• Palaute tiedonhallintamallia koskevasta suosituksesta. Palaute voi kohdistua suosituksen sisältöön tiedonhallintamallin tarkoituksen, sen laatimisen tai sen hyödyntämisen näkökulmista; suosituksen rakenteeseen tai tarkkuustasoon tai suosituksen eri käyttäjäryhmien tarpeisiin. Palautteessa voit tuoda esiin esimerkiksi lain soveltajan kannalta hyödyllisiä lisäyksiä.
      • Suomen Kuntaliitto ry, Tietoyhteiskuntayksikkö, Seppo Tuula
        Päivitetty:
        5.12.2019
        • Tiedonhallintalain vaikutuksesta muodostuvat tiedonhallintayksiköt vastaavat jatkossa tiedon käsittelemisestä, tallentamisesta ja siirtämisestä oman laajennetun toimintaympäristönsä kautta. Tiedonhallintayksiköt vastaavat toimintaympäristönsä kehittämisestä ja ajanmukaisuudesta tiedonhallintalain velvoitteitten mukaisesti eri osa-alueilla. Lain tavoitteena on edistää julkishallinnon toimintaympäristöjen ja ratkaisujen yhteentoimivuutta, luotettavuutta ja käytettävyyttä eri organisaatioitten tehtävät ja palvelut huomioituna. Tiedonhallintamalli kuvaa päivittyvää ja täydentyvää organisaation toiminnan nykytilaa. Tiedonhallintamalli rakentaa näin tiedonhallintayksikön informaatiopohjan toiminnan pitkäjänteiselle suunnittelulle ja kehittämiselle mukaan muutostenhallinta. Kyseisessä tiedonhallintamalli suositus luonnosdokumentissa kuvataan tiedonhallintalain 5§ mukaista tiedonhallintamallia ja sen muodostamista. Kyseinen suositus sisältää sekä perustietoa ja kuvia tiedonhallintamallin muodostamisesta. Suositus ei kuitenkaan yksistään ole riittävän selkeä, jotta yksistään sen perusteella pystyisi tiedonhallintamallin muodostamaan. Tämän suosituksen tueksi tarvitaan konkreettisia esimerkkejä, ohjausta ja myös käytettyjen kuvien tarkoituksen selkeyttämistä. Jotta tiedonhallintamalli lunastaisi dynaamisen kuvauksen, tulee sen ensisijaisesti rakentua tiedonhallintayksikön oman toimintaympäristönsä kehittämisen näkökulmasta. Tällöin se ohjaa tiedonhallintayksikön toimintaa, vastuita ja merkitystä organisaatiotasoisesti eri viranomaiset huomioiden. Toimien keskitetysti ja koordinoidusti tiedonhallintayksikkö välttää (minimoi) mahdollista päällekkäistä työtä, ei esimerkiksi kerätä samoja tietoja ja kopioida niitä eri käyttötarkoituksia varten. Huomioitava on suosituksessa esitettyjen johdon vastuitten sisällyttäminen tiedonhallintayksikön toiminnan kannalta organisaation vastuujakotaulukon mukaisesti. Tulee kuvata miten ja missä muodossa vastuut esitetään tiedonhallintamallissa sekä millä tarkkuudella asioita tarkastellaan organisatorisesti. Tietoturvajärjestelyiden osalta Kuntaliitto pitää tärkeänä etukäteissuunnittelua siten, että tietoturvajärjestelyiden toteuttaminen, menettelyt ja vastuut huomioidaan mallissa. Tietoturvallisuuden tulee olla pitkäjänteistä työtä koko organisaation kannalta. Lain hengen mukaisesti tietoturvallisuusmääritykset tulee sopeuttaa omaan toimintaan riskilähtöisesti. Kuntatoimijoiden toimintaympäristöt ja käytössä olevat ratkaisut eroavat suuresti toisistaan. Eroavaisuudet johtuvat osittain kuntakoosta ja osittain yleisesti kuntien osaamisesta ja kypsyystasosta. Tiedonhallintayksikön päätöksenteon ja oman toimintaympäristönsä kehittämisen kannalta riskipohjainen päätöksenteko korostuu organisaation kyvykkyytenä. Tällä on merkityksensä investointien sekä organisaation tarvitseman osaamisen tasolla. Palautekierroksen alla oleva suositus tuo esille säädöspohjaisen tulokulman. Ne ovat asioita ja seikkoja, mitkä ovat merkityksellisiä uuden viranomaisen, tiedonhallintalautakunnan näkökulmasta. Suositus tarjoaa näin huomionarvoisia ja tarkentavia (ns. minimitasoisesti) asioita, joihin tiedonhallintalautakunnan on tarkoitus jatkossa vaikuttaa, ohjata sekä arvioida lain asettaminen tavoitteitten kannalta. Täydentyessään ja selkiytyessään palautekierroksen alla oleva suositus tulee toimia kehyksenä tiedonhallintayksiköitten luodessa omia tiedonhallintamallejaan. Sivulla 8 olevasta kuvasta numero 3. ”Yhteenveto tiedonhallinnan vastuista tiedonhallintayksikkö- ja viranomaistasolla” puuttuu tiedonhallintalain 12§ luotettavuutta edellyttävien tehtävin tunnistaminen ja luotettavuudesta varmistaminen. Kyseinen tehtävä kuuluu tiedonhallintayksikölle. Lopuksi yleisenä huomiona se, että koska muutosvaikutusten arviointi on tärkeää tiedonhallintamallin ylläpidon kannalta, niin suositus muutosvaikutusten arvioinnista olisi pitänyt olla yhtä aikaa luettavana.
      • Luonnonvarakeskus, Hallinto ja yhteiskuntasuhteet, Määttä Jari
        Päivitetty:
        4.12.2019
        • Luvun kolme yhdessä lauseessa todetaan harhaanjohtavasti, että tiedonhallintamalli on yksi kuvaus. Muissa yhteyksissä viitataan useampiin kokonaisuuteen kuuluviin kuvauksiin. Tiedonhallintalain suhteen kuvaaminen muuhun lainsäädäntöön on suosituksen kohteen eli tiedonhallintamalliin sisältyvien kuvausten laatimisen näkökulmasta irrelevanttia taustatietoa. Tiedonohjaussuunnitelma sisältää tietoja myös tietojärjestelmistä sekä tietoturvallisuustoimenpiteitä määrittäviä tietoja. Tiedonohjaussuunnitelma perustuu (analogisen) arkistonmuodostussuunnitelman tavoin arkistolakiin mutta periaatteessa myös muuhun tiedonhallintaa nykyisellään ohjaavaan lainsäädäntöön (sivu 9). Sivulla 10 oleva kaavio ei ole riittävän havainnollinen ja vaatii itsessään selittämistä. Sen lisäarvo muuten varsin selkeiden tiedonhallintamallin laatimisen ja ylläpidon perusteiden esittämisessä on kyseenalainen. Tiedonhallintalaissa toimintaprosessilla tarkoitetaan joko asiankäsittely- tai palveluprosessia (s. 18). Kumpaan kategoriaan tutkimuslaitosten tehtävänä oleva tutkimus luetaan? Tutkimuslaitosten lakisääteisten tehtävien hoitamisen yhteydessä niiden toimintaprosesseissa kertyvät tiedot lienevät kuitenkin asiakirjoja. Suosituksen määrittelemät prosessien vähimmäistiedot eivät täytä ainakaan monia valtion viraston tai laitoksen käytännön tarpeita ja niiden lisäksi tarvitaan myös visuaalisia kuvauksia. Mikä on suosituksen suhde JHS152- ja 179-suosituksiin? Suosituksen määrittelemät toimenpidepolut ovat periaatteessa loogisia, mutta testatut, käytännönläheiset toteutusmallit puuttuvat. Lain täytäntöönpano edellyttää toki vastuiden tunnistamista ja määrittämistä. Tämä ei kuitenkaan selitä, miksi johdon vastuunjakotaulukko on nostettu suosituksessa tiedonhallintamallin kaikkien muiden kuvausten yläpuolelle sen punaiseksi langaksi. Vastuujakotaulukon dominoinnin seurauksena koko suositus on epämääräinen eikä tue tiedonhallintalain tulkintaa ja täytäntöönpanoa, päinvastoin. Vastuunjakotaulukon on jo ymmärretty virheellisesti tähän mennessä annetuissa lausunnoissa olevan yhtä kuin tiedonhallintamalli. Taulukon mukaisessa rakenteessa on mahdotonta esittää kaikkia tiedonhallintalain edellyttämiä tietoja. Vastuunjakotaulukon täytetty malli viimeisellä sivulla sisältää kovin yleistasoisia ja karkeita tietoja, ja sen merkitys ainakin sellaisenaan on hyvin vähäinen valtion virastossa tai laitoksessa. Muiden tiedonhallintamallin kuvausten mallit olisivat paljon tarpeellisempia. Suositusluonnos vaikuttaa vielä kovin keskeneräiseltä. Siinä referoidaan tiedonhallintalakia ja sen perusteluita, mutta käyttäjät kaipaisivat tiiviitä, selkeitä ja käytännönläheisiä soveltamisen ohjeita esimerkkeineen.
      • Valtioneuvoston kanslia
        Päivitetty:
        4.12.2019
        • Tiedonhallintamallia on käsitelty asiakirjassa ”Tiedonhallintalautakunnan suositus - Tiedonhallinta-mallin tarkoitus, laatiminen & hyödyntäminen”. Suositusluonnos on selkeästi jäsennelty ja siinä kuvatut toimenpidepolut havainnollistavine esimerkkeineen ovat hyviä. Tiedonhallintamallin suosituksen lisäksi kuvaamiseen tarvitaan yhteinen väline (muu kuin Excel) ja konkreettiset ohjeet; vähintään otsikkotasoisesti tiedot siitä mitä kuvataan. Näin tiedonhallintamalleista saadaan tietyiltä osin yhteismitallisia ja vertailukelpoisia. Tavoitteena tulee olla yhdenmukainen toimintatapa. Suositusluonnos on melko pitkä ja sisältää paikoitellen toistoa, joten lopullisessa versiossa on hyvä pyrkiä tiivistetympään tekstiin. Ministeriöissä tiedonhallintamallia laadittaessa on muistettava, miten tiedonhallinta on organisoitu valtioneuvostossa (luku 3). Ministeriöiden yhteinen asiakirjahallinto ja tietohallinto on keskitetty valtioneuvoston kansliaan valtioneuvostosta annetun lain (175/2003) ja valtioneuvoston ohjesäännön (262/2003) nojalla. Arkistolain (831/1994) 1 §:n mukaan valtioneuvosto ja sen ministeriöt ovat yksi arkistonmuodostaja. Valtioneuvostosta annetun erityislain mukaan valtioneuvoston kanslia vastaa valtioneuvoston ja sen ministeriöiden yhteisistä hallinto- ja palvelutehtävistä. Valtioneuvoston ohjesäännön 12 §:n 1 mom. 9 kohdan mukaan valtioneuvoston kanslian toimialaan kuuluu valtioneuvoston ja sen ministeriöiden yhteinen tietohallinto, mukaan lukien ulkoasianhallinnon ulkomaanedustustojen tieto- ja viestintätekniset peruspalvelut, ja asiakirjahallinto sekä niihin liittyvä hyvän tiedonhallintatavan ja yhteentoimivuuden ohjaus, kehittäminen ja yhteensovittaminen sekä arkistonmuodostajan tehtävät.
      • Åbo Akademi
        Päivitetty:
        4.12.2019
        • Åbo Akademi önskar framföra följande med anledning av finansministeriets begäran om kommentarer gällande de utkast till rekommendationer som ska stöda verkställigheten av informationshanteringslagen. Eftersom informationshanteringsnämnden, i vars namn rekommendationerna ska ges, inte berör universiteten har finansministeriet inte begärt kommentarer av universiteten. Universiteten är dock i lika hög grad som andra informationshanteringsenheter skyldiga att uppfylla de krav lagen ställer, vilket även innefattar de beskrivningar som de nu aktuella rekommendationerna gäller. För att alla informationshanteringsenheter ska vara medvetna om att utkast till rekommendationer utarbetats anser Åbo Akademi att begäran om kommentarer kunde ha sänts för kännedom till universiteten och även till övriga informationshanteringsenheter som inte omfattas av kap. 3 i informationshanteringslagen. Att uttala sig är naturligtvis möjligt även utan någon explicit begäran men det förutsätter att man har kännedom om att begäran är aktuell. Att rekommendationer utarbetas i syftet att underlätta informationshanteringsenheternas och myndigheternas implementering av informationshanteringslagen är i övrigt mycket välkommet. De kommer med stor sannolikhet att vara till stor hjälp. Avslutningsvis önskar Åbo Akademi poängtera vikten av att rekommendationerna finns tillgängliga på svenska. Också de nu aktuella utkasten till rekommendationer borde ha varit översatta så att svenskspråkiga informationshanteringsenheter skulle ha haft samma möjligheter att kommentera utkasten som finskspråkiga och tvåspråkiga informationshanteringsenheter.
      • Tilastokeskus
        Päivitetty:
        4.12.2019
        • Tilastokeskus pitää suositusta hyödyllisenä, mutta toivoo, että tiedonhallintamallin laatimisesta ja ylläpidosta olisi saatavilla myös tarkempia suuntaviivoja.
      • Kirkkonummen kunta
        Päivitetty:
        4.12.2019
        • Suositus on tervetullut ja sillä pyritään varsin hyvin konkretisoimaan tiedonhallintalain varsin tulkinnanvaraisia tiedonhallintamallin vaatimuksia. On hyvä, että tiedonhallintayksikölle itselleen on jätetty monessa asiassa mahdollisuus päättää itse, kuinka yksityiskohtaisesti ja laajasti tiedonhallintamalli laaditaan. Suosituksen luettavuus paranisi kuitenkin merkittävästi, jos lukuisat lainaukset suoraan tiedonhallintalaista jätettäisiin pois ja keskityttäisiin itse suositukseen. Olisi hyvä huomioida, että kunnat lähtevät kuitenkin liikkelle hyvin erilaisilta lähtötasoilta tiedonhallintamallin toteuttamiseksi. Samoin kunnillta puuttuu hyvin usein resursseja, joita tiedonhallintamallin toteuttaminen vaatii. Voimavarat riittävät tällöin juuri ja juuri kunnan perustehtävistä huolehtimiseen. Tiedonhallintamallin laatiminen edellyttää suurta työmäärää, johon on osalla kuntia erittäin vaikea irrottaa resursseja. Tämän vuoksi olisi hyvä, jos suositusta voisi yksinkertaistaa ja kehittää vielä enemmän käytännön suuntaan.
      • Suomen Pankki, Tietohallinto-osasto
        Päivitetty:
        4.12.2019
        • Suomen Pankki kiittää mahdollisuudesta antaa palautetta tiedonhallintalain suositusluonnoksiin. Yleisesti ottaen suositukset ovat erittäin hyvä ja tarpeellinen lisä, joilla tuetaan uuden lain vaatimusten soveltamista. Tiedonhallintamallin suosituksen osalta toteamme, että tiedonhallintamallin vaatimukset täytyy tulla laista. Nyt vaikuttaa siltä, että suosituksilla ollaan laajentamassa lain sisältöä ja soveltamisalaa. Esimerkkinä lain 5 § Tiedonhallintamalli ja muutosvaikutuksen arviointi. Suosituksen sivulla 12 olevassa taulukossa olevat vaatimukset vaikuttaisivat olevan laajempia kuin mitä varsinaisessa laissa. Tiedonhallintalain Johdon vastuiden suositusluonnoksen olisimme mielellämme nähneet jo tässä vaiheessa.
      • Ilmatieteen laitos
        Päivitetty:
        4.12.2019
        • Yleistä Julkisen hallinnon tiedonhallintaa koskevan sääntelyn uudistamisen taustalla oli muun muassa pyrkimys yhdenmukaistaa viranomaisten tietoaineistojen hallinta sekä edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta. Tiedonhallintalaki tarjoaa työvälineeksi edellä mainittujen tavoitteiden saavuttamiseksi tiedonhallintamallia, joka on kuvaus tiedonhallintayksikössä toimivien viranomaisten tehtävien hoidossa toteutettavasta tiedonhallinnasta. Tiedonhallintalautakunnan suositusluonnoksessa koskien tiedonhallintamallin tarkoitusta, laatimista ja hyödyntämistä tiedonhallintamalli määritetään luonteeltaan tiedonhallintayksikön sisäiseksi määräykseksi siitä, miten tiedonhallinta on toteutettava tiedonhallintayksikössä käsiteltäessä tietoaineistoja. Lähtökohtana sen laatimiselle on organisaation oman tarpeet, ja näin ollen tiedonhallintamallin tarkkuustaso esim. toimintaprossien kuvauksen osalta on organisaation itsensä päätettävissä. Tämä tarjoaa tiedonhallintayksiköille toivottua liikkumavaraa ja mahdollisuuden suhteuttaa kuvauksen esittämistapa olemassa oleviin resursseihin. Toiselta puolen joustavuudelle asettaa rajoja esimerkiksi tiedonhallintalain mukainen yhteentoimivuuden tavoite. Yksityiskohtaiset huomiot Ilmatieteen laitoksen näkemyksen mukaan olisi ehkä mahdollista tuoda vielä hieman yksityiskohtaisemmin, esimerkiksi esimerkkien valossa, esille niitä tietoaineistoja ja asiakirjoja, joihin velvollisuus tiedonhallintamallin laatimiseen suosituksessa viitatun lainsääsäädännön mukaan kohdistuu. Yhtenä mahdollisena tavallisena käytännön esimerkkinä, jota suosituksessa voisi mahdollisesti punnita, mainittakoon logitiedot. Arkistonmuodostussuunnitelman ja tiedonohjaussuunnitelman sisältämän tietosisällön suhde tiedonhallintamalliin jää osin epäselväksi ja tätä olisikin mahdollista tarkentaa.
