. Linjausten tavoitteena on tukea julkishallintoa niiden suunnitellessa ja hankkiessa uusia ICT-palveluita. Linjaukset käsittelevät keskeisesti niin sanottua pilvipalveluita.

Yhteenveto

Linjauksissa on huomioitu yhdeksän linjauskohtaa. Kuntaliitto pitää kaikkia kohtia tärkeinä ja hyvinä linjauksina. Kuntaliitto toivoo täsmennystä kohtaan 6, missä linjataan, että viranomainen ylläpitää listaa hyväksytyistä palveluntarjoajista. Onko tarkoitus luoda keskitetty (esim. mahdollisesti viestintäviraston, väestörekisterikeskuksen ylläpitämä) lista vai ylläpidetäänkö listoja toimintaympäristö kohtaisesti (esim. viranomainen = kuntatoimija)? Lisäksi, miten tätä listaa tullaan päivittämään ja katselmoimaan ja miten riskienarviointi huomioidaan. Lista palveluntarjoajista tulisi olla osa riskienarviointia toimintaympäristö tasoisesti.

Pilvipalveluiden edut sekä toteutus- ja palvelumallit

Kappaleessa pilvipalveluiden edut sekä toteutus- ja palvelumallit on määritelty, mitä pilvipalveluilla tarkoitetaan. Kuntaliiton näkemykseen mukaan pilvipalveluilla tarkoitetaan tyypillisesti internet-teknologia yhteyksien kautta käytettävää ICT-kapasiteettia tai palvelua, jonka tuottamisessa hyödynnetään jaettujen, skaalautuvien ja joustavien resurssien mallia, joka on automatisoitu osin itsepalveluperiaatteella tuotettavaksi. Käsitteenä se kattaa kaikki palveluna hankittavat ICT-palvelut alkaen konesaleista aina ohjelmistoihin saakka.

Pilvipalveluteknologian edut

Vaikka palvelun tuottamiseen ja ylläpitämiseen sekä tietoturvaan liittyvä osaamistarve voi vähentyä, niin painopiste oman toimintaympäristön osaamisen kannalta siirtyy hallinnolliselle osa-alueelle (esim. hankinta, seuranta, raportointi). Pilvipalveluiden joustavuus ei poista kokonaan käyttöönottoon liittyvää osaamistarvetta. Henkilöstöä tulee edelleen kouluttaa pilvipalveluissakin. Lisäksi vaikka palvelut saattavat olla helppoja ja nopeita käyttöönottaa niin samalla olisi syytä tiedostaa, että palveluiden käyttöönotto pilvipalveluympäristöissä vaatii omalta henkilökunnalta erilaista osaamista sekä kyvykkyyttä. Palvelut harvoin ovat toteutukseltaan erillisiä saarekkeita.

Palvelumallit

Kuntaliitto haluaa kiinnittää huomiota palvelumallien osalta osaamistarpeisiin. Harvoin organisaation osaamistarpeet kokonaan poistuvat. Eri palvelumalleissa tuskin koskaan on tilannetta, että kaikki palvelun tuottamiseen liittyvä osaamistarve poistuu. Tarve vähenee ja muuttuu, muttei toimintaympäristön kannalta poistu. Linjauksissa olisi hyvä korostaa riskienarviointia, mikä kohdistuu myös organisaation osaamistarpeisiin. Mitä riskejä organisaatiolle aiheutuu, mikäli meiltä poistuu kokonaan tietynlaista osaamista?

Tiedon ja palveluiden sijainti, hallinta ja ohjaus

Linjausluonnoksen kappaleessa koskien tiedon ja palveluiden sijaintia, hallintaa ja ohjausta käsitellään mm. mitä haasteita näihin liittyy. Kuntaliitolla on tähän luettavuuden kannalta huomio. Tiedon ja palveluiden sijainnin ja hallinnan haasteiden yhteenveto on nähtävillä kuvioissa 2 ja 3. Kuviossa 2 on kuvattu tiedon sijainnan ja hallinnan riskit ja kuviossa 3 tiedon luottamuksellisuuden ja toiminnan jatkuvuuteen erityisesti poikkeusoloissa liittyvät riskit suhteessa palvelun tuottamiseen liittyvään malliin. Luettavuuden kannalta Kuva 3:n paikan voisi siirtää kappaleen loppuun (sivun lopun teksti tukee kuvaa kokonaisuutena), ja ei näin sotkeennu sisällöllisesti Kuva 2 :n kanssa.

