Tiedonhallintalaki korkeakouluissa

Kirjoittajat: Kari Kataja, Jaakko Riihimaa & Walter Rydman.

Tiedonhallinta on tärkeässä roolissa ammattikorkeakouluissa. Uusi lainsäädäntö on edellyttänyt ammattikorkeakouluilta tiedonhallinnan kehittämistä.  Ensin EU:n yleinen tietosuoja-asetus (2016/679) ja sitä tarkentava tietosuojalaki (2018/1050) yhtenäistivät henkilötietojen käsittelyä. Tämän jälkeen toimeenpantiin EU:n saavutettavuusdirektiivi digipalvelulailla (306/2019). Viimeisimpänä tuli voimaan tiedonhallintalaki (Laki julkisen hallinnon tiedonhallinnasta 906/2019) 1.1.2020.

Tiedonhallintalaki koskee pääosiltaan myös ammattikorkeakouluja ja yliopistoja. Korkeakouluja ajatellen lain tärkeimpiä kohtia ovat:

  • Viranomaisia kannustetaan yhteistyöhön. Kansalaiselta ei esimerkiksi tarpeettomasti kysytä toisella viranomaisella jo olevia tietoja.
  • Vaatimus tiedonhallintamallista. Tiedonhallintamalli on kuvaus, joka sisältää muun muassa tietoja korkeakoulun toimintaprosesseista, tietovarannoista, tietoaineistojen arkistoinnista ja tuhoamisesta, tietojärjestelmistä ja tietoturvallisuustoimenpiteistä.
  • Tietoturvallisuuden osalta laki pitää sisällään vaatimuksia esimerkiksi käyttöoikeuksien hallinnasta, tietojen käytön lokituksesta ja tietoaineistojen turvallisuuden varmistamisesta. Tämän lisäksi salassa pidettävät tiedot on yleisessä tietoverkossa siirrettävä suojatulla tiedonsiirtomenetelmällä tai salattuna.
  • Paperilla saapuvat asiakirjat tulee muuttaa sähköiseen muotoon, joten niiden käsittely on jatkossa sähköistä.
  • Viranomaisyhteistyön perusta on sähköinen tiedonsiirto. Tarvittaessa voidaan käyttää pelkkiä katseluyhteyksiä.
  • Korkeakoululla tulee olla käytössä asiarekisteri, johon tallennetaan asiat ja niitä kuvaavat kattavat metatiedot. Asiarekisteri voi muodostua useista eri ohjelmistoista, mikä tulee korostamaan sovellusten omistajuuksia ja niihin liittyvien roolien yhteensovittamista.
  • Korkeakoulun täytyy kuvata, kuinka asiakirjajulkisuus toteutetaan. Kuvaus julkaistaan verkossa pois lukien salassa pidettävät tiedot.

Osalla lain vaatimista muutoksista on siirtymäajat, joten kaikkien vaatimusten ei tarvitse olla heti täytettynä. Kuitenkin jo lain voimaantullessa organisaatioilla tuli olla määriteltynä tiedonhallinnan vastuut.

Mitä hyötyä korkeakouluille on tiedonhallintalaista?

Tiedonhallintalakiin liittyvien toimenpiteiden suunnittelussa on hyvä pohtia tavoitteita: tehdäänkö vain lain edellyttämät minimitoimenpiteet vai olisiko perusteltua tehdä joillakin osa-alueilla enemmän, jotta organisaatio saisi enemmän hyötyä. Laki korostaa vastuita ja näkyväksi tekemistä, mutta ei organisointimalleja tai dokumentoinnin muotoja.

Lain vaatimukset on helpompi täyttää, jos organisaatio on jo aikaisemmin noudattanut hyvää tiedonhallintatapaa, käyttänyt asianhallintajärjestelmää, ylläpitänyt arkistonmuodostus- tai tiedonohjaussuunnitelmaa ja tehnyt kokonaisarkkitehtuurityötä. Organisaation on helpompi toteuttaa tiedonhallintalain vaatimukset, kun aiemmat lakisääteiset velvoitteet on otettu kattavasti huomioon.

Laissa on ilmaistu vastuuhenkilöiden nimeämisen merkitys ja delegointivelvoite aiempaa selvemmin. Rehtori on vastuussa, ellei vastuun delegointia ole dokumentoitu. Tämän näkökohdan tulisi suunnata huomiota tiedon resurssiominaisuuteen ja tiedon omistajien vastuisiin.

