Kari Kataja, Jaakko Riihimaa & Walter Rydman
Tiedonhallinta on tärkeässä roolissa ammattikorkeakouluissa. Uusi lainsäädäntö on edellyttänyt ammattikorkeakouluilta tiedonhallinnan kehittämistä. Ensin EU:n yleinen tietosuoja-asetus (2016/679) ja sitä tarkentava tietosuojalaki (2018/1050) yhtenäistivät henkilötietojen käsittelyä. Tämän jälkeen toimeenpantiin EU:n saavutettavuusdirektiivi digipalvelulailla (306/2019). Viimeisimpänä tuli voimaan tiedonhallintalaki (Laki julkisen hallinnon tiedonhallinnasta 906/2019) 1.1.2020.
Tiedonhallintalaki koskee pääosiltaan myös ammattikorkeakouluja ja yliopistoja. Korkeakouluja ajatellen lain tärkeimpiä kohtia ovat:
- Viranomaisia kannustetaan yhteistyöhön. Kansalaiselta ei esimerkiksi tarpeettomasti kysytä toisella viranomaisella jo olevia tietoja.
- Vaatimus tiedonhallintamallista. Tiedonhallintamalli on kuvaus, joka sisältää muun muassa tietoja korkeakoulun toimintaprosesseista, tietovarannoista, tietoaineistojen arkistoinnista ja tuhoamisesta, tietojärjestelmistä ja tietoturvallisuustoimenpiteistä.
- Tietoturvallisuuden osalta laki pitää sisällään vaatimuksia esimerkiksi käyttöoikeuksien hallinnasta, tietojen käytön lokituksesta ja tietoaineistojen turvallisuuden varmistamisesta. Tämän lisäksi salassa pidettävät tiedot on yleisessä tietoverkossa siirrettävä suojatulla tiedonsiirtomenetelmällä tai salattuna.
- Paperilla saapuvat asiakirjat tulee muuttaa sähköiseen muotoon, joten niiden käsittely on jatkossa sähköistä.
- Viranomaisyhteistyön perusta on sähköinen tiedonsiirto. Tarvittaessa voidaan käyttää pelkkiä katseluyhteyksiä.
- Korkeakoululla tulee olla käytössä asiarekisteri, johon tallennetaan asiat ja niitä kuvaavat kattavat metatiedot. Asiarekisteri voi muodostua useista eri ohjelmistoista, mikä tulee korostamaan sovellusten omistajuuksia ja niihin liittyvien roolien yhteensovittamista.
- Korkeakoulun täytyy kuvata, kuinka asiakirjajulkisuus toteutetaan. Kuvaus julkaistaan verkossa pois lukien salassa pidettävät tiedot.
Osalla lain vaatimista muutoksista on siirtymäajat, joten kaikkien vaatimusten ei tarvitse olla heti täytettynä. Kuitenkin jo lain voimaantullessa organisaatioilla tuli olla määriteltynä tiedonhallinnan vastuut.
Mitä hyötyä korkeakouluille on tiedonhallintalaista?
Tiedonhallintalakiin liittyvien toimenpiteiden suunnittelussa on hyvä pohtia tavoitteita: tehdäänkö vain lain edellyttämät minimitoimenpiteet vai olisiko perusteltua tehdä joillakin osa-alueilla enemmän, jotta organisaatio saisi enemmän hyötyä. Laki korostaa vastuita ja näkyväksi tekemistä, mutta ei organisointimalleja tai dokumentoinnin muotoja.
Lain vaatimukset on helpompi täyttää, jos organisaatio on jo aikaisemmin noudattanut hyvää tiedonhallintatapaa, käyttänyt asianhallintajärjestelmää, ylläpitänyt arkistonmuodostus- tai tiedonohjaussuunnitelmaa ja tehnyt kokonaisarkkitehtuurityötä. Organisaation on helpompi toteuttaa tiedonhallintalain vaatimukset, kun aiemmat lakisääteiset velvoitteet on otettu kattavasti huomioon.
Laissa on ilmaistu vastuuhenkilöiden nimeämisen merkitys ja delegointivelvoite aiempaa selvemmin. Rehtori on vastuussa, ellei vastuun delegointia ole dokumentoitu. Tämän näkökohdan tulisi suunnata huomiota tiedon resurssiominaisuuteen ja tiedon omistajien vastuisiin.
Sähköisen tiedonsiirron viranomaisorganisaatioiden välillä tulisi vähentää turhia tiedonkeruita ja lisätä yhteentoimivuutta ja tätä kautta sujuvoittaa toimintaprosesseja koko korkeakouluyhteisössä.
