Lausunto kyberturvallisuusstrategian toimeenpano-ohjelmasta

Mahdollisuudesta kiittäen Suomen Kuntaliitto lausuu toimeenpano-ohjelmasta seuraavaa:

​Kysymys perusturvatasosta kuntaorganisaatioissa

Luonnoksessa todetaan perustellusti, että tietoturvallisuuden perustason täyttäminen vahvistaa tieto- ja kyberturvakulttuurin parantamista. Velvoitteena tämä ei kuitenkaan koske kuntatoimijoita eikä myöskään ole selvitetty sitä, millainen taso olisi tarkoituksenmukainen toisistaan hyvinkin paljon tietoturvan näkökulmasta poikkeavissa kuntaorganisaatioissa.

Kuntaliitto suhtautuu myönteisesti siihen, että kunnat ja kuntayhtymät saisivat selkeät ja konkreettiset perusturvatasoa koskevat toimintaohjeet. Mielestämme kuitenkin tässä vaiheessa, käyttäen pohjana esimerkiksi tietoturva-asetuksessa mainittua perustasoa, tulisi selvittää, millä aikataululla ja sisällöllä tällainen muutos kuntasektorilla on kuntatalouden ja käytössä olevien muiden resurssien puolesta mahdollinen. Kuntakonserneihin kuuluvien organisaatioiden suurten erojen vuoksi olisi myös pystyttävä rajaamaan velvoitteen ulkopuolelle ne toimijat, joiden perusturvatasolla ei ole merkittävää vaikutusta kansalliseen tietoturvallisuuteen.

Toimeenpano-ohjelman esitykset

44. Tietoturvaloukkausten ilmoitusvelvollisuus

Esitys on sinänsä kannatettava, mutta vaikuttavuus voisi parantua, jos velvollisuuden lisäksi voitaisiin ilmoittajalle osoittaa ilmoituksen antamisesta jotain hyötyjä tai muita kannustimia.

66. Kevyet käyttöliittymät KanTa- ja KanSa-tietopalveluihin

Näiden lisäksi olisi syytä käydä läpi muitakin nykyisiä ja suunniteltuja kansallisia palveluita. Käyttöliittymän toteutuksessa pitäisi lisäksi huomioida se, että sitä pystytään hyödyntämään myös Tuve-verkon kautta.

Ehdotuksessa on maininta potilastietojen käsittelystä. KanTa tulee kuitenkin olemaan alkuvaiheessa ensisijaisesti sisällöltään rajoitettu terveystietojen arkisto. Päivittäisessä toiminnassa tarvittavat potilastiedot tulevat jatkossakin sijaitsemaan terveydenhuollon organisaatioiden omissa tai yhteisissä järjestelmissä.

Kuntaliitto korostaa, että erityisesti sosiaali- ja terveydenhuollon tietojen yhteiskäytössä tarvitaan kriisitilanteissa myös muita tietoliikennemahdollisuuksia kuin vain yleinen internet.

69. VAHTI-luokittelun käyttö sosiaali- ja terveydenhuollon tietojärjestelmien sertifioinnissa

Hyvällä ammattitaidolla tehty VAHTI-luokittelu on laadittu huomioimatta kaikkia mahdollisia sosiaali- ja terveydenhuollon ominaispiirteitä. Ennen ehdotuksen toteuttamista olisi paikallaan verratta niitä näissä organisaatioissa nyt käytössä oleviin menettelytapoihin.

SUOMEN KUNTALIITTO

 
Tuula Haatainen
varatoimitusjohtaja

Heikki Lunnas
tietoyhteiskunta-asiain päällikkö