      • Tulli.fi
        Päivitetty:
        4.12.2019
        • Tietojen luovutukseen vaikuttavat eri tiedonhallintayksikköjä koskevassa sääntelyssä olevat tiedonsaantioikeudet. Epäselvää saattaa olla, tuleeko tiedonhallintamallissa siis kuvata nämä kaikki tiedonsaantioikeudet. Tiedonhallintamallissa on niin ikään kuvattava tiedonhallintayksikön käyttämät tietoturvallisuustoimenpiteet. Hyvä olisi selventää, miten tarkasti tietoturvallisuustoimenpiteet kannattaa kuvata, sillä tiedonhallintayksiköllä tulee olla mahdollisuus varmistaa turvallisuus, jonka tarpeettoman avoin kuvaus saattaa vaarantaa.
      • Teuvan kunta
        Päivitetty:
        4.12.2019
        • Teuvan kunta toteaa palautteessaan, että tiedonhallintalain vaatimaan tiedonhallintamalliin tulisi saada riittävän selkeä ja konkreettinen, toimintaan sovellettava mallipohja. Tällä vältytään mm. tietosuoja-asetuksen vaatiman informointivelvoitteen tulkinnanvaraisuudesta, joka johti organisaatioiden erittäin kirjavaan käytäntöön informointivelvoitteen toteuttamisessa, kun edes valtion ohjaavilla viranomaisilla ei ollut oikein tietoa kuinka toteuttaa informointi saati, että siihen olisi saatavilla mitään mallia. Teuvan kunta muistuttaa, että siirtymäaikojen tulee olla riittävän pitkiä, jotta myös pienemmillä henkilö- ja rahallisilla resursseilla toimivat organisaatiot voivat varautua ja muuttaa toimintaansa niiden puitteissa. Henkilöresurssit ja muutoksiin kuluvat rahalliset resurssit ovat varsin mittavia, joka nykyisessä taloustilanteessa voi olla merkittäviä ongelmia aiheuttavaa.
      • Kilpailu- ja kuluttajavirasto, Oravainen Henrikki
        Päivitetty:
        4.12.2019
        • Katso jäljempänä viimeisessä kohdassa KKV:n yleinen vastaus.
      • Väylävirasto
        Päivitetty:
        4.12.2019
        • Suositus on lähtökohdaltaan oikean suuntainen, mutta vielä liian vaikeaselkoinen auttamaan käytännössä tiedonhallintayksiköitä käyttökelpoisen tiedonhallintamallin kuvaamisessa. Se soveltuu parhaiten virtaviivaisten hallinnollisten prosessien tiedonhallintaan. Ongelmalliseksi tämän tekee muun muassa se, että tiedonhallintalaki ei korvaa arkistolakia. Tiedonhallintalain ja arkistolain suhdetta ei ole riittävän selvästi määritelty ja kuvattu. Kuvausten tarkkuustaso jätetään toisaalta kunkin tiedonhallintayksikön päätettäväksi, mutta kuitenkin on pystyttävä laatimaan muun muassa AMS/TOS ja myös muista suosituksista tulee tähän sellaisia vaatimuksia, jotka väistämättä pakottavat hyvinkin tarkkaan kuvaustasoon. Tämä aiheuttaa sekavuutta, miten tulisi toimia. Käykö niin, että tehdään rinnakkaisia ja päällekkäisiä malleja/kuvauksia? Suositus jättää liikaa tulkinnanvaraa esimerkiksi siihen, mitkä kaikki rekisterit voivat muodostaa asiarekisterin. Käsitteitä käytetään suosituksissa tiedonhallintayksiköitä sekoittavasti, koska samat termit ovat käytössä organisaatioissa nykyisellään osin eri merkityksissä. Esimerkiksi asianhallinta on väärä termi puhuttaessa esimerkiksi Väyläviraston omaisuudenhallinnasta Suositus tukee hyvin niitä kokonaisarkkitehtuuriin liittyviä kuvauksia, joita virastossa on jo tehty tai ollaan tekemässä. Lisäksi seuraaviin asioihin olisi vielä tärkeää kiinnittää huomiota. Suosituksen alkuun olisi hyvä liittää luettelo ja selitykset käytetyistä termeistä. Kohdan 2 otsikossa "Suosituksen suhde eräisiin muihin suosituksiin" olisi selkeyden vuoksi hyvä todeta, että kyse on tämän suosituksen suhteesta muihin Tiedonhallintalautakunnan antamiin suosituksiin. Kuva 3 ja sitä edeltävä teksti tiedonhallinnan vastuista ovat hieman epäselviä valtion viraston näkökulmasta, varsinkin teksti kaipaisi selkeyttämistä. Taulukon 2 ”Vaatimukset tiedonhallintamallin sisällölle” –sarakkeessa on ristiriitaisuuksia tiedonhallintalaissa esitettyihin vaatimuksiin. Esimerkiksi laki ei velvoita kuvaamaan tiedonhallintayksikön palveluita, vaikka toki niitä on kuvattu ja kuvataan tästä suosituksesta riippumatta. Lisäksi siellä sanotaan: ”Tiedonhallintamallin tulee kuvata kattavasti tiedonhallintayksikön vastuulla oleva tiedonhallinta sekä tiedonhallintaan vaikuttavat liittymät muiden tiedonhallintayksiköiden, viranomaisten tai yritysten ja yhteisöjen tiedonhallintaan.” Tämä aiheuttaa vaatimuksen tuntea myös muiden viranomaisten ja yritysten ja yhteisöjen tiedonhallinnan. Sen osalta voisi harkita esimerkiksi lisäystä: ”tiedonhallintayksikön tietoon tulleet” tiedonhallintaan vaikuttavat liittymät. Suosituksessa sanotaan, että tiedonhallintalaissa toimintaprosessilla tarkoitetaan viranomaisen asiankäsittely- tai palveluprosessia. On epäselvää, mitä tämä tarkoittaa. Toimintaprosessin rajaaminen vain asiankäsittely- ja palveluprosesseihin jättää mielestämme ulkopuolelle esimerkiksi infrahankesuunnittelun ja väylänpitoon liittyviä toimintoja, koska nämä eivät kulje hallinnollisissa prosesseissa. Kohta Tietovarantojen kuvaamisesta on vaikeaselkoinen. Liitteen 1 esimerkkitaulukon suuntaa kannattaa vielä harkita, sillä nyt osa tekstistä on ylösalaisin.
      • Palkeet
        Päivitetty:
        4.12.2019
        • Palkeet näkee hyvänä, että tiedonhallintalain toimeenpanoa tuetaan suosituksia laatimalla ja edelleen tarkentamalla. Tiedonhallintamalli tulee olemaan keskeinen kuvaus tiedonhallintayksikön tiedonhallinnasta. Jotta myös kuvaustasolla saavutetaan yhteen toimivuutta, on suositeltavaa kuvata, ja tarpeellisilta osin jopa linjata, kuvauksen sisältöä ja laajuutta. Muutoin kuvauksista vois tulla hyvin erilaisia ja -tasoisia, joka hankaloittaa tiedonhallintayksiköiden välisen tiedonhallinnan ymmärrettävyyttä. Hyvänä asiana suosituksissa on kuvattu ylätasolla, miten tiedonhallintamalli suhtautuu nykyisiin kuvauksiin (esim. kokonaisarkkitehtuuri jne). Jotta tiedonhallintayksikkö ei tekisi turhaa työtä, olisi hyvä täsmentää mitä tehtyjen kuvauksien osioita voi käyttää sellaisenaan osana tiedonhallintamallia. Ja toisaalta korostaa niitä osioita, jotka on oleellista tuottaa uusina asioina osaksi tiedonhallintamallia. Tämäkin asia liittyy siihen, että varmistetaan tiedonhallintamallien tehokas toimenpano ja yhdenmukainen sisältö. Jatkossa voi olla hyödyllistä harkita, voiko yhdenmukaisten tiedonhallintamallien laadintaa ja ylläpitoa tukea yhteisellä työvälineellä kuten arkkitehtuuripankilla. Tiedonhallintamallien yhteen toimivuus on oleellista myös mallin tavoitteiden toteutumisen kannalta, jotka on mainittu sivulla 9 ja 12. Käytännössä tiedonhallintamalliin sisältyviä kuvauksia on tiedonhallintayksiköissä hyvin eri tasoisia, joten ilman soveltuvaa ohjausta ja tarkentavaa ohjeistusta, mallin tavoitteet voivat jäädä saavuttamatta. Tietovarantojen kuvaamisen osalta on suositeltavaa tarjota tarkempaa ohjeistusta, ja jopa koulutusta, siitä miten tietoa kuvataan. Käytännössä tietoa voi kuvata eri tasoisesti (käsite, looginen, fyysinen), joka voi johtaa eritasoisiin kuvauksiin tiedonhallintayksiköiden tietovarannoista. Ja tämä voi muodostua haasteeksi tiedonhallintayksikön kannalta, sekä muiden viranomaisten kannalta, joilla on oikeus tietovarantoon. Siksi olisi suositeltavaa pyrkiä kuvamaan tarkemmin, miten tietoa kuvataan esim. tiedonhallintalain ja tiedonhallintamallin sekä asiakirjajulkisuuden kuvauksen kontekstissa. Tekniset rajapinnat tulevat olemaan myös keskiössä yhteen toimivuuden edistämisessä, ja olisi suositeltavaa täsmentää miten ja mihin dokumenttiin (tiedonhallintamalliin vai erilliseen kuvaukseen) tekniset rajapinnat ja katseluyhteydet kuvataan niin, että ulkopuolinen viranomainen voi tietoa hyödyntää. 17 § Lokitietojen kerääminen osiossa on kohta, jossa säilytysaikamääreeksi kirjataan 5 v. Suosittelemme katsomaan säilytysajan ristiin JHS191 suosituksen kanssa, jossa tiedonohjaukseen säilytysajoiksi on määritelty 3, 6, 10, 20, 50, 120, pysyvä. Liite 1 on kuvana epäselvä ja sitä on suositeltavaa tarkentaa.
      • Suojelupoliisi
        Päivitetty:
        4.12.2019
      • Väestorekisterikeskus
        Päivitetty:
        4.12.2019
        • Väestörekisterikeskus kiittää mahdollisuudesta antaa palautetta tiedonhallintalain tiedonhallinnan kuvausten suosituksista. Tiedonhallintamallin mukaisia kuvauksia tulee jatkossa olemaan suuria määriä. Kuvausten tulisi olla niiden käytettävyyden kannalta yhteentoimivia, siksi Väestörekisterikeskus pitäisi lisäohjeistusta hyödyllisenä. Myös olemassaolevien kuvausten hyödyntämistä tulisi ohjeistaa tarkemmin, koska niissä on jo kertaalleen kuvattu tiedonhallintalain mukaisia prosessi-, tieto-varanto- ym. kuvauksia. Toki pieniä muutoksia tarvitaan esimerkiksi terminologian osalta. Tietojärjestelmän määritelmässä päätelaitteet on rajattu kuuluviksi tietojärjestelmiin. Useimmiten päätelaitteilla käytetään useita eri tietojärjestelmiä, tiettyyn järjestelmään dedikoidut päätelaitteet ovat asia erikseen.
      • Järvenpään kaupunki, Hallintopalvelut
        Päivitetty:
        4.12.2019
        • Tiedonhallintalainsäädäntö on monimutkainen kokonaisuus, jonka käytäntöön viemistä suositus ja sen liitteet tukevat hyvin. Suosituksia tai sen liitteitä ei kuitenkaan tule tulkita lainsäädäntöä laajentavasti. Suositus ja liitteenä olevat kortit kaipaavat kielenhuoltoa. Tiedonhallintamallin käsitemalli olisi hyvä olla. o Mitä tarkoitetaan mm. viranomaisella? Onko organisaation sisällä eri viranomaisia? o Laitteisto, ohjelmisto, järjestelmä käsitteet tulisi myös avata. Korteista ei ole helposti nähtävissä vähimmäisvaatimukset (velvoittavat) Tuleeko vaatimukset toteuttaa, kuten tietoturvallisuustoimenpiteet, vahingolta suojaamisen vaatimukset, olemassa oleviin järjestelmiin? Järjestelmät tulee täyttää vaatimukset kolmen vuoden siirtymäajan puitteissa? o Tarkoittaa nykyisten sopimusten päivitystä ja/tai järjestelmien uudelleen kilpailutusta. Kustannukset voivat nousta pahimmillaan erittäin korkeaksi, mikäli lainmuutoksista aiheutuvia muutoksia ei ole sopimuksissa huomioitu. Kuvauksia erittäin paljon, vaikka kuvausten taso itse määriteltävissä. o Kuntapuolella kapeat resurssit, joten tukea ja resursseja kuvausten tuottamiseen tarvitaan. Esimerkki tietystä kohdealueesta velvoittavin minikuvauksin auttaisi paljon. Suositustekstiin ja taulukoihin liittyvä palaute: Osa taulukoista, esimerkiksi luvussa tiedonhallinnan järjestäminen, eivät toimi hyvinä pohjina. Suositustekstissä pyydetään kuvaamaan tehtävät, palvelut ja prosessit, mutta taulukoista puuttuvat ”palvelut” ja lisänä niihin on tuotu ”tuotantotapa”. Sivu 16: Toimintaympäristön kuvaus alkaa tehtävistä Suosituksessa todetaan, ettei tiedonhallintalaki velvoita kuvaamaan tehtäviä ja palveluita, mutta niiden tunnistaminen ja läpikäynti on käytännössä toteutettava, jotta tiedonhallinta voidaan tarkoitetulla tavalla kiinnittää toimintaan ja johtaa sen osana. Lisäksi todetaan, että organisaation rakenne, tehtävien jakautuminen ja näihin liittyvät vastuut ja johtaminen kuvataan työjärjestyksessä tai hallintosäännössä ja/tai näitä tarkentavissa johtosäännöissä. Tämä suosituksen sanamuoto voi johtaa siihen, että tehtävien kuvaaminen toteutetaan käytännössä tarpeettoman seikkaperäisesti tai asiakirjoissa, joiden päivittäminen ei ole ketterää. Tehtävien ja niihin liittyvien vastuiden kuvaamista ei tule siten sitoa hallintosääntöön tai niitä täydentäviin asiakirjoihin. Tiedonhallinnan kannalta on riittävää, että tehtävät ja niihin liittyvät vastuut on ylipäätään kuvattu. Esimerkiksi hallintosääntöön nämä vastuut tulee kirjata vain ylätasoisesti. Tiedonhallintayksiköille tulee sallia variaatiota sen suhteen, millä tavoin ja missä asiakirjassa vastuut kuvataan. Sivu 21: ”Jos tietoaineisto tai siinä olevat asiakirjat on määrätty arkistolain nojalla arkistoitavaksi (pysyvästi säilytettäväksi), on tiedonhallintamallissa kuvattava tiedot tietoaineiston arkistoon siirtämisen ajankohdasta, arkistointitavasta ja arkistopaikasta. Tietoaineistoja tai asiakirjoja, jotka on säädetty laissa pysyvästi säilytettäväksi alkuperäiseen käyttötarkoitukseen, ei arkistoida, vaan niitä säilytetään pysyvästi ja tämä tieto on sisällytettävä osaksi tiedonhallintamallia. Tieto pysyvästä säilyttämisestä merkitään tietoaineistoon vain, jos pysyvästä säilyttämisestä on säädetty laissa erotuksena sille, että tietoaineisto arkistoidaan arkistolain tarkoittamalla tavalla pysyvästi.” Mihin perustuu tämä jako pitkäaikaiseen ”säilyttämiseen” ja ”arkistointiin” ja mikä on niiden ero? Joka tapauksessa tietoaineistot on aika-ajoin ennalta suunnitellusti siirrettävä pois operatiivisista järjestelmistä pitkäaikaissäilytykseen/ pitkäaikaisarkistointiin. Tässä on myös ristiriita kortin 13 § Elinkaaren huomioiminen tietojen käsittelyssä kanssa, minkä teksti alkaa näin ”Tiedon elinkaari alkaa sen käsittelyn käynnistyessä tiedon luonti tai vastaanottovaiheessa ja päättyy sen pysyvään säilyttämiseen arkistoinnin muodossa tai tiedon tuhoamiseen.” Sivu 21: ”Jos tietoaineisto voidaan tuhota säilytysajan päättymisen jälkeen, tulee tiedonhallintamallista ilmetä myös tämä tieto.” Säilytysajan päättyminen tarkoittaa, että aineisto voidaan tuhota sen jälkeen. Hävitysajan laskeminen alkaa ennalta määrätyllä tavalla tiedon tai asiakirjan vastaanottamisesta/ luonnista.