Opiskelija saa suuremmat oikeudet omaan dataansa. Tiedolla johtamisen näkökulmasta datan keruu ja oppimisanalytiikka luovat uusia mahdollisuuksia. Sen vuoksi johdon on tärkeää ajatella opiskelijalähtöisesti, tunnistaa korkeakoulun tietovarannot ja kiinnittää huomiota datan laatuun tietoa tuotettaessa. Tätä päämäärää voidaan tukea esimerkiksi juuri tiedonhallintalain ja muiden ”datalakien” velvoitteilla hyvästä dokumentaatiosta.
Tiedonhallintalaki koskee yhdenmukaisena kaikkia korkeakouluja, minkä vuoksi sen toimeenpanoon haluttiin valmistautua yhdessä. Yhteistyön mahdollisuuksien kartoittamiseksi Tieteen tietotekniikan keskus CSC:tä pyydettiin Ideapankin kautta koordinoimaan ns. ideamuotoilu tiedonhallintalain implementoimiseksi korkeakouluissa. Ideapankki on ammattikorkeakoulujen tietohallintojohtajien AAPA-verkoston, yliopistojen IT-johtajien FUCIO-verkoston ja CSC:n yhteinen väline korkeakoulutuksen ja tutkimuksen digitalisaation edistämiseksi.
Ideasta kohti konkretiaa
Viime vuoden (2019) lopussa tiiviissä aikataulussa tehtyyn ideamuotoiluun osallistui yli 20 henkilöä eri korkeakouluverkostoista. Tuloksina tunnistettiin lain vaikutukset korkeakouluihin, lain toimeenpanon eri kokonaisuudet sekä joukko yhteisiksi määriteltyjä toimenpiteitä. Samoin tunnistettiin lain vaikutukset yksittäisten korkeakoulujen sisäisiin prosesseihin, erityisesti asianhallintaan.
Nopeasti huomattiin, kuinka laajasti tiedonhallintalaki vaikuttaa korkeakoulujen toimintaan. Välittömästi toteutettaviksi toimenpiteiksi nostettiin lain tuomien johdon vastuiden tunnistaminen. Vastuut jaoteltiin korkeakoulujen perustehtäviin (opetus ja tutkimus) ja yleishallintoon. Samoin todettiin koulutustarve. Sen lisäksi kuvataan, kuinka vaatimukset vaikuttavat toimintaan ja luodaan kuva korkeakoulujen valmiusasteesta kunkin vaatimuksen osalta. Tämä vaihe tehdään loppukeväällä 2020.
Pidemmällä perspektiivillä tiedonhallintalaki nähtiin ideamuotoiluryhmässä vahvasti uusien toimintatapojen mahdollistajana. Laki tukee korkeakoulujen jo pidemmän aikaa haaveilemaa organisaatioiden välisten tietovirtojen hyödyntämistä ja organisaatioiden välistä yhteistyötä. Tietojen uudelleenkäytettävyys ja rajapintojen hyödyntäminen auttaa digitaalisten, organisaatiorajat ylittävien palveluiden kehittämisessä. Vaatimukset kokonaisarkkitehtuurityöstä tukevat korkeakouluissa mm. jatkuvuussuunnittelua ja tietojenkäsittelyn kokonaiskuvan hahmottamista.
Tiedonhallintalain (906/2019) Luku 3 (julkisen hallinnon tiedonhallinnan yleinen ohjaus) ei koske korkeakouluja. Keskustelussa nousi vahvasti esiin myös yhteisen korkeakoulujen tiedonhallinnan ohjauksen sisältävän tiedonhallintakartan luonnostelu. Työtä ei onneksi tarvitse aloittaa alusta, vaan aiemmat kokonaisarkkitehtuurityön tulokset ovat suurelta osin sellaisenaan käytettävissä.
Kirjoittajat
Kari Kataja, DI, FM, KTM, KM, Tietosuojavastaava ja tietojärjestelmäpäällikkö, korkeakoulujen tietosuojavastaavien verkoston työvaliokunnan puheenjohtaja, Hämeen ammattikorkeakoulu, kari.kataja(at)hamk.fi
Jaakko Riihimaa, FT, IT-pääsihteeri, AAPA-verkosto, jaakko.riihimaa(at)haaga-helia.fi
Walter Rydman, FM, koordinaattori, CSC – Tieteen tietotekniikan keskus, walter.rydman(at)csc.fi
Lähteet
EU:n yleinen tietosuoja-asetus 2016/679. https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX%3A32016R0679
Digipalvelulaki: Laki digitaalisten palvelujen tarjoamisesta 306/2019. https://www.finlex.fi/fi/laki/alkup/2019/20190306
Ideapankin käyttöohje: https://www.csc.fi/ideapankin-kayttoohjeet
Tiedonhallintalaki: Laki julkisen hallinnon tiedonhallinnasta 906/2019. https://www.finlex.fi/fi/laki/alkup/2019/20190906
Tietosuojalaki 2018/1050. https://www.finlex.fi/fi/laki/ajantasa/2018/20181050