3.2 Tiedonhallintalain toimeenpano kunnissa

Laki julkisen hallinnon tiedonhallinnasta (906/2019) niin kutsuttu tiedonhallintalaki, sekä siihen liittyvät lait tulivat voimaan 1.1.2020. Lain tarkoituksena on yhdenmukaistaa ja kehittää viranomaisen tiedonhallintaa, sekä edistää digiturvallisuutta ja tiedon jakamista ja hyödyntämistä. Tiedonhallintalaki korvaa vuonna 2011 voimaan tulleen lain julkisen hallinnon tietohallinnon ohjauksesta.

Tiedonhallintalaki sisältää koko julkista hallintoa koskevia säännöksiä tiedonhallinnan järjestämisestä ja kuvaamisesta, tietovarantojen yhteentoimivuudesta, tietojärjestelmien yhteentoimivuuden toteuttamisesta, teknisten rajapintojen ja katseluyhteyksien toteuttamisesta sekä tietoturvallisuuden toteuttamisesta. Lailla on kuntaorganisaatioiden tiedonhallintaan ja siihen liittyvään toimintaan ja toiminnan organisointiin laaja vaikutus.

Tiedonhallintalain voimaantulo on toteutettu usean siirtymävaiheen kautta, jotta viranomaisilla on mahdollisuus saattaa tiedonhallinnan menettelynsä ajan tasalle. Tiedonhallintalain mukaisia viranomaisia, eli tiedonhallintayksiköitä, on kuntakentällä noin 418 kpl. Yli puolet kaikista lain mukaisista tiedonhallintayksiköistä ovat kuntakentän edustajia.

Lain toimeenpano on lisännyt organisaatioiden työn määrää ja aiheuttanut muutoksia toimintatavoissa. Muutokset eivät koske vain kunnan ICT-osastoa ja sen toimintaa, vaan tiedonhallinta on laaja, koko organisaatioita koskeva asia. Nykypäivänä monenlaista tietoa kerätään, säilötään ja jaetaan monin eri tavoin. Tiedonhallintaan liittyvät kysymykset olisivat tärkeä ymmärtää organisaatioissa niin toimeenpanevalla kuin johtavalla tasolla.

Kysely tiedonhallintalain toimeenpanosta

Kuntien digitalisaatiokartoituksessa kysyttiin mannersuomen kuntien ja kuntayhtymien hallintojohtajilta, miten tiedonhallintalakia on toimeenpantu kunnassa ja kuntayhtymässä (laki ei velvoita Ahvenanmaan kuntia). Tiedonhallintalain toimeenpanoa koskevaan kyselyyn saatiin 127 vastausta (76 kpl kunnista ja 48 kpl kuntayhtymistä). Vastausprosentti oli 23. Kyselyn tarkoitus on kerätä tarkempaa tietoa siitä, miten lain toimeenpano käytännössä on edennyt mm. seuraavien kysymysten kautta:

3. Onko organisaatiossanne tehty tiedonhallintamalli?
4. Tiedonhallintamalli on toteutettu organisaatiossanne: omana työnä (virkatyönä; omana työnä (projektoitu); yhteistyössä ulkoisen toteuttajan kanssa; yhdessä toisen kunnan, kuntayhtymän, sairaanhoitopiirin kanssa, muu.
6. Tiedonhallintamallin toteutus: Mitkä väittämät pitävät paikkansa organisaatiossanne?
7. Onko organisaatiossanne tehty asiakirjajulkisuuskuvaus?
8. Onko organisaatiossanne tehty tietotilinpäätös?
9. Kysymyksiä tiedonhallinnan muutosvaikutusten arvioinnista
10. Onko organisaatiossanne asetettu tavoitteita tiedonhallinnalle?
12. Tietoturvallisuusohjeiden ja -käytänteitten ajantasaisuuden varmistaminen: Oletteko tunnistaneet organisaatiossanne keskeisimmät kehittämistä vaativat asiat (useita vastausvaihtoehtoja)
13. Valitse vastausvaihtoehdot, jotka ovat toteutuneet organisaationne toiminnassa? Tilannekuva
13. Valitse vastausvaihtoehdot, jotka ovat toteutuneet organisaationne toiminnassa? Toimintaympäristö
14. Mitä seuraavista tukitarpeista olette tunnistaneet tiedonhallintalain toimeenpanon yhteydessä?

Tiedonhallintamalli

Tiedonhallintalain 5 § mukaan tiedonhallintayksikössä (esim. kunta tai kuntayhtymä) on ylläpidettävä organisaation toimintaympäristön tiedonhallintaa määrittelevä ja kuvaava tiedonhallintamalli. Velvoite tiedonhallintamallin laatimisesta on kunnille ja kuntayhtymille uusi.

Tiedonhallintamallia ylläpidetään palvelujen, asiankäsittelyn ja tietoaineistojen hallinnan suunnittelemiseksi ja toteuttamiseksi, tiedonsaantia koskevien oikeuksien ja rajoitusten toteuttamiseksi, moninkertaisen tietojen keruun vähentämiseksi, tietojärjestelmien ja tietovarantojen yhteentoimivuuden toteuttamiseksi sekä tietoturvallisuuden ylläpitämiseksi.

Laki ei määrittele tapaa, eikä muotoa millä tiedonhallintamalli tulisi toteuttaa, ainoastaan mitä eri aihealueita siinä tulisi kuvata.

Onko organisaatiossa tehty tiedonhallintamalli?

Kuva 23. Kysymys 3. Onko organisaatiossa tehty tiedonhallintamalli? Kysely tiedonhallintalain toimeenpanosta, 2021.

Kaikista organisaatioista reilu kolmannes on laatinut tiedonhallintamallin. Suurimassa osassa organisaatioita tiedonhallintamallin toteutus on vielä kesken, mutta vain harva organisaatio ilmoittaa, että työtä ei ole aloitettu lainkaan. Vastausten perusteella tiedonhallintamallin valmistuminen on yleisempää yli 10 000 asukkaan kunnissa kuin alle 10 000 asukkaan kunnissa.