      • Terveyden ja hyvinvoinnin laitos THL, Siltala Heikki
        Päivitetty:
        4.12.2019
        • Suositus on hyödyllinen ja antaa pelkkään lakitekstiin verrattuna paljon paremmat edellytykset lain hengen täyttämiselle. Tiedonhallintayksikköjä on monenlaisia, joten on hyvä että suositus ei ole liian tarkka. Lain tarkka soveltaminen voidaan päättää yksikkötasolla. Suosituksen perusteella tiedonhallintamallista tulee vaikutelma, että se on itsenäinen asiakirja, johon kootaan tietoa mm. olemassa olevista dokumenteista pitkälti taulukkomuotoon. Kuvauksen tarkkuus jää monessa kohdin organisaation itsensä päätettäväksi, mutta jatkossakin varmasti ylläpidetään tiedonhallintamallia täydentäviä yksityiskohtaisempia kuvauksia, esim. tiedonhallintasuunnitelmaa, koska muuten tiedonhallintamalli paisuisi helposti kovin laajaksi. Pitäisi kuitenkin miettiä, miten vältytään tietojen rinnakkaiselta ylläpitämiseltä rinnakkaisissa kuvauksissa. Voisiko tiedonhallintamalli olla vain ylätason kuvaus, jonkinlainen yhteenveto, jota olemassa olevat kuvaukset liitteenomaisesti täydentäisivät. Suositus on hyvin taustoitettu ja suosituksen kuvat auttavat hahmottamaan sisältöä. Kuvia 4a ja 4b voisi kuitenkin selostaa lisää, esim. mitä konkreettisia tuotoksia tai dokumentteja näissä viitatuissa kohdissa a - e tulisi olla tai voisi olla. Tiedonhallintamallin tuottaminen perustellaan hyvin, kuten myös siihen liittyvät vastuut. Konkreettinen malli tai esimerkki mallin tuottamisesta jää kuitenkin puuttumaan. On hyvä, että taulukoon 2 on otettu myös palvelut ja niiden kehittäminen, vaikka laki puhuu toiminta-arkkitehtuurin alueelta lähinnä vain prosesseista. Toimenpidepolut (s. 18) ovat hyviä ja auttavat alkuun tiedonhallintamallin tuottamisessa. On myös hyvä, että kuvausten suhde toisiinsa eli esim. tietojärjestelmien suhde toimintaprosesseihin on nostettu esiin. Kokonaisuutena opastuksessa keskitytään kuitenkin enimmäkseen kuvausten tuottamiseen, kun isompi työ tulee olemaan niiden ylläpito ja käyttäminen eri tilanteissa kuten muutostilanteissa. Kaikkien tiedonhallintayksiköiden yhteiset prosessit (kuten valtion yhteisissä järjestelmissä toteutettavat henkilöstöhallinnon ja taloushallinnon kokonaisuudet) ovat samanlaisia kaikille ja ne on kuvattu Valtorin tai Palkeitten toimesta jo ko. järjestelmiä käyttöönotettaessa. Talous- ja henkilöstöhallinnon tiedonhallintamallikuvaukset voisivat olla nähtävillä keskitetysti (esim. Valtiokonttorin tai Palkeitten tai VM:n sivuilla), jolloin muut tiedonhallintayksiköt voisivat vain viitata niihin. Samojen kuvausten tekeminen moninkertaisesti ei ole kustannustehokasta. Keskitetty kuvausten tekeminen ja ylläpito olisi myös tiedonhallintalain hengen mukaista päällekkäisen tiedonkeruun ja työn välttämistä. Ohjeistuksen sisältämissä määritelmissä olisi hyödyllistä tarkentaa miten tiedonhallinnan näkökulma ja sen käsitteet ovat muuttuneet verrattuna esim. aiempaan asiakirjahallinnon käsitteistöön.
      • Kuopion kaupunki
        Päivitetty:
        4.12.2019
        • Tiedonhallintamallille on asetettu useita tavoitteita, jotka toteutuessaan parantavat tiedonhallintayksiköiden tiedonhallintaa ja yksiköiden välistä yhteen toimivuutta. Suosituksen mukaisen tiedonhallintamallin laadinta onnistuu varmasti niissä tiedonhallintayksiköissä, joissa on tehty kokonaisarkkitehtuurityötä. Kuntasektorilla kokonaisarkkitehtuurityötä on tehty tarvittavassa laajuudessa vain harvoissa tiedonhallintayksiköissä, joten tiedonhallintamallin laadinta ja ylläpito tulee olemaan suuri haaste nykyisillä resursseilla. Tietoturvallisuussuositukset on jätetty irralleen tiedonhallintamallisuosituksesta. Tämä voi olla jossakin määrin perusteltua, mutta ei paranna tietoturvan huomioimista osana palveluiden, tiedonhallinnan ja tietojärjes-telmien suunnittelua. On vaara, että tietoturva jää tiedonhallintamallista irralliseksi ja tällöin molempien vaikuttavuus kärsii. Suositus luku 3 sivu 6. Tiedonhallintamallin määritellään olevan: ”toiminnallinen kuvaus toimintaympäristöstä ja siihen liittyvästä tiedonhallinnasta.” Jää epäselväksi, mitä toiminnallinen tässä tarkoittaa. Lihavoituna lukee: ”Tiedonhallintamalli on yksi kuvaus, joka on tarkoitettu monikäyttöiseksi tiedonhallintayksikön eri kohderyhmille.” Mitä mahtaa tarkoittaa, että kyseessä on yksi kuvaus? Tarkoitetaanko erästä kuvausta vai yhtä kuvaa? Tiedonhallintamalli tulee todennäköisesti muodostumaan eri paikkoihin tehdyistä kuvauksista (esim. tiedonohjaussuunnitelma ja kokonaisarkkitehtuurin kuvausväline), jotka täytyy jotenkin saada toimimaan yhtenä kuvauksena. Eri tarkoituksiin ja eri välinein tehtyjen kuvausten hyödyntäminen tiedonhallintamallissa tulee olemaan haaste, mutta on välttämätöntä, jotta päällekkäiseltä työltä voidaan välttyä. Suosituksen mukaan tiedonhallintamallista luodaan erilaisia näkymiä. Tämä ei tule olemaan helppoa, jos kuvaukset ovat eri välineissä tai kooste on tehty toimistoohjelmaan, kuten suosituksen esimerkeissä. Sivun 8 kuva 3 on hyvä. Tiedonhallinnan vastuiden määrittely on tärkeää. Valitettavasti lakiteksti, valtiovarainministeriön WWW-sivut tai suositus-luonnos eivät selkeytä tilannetta tarpeeksi kuntien osalta, jotka ovat ha-jauttaneet lakisääteisiä tehtäviään monenlaisilla tavoilla. Vastuiden mää-rittelyyn kaivataan yhteisin resurssein tehtyjä esimerkkejä, jotta jokaisessa kunnassa ei tarvitse asiaa selkiyttää omin voimin, mikä johtaisi tarpeet-toman erilaisiin tulkintoihin. Kunnilla on valtiovarainministeriön vuonna 2012 julkaiseman Kuntien tehtävien kartoitus-raportin mukaan 535 tehtävää. Tämä määrä on tuskin juurikaan pienentynyt kuluneiden vuosien aikana. Näiden tehtävien ku-vaaminen yhteen taulukkoon (kuten suosituksen taulukko 1 esittää) on käytännössä mahdotonta. Toisaalta tiedonhallintalaki on rajattu koske-maan tietoaineistoja ja asiakirjoja, joihin sovelletaan julkisuuslakia. Jos ei haluta, että jokainen kunta tulkitsee asiaa omista lähtökohdastaan, tarvi-taan tulkinta-apua siihen, mitkä tehtävät tiedonhallintamalliin olisi kuvat-tava. Yhteentoimivuutta on hankalaa parantaa, jos tulkinnat ovat kovin erilaisia. Tiedonohjaussuunnitelmissa on hyödynnetty Kuntaliiton laati-maa kuntien yhteistä tehtäväluokitusta, jota ei ole ylläpidetty. Asiakasnä-kökulmasta palvelut on kuvattu palvelutietovarantoon. Kuntien talousra-portoinnissa hyödynnetään JHS200 palveluluokitusta. Nämä kaikki tar-joavat vähän erilaisen näkökulman kuntien tehtäviin. Olisiko syytä ohjeis-taa, mihin näistä vai johonkin muuhun luokitukseen kuntien tulisi tiedon-hallintamallinsa pohjata? Kun tiedonhallintamallin ohjeistus jää suosituksen tasolle, on vaara, että joka paikassa sovelletaan eri tavoin ja mallit eivät ole yhteentoimivia. Suo-situksen ollessa yleisluontoinen kuvaus, herää kysymys, miten varmiste-taan, että pienissä kunnissa on osaamista viedä asiaa eteenpäin?
      • Liikenne- ja viestintävirasto
        Päivitetty:
        4.12.2019
        • YLEISTÄ SUOSITUKSISTA Liikenne- ja viestintävirasto Traficom kiittää mahdollisuudesta antaa palautetta tiedonhallintalain (906/2019) tiedonhallinnan kuvausten suosituksista. Traficomin näkemyksen mukaan suositukset tukevat viranomaisia tiedonhallintalain ja turvallisuusluokitusasetuksen tulkinnassa. Suositukset on kirjoitettu melko ylätasoisiksi. Niiden soveltamista helpottaisi, jos kriteerit, joiden täyttämisellä voidaan katsoa ainakin vähimmäisvaatimusten täyttyvän, olisi mainittu suosituksissa yhteenvetona. Vähimmäisvaatimusten kohdistuminen myös ulkoisiin palveluntuottajiin olisi hyvä erikseen mainita. Suositukset tarkentavat osaa tiedonhallintalain ja turvallisuusluokitusasetuksen kohdista, mutta ne eivät muodosta tiedonhallintalain tai tur-vallisuusluokitusasetuksen vaatimustenmukaisuuden tai tiedon koko elinkaaren ajan kattavan suojaamisen arviointiin soveltuvaa arviointikriteeristöä. Nykymuotoisia ylätasoisiksi kirjoitettuja ja kattavuudeltaan puutteellisia suosituksia ei siten voi tarkoituksenmukaisesti käyttää viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) mukaisissa arvioinneissa. Tilanne on vastaava turvallisuusselvityslain (726/2014) sekä kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) perusteella tehtävissä arvioinneissa. Mikäli suosituksia tarkoitettaisiin käytettävän lain 1406/2011 mukaisissa turvallisuusluokittelemattoman salassa pidettävän tiedon suojaamisen vaatimustenmukaisuuden arvioinneissa, vähimmäistasoa tulisi konkretisoida ja suositusten kattavuutta laajentaa kattamaan muutkin tiedonhallintalaissa kuvatut suojausvaatimukset. Erityisesti turvallisuusluokiteltujen tietojen elinkaaren ajan kattavan suojaamisen arvioinneissa korostuu kuitenkin nykytilaa vastaavasti selkeä tarve erilliselle arviointikriteeristölle. Turvallisuusluokitellun tiedon suojaamisen arviointiin tarkoitettu Katakri 2015 -kriteeristö on jo nykyisellään lähes täysin linjassa myös tiedonhallintalain ja turvallisuusluokitusasetuksen kanssa. Mikäli pienet eroavaisuudet korjataan Katakri 2015 -kriteeristön päivitystyössä, näissä suosituksissa ei ole tarpeen huomioida turvallisuusluokitellun tiedon kattavaa arviointikäyttöä. Suosituksissa voisi olla kuitenkin maininta Katakri 2015 –kriteeristön soveltamisesta arvioinnissa. Suositusten ja jo olemassa olevien ohjeistusten välistä suhdetta voisi olla tarpeen tarkentaa (mm. VAHTI-ohjeet). Useissa suosituksissa viitataan ohjeistuksiin, jotka on laadittu aikaisemman lainsäädännön pohjalta, ja eivät siten täysin vastaa uusiutuvan lainsäädännön tavoitteita. Koko suosituskokonaisuuden käytyä palautekierroksella, olisi hyvä lopuksi vielä tarkastaa ja poistaa päällekkäisyydet ja toistot. Suosituskokonaisuudelle voisi esimerkiksi kirjoittaa yhteisen johdanto-osuuden, johon koottaisiin kaikkia suosituksia yhteisesti koskeva teksti sekä kerrottaisiin suosituskokonaisuuden nimi ja käyttötarkoitus. Lisäksi tietoturvallisuuskortteja voisi tiivistää ja tehdä yhteismitallisemmaksi. PALAUTE TIEDONHALLINTAMALLIA KOSKEVASTA SUOSITUKSESTA Suositus on pääosin selkeä ja se tukee hyvin tiedonhallintamallin tuottamista. Suosituksessa ei kuitenkaan viitata ministeriöiden vastuulla olevan tiedonhallintakartan sisältöön (tiedonhallintalain 6 §). Tiedonhallintamallissa kuvattujen sisältöjen suhde ylemmän tason tiedonhallintakarttaan olisi hyvä kuvata. Suosituksesta ei käy myöskään ilmi, onko tiedonhallintamalli julkaistava esimerkiksi tiedonhallintayksikön verkkosivuilla. Jos näin on, on mallia laadittaessa syytä ottaa huomioon, että osa malliin kuvatusta sisällöstä on salassa pidettävää ja osa julkista. Suosituksessa käytetään termejä arkistonmuodostussuunnitelma ja tiedonohjaussuunnitelma rinnakkain. Yleisesti tiedonohjaussuunnitelmalla tarkoitetaan arkistonmuodostussuunnitelmaa, joka sisältää arkistonmuodostustietojen lisäksi esimerkiksi asianhallintajärjestelmien ohjaavia ohjaus- ja prosessointitietoja. Suosituksessa olisi hyvä avata termien sisältöä, jotta ne eivät aiheuttaisi epäselvyyttä. Tiedonhallintamallin muodostamista koskevassa luvussa 3 olevat havainnekuvat 4a ja 4b ovat melko vaikeasti ymmärrettäviä ja saattavat aiheuttaa lukijoissa sekaannusta. Lisäksi tietovarantojen kuvaamista koskeva luku 7 kaipaa selkeytystä sen suhteen, että siinä on erotettu käsitteet arkistointi ja pysyvä säilytys toisistaan. Toimintaprosessien kuvaamista koskevassa luvussa 6 edellytetään, että mikäli tiedonhallintayksikön toimintaprosessi saa syötteitä tai tietoja joltakin toiselta toimintaprosessilta, on syötteitä antavasta toimintaprosessista (eli sidosprosessista) kuvattava nimike ja sidoksen peruste. Tältä osin kohtaa voisi vielä tarkentaa, jotta käy selkeästi ilmi viitataanko tässä ulkoiseen, toisen tiedonhallintayksikön toimintaprosessiin.
      • Mikkelin kaupunki
        Päivitetty:
        4.12.2019
        • Palautekierroksella oleva suositus selkeyttää tiedonhallintamallin ideaa, mutta osaltaan jättää uusia avoimia kysymyksiä. Suosituksesta ilmenee, että tiedonhallintamallia luodessa voidaan käyttää joissain kohdissa tapauskohtaista harkintaa siitä, millä tasolla eri kuvaukset mallissa esitetään (muun muassa palveluprosessit ja tietojärjestelmät). Tämä on siinä mielessä hyvä asia, että esimerkiksi kunnilla voi olla käytössä pienetkin henkilöstö- ja rahalliset resurssit mallin kokoamiseen. Toisaalta tiedonhallintamallin suosituksen yleisluonteisuus ja tiedonhallintayksiköille jätetty harkintavalta jättää tilanteen auki sille, että julkisen hallinnon toimijoilla on hyvin eritasoisia tiedonhallintamalleja, jotka eivät ole vertailukelpoisia keskenään, jolloin mallin tarkoitus jää epäselväksi. Toinen riski piilee siinä, että koska mallille ei ole selkeää määrittelyä, tehdään se organisaatiossa vain lainsäädännön velvoitteesta, johonkin itse katsottuun epämääräiseen muotoon, ja sitä ei todellisuudessa voida hyödyntää eikä hyödynnetä kunnolla tiedonhallintayksikössä ja sen johdossa. On hyvä, että tiedonhallintayksikön johdon vastuuta korostetaan suosituksessa, mutta ilman konkreettisia määrittelyjä siitä, mitä mallin pitää vähimmillään sisältää ja miten sitä toivotaan hyödynnettävän erityisesti johdon näkökulmasta voi johtaa tilanteeseen, jossa tiedonhallintayksikön johto määrää esimerkiksi asiakirjahallinnon ja/tai tietohallinnon henkilöstön laatimaan mallin vain siitä syystä, että tiedonhallinta laki sitä vaatii, mutta ei itse todellisuudessa hyödynnä sitä. Olisi näin ollen toivottavaa, että palautekierroksella olevaa suositusta täsmennettäisiin, jonka lisäksi olisi hyvä saada jonkinlainen mallipohja tiedonhallintamallin minimisisällöstä sekä tavoitellusta rakenteesta. Pahitteeksi ei olisi myöskään suositus siitä, millaisilla työkalulla/tietojärjestelmällä tiedonhallintamallia voitaisiin ylläpitää niin, että sen päivittäminen olisi helppoa ja samalla sen eri versiot säilyisivät, jotta myöhemmin voitaisiin varmentaa ja käyttää muun muassa johdon tukena tietoa siitä, miten tiedonhallinta on muuttunut ajan kuluessa, ja mihin suuntaan sitä tulisi viedä.