Sähköisen tiedonsiirron viranomaisorganisaatioiden välillä tulisi vähentää turhia tiedonkeruita ja lisätä yhteentoimivuutta ja tätä kautta sujuvoittaa toimintaprosesseja koko korkeakouluyhteisössä.

Opiskelija saa suuremmat oikeudet omaan dataansa. Tiedolla johtamisen näkökulmasta datan keruu ja oppimisanalytiikka luovat uusia mahdollisuuksia. Sen vuoksi johdon on tärkeää ajatella opiskelijalähtöisesti, tunnistaa korkeakoulun tietovarannot ja kiinnittää huomiota datan laatuun tietoa tuotettaessa. Tätä päämäärää voidaan tukea esimerkiksi juuri tiedonhallintalain ja muiden ”datalakien” velvoitteilla hyvästä dokumentaatiosta.

Tiedonhallintalaki koskee yhdenmukaisena kaikkia korkeakouluja, minkä vuoksi sen toimeenpanoon haluttiin valmistautua yhdessä. Yhteistyön mahdollisuuksien kartoittamiseksi Tieteen tietotekniikan keskus CSC:tä pyydettiin Ideapankin kautta koordinoimaan ns. ideamuotoilu tiedonhallintalain implementoimiseksi korkeakouluissa. Ideapankki on ammattikorkeakoulujen tietohallintojohtajien AAPA-verkoston, yliopistojen IT-johtajien FUCIO-verkoston ja CSC:n yhteinen väline korkeakoulutuksen ja tutkimuksen digitalisaation edistämiseksi.

Ideasta kohti konkretiaa

Viime vuoden (2019) lopussa tiiviissä aikataulussa tehtyyn ideamuotoiluun osallistui yli 20 henkilöä eri korkeakouluverkostoista.  Tuloksina tunnistettiin lain vaikutukset korkeakouluihin, lain toimeenpanon eri kokonaisuudet sekä joukko yhteisiksi määriteltyjä toimenpiteitä. Samoin tunnistettiin lain vaikutukset yksittäisten korkeakoulujen sisäisiin prosesseihin, erityisesti asianhallintaan.

Nopeasti huomattiin, kuinka laajasti tiedonhallintalaki vaikuttaa korkeakoulujen toimintaan. Välittömästi toteutettaviksi toimenpiteiksi nostettiin lain tuomien johdon vastuiden tunnistaminen. Vastuut jaoteltiin korkeakoulujen perustehtäviin (opetus ja tutkimus) ja yleishallintoon. Samoin todettiin koulutustarve. Sen lisäksi kuvataan, kuinka vaatimukset vaikuttavat toimintaan ja luodaan kuva korkeakoulujen valmiusasteesta kunkin vaatimuksen osalta. Tämä vaihe tehdään loppukeväällä 2020.

Pidemmällä perspektiivillä tiedonhallintalaki nähtiin ideamuotoiluryhmässä vahvasti uusien toimintatapojen mahdollistajana. Laki tukee korkeakoulujen jo pidemmän aikaa haaveilemaa organisaatioiden välisten tietovirtojen hyödyntämistä ja organisaatioiden välistä yhteistyötä. Tietojen uudelleenkäytettävyys ja rajapintojen hyödyntäminen auttaa digitaalisten, organisaatiorajat ylittävien palveluiden kehittämisessä. Vaatimukset kokonaisarkkitehtuurityöstä tukevat korkeakouluissa mm. jatkuvuussuunnittelua ja tietojenkäsittelyn kokonaiskuvan hahmottamista.

Tiedonhallintalain (906/2019) Luku 3 (julkisen hallinnon tiedonhallinnan yleinen ohjaus) ei koske korkeakouluja. Keskustelussa nousi vahvasti esiin myös yhteisen korkeakoulujen tiedonhallinnan ohjauksen sisältävän tiedonhallintakartan luonnostelu. Työtä ei onneksi tarvitse aloittaa alusta, vaan aiemmat kokonaisarkkitehtuurityön tulokset ovat suurelta osin sellaisenaan käytettävissä.