Kartoituksessa kysyttiin, miten vastuut tiedonhallintalain toimeenpanosta on järjestetty organisaatiossa (tiedonhallintayksikössä) ja avointen vastausten tulkinnan perusteella vastuiden jako näyttää ylätasolta katsottuna hyvältä (toteutuneen). Toimintojen tarkemmassa tarkastelussa käy kuitenkin ilmi, että vastuiden jalkautuminen toimintaan on ollut haasteellista. 

Kyselyssä kysyttiin myös missä muodossa tai millä järjestelmällä tiedonhallintamalli on toteutettu. Avointen vastausten perusteella suosituimmat ohjelmat olivat Excel, ARC-sovellus (Arter Oy) ja Digiturvamalliohjelma (Agendium Oy).

Alle on listattu avoimissa vastauksissa esille tulleet sovellukset, ohjelmat ja työkalut ja mainintojen määrä.

• Excel (21)
• ARC-sovellus, Arter Oy (17)
• Digiturvamalli, Agendium Oy (10)
• Word (4)
• SharePoint (4)
• Confluence (3)
• Innofactor Dynasty (3)
• M-Files (1)
• TOJ (1)
• QPR (1)
• Archimate (1)
• IMS (1)

Tiedonhallintamalli on toteutettu organisaationne

Kuva 24. Kysymys 4. Tiedonhallintamalli on toteutettu organisaationne (valitse vaihtoehto). Kysely tiedonhallintalain toimeenpanosta, 2021.

Yleisin tapa tiedonhallintamallin laatimiseen on laatia se oman organisaation voimin. Vastaajista 60 % ilmoittaa, että työ on toteutettu osana omaa virkatyötä. Osa vastaajista ilmoittaa (16 %), että tiedonhallintamalli on toteutettu projektiluontoisena hankkeena oman organisaation voimin.

Vajaa viidennes organisaatioista on toteuttanut tiedonhallintamallin yhteistyössä ulkoisen toteuttajan kanssa. Mallin luominen yhdessä toisen kunnan, kuntayhtymän tai sairaanhoitopiirin kanssa on erittäin harvinaista.

Tiedonhallintamallin toteuttamien vaatii kuntaorganisaatiolta laajaa osallistumista valmistelutyöhön ja syvällistä paneutumista oman organisaation toimintaan. Tiedonhallintalaissa määritellyt tarkasteltavat osa-alueet, elementit (mm. toimintamalli taso - prosessit, tietojärjestelmä, tietovaranto, tietoaineisto, tietoturvallisuustoimenpiteet) ovat monitasoisia, siten eri osa-alueet näyttäytyvät ja niitä käsitellään päätöksenteon ja hallinnan kannalta eri tasoisesti. 

Toimiala-tasolla on odotettavissa tarkempia eri tasoisia tarkasteluja toiminnan ja toimintaympäristön ymmärtämiseksi seurattavuuden ja muutosvaikutustenarviointien johdosta. Työn edetessä on myös todennäköistä, että kuntien välinen yhteistoiminta tiedonhallintamalli-työn parissa kasvaa.

Yhteistoimintaa on edesauttamassa esimerkiksi keskustelu kuntien ja hyvinvointialueiden rajapinnasta. Lisäksi on hyvä tiedostaa, ettei kuntakentän osalta täysimääräisesti olla selvillä eri tiedonhallintayksikköjen vastuista ja velvollisuuksista, koska niitä on useita satoja.

Jos kuntayhtymiä ja kuntia tarkastellaan erillään, huomataan, että tiedonhallintamallin luominen sisäisenä virkatyönä on yleisempi toimintatapa kuntayhtymissä kuin kunnissa. Kunnat ovat tehneet kuntayhtymiä useammin yhteistyötä ulkopuolisen toimijan kanssa. Tämä on luonnollista, kun ajatellaan kuntien rajallisia resursseja ja tietohallintoon liittyvien toimintojen ja tehtävien ulkoistamisen kasvua.

Tiedonhallintamallin toteutus: Mitkä väittämät pitävät organisaatiossanne paikkansa. Voit tarkentaa.

Kuva 25. Kysymys 6. Tiedonhallintamallin toteutus: Mitkä väittämät pitävät organisaatiossanne paikkansa. Voit tarkentaa asioita. Kysely tiedonhallintalain toimeenpanosta, 2021.

Vastaajia pyydettiin ottamaan kantaa erilaisiin väitteisiin liittyen tiedonhallintamallin toteutukseen. Vastaukset jakautuivat melko tasaisesti annettujen vaihtoehtojen välillä. Yli puolet organisaatioista kokee, että uuden ajattelutavan omaksuminen on ollut vaikeaa. Vastaajista 40 % on pitänyt sopivan työkalun löytymistä tiedonhallintamallin toteuttamiseen haastavana.

Noin 40 % ajattelee, että kunnassa ei ole ollut riittävästi osaamista mallin toteuttamiseen ja pitää tiedonhallintalautakunnan mallipohjia hyödyllisinä. Huomioitavaa on, että yli 100 000 asukkaan kunnissa osaaminen ei ole näyttäytynyt haasteena. 

Avoimien vastausten perusteella uuden ajattelumallin omaksumisen haasteet liittyivät kokonaisuuden hahmottamiseen ja tiedon jalkauttamiseen. 

”Jotkut lain yksityiskohdat ovat vaikeita ja käsitemäärittelyt tulkinnanvaraisia.”
- Koulutuskuntayhtymän johtaja

”todella hankala mieltää, mitä oikeasti pitäisi tehdä”
- Koulutuskuntayhtymän johtaja

”Tiedonhallintalain hyödyt, vaatimukset ja toteutustapa ei ole käytännönläheinen tai mitattavissa. Kokonaisuus vieras poikkihallinnollisesti katsoen.”
- SOTE-kuntayhtymä

Sitaatit on lainattu kyselyn avoimista vastauksista.

Erilainen tietoon liittyvän lainsäädännön lisääntyminen ja sen toimeenpano vaatii organisaatioilta erityisosaamista. Digitalisaation myötä organisaatioiden kyvykkyyksien tarpeet ovat muuttuneet, ja tämä näkyy esimerkiksi tiedonhallintalain toimeenpanossa, jossa korostuu uudenlaisen osaamisen ja ymmärtämisen tarve. Kyseessä ei ole ainoastaan tiedon hallinnointi vaan keskeistä on myös ymmärtää, miten tietoa sovelletaan ja minkälaiset vaikutukset tietoon liittyvillä prosesseilla on.