      • Maanmittauslaitos, Tietohallintotoimisto
        Päivitetty:
        4.12.2019
        • YLEISTÄ • Yhteentoimivuutta edistävä suositusluonnos ei ole standardinmukainen ja se vaikeuttaa sisällön löydettävyyttä. Suosituksen tulee noudattaa standardien mukaista sisältöä. • Suositusluonnos ei noudata periaatetta ”yksi tieto yhteen kertaan” vaan sinne on kopioitu tekstiä sekä laista että lain perusteluteksteistä. Suosituksesta on karsittava kopioitu tieto. • Suositusluonnos sisältää yleistä tiedonhallintalautakunnan toiminnan ja suositusten laatimismenettelyn esittelymateriaalia. Nämä kohdat tulee poistaa tästä suosituksesta. • Suositusluonnoksessa sekoittuu tiedonhallintamallin kuvausten ensimmäisen tuottamisen ohjeistus, jossa yhteydessä viitataan voimakkaasti nykytilaan sekä ylläpitovaihe. Nämä tulisi pysytä erottamaan toisistaan vai tulisiko tämä suositus rajata nimenomaan ensimmäisen version tuottamiseen. • Suositusluonnoksesta puuttuu rajaus. • Suositusluonnoksen kuvien laatu on huono. Kuvien sisältö tulee esittää selkeämmin ja ymmärrettävämmin. • Suositusluonnoksessa tiedonhallintamalli (= kuvaus) kuvaa tiedonhallintamallia (= sisältö) tiedonhallintamallin (= kehikko) mukaisesti. Teksti tulee tarkistaa termien käytön osalta sekä malli-termin sijamuotojen (esim. mallin vaiko mallissa/mallilla) osalta. OTSIKKO Suosituksen otsikon perusteella sisältönä on suositus tarkoituksesta, suositus laatimisesta ja suositus hyödyntämisestä. Suositus kuvauksen laatimisesta tarpeen. Sen sijaan mitä on mahdollista suositella kuvauksen tarkoituksesta taikka hyödyntämisestä; tarkoitus ja hyödyntäminen on kuvattu jo lain perusteluissa eikä niitä ole syytä kopioida taikka muokata toisin sanoin – ihan varmuuden vuoksi - tässä suosituksessa. SISÄLTÖ Suosituksen sisältö ei ole yhteentoimiva standardointimaailmassa (esim. ISO-standardit, EU:n säädösvalmistelu) käytetyn sisällön kanssa. Dokumentin alkuun tulee pystyä erottamaan omat luvut johdannolle, rajaukselle ja käsitteille. Yhteentoimivuutta edistävän dokumentin tulee olla yhteentoimiva. s. 3 INFO: Mikä on tämän otsikon ja sisällön tarkoitus? INFO-sivun sisältö on purettavissa esim. suosituksen johdantoon, rajaukseen ja käsitteisiin. Suosituksen scope löytyy sivulta 8. LUKU 1 Mikä on tiedonhallintamalli? Luvun 1 perusteella tiedonhallintamalli on sekä kuvaus (kappale 2) että sisäinen määräys (kappale 3) sekä asiakirja (s. 27). Suosituksesta puuttuu nyt käsitteet ja niiden määritelmät. Koko dokumentin sisältö tulee tarkistaa siten, että tiedonhallintamalli korvataan sanalla kuvaus (mikäli se on määritelmä) ja pohtia, onko lauseen sisältö toimiva vai tarkoitetaanko ko. kohdassa tiedonhallintamalli-termillä jotain muuta. Luvussa 1 on termi tiedonhallintamalli mainittu 9 kertaa (yhteensä 122 sanaa), onkohan tässä toistoa? LUKU 2 Suosituksen suhde eräisiin muihin suosituksiin Tämä luku on turha ja tarpeellisilta osin sen sisältö on siirrettävissä rajaukseen. Tiedonhallintalautakunnan toiminnan hallintamallin sekä tulevan lautakunnan suositusten tuottamismenettelyn kuvaaminen ei kuulu tähän suositukseen. Samoin kuva 1 ei kuulu tähän suositukseen ja tulee siirtää muualle tiedonhallintalautakunnan dokumentaatioon. LUKU 3 Tiedonhallintamallin muodostaminen Yksi tieto yhteen kertaan -periaatteen mukaisesti luvussa 3 oleva laista kopioitu osuus tiedonhallintayksiköistä on poistettava. Luvun 3 perusteella tämä suositusluonnos sekoittaa implementaatiovaiheen ja ylläpitovaiheen. Tulisiko implementaatiovaihetta varten laatia oma erillinen suositus? Kuva 2, selkiytettävä, miten kuvan sisältöä tulee tulkita, mitä nuolet tarkoittavat ja miten liittyy suositusluonnoksen sisältöön vai onko oheistietoa, jonka voi jättää pois Kuva 3 (s. 8) on niin sotkuinen, että se on selkiytettävä. Sivun 8 työohjeen Näkökulmat-kuva on epäselvä. Kuva on turha ja sen sisältö on liitettävissä tekstiin. LUKU 4 Tiedonhallinnan järjestäminen Yksi tieto yhteen kertaan -periaatteen mukaisesti luvussa 4 oleva laista kopioitu osuus tiedonhallintamallin sisällöstä on poistettava. Suositusluonnoksessa tiedonhallintamalli (= kuvaus) kuvaa tiedonhallintamallia (= sisältö) tiedonhallintamallin (= kehikko) mukaisesti. Teksti tulee tarkistaa termien käytön osalta sekä malli-termin sijamuotojen (esim. mallin vaiko mallissa/mallilla) osalta.
      • Kansallisarkisto
        Päivitetty:
        4.12.2019
        • Yleisesti Kansallisarkisto toteaa, että suositusten olisi syytä olla yhteismitallisia ja tietyssä luettavammassa muodossa. Niiden tarkoitus on tuottaa lisätietoa siitä kuinka lain tavoitteet on tarkoitus täyttää. Suositusten tulee olla myös selkeämmin kohdennettuja ja niiden tarkoitus tarkkaan harkittu. Suosituksissa on toistetut paljolti hallituksen esityksessä tai laissa esiin tuotua asiaa, missä on etunsa, mutta suosituksen keskiössä tulisi olla vaihtoehtoiset toteuttamistavat ja valinnat. On erityisen tärkeää huomata, että tiedonhallintalautakunnalla ei ole toimivaltaa arkistoinnin tai esimerkiksi AMS:n suhteen. Etenkin tiedonhallintamallin suosituksessa, kuten tiedonhallinnan ohjauksessa muutoinkin, yhteistyö Kansallisarkiston kanssa on tarpeellista, jotta suosituksista muodostuisi käytettäviä ja tarkoitustaan palvelevia. Kansallisarkisto pitää tärkeänä, että tiedonhallintamallin laatimista tuetaan antamalla suosituksia. Lisäksi tarvittaisiin käytännön ohjeistusta ja esimerkkejä, jotka avaisivat tarkemmin lain soveltamista käytäntöön. Suosituksen mukaan tiedonhallintamalliin sisältyy mm. arkistolain 8 §:n 2 momentissa säädetyn arkistonmuodostussuunnitelman (AMS) tietosisältö, ts. asiakirjat ja niiden säilytysajat sekä –tavat. Suosituksesta saa sen käsityksen, että AMS koskee vain analogisia aineistoja, vaikka arkistolaki on säilytysmuotoriippumaton. Suositus asettaa AMS:n ja tiedonohjaussuunnitelman (TOS) rinnakkaisiksi, eikä tarkemmin määrittele kumpaakaan suunnitelma-asiakirjaa. Käytännössä AMS:sta on kehittynyt TOS, ja ne molemmat sisältävät tietoa mm. asiankäsittelyprosesseista ja niissä syntyvistä asiakirjoista/tiedoista sekä näiden oletusarvoisesta henkilötietoluonteesta, julkisuudesta tai salassapidosta (ml. salassapidon peruste ja kesto sekä mistä salassapito alkaa). AMS:aa ja TOS:aa voidaan hyödyntää huomattavasti laajemmin tiedonhallintamallin kuvauksissa kuin vain asiakirjojen säilytysaikojen ja –tapojen osalta. Se millä tavalla AMS, jota arkistolaki edelleen edellyttää, on osa tiedonhallintamallia tulee selvittää tarkemmin ja yhteistyössä lautakunnan ja Kansallisarkiston kesken. Suositus lähtee pitkälti siitä, että siinä erotellaan henkilötietoja sisältävät tiedot sekä ja muut tiedot. Käytännön tasolla nämä tiedot eivät ole useinkaan erotettavissa, etenkin sähköisessä ympäristössä, jossa lähes kaikki tieto on tavalla tai toisella yhdistettävissä henkilöön. Poikkeuksiakin tietysti löytyy. Tietosuoja-asetuksen mukaan rekisterinpitäjä on se, joka määrittää tarkoitukset ja keinot käsittelylle. Viranomaisilla ja tiedonhallintayksiköillä on useita rekistereitä, rekisterinpitäjiä ja kenties yhteisrekisterinpitäjyysjärjestelyjä. Viranomaisen ja tiedonhallintayksiköiden vastuiden kuvaaminen ja yhteensovittaminen rekisterinpitäjän vastuisiin olisi keskeistä suositukselle. Sivulla 20 todetaan, että tietoaineistoon sisältyvät tiedot ovat viranomaisten tehtäviin liittyviä julkisuuslaissa tarkoitettuja viranomaisten asiakirjja tai niitä vastaavia muita tietoja. Mitä ovat mainitut ”vastaavat muut tiedot”? Tarkoitetaanko tällä esimerkiksi arkistolain mukaisia asiakirjoja? Samassa kappaleessa on suosituksen ainoa viittaus analogisiin aineistoihin, joita tulee julkishallinnossa jatkossakin oleman ja joiden elinkaaren hallinnasta tulee huolehtia. Tätä ei kuitenkaan riittävästi tuoda suosituksessa esille. Tietovarantojen kuvaamisen toimenpidepolun kohdassa d. sivulla 22 on käsitteiden sekavuudesta johtuen vaarana väärintulkitseminen, joka voi johtaa arkistointivelvoitteen laiminlyömiseen. Suosituksessa todetaan, että arkistolain nojalla arkistoitavaksi (pysyvästi säilytettäväksi) määrätyistä tietoaineistoista tai asiakirjoista on tiedonhallintamallissa kuvattava tiedot arkistoon siirtämisen ajankohdasta, arkistointitavasta ja arkistopaikasta. Tästä saa sen käsityksen, ettei arkistoitaville tietoaineistoille tai asiakirjoille merkitä säilytysaikaa tai tunnistetta, jolla ne erotetaan määräajan säilytettävistä. Arkistolain mukaan kuitenkin kaikille arkistonmuodostajan toiminnan tuloksena syntyville ja kertyville asiakirjoille on merkittävä säilytysaika, myös pysyvästi säilytettäville (arkistoitaville). Säilytyksen loppuminen ja arkistoinnin alkaminen rajanvetona on hyvin monipuolinen ja vaikea tehtävä. Suosituksessakaan ei oteta kantaa siihen mitä tiedolle tapahtuu tai mitä sille tehdään siinä vaiheessa, kun arkistointi alkaa. Arkistointivaiheen alkaminen ei todellisuudessa tarkoita useinkaan arkistoon siirtoa erillisenä toimenpiteenä, tai siirtoa Kansallisarkistoon ainakaan tieto- tai asiakirjakohtaisesti. Siirrot tapahtuvat isoissa erissä. Tiedonhallintalain 21§ mukainen säilytysajan määritys tulee olla ylätasoista, sillä muutoin arkistointivaiheen alkamisen rajanveto on käytännön tasolla erityisen hankalaa ja työlästä. Arkistotavan ja -paikan määrittelyssä tulee huomioida, että mitä arkisto tarkoittaa ja mitkä asiakirjat kuuluvat arkistoon arkistolain mukaisesti. Tämä on eri asia kuin mitä arkistoinnilla tarkoitetaan perinteiseen suomalaiseen arkistokäsitykseen nähden vieraalla tavalla tietosuoja-asetuksessa ja tiedonhallintalaissa. Näiden asioiden osalta kaivataan erityisesti yhteistyötä Kansallisarkiston ja tietosuojalautakunnan kesken. Samassa kohdassa määritellään, että pysyvästi säilyttävällä tiedolla (joka arkistoterminologiassa on merkitty tähän asti yleisesti tunnisteella SP) tarkoitetaan jatkossa tietoaineistoja tai asiakirjoja, jotka on säädetty laissa pysyvästi säilytettäväksi alkuperäiseen käyttötarkoitukseen. Jos nämä tiedot merkitään jatkossa SP-tunnisteella, miten varmistetaan, että arkistolain mukaan pysyvästi säilytettävät (arkistoitavat) tiedot tulevat arkistoiduksi eivätkä vanhat SP-merkinnät sotkeudu uusiin? Kappaleessa todetaan myös, ettei pysyvästi säilytettäviä asiakirjoja arkistoida. Tämä tarkoittaa asiakirjoja, jotka ovat erityislaeissa säädetty pysyvästi säilytettäviksi. Tuleeko tässä kuitenkin erottaa se, jos nämä tiedot ovat henkilötietoja sisältäviä, että pitkäaikainen säilytys on käytännössä mahdollista vain arkistointitarkoituksessa vai ovatko nämä synonyymejä Samassa toimenpidepolun kohdassa sanotaan: ”Tietovarannoissa olevien tietoaineistojen ja asiakirjojen säilytysajat on määritelty arkistonmuodostussuunnitelmissa TAI käsittelytoimia koskevissa selosteissa”. Selosteet eivät korvaa arkistonmuodostussuunnitelmaa, vaan arkistonmuodostajan on arkistolain mukaan merkittävä säilytysajat edelleen arkistonmuodostussuunnitelmaan. Tästä seuraa jonkin verran päällekkäistä kuvaustarvetta. Yleisesti ottaen toimenpidepolut ovat hyviä, mutta ne voisivat olla havainnollisempia listauksia suoritettavista toimenpiteistä kuvausten laatimiseksi. Osa toimenpidepoluista on kuvattu tarkemmin kuin toiset. Kansallisarkisto esittää huomionaan, että mikä on itse tiedonhallintamallin säilytysaika? Tehdäänkö sen arvonmääritys yleistasoisena ja mikä rooli tiedonhallintalautakunnalla on asiassa?
