Jaakko Riihimaa
Tietohallinnon rooli korkeakouluissakin on mahdollistaa ydintoiminnot ja tukea niiden prosessien toteutumista. Tässä katsauksessa nostetaan esiin muutamia keskeisiä näkökohtia, joita avoimen TKI-toiminnan ja tietohallinnon yhteistyön suhteen olisi hyvä ottaa huomioon.
Peruslähtökohta on yhteisen keskustelukielen löytäminen. Avoimesta datasta puhuttaessa on muistettava, että termi ”data” on käsitteenä hyvin monimerkityksellinen. Se saattaa esimerkiksi koulutustaustasta johtuen tarkoittaa tietohallinnon ammattilaisille jotakin aivan muuta kuin TKI-hanketoimijoille. Myöskään avoimuus käsitteenä ja etenkään sen merkitys ei välttämättä ole tuttu. Yksi keino parantaa tilannetta olisi yhteinen sanastotyö. Haasteena on se, että nopeallakin tarkastelulla käytettävissä olevien, esim. tutkimuksen, sanastojen kirjo on suuri ja ne ovat monien perustermienkin osalta puutteellisia.
Datan käsittelyprosessit ja niihin liittyvät roolit ja työnjako on toinen tärkeä seikka. Avoin TKI-toiminta ja avoin data eivät ole tietohallinnoille niinkään ongelmallisia, mutta tilanne ennen datan avoimeksi muuttumista saattaa olla. Kun datan käsittelyprosesseihin liittyy mitä tahansa käyttöoikeusrajoitteita, niistä tulee kaikkien olla yhtäläisesti selvillä. Tietohallinnoilla on omat vastuualueensa ja hyvällä viestinnällä voidaan huolehtia siitä, ettei sieltä aseteta tahattomia esteitä avoimuudelle. Käyttöoikeusrajoitteita voivat tyypillisesti olla järjestelmien pääsynhallintaan ja käyttäjähallintoon liittyvät oikeudet ja rajoitteet. Nämä puolestaan voivat olla seurausta monistakin eri yleislinjauksista, kuten korkeakoulun arkkitehtuuri- ja tietoturvaperiaatteista taikka tietohallinnollisesta riskienhallinnasta, mutta myös ns. luottamusverkostojen keskinäisistä kansallisista ja kansainvälisistä sopimuksista, järjestelmiä yhdistävien integraatioiden rajoituksista, käyttöoikeuslisensseistä jne.
Lainsäädäntö asettaa omat puitteensa avoimuudelle, ja luonnollisesti nämä säädökset rajoittavat myös tietohallinnon prosesseja ja teknologioita. Esimerkkeinä ovat Tiedonhallintalaki ja siihen liittyvät Tiedonhallintamallin kuvausvaatimukset ja EU-tason GDPR-lainsäädäntö. Tiedonhallintalain mukaan organisaation ”Tiedonhallinnan järjestämiseen” kuuluu useita velvoitteita. Asianmukaisiin järjestelyihin kuuluvat mm. ohjeet tietoaineistojen käsittelystä. GDPR:ä vahvasti sivuava ja edelleen isoja kysymyksiä herättävä on ollut Euroopan tuomioistuimen kesällä 2020 antama ns. Schrems II -tuomio (Tietosuoja 2020). Sen mukaan mm. EU:n ja Yhdysvaltojen välinen ns. Privacy Shield ‑järjestely (EU-US Privacy Shield 2016) ei enää tarjoa riittävää tietosuojan tasoa. Tämä taas tarkoittaa, että tietosuojaa vaativia aineistoja ei käytännössä tulkinnan mukaan voida tallentaa ja käyttää esimerkiksi kuin ”puhtaasti” EU:n alueella sijaitsevissa pilvipalveluissa. Näissä esimerkeissä voidaan nähdä yhtymäkohta ja yhteinen TKI:n ja tietohallinnon tarkastelupiste koskien esimerkiksi korkeakoulun datapolitiikaa ja datahallinnan suunnittelua ja tietyssä määrin myös asianhallinnan ja tiedonohjauksen prosesseja (kuten kirjaukset koskien mm. tietojen säilytysaikoja ja luottamuksellisuusluokittelua).
Vastuullinen tiede -sivustolla on vielä nostettu tietohallinnon vastuiden näkökulmasta tärkeitä asioita datahallinnan muistilistassa. Esimerkiksi datan varmuuskopiointiin liittyvät seikat, teknisen laadun seuranta, tiedostojen salaamiseen liittyvät (tietohallinnon kannalta etenkin tekniset) näkökohdat sekä erilaisten käyttöoikeuksien ja -lupien hallinta. Näissä korkeakouluilla on yleensä omia käytäntöjään, esimerkiksi datan sisäiseen tallennukseen tarkoitetut paikat ja niiden varmuuskopiointikäytännöt, tietojenkäsittelykapasiteetin kuormituksen seuranta, datan/tiedostojen nimeämispolitiikat, metadatamäärittelyt jne.
Myös muita yhteisiä Avoimen TKI-toiminnan ja tietohallintojen rajapintoja varmasti löytyy, vaikkapa korkeakoulujen omien ”tuotannollisten” datojen avaaminen. Esimerkkeinä tästä opiskelijahallinnon eri tietojärjestelmistä kertyvä data sekä tätä dataa korkeakoulujen ulkopuolisena toimijana hyödyntävä Tuudo-palvelu (Tuudo 2021). Toisena esimerkkinä voisi olla vaiheittain käynnistyvä ja vähitellen konkreettisiin palveluihin pääsevä, opetukseen suuntautuva Digivisio 2030-toimintaohjelma. Sen identiteetin- ja käyttövaltuushallintaan liittyvät hankkeet tulevat heijastumaan moniin yhteistyöalustoihin, yritysyhteistyöhön sekä käyttöoikeuksiin tarjoamiseen muille AMK:n ulkopuolisille tahoille, eli moniin käytännön politiikkoihin ja linjauksiin.
Kehittyköön siis Avoimen TKI-toiminnan ja tietohallintojen vuoropuhelu avoimen toimintakulttuurin etenemisen tahdissa.
Kirjoittaja
Jaakko Riihimaa, FT, IT-pääsihteeri, AMK tietohallintojohdon verkosto AAPA, jaakko.riihimaa@haaga-helia.fi
Lähteet
EU-US Privacy Shield 2016. An official website of the European Union; EU-US data transfers. How personal data transferred between the EU and US is protected. Viitattu 3.5.2021. https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-transfers_en
Tietosuoja 2020. Tietosuojavaltuutetun toimisto 22.7.2020, Euroopan tietosuojaneuvosto otti kantaa Schrems II -päätökseen ja käsitteli PSD2-maksupalveludirektiiviä koskevaa ohjetta. Viitattu 3.5.2021. https://tietosuoja.fi/-/euroopan-tietosuojaneuvosto-otti-kantaa-schrems-ii-paatokseen-ja-kasitteli-psd2-maksupalveludirektiivia-koskevaa-ohjetta
Tuudo 2021: Tuudo korkeakouluille. Korkeakoulun opintopalvelut opiskelijan omassa sovelluksessa. Viitattu 3.5.2021. https://www.tuudo.fi/etusivu/korkeakouluille.html#
Abstract
Open RDI and cooperation with Information management function
The role of information management in UAS’s is also to enable core functions and support the implementation of their processes. This review highlights some key aspects that should be taken into account in terms of open RDI activities and information management cooperation.