Sopivan työkalun löytämisen haasteita kuvattiin seuraavasti

”On epäselvää minkälainen ja minkä tasoinen tiedonhallintamallin kuuluisi olla, jotta osoitusvelvollisuus täyttyy. Mielellään yksinkertainen ja toimiva.”
- Pienen kunnan hallinnosta vastaava

”Työ on käynnistetty excel-pohjaan, mutta järjestelmähankinta on mietinnässä.”
- Keskisuuren kunnan hallinnosta vastaava

”Tiedonhallintalautakunnan excel poikkeaa JHS-suosituksista eikä sovellu esim. integraatiokuvauksiin.”
- SOTE-kuntayhtymä

”Työkaluja tarvittu useita eri tarkoituksiin.”
- SOTE-kuntayhtymä

Sitaatit lainattu kyselyn avoimista vastauksista.

Vastaukset tukevat havaintoja muutosvaikutusten arvioinnin osalta. Sekä sitä, ettei vastaajien piirissä täysin olla ymmärretty tiedonhallintalain henkeä. Lain hengen mukaisesti tiedonhallintamallin tulisi kehittyä välineeksi kunnalle, oman toiminnan ja toimintaympäristön kehittämiseksi suunnitelmallisesti ja pitkäjänteisesti. Tiedonhallintamallin toteutuksessa on riski, että malli jää irralliseksi kuvaukseksi täyttäen lain kirjaimelliset vaatimukset, mutta jättäen pois toiminnallisen tiedonhallinnan hyödyn ”elävänä työkaluna” tai tukivälineenä organisaation tiedonhallinnassa. 

Tiedonhallintalautakunnan mallipohjia on hyödynnetty mallintamistyössä, mutta mallipohjan on koettu olevan liian teoreettisella tasolla. Vastaajista 37 % on kokenut tiedonhallintalautakunnan mallipohjat hyödylliseksi. Tiedonhallintalautakunnan mallipohjien hyödyllisyyttä kuvattiin seuraavasti:

”Olemme hyödyntäneet tiedonkeruussa tiedonhallintamallin mallipohjaa ja asiakirjajulkisuuskuvausta.”
- Keskisuuren kunnan hallinnosta vastaava

”Pääosin. Tiedonhallintamallisuositus koettiin teoreettiseksi sekavine taulukkoineen.”
- SOTE-kuntayhtymän hallinnosta vastaava

”mallipohjat ovat avuksi, mutta työ on silti vaikeaa.”
- Koulutuskuntayhtymän hallinnosta vastaava

Sitaatit ovat lainattu kyselyn avoimista vastauksista.

Vastaajista 39 % vastasi, että kunnassa ei ollut riittävästi osaamista tiedonhallintamallin toteuttamiseen. Avoimissa vastauksissa osaamiseen liittyviä haasteita on kuvattu seuraavasti:

”Työtä joudutaan tekemään kiireessä kaiken muun ohella, muutoksia tulee eri tahoilta yhtä aikaa ja tiukoilla aikatauluilla. Meillä tippuu samojen henkilöiden pöydälle.”
- Koulutuskuntayhtymän hallinnosta vastaava

”Kunnassamme ei ole ammattitaitoista henkilökuntaa hoitamaan tehtävää.”
-Pienen kunnan hallinnosta vastaava

”Organisaatiossa ei ole ollut tietohallinto-osaamista.”
- Pienen SOTE-kuntayhtymän hallinnosta vastaava

”Osaamista kehitetty ja hankittu toimeenpanon aikana”
- Koulutuskuntayhtymän hallinnosta vastaava

Sitaatit on lainattu kyselyn avoimista vastauksista.

Tiedonhallintalaki ja tiedonhallintamallityö koskee kuntaorganisaatioita laajasti ja ymmärrys organisaation tiedon hallinnan kokonaisuudesta on suuri työ hahmottaa. Jokainen organisaatio on omanlaisensa, ja tämä todennäköisesti näkyy myös teidän laatimassaan tiedonhallintamallissa. Tiedon hallintaan liittyvä osaaminen on erityinen osaamisalue ja tätä osaamista löydy kaikista kuntaorganisaatioista. Digitalisaation murroksen myötä tiedon hallinnan paremman ymmärtämisen tarpeeseen on herätty myös kuntakentällä. 

Puolet vastaajista ajattelee, että tiedonhallintamallin toteutukseen liittyy myös muita haasteita. Avoimien vastauksien perusteella tiedonhallintamallin toteutusta haastaa organisaatioissa erityisesti resurssipula sekä henkilöstön, että käytössä olevan ajan suhteen. Toinen avoimissa vastauksissa toistunut teema oli kokemus siitä, että tiedonhallintamalli on vaikeasti ymmärrettävä ja siihen liittyvä tiedonhallintalautakunnan ohjeistus on puutteellista.

”Muutosähky on vallalla! Kirjanpidon taksonomiat (palveluluokkauudistus, tietosuoja-asetus ym) ovat tuoneet organisaatioon paljon uusia muutoksia ja muutosvastarintaa. Tähän "pölypilveen" tuntuu mahdottomalta saada työnnettyä mukaan tiedonhallintalain merkitystä. Esim. kunnan johto on autuaan tietämätön koko tiedonhallintalaista, ja tiedonhallintalain asioissa tuntuu todella vaikealta päästä johdon juttusille.”
-Pienen kunnan hallinnosta vastaava

”Talouden näkökulmasta tiedonhallintalaki vaikuttaa niin moneen asiaan, että mikään edullinen harjoitus ei ole kyseessä. Toivomme toki, että hyödyt kuittaavat kustannukset tulevaisuudessa mm. sähköisyyden edistymisen myötä.”
-Suuren sairaanhoitopiirin hallinnosta vastaava

”Valtakunnallinen ohjeistus on ollut riittämätöntä ja tullut myöhässä. Ohjeistusta olisi myös tarpeen päivittää perustuen toimeenpanon pohjalta tehtyihin toteutuksiin. Lainvalmistelussa ei ole riittävällä tavalla huomioitu toiminnan vaatimaa resursointia eikä riittävällä konkretiatasolla pystytty osoittamaan työn hyötyjä. Tällä hetkellä laki näyttää jäävän kuolleeksi kirjaimeksi varsinkin pienissä kunnissa.”
-SOTE-kuntayhtymän hallinnosta vastaava

Sitaatit ovat lainattu kyselyn avoimista vastauksista.