Kirjoittajat

Kari Kataja, DI, FM, KTM, KM, Tietosuojavastaava ja tietojärjestelmäpäällikkö, korkeakoulujen tietosuojavastaavien verkoston työvaliokunnan puheenjohtaja, Hämeen ammattikorkeakoulu, kari.kataja(at)hamk.fi

Jaakko Riihimaa, FT, IT-pääsihteeri, AAPA-verkosto, jaakko.riihimaa(at)haaga-helia.fi

Walter Rydman, FM, koordinaattori, CSC – Tieteen tietotekniikan keskus, walter.rydman(at)csc.fi


EU:n yleinen tietosuoja-asetus 2016/679. https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX%3A32016R0679

Digipalvelulaki: Laki digitaalisten palvelujen tarjoamisesta 306/2019. https://www.finlex.fi/fi/laki/alkup/2019/20190306

Ideapankin käyttöohje: https://www.csc.fi/ideapankin-kayttoohjeet

Tiedonhallintalaki: Laki julkisen hallinnon tiedonhallinnasta 906/2019. https://www.finlex.fi/fi/laki/alkup/2019/20190906

Tietosuojalaki 2018/1050. https://www.finlex.fi/fi/laki/ajantasa/2018/20181050

Tietoturvaa kohennettiin harjoittelemalla

Kirjoittajat: Matti Kuosmanen, Olavi Pesonen & Kari Kataja.

Julkisen hallinnon tietohallinnon neuvottelukunta (JUHTA) ja julkisen hallinnon digitaalisen turvallisuuden johtoryhmä (VAHTI) järjestivät 2017–2018 kaksi tietosuojan yhteishanketta. Yhteishankkeeseen osallistumalla organisaatio sai hyvät valmiudet tulevan tietosuojalainsäädännön tuomiin muutoksiin. Yhteishankkeissa tuotettiin tietosuojakoulutusvideoita, nettitestejä ja järjestettiin työpajatilaisuuksia. Työpajoissa käsiteltiin tietosuoja-asetukseen eri osa-alueita, riskienhallintaa ja tietoturvallisuutta julkishallinnon näkökulmasta. (Arjen tietosuoja 2018).

Näihin hankkeisiin liittyen Väestörekisterikeskus järjesti tietoturva- ja tietosuojaloukkausten hallinnan harjoituksen (TAISTO18) marraskuussa 2018 (Rousku 2018). Harjoituksen tavoitteena oli kehittää organisaatioiden valmiuksia tietoturvaloukkausten hallintaan. Harjoitukseen osallistui noin 235 julkishallinnon organisaatiota, joista ammattikorkeakouluja oli seitsemän ja yliopistoja kahdeksan (VRK 2018). Korkeakoulujen tietosuojavastaavien verkoston työvaliokunta suositteli osallistumista kaikille korkeakouluille.

Harjoitukseen valmistauduttiin väestörekisterikeskuksen TAISTO18-käsikirjan mukaisesti: tarvittavat henkilöt koottiin päiväksi samaan tilaan, jossa tehtävät ratkaistiin. Ulkopuolinen kirjaaja kirjasi havainnot lokiin. Tyypillisesti harjoituksessa oli mukana tietoturva- ja tietosuoja-asiantuntijoita, palvelimien ylläpitoon liittyviä henkilöitä, viestinnän asiantuntijoita ja ylintä johtoa.

Harjoituksen rungon muodosti kuvitteellinen tilanne, jossa Viestintäviraston Kyberturvallisuuskeskus oli julkaissut punaisen varoituksen, joka liittyi useita eri käyttöjärjestelmiä koskettavaan nollapäivähaavoittuvuuteen. Useimmat käyttöjärjestelmä- ja sovellusvalmistajat olivat julkaisseet päivityksen. Haavoittuvuuden avulla oli mahdollista varastaa henkilötietoja sisältäviä aineistoja. Viestintävirasto oli saanut alustavia havaintoja, että tätä haavoittuvuutta oli todennäköisesti hyödynnetty. Harjoituspäivä jakaantui 10 erilaiseen tehtävään. Osana harjoitusta tehtiin ilmoitus tietosuojavaltuutetun toimistolle, täytettiin rikosilmoitus, sekä lähetettiin ilmoitus Viestintävirasto / Kyberturvallisuuskeskukselle. Harjoituksessa valmisteltiin myös tiedotteita ja vastattiin median kyselyihin. Lisäksi harjoituksen aikana palautettiin tehtäviä kyselytyövälineellä. Näistä vastauksista saatiin harjoituksen jälkeen organisaatiokohtainen palaute, joka on tarkoitettu organisaation sisäiseen käyttöön.