      • Maa- ja metsätalousministeriö, Tieto- ja tutkimustoimiala
        Päivitetty:
        4.12.2019
        • Maa- ja metsätalousministeriö kiittää mahdollisuudesta antaa palautetta tiedonhallintalain tiedonhallinnan kuvausten suosituksista. Maa- ja metsätalousministeriö pitää luonnosta hyvänä lähtökohtana tiedonhallinnan jäsentyneelle kuvaukselle, joka palvelee laajasti sekä oman organisaation että hallinnonalan viraston tietohallinnon ohjausta ja kehittämistä. Malli näyttää olevan jatkoa kokonaisarkkitehtuurityölle (KA-työ), jossa hyvästä yrityksestä huolimatta ei ole päästy vielä kovin pitkälle. Tiedonhallintamalliin sisältyy siten paljon odotuksia, jotta se täyttäisi kuvatut tavoitteet. Mallin toimivuuden lisäksi on kiinnitettävä vakavasti huomiota mallin toimeenpanon seurantaan koko julkisella sektorilla. Yksittäisin huomioina MMM toteaa, että: - Ministeriöillä pitäisi olla rooli huolehtia siitä, että hallinnonalan tiedonhallintayksiköt tuottavat riittävän yhtenäiset kuvaukset keskinäistä vertailua ja yhteentoimivuuden kehittämistä varten. - Toimenpidepolkujen yhteydessä (3) kuvataan toimintoja, joiden vuoksi tiedonhallintamallia ylläpidetään. Tässä voisi pohtia myös ajantasaisen tiedonhallintamallin roolia tulosohjauksessa. - Tulisi pohtia pitäisikö ohjaussuhteet myös kuvata jotenkin osana mallia (esim. ministeriön ohjaussuhde viraston tiedonhallintaan tms. riippuvuudet). - Tiedonhallintalain 5 §:n 2 momentin mukaan tiedonhallintamallin on sisällettävä vähintään tietyt tiedot. - Olisiko malliin sisällytettävä keskeisten tietoryhmien kuvauksen lisäksi tiedot tietovarannon sisältämistä mahdollisista pysyvistä/virallisista tunnisteista tai vastaavista? - Luonnoksessa todetaan, että tiedonhallintamalliin on kuvattava vähintään nimiketasolla tiedonhallintayksikön toimintaprosessit. Tiedonhallintalaissa toimintaprosessilla tarkoitetaan viranomaisen asiankäsittely- tai palveluprosessia. Tätä olisi hyvä täsmentää siten, että tämä tarkoittaa myös erilaisia tiedonkeruu-, tutkimus- ja seurantaprosesseja ja niiden tuloksena syntyviä tietoaineistoja. - Toimintaprosessien olisi hyvä vastata virastojen osalta tulosohjauksessa tunnistettuja ja/tai käytettyjä ohjauksen kohteita. Näin nämä kaksi kokonaisuutta voidaan kytkeä luontevasti yhteen ja tehdä tarvittaessa viittauksia. - Suositusluonnoksessa todetaan, että tiedonhallintalain 5 §:n 2 momentin 2 kohdan mukaan tiedonhallintamallin on sisällettävä vähintään tiedot tietovarantojen nimikkeistä, kuvaukset tietovarantojen sidoksista toimintaprosesseihin ja tietojärjestelmiin sekä yleisen tietosuoja-asetuksen 30 artiklan 1 kohdassa tarkoitetun selosteen sisällöstä tai, jos selostetta ei tarvitse tietosuoja-asetuksen mukaan laatia, tietovarannosta vastaavasta viranomaisesta, tietovarannon käyttötarkoituksesta, keskeisistä tietoryhmistä tietoaineistoissa, tietojen luovutuskohteista ja tietojen säilytysajoista. Tässä suosituksen osa-alueessa ei mitenkään viitata lain 6 §:ään, jossa todetaan, että kunkin ministeriön on omalla toimialallaan huolehdittava julkisen hallinnon tiedonhallintakartan sisällön ajantasaisuudesta sekä ylläpidettävä yleisiä linjauksia yhteisten tietovarantojen ja tietojärjestelmien yhteentoimivuuden edistämiseksi. Valtioneuvoston asetuksella voidaan säätää tarkemmin julkisen hallinnon tiedonhallintakartan sisällöstä ja ylläpidon toteutuksesta. Tiedonhallintamallin tietovarantojen kuvauksella ja tiedonhallintakartan ylläpidolla tulisi olla selkeä yhteys toisiinsa, jotta vältytään moninkertaiselta työtä. - Tietojärjestelmiä koskevassa kohdassa todetaan, että tietojärjestelmästä vastaava viranomainen voi olla eri toimija kuin tietovarannosta vastaava viranomainen. Olisiko tietojärjestelmien yhteydessä jotenkin kuvattava myös tietojärjestelmien taustalla olevasta perustietotekniikasta (konesalit, pilvitoimittajat, verkkotoimittajat tms.) vastaavat tahot. Valtion puolella se on pääosin Valtori ja sen rooli kokonaisuudessa olisi hyvä tuoda esille. Valtorin lisäksi on myös muita toimittajia. - Suosituksessa olisi hyvä kuvata ja/tai arvioida kuinka suuresta työmäärästä tiedonhallintamallin laatimisessa ja ylläpidossa on kysymys eli kuinka paljon resursseja tähän työhön olisi syytä varata/kohdentaa organisaatioissa. Tiedonhallintamalli-kokonaisuuden arvo riippuu täysin tämän tietovarannon laadusta. Jos työtä ei tehdä vakavasti ja kattavasti, muuttuu tämä työ lähinnä hallinnolliseksi taakaksi (vrt. KA-kuvausten tekeminen).
      • Säteilyturvakeskus
        Päivitetty:
        4.12.2019
        • Säteilyturvakeskus (STUK) kiittää mahdollisuudesta lausua suosituksista. STUKilla ei ole lausuttavaa asiassa.
      • Ålands landskapsregering - Ålands landskapsarkiv
        Päivitetty:
        3.12.2019
        • Utlåtande från Ålands landskapsregering expedierades per e-post till adressen valtiovarainministerio@vm.fi den 3.12.2019, kl. 19.34.
      • Museovirasto
        Päivitetty:
        3.12.2019
        • On hyvä, että tiedonhallintamallin toteuttamisesta on kokonaisohjeistus. Ohjetta lukiessa on kuitenkin selvää, että korttimuotoiselle ohjeistukselle on suuri tarve. Tiedonhallintamalli koskee tiedonhallintayksikössä monia sisältöjä ja mallia laatii niin monta toimijaa, että suositusta lukiessa asiat menevät helposti sekaisin ja kokonaiskuvan saaminen tiedonhallintamallista on vaikeaa. Ohjeet jäävät paikoitellen ylätasolle ja tiedonhallintamalli rakentaminen jää kaipaamaan käytännön tason tukea ja ohjaavuutta säädösten tulkintaan. Suosituksessa todetaan, että ”tiedonhallintamallin laadinta ei ole kertaluontoinen kuvausvelvoite, vaan tiedonhallintamallia on ylläpidettävä aina, kun tiedonhallintayksikön tiedonhallinnassa tapahtuu muutoksia, jotka vaikuttavat tiedonhallintamallin sisältöön”. Tämä tavoite on erittäin hyvä. Tavoitteen saavuttamisen tueksi tarvitaan toimivia työkaluja, joilla tiedonhallintamallin ylläpito on sujuvaa. Suosituksessa mainitaan, että ”tiedonhallintamallin tulee kuvata tiedonhallintayksikön palvelut tai tiedonhallinnan liittymät palveluihin.” Käytännön tasolla jää epäselväksi, millä laajuudella palveluja tulee kuvata - vai tuleeko niitä kuvata? Suositustekstissä mainitaan toisaalla, että ”tiedonhallintalaki ei velvoita kuvaamaan tehtäviä ja palveluita”, mutta käytännössä ne on kuitenkin tunnistettava ja läpikäytävä. Samoin suosituksessa todetaan, että ”tiedonhallintamalliin on kuvattava vähintään nimiketasolla tiedonhallintayksikön toimintaprosessit. Tiedonhallintalaissa toimintaprosessilla tarkoitetaan viranomaisen asiankäsittely- tai palveluprosessia.” Suosituksen tekstiä olisi näiltä osin hyvä yhdenmukaistaa ja selkeyttää, erityisesti palvelujen kuvaamisen prosessi jää osin epäselväksi. Suosituksen liitteenä olisi hyvä olla selkeä listaus esim. niistä JHS-suosituksista, joita edelleen suositellaan käytettäväksi erilaisten kuvausten laatimisessa – mikäli niitä jatkossa suositellaan. Kun tiedonhallintamallissa pyritään yhdistämään aiempia kuvauksia, olisi tärkeää, että suositukseen kootaan yhteen edelleen käyttökelpoiset JHS-suositukset. Kuva 4a/4b ei selvennä käsitystä tiedonhallintamallista ja sen tarkoituksesta. Yleisohjeessa ei kannattaisi käyttää koko valtionhallintoa tai kuntaa esimerkkinä. Kuva kannattaisi joko korvata helppotajuisella yleisesityksellä tai jättää kokonaan pois.
      • Ruokavirasto, MMM M3A arkkitehtuuriryhmä, Kämäri Hannu
        Päivitetty:
        3.12.2019
        • Nämä palautteet ovat kooste MMM hallinnonalan virastojen arkkitehtuuriryhmän kommenteista: YLEISTÄ • Yhteentoimivuutta edistävä suositusluonnos ei ole standardinmukainen ja se vaikeuttaa sisällön löydettävyyttä. Suosituksen tulee noudattaa standardien mukaista sisältöä. • Suositusluonnos ei noudata periaatetta ”yksi tieto yhteen kertaan” vaan sinne on kopioitu tekstiä sekä laista että lain perusteluteksteistä. Suosituksesta on karsittava kopioitu tieto. • Suositusluonnos sisältää yleistä tiedonhallintalautakunnan toiminnan ja suositusten laatimismenettelyn esittelymateriaalia. Nämä kohdat tulee poistaa tästä suosituksesta. • Suositusluonnoksessa sekoittuu tiedonhallintamallin kuvausten ensimmäisen tuottamisen ohjeistus, jossa yhteydessä viitataan voimakkaasti nykytilaan sekä ylläpitovaihe. Nämä tulisi pysytä erottamaan toisistaan vai tulisiko tämä suositus rajata nimenomaan ensimmäisen version tuottamiseen. • Suosituksessa ei täsmennetä tiedonhallintamallin käyttötarkoitusta. Nyt se jää vähän ylätasolle. Tavoitteet ovat olemassa, mutta käytännön toiminnan kuvaaminen uupuu. Onko esim. tarkoitus oikeasti pystyä arvioimaan eri tason karttojen ja mallien avulla suunnitelmien toimivuutta vai onko tarkoituksena tunnistaa tarkempaa tarkastelua vaativat kohdat? Koko arviointi-/lausuntoprosessi pitäisi kuvata tarkemmin. • Suositusluonnoksesta puuttuu rajaus. • Suositusluonnoksen kuvien laatu on huono. Kuvien sisältö tulee esittää selkeämmin ja ymmärrettävämmin. • Suositusluonnoksessa tiedonhallintamalli (= kuvaus) kuvaa tiedonhallintamallia (= sisältö) tiedonhallintamallin (= kehikko) mukaisesti. Teksti tulee tarkistaa termien käytön osalta sekä malli-termin sijamuotojen (esim. mallin vaiko mallissa/mallilla) osalta. • Suosituksessa käytetyt käsitteet pitäisi määritellä (sanasto ja käsitemalli). Käytettävät keskeiset käsitteet ovat kovin monitulkintaisia, joten ne pitäisi avata. Esim. tietovaranto, tietoaineisto, tietoryhmä, tietojärjestelmä. • Laadittu teksti on paikoin hyvin vaikealukuista sisältäen todella pitkiä virkkeitä. Esimerkkeinä taulukko 3 ja Kuva 5. • Tiedonhallintamallin ja -kartan suunnittelussa ei kovin selkeästi näy, että miten ne rakentuvat, jos tiedonhallintayksikkö kattaa usean ministeriön virastoja ja mahdollisesti taustalla tehtäviä toteuttavat kunnat. OTSIKKO Suosituksen otsikon perusteella sisältönä on suositus tarkoituksesta, suositus laatimisesta ja suositus hyödyntämisestä. Suositus kuvauksen laatimisesta on tarpeen. Sen sijaan mitä on mahdollista suositella kuvauksen tarkoituksesta taikka hyödyntämisestä; tarkoitus ja hyödyntäminen on kuvattu jo lain perusteluissa eikä niitä ole syytä kopioida taikka muokata toisin sanoin – ihan varmuuden vuoksi - tässä suosituksessa. SISÄLTÖ Suosituksen sisältö ei ole yhteentoimiva standardointimaailmassa (esim. ISO-standardit, EU:n säädösvalmistelu) käytetyn sisällön kanssa. Dokumentin alkuun tulee pystyä erottamaan omat luvut johdannolle, rajaukselle ja käsitteille. Yhteentoimivuutta edistävän dokumentin tulee olla yhteentoimiva. s. 3 INFO: Mikä on tämän otsikon ja sisällön tarkoitus? INFO-sivun sisältö on purettavissa esim. suosituksen johdantoon, rajaukseen ja käsitteisiin. Suosituksen scope löytyy sivulta 8. LUKU 1 Mikä on tiedonhallintamalli? Luvun 1 perusteella tiedonhallintamalli on sekä kuvaus (kappale 2) että sisäinen määräys (kappale 3) sekä asiakirja (s. 27). Suosituksesta puuttuu nyt käsitteet ja niiden määritelmät. Koko dokumentin sisältö tulee tarkistaa siten, että tiedonhallintamalli korvataan sanalla kuvaus (mikäli se on määritelmä) ja pohtia, onko lauseen sisältö toimiva vai tarkoitetaanko ko. kohdassa tiedonhallintamalli-termillä jotain muuta. Luvussa 1 on termi tiedonhallintamalli mainittu 9 kertaa (yhteensä 122 sanaa), onkohan tässä toistoa? LUKU 2 Suosituksen suhde eräisiin muihin suosituksiin Tämä luku on turha ja tarpeellisilta osin sen sisältö on siirrettävissä rajaukseen. Tiedonhallintalautakunnan toiminnan hallintamallin sekä tulevan lautakunnan suositusten tuottamismenettelyn kuvaaminen ei kuulu tähän suositukseen. Samoin kuva 1 ei kuulu tähän suositukseen ja tulee siirtää muualle tiedonhallintalautakunnan dokumentaatioon. LUKU 3 Tiedonhallintamallin muodostaminen Yksi tieto yhteen kertaan -periaatteen mukaisesti luvussa 3 oleva laista kopioitu osuus tiedonhallintayksiköistä on poistettava. Luvun 3 perusteella tämä suositusluonnos sekoittaa implementaatiovaiheen ja ylläpitovaiheen. Tulisiko implementaatiovaihetta varten laatia oma erillinen suositus? Kuva 2, selkiytettävä, miten kuvan sisältöä tulee tulkita, mitä nuolet tarkoittavat ja miten liittyy suositusluonnoksen sisältöön vai onko oheistietoa, jonka voi jättää pois Kuva 3 (s. 8) on niin sotkuinen, että se on selkiytettävä. Sivun 8 työohjeen Näkökulmat-kuva on epäselvä. Kuva on turha ja sen sisältö on liitettävissä tekstiin. Taulukko 2. Tiedonhallintamallin sisältö kuvastaa sen tarkoitusta. - sisältää ainakin kolme kirjoitusvirhettä. Ylipäätään nämä suosistukset ovat raskasta luettavaa, jota joutuu niin sanotusti tankkaamaan useaan otteeseen, joten huoliteltu kirjoitusasu on tärkeä. Kuvien 4a ja 4b merkitys ei aukea helposti. Onko 4a yleiskuva koko valtiosta vai esimerkki VNK:n osalta. Tuossa hieman outoa, että nimetään yksittäisiä virastoja tiettyjen toimien osalta - kyse lienee esimerkistä. LUKU 4 Tiedonhallinnan järjestäminen Yksi tieto yhteen kertaan -periaatteen mukaisesti luvussa 4 oleva laista kopioitu osuus tiedonhallintamallin sisällöstä on poistettava. Suositusluonnoksessa tiedonhallintamalli (= kuvaus) kuvaa tiedonhallintamallia (= sisältö) tiedonhallintamallin (= kehikko) mukaisesti. Teksti tulee tarkistaa termien käytön osalta sekä malli-termin sijamuotojen (esim. mallin vaiko mallissa/mallilla) osalta. Taulukko 3. on vaikeasti ymmärrettävä. LUKU 6 Toimintaprosessien kuvaaminen Suosituksessa sanotaan: Tiedonhallintamalliin on kuvattava vähintään nimiketasolla tiedonhallintayksikön toimintaprosessit. Laissa puhutaan kuitenkin myös prosessien liitoksista. Liitokset ovat tärkeä osa prosessien ymmärtämistä ja käsitteiden käyttöä. Niitä ei kannata jättää pois suosistuksesta. Etenkin kun käsitteellinen taso on esitetty samassa kappaleessa vaatimuksena.
      • Valtakunnanvoudinvirasto
        Päivitetty:
        3.12.2019
        • Viite: Palautepyyntönne 1.7.2016,VM/1138/03.01.00/2016 Palautepyyntönne koskien tiedonhallintalain tiedonhallinnan kuvausten suosituksia Valtakunnanvoudinviraston palaute Tiedonhallintalautakunnan suositukset ovat tarkeitä yhtenäisen tiedonhallintamallin saavuttamiseksi ja ylipäätään tiedonhallintalain vaatimusten täyttämiseksi. Tiedonhallintayksikön näkökulmasta selkeät ja konkreettiset työkalut tiedonhallintamallin laatimiseksi olisivat tarpeellisia. Palautepyynnön kohteena olevassa suosituksessa olevat mallit osittain tukevat tätä tarvetta, mutta taulukkomuotoinen mallityökalu olisi tervetullut. Sama toive koskee tietoturvaan liittyvää riskienhallintaa. Erilaisia malleja on kyllä tarjolla, mutta hyvä olisi, että valtionhallinnossa olisivat käytössä mahdollisimman yhtenäiset tavat tiedonhallinnan kuvaamiseen. Tämä helpottaisi vuoropuhelua viranomaisten välillä ja helpottaisi myös tiedonhallinnan lainmukaisuuden valvontaa. Toisaalta tiedonhallintamalli kuvaa tiedon käsittelyn nykytilannetta viranomaisessa ja olemassa olevia kuvauksia tulee voida mahdollisimman pitkälle hyödyntää. Valtakunnanvoudinvirastolla ei ole muuta lausuttavaa suosituksen sisällöstä. Hallintovouti Tommi Talvitie
      • CSC - Tieteen tietotekniikan keskus Oy
        Päivitetty:
        3.12.2019
        • CSC pitää tiedonhallintamallia koskevaa suositusta hyvänä ja kannatettavana. Johdon selkeä vastuuttaminen on tärkeää ja mallissa hyvin muotoiltu. Julkisuuslaki toimii tärkeänä pohjana mallille (esitetty hyvin kuvassa 7). Maksimaalisen hyödyn saavuttamiseksi CSC ehdottaa, että jo kuvausten tasolla pyritään yhteentoimivuuteen. Tämä tapahtuu varmistamalla, että käytetty terminologia on yhtenäistä. Esimerkiksi tietovarantojen kuvauksessa on varmistettava, että sanastot ovat riittävän kattavat. Sopiva paikka kommentoida tätä olisi luku 7. Tiedonhallintamalliin tulee myös sisällyttää riittävät tunnistepolitiikat. Tunnisteiden elinkaari ja hallinta tulee ottaa osaksi asiankäsittelyprosessien kuvausta. Tästä on hyvä mainita ainakin luvussa 8.