Tiedonhallintamallin tarkoitus on tukea organisaatioita hallitsemaan paremmin ja systemaattisemmin ne tiedot, joita sen toiminnassa syntyy ja käsitellään. Organisaation tulisi itse pohtia ja tunnistaa millä tavoin toteutettuna tiedonhallintamalli tukee sen omaa toimintaa parhaalla mahdollisella tavalla. Tarkoituksena on, että tiedon käsittelyyn ja hallintaan liittyvien perusasioiden kuvaaminen on käytännönläheisestä.

Tiedonhallintamallityön käynnistämiseksi on hyvä käydä läpi kunnan hallintosääntö ja muut määritellyt vastuut. Kunnan oma etu on, että tieto on hyvin hallussa. Tiedonhallintamalliin liittyy myös muutosvaikutusten arviointi, jonka tarkoitus on tukea tiedonhallintaa organisaation muutostilanteissa.

Tiedonhallintamallityö on kunnille uutta ja sen myötä tämänkaltaista tarkastelua on tehty monissa kunnissa ensimmäistä kertaa. Tehtävää on usein lähdetty tarkastelemaan lain edellyttämien vähimmäisvaatimusten kautta. Työ on edellyttänyt yhteistyötä ja sisäisten toimintatapojen tarkastelua kuntaorganisaation kokonaiskuvan muodostamiseksi. Tiedonhallintamallin toteuttaminen ja sen tuomien hyötyjen lunastaminen, tiedonhallintamallin jalkauttamisessa organisaatiossa on kyse oppimisprosessista.

Tiedonhallinnan muutosvaikutukset

Tiedonhallintamalli on tiedonhallintayksikön (esim. kunnan tai kuntayhtymän) toiminnan nykytilan kuvaus. Kuvauksen tulisi olla elävä dokumentti, jota päivitetään ja ylläpidetään toimintaympäristön, velvoitteiden ja palveluiden muuttuessa.

Tiedonhallintalaki sisältää vaatimuksen tiedonhallinnan muutosvaikutusten arvioinnista. Arvioinnin kautta vahvistetaan muutostilanteiden taloudellisten ja toiminnallisten riskien ennakointia, muutosten ohjauksen tehokkuutta sekä toisaalta pyritään edistämään yhteentoimivuuden ja tietoturvallisuuden toteutumista sekä investointien kannattavuutta. Tiedonhallintaa koskevien muutoksien ohjaus kuuluu tiedonhallintayksikön (esim. kunnan) asianmukaiseen johtamiseen.

Muutosvaikutuksen arviointi on osa tiedonhallintamallin ylläpitoa. Sen avulla voidaan suunnitella ja toteuttaa hallitusti tietoon liittyviä toimenpiteitä esim. tilanteessa, jossa organisaatio kohtaa hallinnollisia, teknisiä tai toimintaan liittyviä muutoksia. Tiedonhallintamallin avulla voidaan kuvata esim. organisaation johdolle toimintaan liittyviä riippuvuussuhteita. Se voi olla suureksi hyödyksi esimerkiksi tilanteissa, jossa päivitetään tai vaihdetaan tietojärjestelmiä.

Kysymyksiä tiedonhallinnan muutosvaikutusten arvioinnista

Kuva 26. Kysymys 9. Kysymyksiä tiedonhallinnan muutosvaikutusten arvioinnista. Kysely tiedonhallintalain toimeenpanosta, 2021. Avaa tästä kuva omaan ikkunaan.

Tiedonhallinnan muutosvaikutusten arviointia kartoitettiin neljän kysymyksen kautta. Organisaatiot jakautuivat lähes tasan sen suhteen, onko organisaatiossa tullut vastaan tarvetta muutosvaikutusten arvioinnin tekemiselle. Suurin osa (78 %) organisaatioista ei kuitenkaan ole määritellyt, miten tunnistaa tarpeet muutosvaikutusten arvioinnin tekemiselle toiminnan muutoksessa tai kehittämistoiminnassa.

Muutosvaikutusten arvioinnin liittäminen osaksi organisaation olemassa olevia kehittämisen prosesseja on myös melko harvinaista. Noin kolmannes vastaajista kertoo, että organisaatio on hyödyntänyt tiedonhallintalautakunnan suositusta muutosvaikutusten arvioinnissa.

Asiakirjajulkisuuskuvaus ja tietotilinpäätös

Asiakirjajulkisuuskuvaus

Tiedonhallintalain mukaan tiedonhallintayksikön (esim. kunta) on ylläpidettävä kuvausta sen hallinnoimista tietovarannoista ja asiarekisteristä. Tätä kuvausta kutsutaan asiakirjajulkisuuskuvaukseksi. Asiakirjajulkisuuskuvauksen tarkoitus on helpottaa kuntalaista esim. tietopyyntöjen tekemisessä kunnalle ja kertoa, millaisia tietoja kunta käsittelee. Kuvaus auttaa osoittamaan ja yksilöimään tarvittavat tiedot, jotta kunta voi etsiä, koota ja toimittaa tiedot kuntalaiselle.

Onko organisaatiossanne tehty asiakirjajulkisuuskuvaus?

Kuva 27. Kysymys 7. Onko organisaatiossanne tehty asiakirjajulkisuuskuvaus?

