Lausunto valtiovarainministeriölle 21.9.2022 (494/03.01.00/2022) Jari Ylikoski

Suositus salassa pidettävien asiakirjojen käsittelystä

Lausuntopyynnön diaarinumero: VN/23497/2022
 

Suomen Kuntaliitto ry, jäljempänä Kuntaliitto, kiittää mahdollisuudesta kommentoida suositusta. Kuntaliitto pitää hyvänä suosituksen luettavuutta rakenteeltaan sekä asiakokonaisuutta tukevia suosituksen lopussa koostetusti esitettyjä, hyödyllisiä asioita (sanastot, lainsäädäntö- ja säädösviittaukset sekä lähteet). Suositus on helposti lähestyttävä ja on omalta osaltaan herättelemässä mm. Julkri arviointikriteeristön käyttöä itsearviointimenetelmänä (yhteistyössä eri asianosaisten, toimialojen kanssa mahdollistaen tasapainoisen lähestyminen organisaation tietoturvallisuuteen).

Kuntien roolia salassa pidettävien asiakirjojen käsittelyssä tulee tarkastella koko tiedonhallinnan kokonaisuuden hallinnan ja tarvittavien osaamisvaatimusten kautta (missä tieto on?, kuka pääsee tietoon käsiksi?, mitä riskejä toimintamallit sisältävät? jne.). Toimenpiteitten ja tavoitteitten toteuttaminen oikeassa tasapainossa tietoturvallisuusvaatimukset huomioiden edellyttää suojattavan tiedon merkityksen ja organisaation toiminnan ymmärtämistä. TiHL:ssa määritellyt tietojärjestelmä tietoturvallisuusvaatimukset tulevat kuntakentälle velvoittaviksi v. 2023 alusta alkaen. Työ on edessä, työ on kesken!

Suositus painottuu sisällöllisesti miksi meidän on asioita tehtävä! Ei niinkään anna vastausta siihen mitä meidän on tehtävä! Tiedonhallintalain (TiHL) 18§ (Turvallisuusluokiteltavat asiakirjat valtionhallinnossa) ohjaa kuntakenttää tulkitsemaan jossain määrin näitten asioitten koskevan (vain) valtionhallintoa - ns. ensimmäinen reaktio asiaan!

TiHL 4§ - tiedonhallintayksikön johdon on huolehdittava että tiedonhallintayksikössä on käytettävissä ”ajantasaiset ohjeet tietoaineistojen käsittelystä, tietojärjestelmien käytöstä, tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta, tiedonsaantioikeuksien toteuttamisesta, tietoturvallisuustoimenpiteistä sekä poikkeusoloihin varautumisesta”.

Tiedon laatijan määritellessä ja ohjeistaessa tarkoituksenmukaisesti salassa pidettävän tiedon käsittelyn käytännöt (sekä käsittelyn alaisen tiedon käytön edellytykset).

Kunnissa vaadittavasta erityisosaamisesta

Organisaation/toimialan on tunnistettava milloin se käsittelee salassa pidettäviä tietoja. Kunnissa käytännöt eriävät paljolti toimialoittain. Tietoja (salassa pidettäviä asiakirjoja) käytetään/hyödynnetään toimialoittain. Organisaatioille/toimialoille esitetty suositus vähimmäisvaatimusten täydentämisestä ylemmän tason tietoturvallisuusvaatimuksista edellyttää organisaatio tasoisia yhteisiä käytäntöjä - koko kuntakenttää tarkasteltaessa työ on (vasta) edessä, työ on (edelleen) kesken!

TiHL:n mukaisesti tiedonhallintamalli kuvaa organisaation toimintaa ja laajennettua toimintaympäristöä tiedon käsittelyn ja hallinnan tasoilla. Organisaatio tuntee oman toimintansa ja toimintaympäristönsä merkityksen parhaiten - miten toiminta ja palvelut riippuvat toimintaprosesseista, tietovarannoista, tietoaineistoista, tietojärjestelmistä ja organisaatio tasoisista tietoturvallisuuskäytännöistä - riskilähtöinen varmistaminen toimialoittain ei ole riittävää. Toteutus edellyttää organisaatiotasoista tietoturvallisuuden ymmärrystä alati muuttuvassa ympäristössä.

Alati muuttuvan toimintaympäristön - tietojen käsittely, tietojen väliaikainen tallennus, tietojen hyödyntäminen/jakaminen, tietojen tuhoaminen asianmukaisesti - varmistaminen ja tietoturvallinen käyttö

  • tilaturvallisuus
  • (tieto)järjestelmäympäristöt
  • etätyö/-käyttö

tulee tarvittaessa mahdollistaa käytettävyys huomioiden asiakastilanteissa (esim. työvoima/työllisyys, opetustoimi/koulutus). Tiedonsaantioikeudet tulee mahdollistaa.

Koskien kuntien ja hyvinvointialueiden (HVA) yhteisiä rajapintoja palvelujen toteuttamiseksi (huomioiden molempien hallinnonalojen tehtävät) ei suosituksessa esitetty ohjeistus sellaisenaan pureudu sosiaali- ja terveydenhuollon kysymyksiin tarkemmin. Asioita tarkastellaan avoimesti ja samalla paalutetaan asioita lähtökohdaksi pidättäytyen yleisellä tasolla. Asioita ja toimintamalleja joudutaan arvioimaan - tulkitsemaan - kussakin tiedon käyttäjä/hyödyntäjä organisaatiossa oman toiminnan ja toimintaympäristön tulokulmista. Suositus nostaakin tiedonhallintayksikön (TiHL) keskeiseen asemaan - asioitten ja toteutusten seurannan ja varmistamisen tasoilla.

Teknisten suositusten osalta, suositusten varmistaminen ja todentaminen lienee lähtökohtaisesti tiedon hyödyntäjän vastuulla. Näin ollen asiat tulee huomioida vastuujakotaulukko (tai vastaavaan kaikkia osapuolia palvelevan menetelmän tasolla) tasoisesti varsinaisten teknisten suositusten toteutuessa kolmansien osapuolien kanssa yhteistyössä (kuntien omistamat ICT-yhtiöt, liikelaitokset, palveluntarjoajat/-ylläpitäjät jne.). Näiden asioiden hoitaminen vie oman aikansa olemassa olevia sopimuksia kunnioittaen.

Tietoriskien hallinta (salassa pidettävien asiakirjojen käsittely) tulee huomioida osana organisaation toimintaa ja rakentuvaa riskienhallintaa, osana kuntien laajentuvaa toimintaympäristöä mikä koostuu merkittävältä osalta ei välittömästi oman organisaation hallinnan piirissä ja valvonnassa olevista rakenteista.

SUOMEN KUNTALIITTO

Markus Pauni                                                  Jari Ylikoski
strategia- ja kehitysjohtaja                               erityisasiantuntija

tags