      • Sisäministeriö
        Päivitetty:
        3.12.2019
        • Palaute tiedonhallintalain tiedonhallinnan kuvausten suosituksista Valtiovarainministeriön lausuntopyyntö Valtiovarainministeriö on pyytänyt sisäministeriöltä mahdollista palautetta tiedonhallintalain tiedonhallinnan kuvausten suosituksista. Kommentoitavat suositukset koskevat tiedonhallintamallia, tietoturvallisuutta (kuusi suosituskorttia), asiakirjajulkisuuskuvausta sekä teknisiä rajapintoja ja katseluyhteyksiä. Sisäministeriön palaute Sisäministeriö toteaa, että tiedonhallintalain velvoitteiden toimeenpanossa suosituksille on nähtävissä selkeä tarpeensa. Voidaan pitää todennäköisenä, että suosituksia sovelletaan laajalti, mikä voi osaltaan edistää yhteentoimivuutta sekä toteutuksien vertailtavuutta ja yhteismitallisuutta. Tämä lisää odotuksia suositusten laatuun. Yleisesti sisäministeriö kiinnittää huomiota suositusten ulkoasun ja oikeakielisyyden viimeistelyyn. Yhdenmukainen ulkoasu ja selkeä, virheetön kieli edesauttavat suositusten käyttöä ja ymmärrettävyyttä. Suositusten korttimuotoinen ulkoasu tekee paikoin epäselvän tekstin lisäksi ymmärrettävyydestä vaikeampaa; digitaalisessa toimintaympäristössä esittämistä ei pitäisi sitoa kirjalliseen sivujulkaisutapaan. Kun huomioon otetaan vielä se, että kortteja on todennäköisesti tarkoitus käyttää digitaalisessa muodossa eikä paperiversioina, on yläotsikkopalkin toistaminen jokaisen kuvitteellisen sivun alussa ainakin epäkäytännöllistä. Analogisessa julkaisussakaan tällainen ulkoasu tuskin on toimiva. Lisäksi kaikkia suosituksia koskevana ja yleisenä asiana sisäministeriö tuo esiin sen, että tiedonhallintayksikön määritelmää olisi sisäministeriön näkemyksen mukaan tarpeen paitsi täsmentää myös perustella. Tiedonhallintayksikön määritelmä etenkin valtioneuvoston ja valtion hallintoviranomaisten osalta kaipaa täsmennyksiä perusteluineen. Sisäministeriö katsoo, että tiedonhallintalain määritelmä on epäselvä ja tulkinnanvarainen ministeriöiden osalta. Ottaen huomioon, että tiedonhallintalaki nimenomaisesti säätää tiettyjä tehtäviä ministeriöille, ja etteivät ministeriöt välittömästi tule katetuksi lain 4 §:n määritelmässä, jää valtioneuvoston ja ministeriöiden rooli epäselväksi. Lisäksi, kun huomioidaan muun muassa valtioneuvoston kanslian rooli ministeriöiden arkistonmuodostajana, valtioneuvoston yhteinen Vahva-asianhallintajärjestelmä ja valtioneuvoston ohjesäännön erityissäännökset valtioneuvoston ja sen ministeriöiden yhteisten hallinto- ja palvelutehtävien vastuusta, ei valtioneuvoston osalta nykytila muutu. Edelleen valtioneuvoston kanslia vastaisi valtioneuvoston ja sen ministeriöiden yhteisestä, muusta kuin toimialasidonnaisesta tiedonhallinnasta. Tämä pitää huomioida tiedonhallintayksikön ja vastuun rajojen määrittelyssä valtioneuvoston ja ministeriöiden osalta. Tiedonhallintamallia koskevassa suosituksessa on täsmennetty tiedonhallintamallin luonnetta, tarkoitusta ja käyttöä, mitä voidaan yleisesti pitää erittäin hyvänä. Suosituksessa havainnollistetaan esimerkein ja havainnekuvin sitä, miltä malli käytännössä voisi näyttää sen eri käyttäjille. Sisäministeriö toteaa, että vaikka mallin esitystavassa vallitsevaa liikkumavaraa voidaan sinänsä pitää tarkoituksenmukaisena, olisi kuitenkin hyvä saada vielä konkreettisempia esimerkkejä ja vaihtoehtoja mallin laadinnan ja ylläpidon tueksi. Suosituksen perusteella ei käy vielä täysin selväksi se, miten mallia ylläpidetään yhtenäisenä dokumentaationa, josta kuitenkin avautuisi eri käyttäjille (esimerkiksi organisaation johto, sidosryhmät, asiakkaat) tarkoituksenmukaisin ja palvelevin näkymä organisaation toimintaympäristön tiedonhallintaan. Suositukseen voisi sisällyttää osion tiedonhallintamallin hallintamallista. Tiedonhallintamallisuosituksen mukaan vastuunjako monitoimijaprosesseissa määräytyy toimintaprosessin käynnistymispaikan tai prosessin kokonaisvastuun, kuten järjestelmävastuun perusteella. Sisäministeriön näkemyksen mukaan vastuukysymyksiä voi olla tarkoituksenmukaisinta lähestyä myös sopimuksellisten tai ylläpitovastuiden eikä välttämättä vain järjestelmän omistajuuden näkökulmista. Tämä olisi hyvä tuoda suosituksessa selkeämmin esiin. Myös kokonaisvastuun sisältöä olisi hyvä täsmentää ja konkretisoida, sillä monitoimijaprosesseja ja -toteutuksia tehdään yhä useammin. Elinkaaren huomioimista tietoja käsiteltäessä koskevan suosituksen alussa on tuotu hyvin esiin tietosuojalainsäädännöstä juontuvaa käsittelytarkoituksen vaatimusta. Vaatimus ei kuitenkaan käy selkeästi ilmi kautta koko suosituksen. Esimerkiksi tiedon arkistointi -osiossa olisi sisäministeriön näkemyksen mukaan hyvä mainita, että tiedon käyttötarkoitus muuttuu, kun tiedot arkistoidaan. Yksityiskohtaisena huomiona sisäministeriö tuo esille sen, että suosituksessa tietoaineistojen vastaanottaminen on yhdistetty tiedonhallintayksikköön. Sisäministeriön näkemyksen mukaan viranomainen vastaanottaa tietoaineistoja. Lisäksi tietoaineistojen säilytys -osion kieliasua olisi hyvä tarkistaa. Samoin siinä olisi hyvä mainita tietoaineistojen muuttumattomuuden varmistaminen. Säilyttäminen on usein tiedon elinkaaren pisin vaihe. Lisäksi tiedon jakamista, siirtämistä ja luovuttamista koskevassa osiossa olisi hyvä arvioida uudelleen käytetty viittaus suojaustasoihin. Riskienhallinta-suositus on tällä hetkellä taustoittava, mutta toisaalta tiivistettävissä. Tiivistetty taustoitus ja konkreettisemmat esimerkit riskienhallintatoimenpiteiksi ja ylipäätään kokonaisvaltaiseen riskienhallintaan edistäisivät suosituksen hyödyntämistä. Sisäministeriö kiinnittää lisäksi yleisesti huomiota erityisesti tietoturvallisuutta koskevien suosituskorttien sävyyn sekä tekstiin sisällytettyihin oletuksiin. Suosituskortit olisi sisäministeriön näkemyksen mukaan laadittava siten, että niillä on yhtenäinen linja ja ne myötävaikuttavat osaltaan tiedonhallintalain tietopoliittisiin tavoitteisiin parantaa tietojen tehokasta luovuttamista ja käyttöä tietoturvallisesti eri toimijoiden välillä. Tällä hetkellä suosituskortit vaikuttavat ainakin jokseenkin laaditun rajoittavasta näkökulmasta, mikä ei välttämättä edistä lain tarkoituksen ja tavoitteiden toteutumista. Niin ikään suoraan tekstiin sisällytetyt oletukset olisi hyvä tarkistaa ja tarvittaessa muotoilla toisin. Asiakirjajulkisuuskuvausta koskeva suositus on laadittu selkeäksi ja käytännönläheiseksi apuvälineeksi. Sisäministeriö pitää hyvänä ja tarkoituksenmukaisena sitä, että suosituksessa nimenomaisesti jätetään tiedonhallintayksikön harkintaan päättää kuvauksen esitystapa, mutta toisaalta suositus täsmentää ja tarkentaa tiedonhallintalain 28 §:ää.
      • Helsingin kaupunki
        Päivitetty:
        3.12.2019
        • Helsingin kaupunki kiittää mahdollisuudesta antaa palautetta tiedonhallintalain tiedonhallinnan kuvausten suosituksista. On hyvä, että tiedonhallintamallista on laadittu suositus. Kuitenkin suosituksen tulisi auttaa tiedonhallintayksikköä lain täytäntöönpanossa. Palautekierroksella oleva suositus jää liian ylätasolle eikä siitä juurikaan ole apua itse tiedonhallintamallin laatimisessa. Mallissa pääosin toistetaan lain tai sen esitöiden sisältöä. Tiedonhallintamallin ydin on vaikeasti hahmotettavissa suosituksesta. Suosituksessa tulisi selkeästi kertoa malliin sisällytettävät pakolliset tiedot, jotta varmistetaan tiedonhallintalain vaatimusten täyttäminen. Suositus jättää tarkkuustason ”osittain tiedonhallintayksikön päätettäväksi” mutta ei täsmennä miltä osin. Suosituksen kuvia ja taulukoita ei avata riittävästi tekstissä, jolloin ne jäävät irrallisiksi tavoitelauseiksi. Suosituksessa ei tekstein tai esimerkein tuoda esiin sitä, miten nykyisistä lakisääteisistä kuvauksista voitaisiin muodostaa koherentti kokonaisuus. Tiedonhallintamalli on selkeästi kaksiosainen, se toisaalta kuvaa miten tiedonhallinta on toteutettava tiedonhallintayksikössä ja muodostaa myös informaatiopohjan. Informaatiopohjaa koskevat kohdat liittyvät johtamiseen, mutta tiedonhallintamallia ei ole kytketty osaksi muuta johtamisjärjestelmää. Suositus nostaa esiin vain johdon näkökulman. Laki käsittelee johtamisen ja järjestämisen omana kokonaisuutenaan ja suositus kuvaa sen tiedonhallintamalliin sisään, joten onko suositus linjassa lain kanssa? Konkretia ja liitokset tiedonhallinnan vastuisiin on esitetty liian epämääräisesti. Tiedonhallintamallityössä tulee selventää entisestään tiedonhallintayksikön ja vastuuviranomaisen tehtävät, jotta tiedonhallintamalli ei jää irralliseksi hallinnolliseksi työksi. Toimintaprosessien kuvaamisessa tulee kiinnittää huomiota prosessien liitoskohtiin ja vastuiden lisäksi toiminnan laatuun liittyviin määrittelyihin. Kuntien sidosryhmät on kuvattu suosituksessa suppeasti. Esimerkkikuvat antavat liian suppean kuvan kuntien tiedonvaihdosta ja velvollisuuksista tuottaa tietoa suhteessa valtioon. Tiedonhallintayksikön käyttämien tietovarantojen kuvaamisessa tulee muistaa, että prosessit saattavat käyttää myös asiakkaiden tai muiden toimijoiden hallinnoimia tietovarantoja tai julkisia tietoaineistoja. Kuntia ohjataan usean ministeriön kautta, joten ministeriöiden tietorakennemäärittelyt eivät saa olla keskenään ristiriidassa. Tiedonhallintamalliin tarvitaan selkeä ydinrakenne ja suositeltavat lisäykset perustellusti, jotta soveltaja näkee hyötyjen kautta, miten soveltaa suositusta. Suositeltavaa olisi, että muut julkaisut ja kuvaukset (esim. kuvaus asiakirjajulkisuuden toteuttamiseksi) tuotetaan tiedonhallintamallissa ylläpidettävistä tiedoista ja vähennetään moninkertaista tiedon keräämistä.
      • Kansaneläkelaitos
        Päivitetty:
        3.12.2019
        • Tiedonhallintamallin tarkoitusta on kuvattu mm. suosituksen sivuilla 4, 6 ja 13. Suositusluonnoksen mukaan tiedonhallintamalli on kuvaus viranomaisen tiedonhallinnasta, toiminnallinen kuvaus toimintaympäristöstä ja lisäksi, tiedonhallintamalli on luonteeltaan tiedonhallintayksikön sisäinen määräys siitä, miten tiedonhallintayksikkö toteuttaa tiedonhallintaansa. Tiedonhallintamallia on tarkoitus käyttää mm. tiedonhallinnan vastuiden tunnistamiseen, määrittämiseen ja toiminnan johtamiseen. Suosituksen perusteella jää epäselväksi, mikä lopulta on tiedonhallintamallin ensisijainen tarkoitus? Onko se tiedonhallinnan yleiskuvaus, sisäinen määräys, johdon työkalu vai kaikkea tätä? Se mitä halutaan painottaa, ohjaa lopulta tiedonhallintamallin rakentumista. Herää väistämättä ajatus myös siitä, asetetaanko tiedonhallintamallille nyt liikaa vaatimuksia? Suositusluonnoksen mukaan tiedonhallintamalliin tulee koostaa tiedonhallinnan kuvaukset johdonmukaiseksi kokonaisuudeksi, josta on mahdollista luoda erilaisia näkymiä. Lauseesta voisi saada käsityksen, että tiedonhallintamalli on väline tai järjestelmä, josta erilaisia näkymiä on mahdollista tuottaa vaivattomasti. Toimintaprosessien osalta ehdotetaan kuvaustavaksi esimerkiksi taulukkoa (kts. 18). Tiedonhallintamallikokonaisuus sisältäisi tietoja mm. tietojärjestelmäselosteista ja –kuvauksista, kokonaisarkkitehtuurikuvauksista, tietosuojaselosteista, arkistonmuodostussuunnitelmista (AMS), tiedonohjaussuunnitelmista (TOS), laatutyöstä, tietotilinpäätöksistä sekä toimintaohjeista. Suositusluonnos ei anna tiedonhallintamallin toteutus- tai esitystapaan muuta konkreettista ohjausta kuin viittauksia taulukkoesitystapaan. Isoissa organisaatioissa yksin TOS-taulukkoja voi olla satoja. Jos tarkoituksena on, että tiedonhallintamallin tulee sisältää eri aikakausina, eri menetelmillä ja välineillä toteutettuja eri tasoisia tiedonhallinnan kuvauksia tai niissä olevia tietoja, tarvitaan tähän tarkoitukseen soveltuvia kansallisen tason yhteentoimivia työkaluja. Tarvitaan myös yhteisesti sovittuja periaatteita tarkoituksenmukaisista kuvaustavoista ja –tasoista. Sivulla 6 on maininta, jonka mukaan tiedonhallintayksikkö voi itse päättää tiedonhallintamallin sekä toimintaprosessien kuvauksien tarkkuustason. Jos jokainen tiedonhallintayksikkö tekee kuvaukset eri tarkkuustasoilla, miten lopputuotokset ovat keskenään vertailukelpoisia tai miten tämä tukee yhteentoimivuuden tavoitteita tai auttaa kokonaisuuden hahmottamisessa? Ei liene myöskään tarkoituksenmukaista, että useat julkisen sektorin viranomaiset kokoavat kukin tahoillaan manuaalisesti tiedonhallintamalleja jälleen kerran uusiin taulukoihin. Kuvassa 1 (sivu 5) on esitetty tiedonhallinnan suositusten muodostama kokonaisuus. Milloin kuvassa mainittu Johdon vastuut –suositus tulee lausunnolle? Tiedonhallintalakia sovelletaan tiedonhallintaan ja tietojärjestelmien käyttöön, kun viranomainen käsittelee tietoaineistoja, jotka sisältävät JulkL:n tarkoittamia viranomaisen asiakirjoja tai niitä vastaavia tietoja. Tuleeko tiedonhallintamalliin sisällyttää ainoastaan ne tietovarannot, jotka sisältävät viranomaisten asiakirjoiksi luokiteltuja tietoja? Tätä olisi hyvä vielä tarkentaa. Asialla on liittymä myös asiakirjajulkisuuskuvaukseen ja tietopyyntötilanteisiin (kts. 6). Tiedonhallintamallia koskeva suositus on paikoin hankalasti hahmotettava ja epäjohdonmukainen. Suuri osa tekstistä on tiedonhallintamallin yleiskuvausta, josta seuraa, että tekemiseen liittyvät osuudet hukkuvat muun tekstin joukkoon. Ehdotetaan suositusluonnokseen korjauksia seuraavilta osin. Tiedonhallintamallin ensisijaista tarkoitusta tulee vielä tarkentaa. Lisäksi olisi syytä tarkentaa mitä tiedonhallintamallin lopputulokselta halutaan ja miltä lopputuloksen tai lopputuotosten tulisi näyttää. Jokaisesta toimenpidepolusta voisi olla prosessimainen kuva, josta ilmenisi, mitä on tarkoitettu syötteeksi ja tulokseksi kussakin polun etenemisen vaiheessa. Tarkennettava miltä osin ja missä asioissa halutaan visuaalista kuvausta, miltä osin taulukoita, miltä osin sanallista kuvausta, kertomusta jne. Tiedonhallintamallin rakentamista tulee analysoida Tiedonhallintalautakunnan toiminnan käynnistyessä vielä tarkemmin. Tiedonhallintamallin rakentamista tulisi pilotoida tai koestaa käytännössä ennen kuin eri tiedonhallintayksiköt ryhtyvät kukin tahoillaan toimeen. Pilottiorganisaatioita tulee ottaa tähän työhön eri kokoisista ja eri toimialueilta (kunta, sosiaali- ja terveydenhuolto, turvallisuusviranomainen jne.) siten, että saadaan kokemusta siitä, miten tiedonhallintamalli todellisuudessa voi rakentua organisaatiossa, jossa asiakirjat ovat pääsääntöisesti julkisia tai vastaavasti jos asiakirjat ovat suurelta osin salassa pidettäviä. Samalla voisi ohjeistaa tiedonhallintamallin eri osien suojaamistarvetta. Tavoitellussa laajuudessa kokonaisuus on salassa pidettävä. Lisäksi tiedonhallintamallissa yhteisesti käytettävistä käsitteistä, koodeista/lyhenteistä (kts. esim. liite 1), kuvaustavoista ja –tasoista sekä menetelmistä tulee sopia. Voisiko pilotointi tuottaa yhteisen kansallisen tiedonhallintamalliratkaisun? Tiedonhallintamallin suositusta tulee selkeyttää siten, että vastuut ja tehtävät nivoutuvat selkeämmin lain siirtymäaikatauluihin. Erilaiset tehtävät rooleittain tulee myös erottua paremmin ja linkittyä selkeämmin toimenpidepolkuihin (esim. osa tiedonhallinnan vastuista kohdistuu viranomaiseen, osa tiedonhallintayksikköön, osa johtoon jne.). Yksittäisinä huomioina sivun 4 ”Mikä on tietohallintamalli” teksti ei vastaa kaikilta osin sivun 12 taulukko 2 ”Tietohallintamallin tarkoitus” sisältöä. Sivulta 4 puuttuu taulukon 2 ”Tiedonhallintayksikön toimintaympäristön tiedonhallinnan määrittäminen”. Lisäksi taulukko 2 ”Tietohallintamallin tarkoitus” voisi olla jo sivulla 4.