Organisaatioista noin 40 % on tehnyt asiakirjajulkisuuskuvauksen. Lähes puolet organisaatioista ilmoittaa, että kuvauksen tekeminen on kesken. Noin 10 % organisaatioista ei ole aloittanut tekemään asiakirjajulkisuuskuvausta. Kuntien ja kuntayhtymien luvut ovat lähes yhtäläisiä. Yli 20 000 asukkaan kaupungeissa kaikki vastaajat ilmoittavat, että kuvaus on tehty tai tekeminen on aloitettu. Laajin valmistumisprosentti on yli 100 000 asukkaan kaupungeissa.

Tietotilinpäätös

Tietotilinpäätös on raportti, joka antaa kokonaiskuvan organisaation tietojenkäsittelyn ajankohtaisesta tilasta. Tietotilinpäätös kuvaa mm. mitä tietovarantoja organisaatiolla on hallussa, toimintaan liittyvät tietovirrat ja miten tietosuoja ja -turva toteutuvat organisaation toiminnassa. Tietotilinpäätös toimii organisaation toiminnan ja johtamisen tukena, ja varmistaa että toiminnassa noudatetaan sovellettavaa lainsäädäntöä.

Onko organisaatiossanne tehty tietotilinpäätös?

Kuva 28. Kysymys 8. Onko organisaatiossanne tehty tietotilinpäätös?  Kysely tiedonhallintalain toimeenpanosta, 2021.

Lähes 70 % vastaajista ilmoittaa, että organisaatiossa ei ole laadittu tietotilinpäätöstä ja noin 30 % organisaatioista on tehnyt tietotilinpäätöksen. Kuntayhtymien ja kuntien välillä ei ole eroja. Tietotilinpäätöksen tekeminen on yleisempää yli 20 000 asukkaan kuin alle 20 000 asukkaan kunnissa. Yksikään alle 2000 asukkaan kunnista ei ole tehnyt tietotilinpäätöstä.

Tiedonhallinnan tavoitteet

Kuntakentän tiedonhallintatyön tavoiteasetanta vaihtelee organisaatioittain. Kysyttäessä, onko organisaatiossa asetettu tavoitteita tiedonhallinnalle, yli puolet ilmoitti työn olevan kesken. Vajaa kolmannes vastaajista kertoi, että tiedonhallinnalle on asetettu tavoitteet, ja noin 14 % ilmoitti, että tavoitteita ei ole asetettu.

Onko organisaatiossanne asetettu tavoitteita tiedonhallinnalle?

Kuva 29.  Kysymys 10. Onko organisaatiossanne asetettu tavoitteita tiedonhallinnalle? Kysely tiedonhallintalain toimeenpanosta, 2021.

Avoimissa vastauksissa kävi ilmi, että monissa organisaatioissa tavoitteiden laatiminen on alkuvaiheessa tai resurssipula hidastaa työn etenemistä.

Resurssit hallitsevat myös vastauksia, joissa on taustoitettu tavoitteiden asettamisen esteitä. Vastaajat kokivat, että organisaatiossa ei ole riittävästi aika-, henkilöstö-, tai osaamisresursseja tai tavoitteiden tekemiseen ei haluta priorisoida resursseja.

”Aikaa ei ole ajattelulle.”
-Keskisuuren kunnan hallinnosta vastaava

”Tiedonhallinta ei ole noussut ykkösasioiksi agendalla eikä näytä koettavan tärkeäksi ja merkitykselliseksi.”
-Pienen kunnan hallinnosta vastaava

”Emme ole osanneet ajatella, että tavoitteet pitäisi määritellä erikseen.”
- Pienen kunnan hallinnosta vastaava

Sitaatit on lainattu kyselyn avoimista vastauksista.

Vastaajia, jotka kertoivat, että organisaatiossa on asetettu tavoitteita tiedonhallinnalle, pyydettiin avaamaan tavoitteiden sisältöä. Avoimien vastausten perusteella muodostui viisi teemaa tiedonhallinnan tavoitteille:

Laista tulevien tavoitteiden täyttäminen
Sähköiseen muotoon siirtyminen
Tiedonhallinnan prosessien kehittäminen ja ottaminen osaksi toimintaa
Tietoturvaan liittyvät tavoitteet
Seurannan kehittämiseen liittyvät tavoitteet

Vastaajien kesken vaikuttaa olevan jakautumaa sen suhteen nähdäänkö tiedonhallintamalli kehittämisen työkaluna vai pakollisena tehtävänä. Tavoitteita sanoitettiin seuraavasti:

”Kehittää mittarointia. Toteuttaa tiedonhallinnassa valvontasuunnitelmaa, toteuttaa vuosittain tietotilinpäätökset ja saada tiedonhallintalain vaatimukset ajantasalle.”
-Pienen kunnan hallinnosta vastaava

”Sähköiset prosessit ja sähköinen säilytys tavoitteena sekä vastata muihin tiedonhallintalain vaatimuksiin”
-Koulutuskuntayhtymän hallinnosta vastaava

”Laista tulevien velvoitteiden täyttäminen. Sähköinen arkisto v. 2023 mennessä.”
-Koulutuskuntayhtymän hallinnosta vastaava

Sitaatit on lainattu kyselyn avoimista vastauksista.

Osa organisaatioista on asettanut myös kokonaisvaltaisempia tavoitteita:

”Tavoitteena on luoda tiedonhallinnan kokonaisuus, jossa nivoutuvat yhteen tiedonhallintalain ja arkistolain vaatimukset: kuten saada tiedonhallintamalli valmiiksi juhannukseen mennessä; saada asiakirjajulkisuuskuvauksen ensimmäinen versio verkkosivuille; saada projektinhallintatyökalu jalkautettua toimialoille, saada tietoturvatoimenpiteet osaksi hankintaprosessia, henkilöstön tietoturvaosaaminen ajantasalle, tietoturvakulttuurin luominen organisaatioon. Vain jotakin mainitakseni.”

-Keskisuuren kunnan hallinnosta vastaava

”Toteuttaa organisaation tiedonhallintaa järjestelmällisesti ja tehokkaasti. Parantaa muutosten hallintaa muutosvaikutusten arvioinnin avulla. Varmistaa yhteentoimivuus.”