TAISTO18-harjoituksen aikana HAMKissa, Savoniassa ja Kareliassa tehtiin seuraavia havaintoja:

  • Etukäteen harjoittelu on tärkeää ja sen pitäisi olla vuosittaista.
  • Harjoittelun avulla voidaan saada varmuutta todellisen tilanteen tilannejohtamiseen, joka tässä harjoituksessa koettiin osittain haasteelliseksi.
  • Kriisiviestinnän ohje on tärkeä tuntea ja olla saatavilla.
  • Tiedottaminen pitää olla suunniteltu etukäteen. Pystyykö johto/viestintä antamaan lausuntoja vakuuttavasti tietoturva-asioissa, vai delegoidaanko tiedottaminen tietoturvapäällikölle?
  • Korkeakoulun kriisityöryhmän rooli kyberturvallisuuteen liittyvissä asioissa olisi hyvä määritellä etukäteen.
  • Mahdollisiin median esittämiin kysymyksiin on hyvä valmistautua etukäteen, esimerkiksi harjoittelemalla vastaamista yhdessä ICT-alan termistöä tuntevien henkilöiden kanssa.
  • Palveluna ostettavien tietojärjestelmien palveluntarjoajilta saattaa olla vaikea saada tietoja laajoissa ongelmatilanteissa esimerkiksi tietoturvapäivitysten ajantasaisuudesta. Tämä korostuu erityisesti pilvipalveluissa.
  • Ongelmatilanteisiin reagoiminen saattaa olla haastavaa silloin, jos kaikki asiantuntijat eivät ole paikalla. Tämä tarkoittaa riskienhallinnan kannalta varahenkilöjärjestelyjen luomista.
  • Erilaisten laitteiden (palvelimet, tietokoneet, tabletit, matkapuhelimet) hallinnassa on parantamisen varaa.
  • Tietoturvapäivitykset kannattaa varmistaa niiden laadun toteamisen ja varmistamisen takia esimerkiksi käyttämällä sopivaa pilottiryhmää.

Kaikkiaan harjoitus onnistui hyvin ja osallistuminen koettiin hyödylliseksi. Kriisitilanteita on tarpeen harjoitella jatkossakin. Tähän vastaa ensi syksynä toteuttava TAISTO19. Lisätietoja TAISTOsta löytyy väestörekisterikeskuksen sivulta, https://vrk.fi/taisto.

Kirjoittajat

Matti Kuosmanen, FL, Tietosuojavastaava, tietohallinto- ja tietoturvapäällikkö, Savonia-amk. matti.kuosmanen(at)savonia.fi

Olavi Pesonen, FM, Informaatiotekniikan insinööri (AMK), Tietohallinto- ja tietoturvapäällikkö, tietosuojavastaava, Karelia-ammattikorkeakoulu, olavi.pesonen(at)karelia.fi

Kari Kataja, DI, FM, KTM, KM, Tietosuojavastaava ja tietojärjestelmäpäällikkö, korkeakoulujen tietosuojavastaavien verkoston työvaliokunnan puheenjohtaja, Hämeen ammattikorkeakoulu, kari.kataja(at)hamk.fi


Arjen tietosuoja 2018. Arjen tietosuojaa videokoulutukset ja nettitestit. https://arjentietosuoja.fi

Rousku 2018. Miten Suomen julkisen hallinnon organisaatiot pärjäisivät tietoturvan ja tietosuojan ollessa uhattuna? TAISTO18-harjoitus. https://vrk.fi/documents/2252790/9592142/TAISTO+tiiviisti+-esitys/72eaedff-4498-d66f-fbc8-588c3973170e/TAISTO+tiiviisti+-esitys.pdf?version=1.1 .

VRK 2018. Taisto18 osallistujalista. https://vrk.fi/documents/2252790/9592142/TAISTO18-osallistujalista/f18006cd-ea06-ff35-8582-51065c11d4ae/TAISTO18-osallistujalista.pdf?version=1.1

VRK 2019. TAISTO-harjoitus. https://vrk.fi/taisto