      • Oikeusrekisterikeskus
        Päivitetty:
        3.12.2019
        • Oikeusrekisterikeskuksen arvion mukaan valmiit mallipohjat ovat erittäin hyödyllisiä ja tulevat helpottamaan tiedonhallintayksiköiden kuvausten laadintatyötä. Tarkemmin voisi vielä arvioida, olisiko kehitettävä tiedonhallintamallin taulukkomuotoinen laatimismalli mahdollista tehdä ns. tehtävä-/ käsittelyprosessilähtöiseksi (vrt. tehtäväluokitukset). Tämä voisi helpottaa mallin hyödyntämistä, sillä voimassa olevien käytäntöjen mukaan organisaatiot ovat tottuneet kuvaamaan tehtävänsä tehtäväluokitukseen, joka toimii esimerkiksi asianhallintajärjestelmissä organisaation asiankäsittelyn runkona. Niin ikään Oikeusrekisterikeskuksen arvion mukaan malli kannattaa pitää riittävän yksinkertaisena, jotta sen hyödyntäminen ja ylläpito helpottuvat. Jos organisaatio on esimerkiksi jo laatinut tietovarannoista tietosuojadokumentaation ja asiankäsittelyprosesseista tiedonohjaussuunnitelmakuvaukset asianhallintajärjestelmien taustalle, voi tiedonhallintamalli toimia näiden eri tarkoituksiin laadittujen kuvausten yhteenvetopaikkana, jonka kautta tarkentavaan dokumentaatioon on mahdollista navigoitua riippuen organisaation tietoon tarvittavasta tulokulmasta.
      • Senaatti-kiinteistöt, Konttinen Petri
        Päivitetty:
        28.11.2019
        • Yleiset huomiot Tiedonhallintalautakunnan suosituksissa viitataan monin paikoin VAHTI-ohjeisiin. Suositusten johdannossa olisi syytä todeta, mikä on tiedonhallintalautakunnan ja julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) välinen tehtäväjako sekä lautakunnan antamien suositusten ja VAHTI-johtoryhmän antamien VAHTI-ohjeiden välinen suhde. Palvelujenhallinta jää käsitteenä vieraaksi, toisin kuin asianhallinta. Tätä pitäisi avata tarkemmalla määrittelyllä ja esimerkeillä. Suosituksen mukaan tiedonhallintamalli on luonteeltaan tiedonhallintayksikön sisäinen määräys siitä, miten tiedonhallinta on toteutettava tiedonhallintayksikössä käsiteltäessä tietoaineistoja. Tiedonhallintayksikkö voi päättää itse, mikä on sen tarpeisiin riittävä toimintaprosessien kuvaustaso ja -tarkkuus. Tämä on erityisen hyvä linjaus, jotta tiedonhallintamalli voi oikeasti hyödyttää organisaatiota, sen lisäksi että sillä osoitetaan myös organisaation lainmukaisuus. Suosituksessa todetaan, että tiedonhallintamalliin sisältyy arkistolain 8 §:n 2 momentissa säädetyn arkistonmuodostussuunnitelman tietosisältö. Tämä tuskin tarkoittaa koko AMS:n tietosisältöä, mikä olisi työläs ja tarpeeton vaatimus. Olisi tarpeen ohjeistaa tarkemmin mitä tässä edellytetään.
      • Liikenne- ja viestintäministeriö
        Päivitetty:
        26.11.2019
        • Tämä palaute annetaan lausuntopalvelu.fi :ssä pyynnön mukaisesti. Liikenne- ja viestintäministeriö (LVM) kiittää mahdollisuudesta antaa palautetta viiteasiakirjaan liittyen. LVM on tutustunut luonnoksiin tiedonhallintalain täytäntöönpanoa tukeviksi suosituksiksi ja lausuu seuraavaa - rakenne on pyynnön mukaisesti aseteltu. Tiedonhallintamallia on kuvattu asiakirjassa (luonnos 6.11.2019) ”Tiedonhallintalautakunnan suositus - Tiedonhallintamallin tarkoitus, laatiminen & hyödyntäminen”. Kuvaus on riittävän yksityiskohtainen ja selkeä. Yleisinä kommentteina toteamme seuraavaa. Tietoturvallisuus ja riskienhallinta on huomioitu hyvin ja riittävällä tasolla. Tiedonhallintamalli näyttäytyy lähinnä nykytilankuvauksena, jota LVM pitää hyvänä lähtökohtana. Esitetty tiedonhallintamalli antaa väljyyttä tiedonhallintayksiköittäin priorisoida, omista lähtökohdista, fokusta keskeisiin tiedonhallinnan osa-alueisiin. Kehittämisen näkökulmasta emme usko, että esitetty malli vastaa vielä siihen tarpeeseen, että syntyisi yhteinen Valtioneuvoston saatikka valtiohallinnon tai julkisen hallinnon tiedonhallintamalli tai koordinointimalli. Pelkästään hallinnonalan saatikka toimialan yhteinen tiedonhallintamalli taikka koordinointimalli ei synny vielä tällä rakenteella. Malli on kuitenkin hyvä lähtökohta pyrkimyksissä yhteisiin rakenteisiin.
      • Kross Guido, corpus delecti - IHMISET ovat korkeimpia, ei valtio
        Päivitetty:
        19.11.2019
        • Excess mortality in persons with severe mental disorders (SMD) is a major public health challenge that warrants action. (WHO) Jokaisella ihmisellä on oikeus ihmisarvoon ja fyysiseen, henkiseen ja moraaliseen koskemattomuuteen Tiedonhallintalain valmistelua tehtiin yhdessä - Lain täytäntöönpano on kaikkien viranomaisten vastuulla https://valtioneuvosto.fi/artikkeli/-/asset_publisher/10623/tiedonhallintalain-vaikuttavuus-edellyttaa-aktiivista-taytantoonpanoa "On aika Suomessakin miettiä uusiksi ainakin käsitykset siitä, kenen etuja valtio ajaa? Mitä on yleinen ja yhteinen etu? Mitä on demokratia ja tasa- arvo? " OM 2007 "Konfliktit ovat osa ihmisten välistä vuorovaikutusta. Niitä tapahtuu eri tasoilla, yksilöiden väliltä aina valtioiden tasolle silloin, kun intressit, toiveet, halut tai arvot joutuvat vastakkain. Yleensä yksilökonflikteihin liittyy jonkinlainen erimielisyys, joka voi synnyttää monenlaisia tunnekokemuksia." UNOCHA defines human security in the following way: Human security is far more than the absence of violent conflict. It encompasses human rights, good governance and access to economic opportunity, education and health care. It is a concept that comprehensively addresses both ‘freedom from fear’ and ‘freedom from want’. http://ochaonline.un.org The most important function of government is to provide protection. Kaikkialla maailmassa koulujen tulisi opettaa tuntemaan omat oikeudet. Tavallisen kansalaisen pitää tietää, että omia oikeuksiaan voi ja pitää puolustaa." (maailmankuvalehti.fi) Whereas governments have the responsibility to promote and protect the right to seek and receive information as a fundamental prerequisite to ensuring public participation in governance, (UNESCO) Hallitusten tehtävänä on edistää ja suojella oikeutta etsiä ja vastaanottaa tietoja, koska se on perusedellytys varmistaa yleisön osallistuminen hallintoon, s.3 Vuonna 1986 YK: n yleiskokous hyväksyi julistuksen oikeudesta kehitykseen.194 Tämä väline vahvistaa kaikkien ihmisoikeuksien keskinäistä riippuvuutta ja jakamattomuutta ja pyrkii tarjoavat puitteet useille kysymyksille (9 artikla). Oikeutta kehitykseen pidetään kaikkien ihmisten ja kansojen luovuttamattomina ihmisoikeuksina osallistua taloudelliseen, sosiaaliseen, kulttuuriseen ja poliittiseen kehitykseen (1 artikla), ja valtioilla on ensisijainen vastuu luoda edellytykset sen toteuttamiselle ( 3 artikla), mukaan lukien velvollisuus laatia kansainvälinen kehityspolitiikka (4 artikla). Poliittisesti etuoikeudettuja yhteiskuntaryhmiä ei ole enää olemassa , - Suomi on täysivaltainen tasavalta. PL 22 §. Julkisen vallan on turvattava perusoikeuksien ja ihmisoikeuksien toteutuminen. Vain ihmiset voivat seistä ja puolustaa perustuslakia, koska perustuslaki ei pysty puolustamaan itseään, eikä byrokraatit koskaan tee sitä. Declaration on Preparation of Societies for Life in Peace (UN) kansainvälisen lain vastainen hyökkäyskielto (periaate 2); jokaisen valtion velvollisuus edistää monipuolista, molempia osapuolia hyödyttävää ja oikeudenmukaista poliittista, taloudellista, sosiaalista ja kulttuurista yhteistyötä muiden valtioiden kanssa (periaate 4); heidän velvollisuutensa kunnioittaa kaikkien kansojen oikeuksia itsemääräämiseen, itsenäisyyteen, tasa-arvoon ja suvereenisuuteen (periaate 5); ja heidän velvollisuutensa estää kaikkia kolonialismin, rasismin, rotusyrjinnän ja apartheidin ilmenemismuotoja ja käytäntöjä (periaate 7). Julistuksessa kehotetaan myös kaikkia valtioita panemaan nämä periaatteet täytäntöön. Laite suosittelee lopuksi, että asianomaiset hallitustenväliset ja kansalaisjärjestöt sekä Yhdistyneet Kansakunnat ja sen erityisjärjestöt ryhtyvät asianmukaisiin toimiin tämän julistuksen täytäntöönpanemiseksi. Myös Ihmisoikeuksien ja perusvapauksien suojaamista koskeva yleissopimus ja muut sopimukset, ovat sitovia. (EU: hun halukkaan maan on noudatettava "poliittista kriteeriä", mikä tarkoittaa, että sen on osoitettava ihmisoikeuksien, demokratian ja oikeusvaltion kunnioittamisen korkea taso.) Vammaissopimus on osa kansallista velvoittavaa lainsäädäntöä. Sopimus velvoittaa jäsenvaltiot toisaalta osallistamaan vammaiset henkilöt kaikkeen heitä koskevaan päätöksentekoon. OSALLISTUMINEN POISSULKEMINEN Ensinnäkin henkilön tai ryhmän kulttuurisen syrjäytymisen voi joskus olla sellainen, että hän ei salli tämän henkilön tai ryhmän osallistua yhteiskuntaan tavalla, jolla muille sallitaan ja kannustetaan tekemään. Tätä voidaan kutsua "osallistumisen poissulkemiseksi". Ihmisoikeuksien yleismaailmalliseen julistukseen vuodelta 1948. Sen 22 artiklassa säädetään: "Kullakin henkilöllä on yhteiskunnan jäsenenä oikeus sosiaaliseen turvallisuuteen, ja hänellä on valta saada nauttia taloudellisia, yhteiskunnallisia ja sivistyksellisiä oikeuksia, jotka ovat välttämättömiä hänen ihmisarvolleen ja hänen henkilöytensä kehittymiselle" Joissakin tapauksissa syrjinnän vastaisessa politiikassa käytetyt tunnusmerkit viittaavat suoraan kulttuurisiin ominaisuuksiin. Tämä koskee erityisesti uskonnollisten yhteisöjen syrjintää, mutta sitä voidaan soveltaa myös ryhmiin, jotka määritellään kielellä, sosiaalisella alkuperällä tai muulla tunnistusominaisuudella. Ilman ihmisten osallistumista osallistumiseen voi liittyä eri henkilöiden ominaisuuksia, kuten sukupuoli, etnisyys tai uskonto. Syrjinnän ensisijainen perusta monissa tapauksissa osallistumisen poissulkemisessa on asianomaisten ihmisten kulttuuriyhteys, mikä johtaa heidän syrjäytymisestään osallistumiseen koulutukseen tai työllisyyteen tai poliittiseen päätöksentekoon. Kaikki lait pitää olla sellaiset, että ne ovat yhteiseksi hyödyksi, ja sen tähden, kun laki tulee vahingolliseksi, ei se enää ole laki, vaan vääryys, ja on hylättävä (7. tuomarinohje). On kuultava ainakin kaikkia niitä ryhmiä, joiden alalla suunniteltu hanke/lainsäädäntö vaikuttaa. Yhdenvertaisuusloukkaukset ilmenevät usein ns. omien suosimisena. Institutionalisoitu rasismi: epätasa-arvoisuus rakennetaan tarkoituksellisesti sisään valtiollisiin instituutioihin (lainsäädäntö) Hyvä hallinto käsittää oikeusvaltion ja demokratian periaatteiden noudattamisen, korruptionvastaisuuden ja tasapuoliset osallistumismahdollisuudet Rikollisuus on yhteydessä syrjäytymiseen. Vaikutussuhde on molemminpuolinen: syrjäytyminen edistää rikollisuutta ja rikolliseksi leimautuminen syrjäytymistä. Tulevaisuuden uhkana ovat "rikolliset luokat". Vaarana on, että maahan on syntymässä pysyvästi työelämän ja muiden lailliseen yhteiskuntaan yksilöä kiinnittävien järjestelmien ulkopuolinen laaja väestönosa. "Kaikilla yhteiskunnassa tehtävillä päätöksillä on myös sosiaalisia ja terveydellisiä vaikutuksia" Järjestäytynyt rikollisuus, kuten rikollisuus yleensä, ei leviä sattumanvaraisesti. Suomea sitovat kansainväliset velvoitteet ovat vähimmäisstandardeja. HE92+2002 ”On vaikea osallistua, ellei tiedä asioista, eikä omalla kielellä ole mahdollisuutta saada sitä tietoa” "sosiaalinen tasa-arvo ja ihmisten tasavertainen kohtelu eivät missään tapauksessa tarkoita samanlaisuutta" __ Esitän tällä kirjeellä ilmeisyysvaatimuksen sekä huonontamiskiellon toimimisvaatimuksen! Kaikki kanslaisia pitä asiassa kuulla, kun koko viranomaistoiminta on jo veroilla katettu. VIROANOMASET OVAT KANSALAISILLA TÖISSÄ!!! _ Sopimussuhteen ulkopuolinen vastuu– Riittävän ilmeinen yhteisön oikeuden rikkominen! Täytäntöönpanotoimien toteuttamista koskeva velvollisuusvaatimus! TÄLLÄINEN MENETELMÄ EI OLE TASA-ARVOISTA KUULEMINEN, JA ON SELVÄSTI TSSn(ICESCR) sekä KPn (ICCPR) SOPIMUSTEN VASTAINEN MENETTELY! "Koska molemmilla välineillä on lausekkeet, jotka velvoittavat sopimusvaltiot takaamaan oikeutensa kaikille heidän lainkäyttövaltaan kuuluville henkilöille, heidän hakemuksensa eivät rajoitu ratifioivien valtioiden kansalaisiin. Kaikilla maahanmuuttajilla, myös sääntöjenvastaisilla, on oikeus näiden välineiden suojeluun." Viivytyksettä on otettava mukaan kaikki kansalaiset, ja jokaista henkilöä pitää tosiasialliseti kuulla, myös ulkomaalaisa. Ikääntyneitä (65 vuotta täyttäneitä) on Suomessa 1,2 miljoonaa, joista n. 500 000 ei ole käyttänyt verkkopalveluita (Tilastokeskus 2015).  