-Koulutuskuntayhtymän hallinnosta vastaava

”Tiedonhallintamallista pyritään saamaan organisaatiota aidosti palveleva ja ajan tasalla pysyvä dokumentaatio, jota ei tehdä vain, koska laki ns. vaatii. Muutosvaikutusten arviointi kytketään osaksi tiedonhallintamallia. Sähköisen tietojen luovuttamisen osalta ensisijaisesti potilaita/asiakkaita varten luodaan uusi sähköinen kanava tietopyyntöjen esittämistä ja aineistojen vastaanottoa varten. Toissijaisesti edistetään tietojen luovuttamista viranomaisten välillä teknisten rajapintojen ja katseluyhteyksien välillä, kun asiasta vastuussa olevalta ministeriöltä saadaan asiaan tarkempaa ohjausta.

Organisaation omat asiakirjat laaditaan ja säilytetään sähköisessä muodossa 1/2022 lähtien. Organisaatioon saapuvat arkistoitavaksi tarkoitetut asiakirjat digitoidaan aina mahdollisuuksien mukaan. Tiedonhallintalain tietoturvaan ja tietosuojaan liittyviä osa-alueita (esim. lokienhallinta ja käyttövaltuushallinta) kehitetään aktiivisesti”
-Suuren sairaanhoitopiirin hallinnosta vastaava

Sitaatit on lainattu kyselyn avoimista vastauksista.

Tietoturvallisuusohjeiden ja -käytänteiden ajantasaisuuden varmistaminen

Kyselyn vastaajista noin 60 % on tunnistanut, että organisaation toiminnan muutosten huomioiminen, tietoturvallisuusriskien käsittely ja tietoturvallisuuden toteutumisen seuranta vaativat kehittämistä. Kolmannes vastaajista on tunnistanut tietoturvaloukkausten johdonmukaisen käsittelyn yhdeksi kehityskohteeksi.

Oletteko tunnistaneet organisaatiossanne keskeisimmät kehittämistä vaativat asiat?

Kuva 30. Kysymys 12. Oletteko tunnistaneet organisaatiossanne keskeisimmät kehittämistä vaativat asiat? Kysely tiedonhallintalain toimeenpanosta, 2021.

Tarkasteltaessa tietoturvallisuutta osana digitaalisen turvallisuuden kehittämistä joudutaan asioita tarkastelemaan niin tiedonhallintamallitasoisesti kuin organisaation kyvykkyyden, osaamisen ja vallitsevien käytänteitten kannalta.

Tiedonhallintamallin tulisi kuvata organisaation tietoturvajärjestelyt. Eli miten tietoturvallisuus organisaatiossa toteutuu ja siihen liittyvät tekniset sekä organisatoriset turvatoimet. Tietoturvaa tulisi kehittää huomioiden yhteentoimivuus suhteessa koko toimintaympäristöön.

Organisaatioiden toiminta ja toimintaympäristöt ovat jatkuvan muutoksen alla. Tietoturva organisaation kyvykkyytenä merkitsee tietoturvahallinnan käytänteitten vastuuttamista ja jalkautumista. Konkreettisena esimerkkinä tästä voi toimia vastuujakotaulukko, johon nimetään tahot asioiden käsittelylle. Muutostilanteissa asioita tulee tarkastella myös tietoturvallisuuden näkökulmasta. Tämä auttaa varautumaan erilaisiin uhkiin, kuten tietoturvaloukkauksiin.

Tiedonhallintalaki mahdollistaa kuntakentälle siirtymäajan 2023 alkuun tietoturvajärjestelyjen kuvaamisen osalta. Julkisessa hallinnossa on käynnissä ns. Haukka-hankekokonaisuus (julkisen hallinnon digitaalisen turvallisuuden toimeenpanosuunnitelma 2020-2023), jonka yhtenä osa-alueena on kunnille tarkoitetut yhteiset, digitaalista turvallisuutta edistävät palvelut. Tähän kuuluvat kuntien käytössä olevien tietoverkkojen turvallisuus ja kuntien yhteiset digitaalisen turvallisuuden palvelut. Kuntakentän kannalta nämä kaksi asiakokonaisuutta on hyvä huomioida, ja niitä on syytä tarkastella yhdessä.

Haukka-hankekokonaisuuden tavoitteena on luoda kansallisen tason ymmärrys digitaalisen turvallisuuden tilasta. Kuntakentän osalta tämä merkitsee Haukka-hankekokonaisuuden yhteydessä päivitettävää digitaalisen turvallisuuden tiekarttaa, minkä toteutumista tullaan seuraamaan hankkeen aikana kehitettävien mittarien kautta.

Kuntakentässä toimiva tietoturvavastuullisten verkosto (Kun-TVV) tarjoaa keskustelualustan tiedonhallinatalain mukanaan tuomien tietoturvajärjestelyn velvoitettavuuden ymmärtämiseksi. Verkosto toimii myös kanavana tarvittavalle viranomaisyhteistyölle.

Tietoturvan tilannekuva: Valitse vastausvaihtoehdot, jotka ovat toteutuneet organisaationne toiminnassa

Kuva 31. Kysymys 13. Valitse vastausvaihtoehdot, jotka ovat toteutuneet organisaationne toiminnassa. Kysely tiedonhallintalain toimeenpanosta, 2021. Avaa tästä kuva omaan ikkunaan.

Organisaatioiden tilannekuvaa ja tilannetietoisuutta kartoitettiin pyytämällä vastaajia arvioimaan, miten erilaiset toimintamallit ovat toteutuneet organisaation toiminnassa. Lähes 70 % ilmoittaa, että organisaatiossa on nimitetty taho, jonka tehtäviin kuuluu säännöllisesti informoida johtoa tietoturvallisuustilanteesta sekä tietoturvallisuuden parantamiseksi toteutetuista toimenpiteistä. Vastaajista 62 % kertoo, että organisaation johdolla on ajantasainen tieto oman organisaation toimintaa ja toimintaympäristöä koskevista tietoturvaloukkauksista ja niiden vaikutuksista.