Tiedon käsittelyn vaatimukset 

Kuntaliitto pyytää kiinnittämään huomioita kappaleessa tiedon käsittelyn vaatimukset avattuihin käsitteisiin ja mahdollisesti tarkentaa niitä. Luonnoksessa on saatavuus termin alle yhdistetty niin saatavilla oleva (availability) kuin käytettävyys (usability). Niin tiedon kuin palvelunkin osalta nämä ovat tietoturvan kannalta eri käsitteitä. Lisäksi käyttövaltuushallinta käsittää käyttäjä- ja pääsynhallinnan. Käyttövaltuushallinnan kannalta on syytä erottaa tunnistaminen (identification), todentaminen (authentication), valtuuttaminen (authorization) ja vastuullisuus (accountability).

Kuntaliitto myös esittää kysymyksen siitä, tarvitseeko suojaustasoja luetella tässä linjauspaperissa. Huomioiden edessä olevan VAHTI100 - työn, niin voisiko dokumentin päivittävyyden kannalta viitata olemassa oleviin määräyksiin luokittelun kannalta. Koskien turvallisuusluokitusmerkintöjä, niin voisiko lausunnossa avata suuntaa antavasti, miten turvallisuusluokitusmerkintöjä tarkastellaan toimintaympäristön kannalta ja miten mm. riskienarviointi suhteutuu turvallisuusluokitusmerkintöihin. Tiedon ja palveluiden hallinnassa olisi syytä korostaa vastuu -näkökulmaa (liability); delegoida voi tekemistä, ei vastuuta.

Palveluiden ohjaus

Kuntaliitto korostaa palveluiden ohjauksessa, että tulisi huomioida se, että palveluiden toteuttaminen eri ympäristöissä vaatii erilaista osaamista. Tällä on vaikutusta tarvittavan henkilökunnan osaamiselle ja kyvykkyydelle; riskit riippuvat palvelu- ja toteutusmalleista.

Linjaukset julkisen hallinnon tiedon sijainnista ja hallinnasta

Kuntaliitto pitää linjauksia julkisen hallinnon tiedon sijainnista ja hallinnasta tarpeellisena. Kysymyksenä kohtaan 6” Viranomainen ylläpitää listaa hyväksytyistä palveluntarjoajista” Kuntaliitto toistaa alussa esitetyn kysymyksen siitä, kuka tai ketkä ovat tämä viranomaistaho. Lisäksi kohtaan 7. ”Julkisen tiedon käsittelyä ei rajoiteta” on syytä lisätä korostus siitä, että on huomioitava aina tietosuoja ja -turvavaatimukset. Julkinenkin tieto sisältää henkilötietoja, miten henkilötietojen käyttöön liittyvät määräykset huomioidaan pilvipalveluita käytettäessä. Miten esimerkiksi sopimussuhteen päättyessä taataan se, että tiedot ovat siirrettävissä toiselle toimijalle tai organisaatiolle takaisin. Miten lisäksi varmistetaan se, että tiedot alkuperäinen pilvitarjoaja hävittää kyseiset tiedot. Riskienhallintaa on syytä korostaa tässäkin julkisen tiedon käsittelyä ei rajoiteta- linjauksissa.

Suosituksia toimenpiteiksi

Linjausluonnos dokumentin lopussa käsitellään suosituksia toimenpiteiksi. Kuntaliitto esittää, että toimenpiteet valmisteltaisiin julkishallinnon yhteistyössä, ne olisivat konkreettisia myös aikataulutettuja ja vastuutettuja. Pilvipalveluiden käyttö lisääntyy jatkuvasti ja olisi hyvä luoda yhteiset suositellut toimintamallit julkishallinnolle, ottaen huomioon myös tulevan maakuntauudistuksen. Pilvipalveluiden käytöllä saavutetaan paljon hyötyjä. Kuntaliitto pitää erityisen hyvänä asiana sitä, että valtion johdolla neuvotellaan yhteiset sopimus- ja hinnoitteluehdot tärkeimpien palvelutarjoajien kanssa. Yhteisesti neuvotellen on mahdollista saavuttaa paremmat ehdot koko julkishallinnolle ja näin saavuttaa myös kustannustehokkuutta. Lisäksi yhteisesti neuvotellen on mahdollista saavuttaa ehdot, mitkä ottavat huomioon mm. henkilötietojen suojaan ja -tietoturvaan sekä julkisuusperiaatteiseen liittyvät vaatimukset.

Lopuksi Kuntaliitto korostaa, että pilvipalvelupohjaisten ratkaisujen huomioiminen tapahtuisi toiminnan kehittämisen kautta unohtamatta kokonaisuutta. Tarvitaan välineitä siihen, kuinka palvelutuotanto toteutetaan valitun strategian mukaisesti. Pääviesti tulee olla se, ettei pilvipalveluiden käyttöönotto ole irrallista toimintaa.

SUOMEN KUNTALIITTO

 

Tommi Karttaavi                                             Tuula Seppo

johtaja, tietoyhteiskunta                              erityisasiantuntija

tags