Noin 60 % vastaajista ilmoittaa myös, että organisaatiossa käsitellään havaintoja ja löydöksiä säännöllisesti tietoturvahäiriöitä läpikäytäessä. Mikäli organisaatiot käyttävät ulkopuolisia toimijoita tietoturvallisuuden testaamisessa, alle puolet (43 %) organisaatioista huomioivat tehtyjen tietoturvallisuustestien tuottamat havainnot osana organisaation tietoturvatoimenpiteitä. Aineiston perusteella kuntayhtymissä ollaan pääsääntöisesti kuntia edellä tietoturvallisuuden tilannekuvasta ja sen viestimisestä organisaatiossa.

Kuluneen vuoden aikana kuntakentälle osoitettujen kyselyjen valossa (kuntien digitalisaatiokartoitus ja Haukka-hankkeen kyselyt) voidaan todeta tiedonhallintalain määräävän tavoitteet, organisaatiokohtaisten tavoitemäärittelyjen ollessa kesken. Tarvittavien tietoturvallisuustoimenpiteitten kohdistuessa rakenteellisesti monimutkaiseen työkulttuuriin on asioitten ja tekemisen suhteita haasteellista ennakoida. Tiedusteltaessa kuntatoimijoiden hallintojohtajilta ja päätöksentekijöiltä tiedonhallintalain toimeenpanosta koskien organisaatiotasoisia vastuita sekä vastuujakoa, voidaan niiden todeta olevan kunnossa (perustaso, johdon tuki toiminalle). Vastuujaon (hallintosäädös, tiedonhallintaryhmä/-yksikkö, tietohallinto, ulkoistus) toteutuessa 80-90 % vastaajista koskien tietoturvallisuus-, tietojärjestelmä- kuin yhteentoimivuusasioita.

Tietoturvaa tarkasteltaessa tietohallinnon ja tietotekniikan kyselyn kautta, voidaan todeta sen järjestyvän useimmiten kuntatoimijoiden omana toimintana (etenkin yli 6000 asukkaan kunnissa). Kyselyissä ei huomioitu vastuujaon tarkastelua toimialoilla.

Digitaalisen turvallisuuden edistämisen hankekokonaisuuden (HAUKKA) suorittamien selvityksiin perustuen liikutaan tällä tasolla 40–60 % luvuissa - epätarkkuus ja virhearviointi tulee huomioida (huomioiden sekä vastaajien lukumäärän olleen pienempi kuin Kuntaliiton suorittamissa kyselyissä että kysymysten luonne teknisempi).

Valitse vastausvaihtoehdot, jotka ovat toteutuneet organisaationne toiminnassa / toimintaympäristö

Kuva 32. Kysymys 13. Valitse vastausvaihtoehdot, jotka ovat toteutuneet organisaationne toiminnassa. Toimintaympäristö. Kysely tiedonhallintalain toimeenpanosta, 2021. Avaa tästä kuva omaan ikkunaan.

Tietoturvallisuuden toimintaympäristöä kartoitettiin viiden väittämän avulla. Vastaajista 80 % ilmoitti, että tietoturvahäiriöt tunnistetaan osana organisaation riskien käsittelyä. Noin 70 % vastaajista kertoi, että organisaatio seuraa säännöllisesti lain vaatimustenmukaisuuksia (esimerkiksi tiedonhallintalaki, GDPR, digipalvelulaki). Noin kaksikolmasosaa organisaatioista varmistaa tietoturvallisuuden toteutumisen koko tiedon elinkaaren osalta.

Aineiston perusteella tietoturvallisuuteen liittyvien investointien seuraaminen johdon tasolta ja keskitettyjen lokitietojen hallinta eivät ole vielä yleisesti vakiintuneita käytäntöjä kuntaorganisaatioissa. Kyselyn mukaan alle puolissa organisaatioista johto seuraa tietoturvallisuuteen liittyviä investointeja tai organisaatioissa on järjestetty lokitietojen hallinta kriittisisistä tietojärjestelmien käytöistä ja luovutuksista. Jos kuntia ja kuntayhtymiä tarkastellaan erillään, huomataan, että kuntayhtymät ovat kuntia edellä jokaisella tarkasteltavalla alueella.

Vastaukset eivät kerro kuinka johdonmukaisesti tietoturvahäiriöitä/-loukkauksia käsitellään organisaation riskipohjaisen päätöksenteon tasolla tarkasteltaessa asioita toimintalähtöisen kehittämisen kautta. Vastauksista voidaan päätellä, että riskejä käsitellään eri digitaalisen turvallisuuden osa-alueitten kautta (tietoturva, tietosuoja, jatkuvuudenhallinta ja varautuminen). Tämä vahvistaa mielikuvaa reaktiivisesta toiminnasta, toiminnan suuntautuessa organisaatiossa vertikaalisesti (häiriötilanteissa suunnistetaan toimialoittain ja välttämättä riippuvuuksia eri toimialojen välillä ei tunnisteta tai käsitellä).

On syytä huomioida tiedonhallintalain tarkastelevan asioita ja asioitten välisiä riippuvuuksia horisontaalisesti: toiminnan tasolla eri toimialojen tai yksikköjen tehtävine, palveluiden yhteensovittamisen tulokulmasta. Julkisen hallinnon organisaatiot edistävät digiturvallisuutta sen osa-alueitten kautta osana oman toimintansa ja toimintaympäristönsä kehittämistä (HAUKKA-hankekokonaisuus).

Käytännössä kuntien ja kuntatoimijoiden tekeminen, resurssit ja investoinnit kohdentuvat riskien käsittelyyn, toiminnan jatkuvuuteen, toipumiseen ja varautumiseen sekä tietosuojan ja tietoturvan osa-alueille. Arjen turvallisuudesta huolehdittaessa on varsin luonnollista, että operatiivisessa tekemisessä kohdennetaan sisäisiä resursseja organisatorisesti akuuttien tarpeiden mukaan.

Niin tiedonhallintalain velvoitteineen kuin HAUKKA-hankekokonaisuuskin tähtäävät suunnitelmallisuuden, systemaattisuuden lisäämiseen digitaalisen turvallisuuden osa-alueilla ennalta arvioitujen asioitten tarkastelemiseksi. Näin tarjoten näkyvyyden ja asianmukaisen osallistamisen niin johdon, kehittämisen kuin asiantuntemuksen tahoille. Johdon saadessa ajantasaista tietoa miten tietoturvallisuuteen investointi toiminnan tasolla kullakin toimialalla (tehtävien, palveluiden toteuttamiseksi) parantaa olemassa olevaa asiantilaa. Kehittäjien, asiantuntijoitten kyetessä parempiin sekä kohdennetuimpiin esityksiin ja priorisointeihin organisaatiotasoisen riskien käsittelyn ja hallinnan tasolla.

Mitä seuraavista tukitarpeista olette tunnistaneet tiedonhallintalain toimeenpanon yhteydessä?

Kuva 33. Kysymys 14. Mitä seuraavista tukitarpeista olette tunnistaneet tiedonhallintalain toimeenpanon yhteydessä? Kysely tiedonhallintalain toimeenpanosta, 2021. Avaa tästä kuva omaan ikkunaan.

Organisaatioissa on tunnistettu laajasti tiedonhallintalain toimeenpanoon liittyviä tukitarpeita, kun lähes kaikki esitetyt tukimuodot ovat saaneet vähintään 40 % kannatuksen. Kaikista pienimmissä kuntakokoluokissa tuen tarve näyttäytyy suurimpana. 

Alle on listattu tärkeysjärjestyksessä tuen tarpeet, joita organisaatioissa on tunnistettu:

• Tuki tiedonhallintamallin toteuttamiseen (65 %)
• Tuki tietosuojalainsäädännön tulkintaan ja vaatimusten toteuttamiseen (50 %)
• Tuki muutosvaikutusten arvioinnin toteuttamiseen (50 %)
• Tuki tietoturvallisuusvaatimusten ja toimenpiteiden toteuttamiseen (46 %)
• Tuki yhteentoimivuuden toteuttamiseen (44 %)
• Tuki tiedonhallinnan tavoitteiden asettamiseen (44 %)
• Tuki asianhallintaa koskevien vaatimusten toteuttamiseen (43 %)
• Tuki asiakirjajulkisuuskuvauksen toteuttamiseen (33 %)

Yhteenveto tiedonhallintalain toimeenpanosta kuntaorganisaatioissa

Tiedonhallintalain jalkauttamiseksi osalle kunnista ja kuntayhtymistä hallintosääntöjen tarkastelu ja mahdollinen päivittäminen on luonnollinen seuraus tiedon hallinnan ja käsittelyn vastuujaon toteuttamisesta.

Tiedonhallintamallin toteutuksen osalta, sen eri vaiheissa on syytä nostaa esille kysymys - miten mallia hyödynnetään? Turhia kuvauksia ei kannata toteuttaa, jollei niistä ole hyötyä toiminnalle. Kuntakentän osalta voidaan todeta tiedonhallintamallin toteutuksen olevan kesken ja työn alla.

Kuntaorganisaatiot lähestyvät tiedonhallintalain velvoitteita ja tiedonhallintamallin luontia erilaisista tulokulmista, taustalla vaikuttavat omat vahvuudet ja hyödynnettävissä oleva dokumentaatio. Valitettavan usein työ on laajalti jouduttu aloittamaan puhtaalta pöydältä, näin varsinkin pienten kuntien kohdalla.

Haasteeksi on myös osoittautunut olemassa olevan dokumentaation rakeisuus, eli muoto missä tieto on käytettävissä (eri tasoisia kokonaisuuksia esim. asiakasrekisterit, tilausrekisterit). Kukin kuntatoimija on pyrkinyt toteuttamaan organisaatiotasoisen toimintamallin, missä lakisääteisten osuuksien yhdenmukainen kuvaaminen noudattelisi yhteistä mallia. Haasteena ollen yhteisen mallin osalta miten tiedonhallintalain kuvaamat eri elementit (toimintaprosessi, tietojärjestelmä, tietovaranto, tietoaineisto, tietoturvajärjestelyt) liittyvät toisiinsa?

Henkilöitä on kiinnitetty työhön organisatorisesti ja käynnistetty tiedonhallintalakiin liittyen oma projekti. Asioitten etenemiseen ja tarvittavien resurssien käyttöön on vaikuttanut niin vallitsevan koronapandemian tuoman poikkeustilan vaatimat tukitoimet kuin kunnallisvaalitkin.

Valtaosassa kuntakenttää työ on käynnistynyt, mutta kuvausten osalta poljetaan kuitenkin paikallaan. Vaikka johdon tuki ja ymmärrys on takana (vastuutaso) eivät olemassa olevat resurssit ja rahkeet ole riittäneet asioitten järjestelmälliseen edistämiseen arjessa. Kuntaorganisaatioiden asiantuntijat joutuvat arvioimaan ja vastaamaan kysymyksiin miksi työhön tulee jatkossakin johdon tasolla mahdollistaa tarvittava resurssointi ja investoinnit. Kuvausten hyötyjen korostaminen on päätöksenteossa yhä tärkeämpää. Kunnissa ja kuntayhtymissä koetaan, että työssä on edettävä hyötyjen ja tukien pohjalta. Riskinä ollen kokonaisuuden jäädessä hahmottumatta, ja eri vaiheet koetaan erillisinä sekä pistemäisinä asioina tai lisätyönä.

Tarve tiedonhallintalain toimeenpanoon liittyvälle muutosjohtamisen tuelle, organisaatiotasoiselle viestinnälle ja koulutukselle positiivisen vaikuttamisen kautta kasvaa. Tämä koetaan tarpeelliseksi jatkuvan palvelun toimintamallin takaamiseksi, ja ettei asiantuntijoitten aikaa kulu tarpeettomasti asioiden ja työn tarpeellisuuden sisäiseen markkinointiin.

Kunnissa ja kuntayhtymissä peräänkuulutetaan tukea ja toimintamalleja jäsentyneen tiedonhallintamallin laadintaan. Tuen tulisi pohjautua tietoon organisaatiosta ja sen toiminnasta, sekä mahdollistaa erilaisia visualisointeja työn tueksi. Organisaatioita ei tulisi pakottaa samaan muottiin, vaan auttaa luomaan yhteistä suuntaa kuntakentälle, ja näin vauhdittaen tiedonhallintamallin kehittämistä sekä tiedonhallintalain vaikuttavuutta.