Kielimuurin taakse jäävät esimerkiksi maahanmuuttajat TYÖRYHMÄ EI OLE OTTANUT MUKAAN SÄÄTÄMISVAIHESSA KANSALAISIA! TYÖRYHMÄ ON JÄTTÄNYT HUOMIOTTA KANSALAISTEN ITSEMÄÄRÄMISOIKEUDET, KANSAINVÄLISET IHMISOIKEUSSOPIMUKSET SEKÄ MAAN PERUSTUSLAIN. Euroopan ihmisoikeussopimus (yleissopimus ihmisoikeuksien ja perusvapauksien suojaamiseksi) _ YK:n taloudellisia, sosiaalisia ja sivistyksellisiä oikeuksia koskevan kansainvälisen yleissopimuksen (SopS 6/1976; TSS-sopimus) 2 artiklassa edellytetään, että sopimuksessa mainittuja oikeuksia käytetään ilman minkäänlaista muun muassa kieleen perustuvaa syrjintää. _ "Vammaiset henkilöt toivovat riittävää sosiaaliturvaa ja aitoa osallisuutta" "Vastauksissa korostettiin tuettua päätöksentekoa ja vammaisten ihmisten mielipiteiden aitoa kuulemista ja huomioon ottamista." Suomi on ratifioinut YK:n vammaissopimuksen. Vammaissopimus on siten osa kansallista velvoittavaa lainsäädäntöä.Sopimus velvoittaa jäsenvaltiot toisaalta osallistamaan vammaiset henkilöt kaikkeen heitä koskevaan päätöksentekoon ja toisaalta keräämään tietoa sopimukseen perustuvien velvoitteiden täytäntöönpanosta ja esteistä, joita vammaiset henkilöt kohtaavat käyttäessään oikeuksiaa Vammaisten henkilöiden oikeuksista tehty YK:n yleissopimus ja sen valinnainen pöytäkirja tulivat Suomessa voimaan kesäkuussa 2016. Vammaissopimuksen tarkoituksena on taata vammaisille henkilöille täysimääräisesti ja yhdenvertaisesti kaikki ihmisoikeudet ja perusvapaudet, edistää ja suojella näitä oikeuksia ja vapauksia sekä edistää vammaisten henkilöiden ihmisarvon kunnioittamista. Valtion keskeisenä tehtävänä on turvata ihmisarvon loukkaamattomuus yhteiskunnassa. Tämä on kaikkien perus- ja ihmisoikeuksien lähtökohta. Ihmisarvon vastainen kielto koskee sekä fyysistä että henkistä kohtelua. Se on tarkoitettu kattamaan kaikki julmat, epäinhimilliset tai halventavat rangaistuksen tai muun kohtelun muodot. "Eriarvoistuminen on Suomessa keskeinen turvattomuustekijä" SM Julkinen toiminta on perimmiltään toimimista kansalaisten valtuutuksella, kansalaisten varoilla ja kansalaisten eduksi. (VM virkamieseetiikka 8/2000) "Suomalaisen demokratian suurimpana haasteena voidaan pitää äänestysaktiivisuuden laskemista ja osallistumisen eriarvoistumista." Eriarvoistuminen on Suomessa keskeinen turvattomuustekijä SM Yleisö tarvitse oikeusturvaa kaikissa häntä koskevissa ratkasussa, olipa kysymys yksityisten henkilöiden tai yhtesöjen päätöksistä ja toimenpiteistä. Oikeusturva tarve on erityisen suuri hallinnon alalla. Julkisoikeudellinen lainsäädäntö koskee kaikkia kansalaisia. Esimerekkeinä voidaan mainita veroitus, sosiaaliturva, kaavoitus ja seutusuunnittelu, ympäristösuojelu, terveydenhuolto, opetustoimi, julkisen yhteisöjen keskeiset sekä niiden ja yksityisen kansalaisen väliset suhteet. Kehitys on samalla lisännyt ristiriitojen syntymisen mahdollisuutta. Seurauksena on vastaavasti tarve kehittää sitä menettelyä, jossa julkisoikeudelliset ristiriidat ratkaistaan. OM ”Perus- ja ihmisoikeudet kuuluvat kaikille. On kuitenkin ihmisryhmiä, joiden kohdalla oikeudet eivät toteudu, ellei niihin kiinnitetä erityistä huomiota ja toteuteta erityisiä toimia oikeuksien varmistamiseksi. Vammaiset ihmiset ovat yksi tällainen ihmisryhmä. Tämän vuoksi on tarvittu YK:n vammaisten henkilöiden oikeuksien yleissopimus ja tämän vuoksi tarvitaan myös erityisiä kansallisia toimia”, totesi sosiaali- ja terveysministeri Pirkko Mattila toimintaohjelman julkistustilaisuudessa 13.3. (STM 13.3.2018 13.00 Tiedote 33/2018) Katson, että on laiminlyöty kansalaisten itsemäärämisoikeutta kun kuulemiset on osoitettu suroraan vain tietyille tahoille, muttei esim. kansalaisjärjestöille eikä edes ulkomaalaisryhmille jotka eivät osaa suomea. Eduskunta pitää antaa välittömästi epäluottamuslauseen tai saattaa oikeudelliseen vastuuseen valtioneuvoston, joka toimii TSS-sopimuksen vastaisella tavalla. Viiytyksettä, heti on siis ryhdyttävä täyttämä kansalais- sekä virkavelvollisuuksia! Heti pitää ottaa mukaan lakien sekä asetusten säätämiseen kaikki kansalaiset, mm. ulkomaalaiset! Suomessa ei julkisessa keskustelussa, varsinkaan kuntien osalta, juuri tiedosteta TSS-oikeuksienkin olevan ihmisoikeuksia. Kautta linjan puhutaan hyvinvoinnista ja sosiaali- ja terveyspalveluista – ei koskaan yksilön oikeuksista – ja etenkin vaikeuksista rahoittaa nämä palvelut. Kaikki ihmisoikeudet ovat kuitenkin jakamattomia ja toisistaan riippuvaisia. Tämä koskee KP- ja TSS-oikeuksia riippumatta siitä, paljonko ne edellyttävät resursseja. TSS sopimuksen (ICESCR) sekä KP-sopimuksen (ICCPR) laiminlyönti DECLARATION OF PRINCIPLES ON EQUALITY -laiminöyönti Jokainen laki sekä asetus koskee siis jokaista kansalaista, mutta heitä ei ole edes kuultuu eikä heitä ole otettu asian valmisteluun. On kuultava ainakin kaikkia niitä ryhmiä, joiden alalla suunniteltu hanke/lainsäädäntö vaikuttaa(OM). Tälläinen toimintaa on maan perustuslain sekä ihmisoikeussopimusten mm. KP:n sekä TSS vastainen, ja on räikeä rikkomus kansalaisten kohtiin kansalaisten näkökulmasta, asiaan kohdistuu siis syrjintää, sananvapuden estäämistä, vainoa, korruptioa. (Sosiologisessa merkityksessä korruptio on liidetty myös intressikonflikteihin. Näin siksi, että konflikteja voidaan ratkaista lahjonalla tai muulla tavoin tukemalla päätöksentekijöitä tietun intressantin etujen turvaamiseksi. Tälläistä toimintaa on pidetty korruptiivisena silloinkin, kun lakeja ei ole rikottu.) Lakien ja asetuksien laatimisessa/säätämisessä haluttaan rikkoa (rikotaan systemaattisesti) perustuslakia sekä kansainvälisiä ihmioikeussopimuksia! YK:n ja sen erityisjärjestöjen sopimukset ja velvoitteet. Yhdistyneiden kansakuntien (YK) kansalaisoikeuksia ja poliittisia oikeuksia koskevan kansainvälisen yleissopimuksen (SopS 8/1976; KP-sopimus) monet määräykset koskevat kielellisiä oikeuksia. Sopimuksen 2 artiklassa, joka velvoittaa sopimusvaltiot takaamaan jokaiselle alueellaan olevalle ja oikeuspiiriinsä kuuluvalle yksilölle sopimuksessa tunnustetut oikeudet ilman syrjintää, mainitaan kiellettynä erotteluperusteena kieli. ESITTÄN KAIKKIEN KANSALAISTEN SEKÄ NÄKEMÄTTÖMIEN KANSALAISRYHMIEN PUOLESTA ilmeisyysvaatimuksen, intressikonfliktin poistamisvaatimuksen, kaikkien kansalaisten osallistumista ja kuulemista koskevan vaatimuksen, - tasapuolisuusvaatimuksen “equality of arms" sekä oikeutettujen odotusten suojan vaatimuksen. Lainsäädäntö on oikeusjärjestyksen kesikeinen osa, ja ihmisoikeudet ovat yksilön oikeuksia, joita valtio ei voi pidättää itselleen. Viiytyksettä, heti on ryhdyttävä täyttämä virkavelvollisuuksia! KAIKKIA KANSALAISIA PITÄÄ ASIASSA AIDOSTI KUULLA , EI VAAN TIETYJÄ ETURYHMIÄ!!! Lisäperusteluja: Perustuslain 6 §:n yhdenvertaisuussäännös. PL 2.3 §:stä johdettu lakisidonnaisuus luo yksilölle oikeuden vaatia ja edellyttää, että viranomaiset toteuttavat laissa määritellyt oikeudet ja edut. Perusoikeussuojan alkamis- ja päättymisajankohta Ehdotuksen lähtökohtana on, että perusoikeudet kuuluvat luonnollisille henkilöille heidän elinaikanaan. Ihminen tulee siten perusoikeuksien haltijaksi täysimääräisesti syntymänsä hetkellä ja on niiden suojan piirissä kuolemaansa asti. (HE 309/1993) Eduskunnan perustuslakivaliokunta on eri yhteksissä korostuanut hallituksen velvollisuutta huolehtia ihmisoikeusnormien asianmukasesta huomioon ottamisesta lainvalmistelussa (ks. PeVM 3/1988 vp. ja PeVL 2/1990 vp.) Perusoikeusnormit sitovat yleisesti kaikkia lainsäädämisprosessiin osallistuvia valtioelimiä (Hiden 1971, 18-19) Eduskunnan on tehtävä hallituksen budjettiesitykseen sellaiset muutokset että sopimuksen määräys kaikkien käytettävissä olevien voimavarojen keskittämisestä sosiaalisten oikeuksien toteuttamiseen tulee toteutetuksi. Samoin eduskunnalla on velvollisuus käyttää poliittista ja oikeudellista kontrollivaltaansa sopimuksen toteuttamiseksi esim. niin, että eduskunta antaa epäluottamuslauseen tai saattaa oikeudelliseen vastuuseen valtioneuvoston, joka toimii TSS-sopimuksen vastaisella tavalla’’ (Kansainväliset ihmisoikeudet, 1988, Heikki Karapuu s. 84). KP- sopimuksen 26 artiklan mukaan kaikki ihmiset ovat oikeudellisesti yhdenvertaisia ja oikeutettuja ilman minkäänlaista syrjintää yhtäläiseen lain suojaan. Sopimuksen kansallista noudattamista valvova YK:n ihmisoikeuskomitea on katsonut tämän sopimusmääräyksen edellyttävän, että suojan syrjintää vastaan tulee kattaa viranomaistoiminta kokonaisuudessaan sekä yksityisten väliset oikeussuhteet keskeisillä elämänaloilla kuten työ ja asuminen. Syrjityksi tulleella on sopimuksen 2 artiklan perusteella oltava käytettävissään tehokkaat oikeussuojakeinot. Oikeusministeriö 6.10.2017 12.26 Tiedote Oikeusvaltioperiaatetta kunnioitettava Oikeusministeri Häkkänen esitti puheessa myös huolensa siitä, että EU-maissa on ilmennyt lipsumista oikeusvaltioperiaatteesta. Useat oikeudellisesti sitovat kansainväliset velvoitteet asettavat Suomelle täsmälliset vaatimukset siitä, millä tasolla oikeusturvan tulee maassamme olla. Näiden vaatimusten voimassaolo ei riipu siitä, millaiset taloudelliset tai poliittiset suhdanteet maassamme tai ympärillämme kulloinkin vallitsevat. Tätä seikkaa ei voi sivuuttaa, vaan oikeuslaitoksen toimintaan tehtävien taloudellisten panostusten tulee olla linjassa sen kanssa, mitä oikeusjärjestelmän toiminnalta kansainvälisten velvoitteiden ja oman prosessilainsäädäntömme puolesta vaaditaan. ( lml_oikeusturvaohjelma ) Julkisen vallan sekä kansalais- ja järjestötoiminnan herkkä suhde Laajamittaisempana käytännön toiminnan muutosprosessina kumppanuustyötä voidaan käynnistää vasta siinä vaiheessa, kun tulevat maakunnat ja uudistuvat kunnat pääsevät vauhtiin käytännön toiminnan rakentamisessa. Kumppanuudessa toimittaessa tärkeimpiä lähtökohtia ovat yhdenvertaisuus, luottamus, avoin vuorovaikutus sekä toisen osapuolen lähtökohtien tunteminen ja niiden kunnioittaminen. Julkinen valta – valtio ja kunnat – eivät myöskään voi eivätkä saa määritellä kansalaisyhteis-kunnalle rooleja ja tehtäviä, jotka esimerkiksi kansalais- ja järjestötoimijoiden tulisi ottaa vastaan. Kansalais- ja järjestötoiminta perustuu aina ihmisten omaan haluun osallistua ja vaikuttaa. Kansalais- ja järjestötoiminnan eetos lähtee aina alhaalta ylöspäin, eikä julkinen valta voi koskaan yksipuolisesti määritellä kumppanuudenkaan agendaa. (TEM) UM: Ihmisoikeudet kuuluvat kaikille Merkittävin ja tunnetuin ihmisoikeuksia koskeva asiakirja on YK:n yleismaailmallinen ihmisoikeuksien julistus vuodelta 1948. Julistuksen pohjalta on solmittu joukko kansainvälisiä ihmisoikeussopimuksia. Julistuksen ydinsanoma on, että ihmisoikeudet ovat kaikkien ihmisten synnynnäisiä oikeuksia eikä valtio tai kukaan muukaan voi niitä yksilöltä riistää. Ihmisoikeudet ovat samat kaikille ihmisille riippumatta rodusta, ihonväristä, sukupuolesta, kielestä, uskonnosta, poliittisesta mielipiteestä, omaisuudesta, syntyperästä tai muista vastaavista seikoista. Ihmisoikeuksien julistus kattaa keskeiset ihmisoikeudet: sekä niin sanotut kansalais- ja poliittiset oikeudet (KP-oikeudet) että niin sanotut taloudelliset, sivistykselliset ja sosiaaliset oikeudet (TSS-oikeudet). Kansalaisoikeudet turvaavat jokaiselle ihmiselle henkilökohtaisen vapauspiirin, johon julkinen valta ei saa puuttua. Poliittiset oikeudet suojaavat yksilön osallistumista vapaaseen yhteiskunnalliseen toimintaan. TSSoikeudet eroavat sikäli KP-oikeuksista, että niiden toteutuminen edellyttää yleensä julkiselta vallalta aktiivista toimintaa eikä pelkästään pidättäytymistä puuttumasta yksilön vapauspiiriin. Ihmisoikeuksien yleismaailmallisuuden ja jakamattomuuden periaate vahvistettiin ihmisoikeuksien maailmankonferenssissa Wienissä vuonna 1993. KP- ja TSS-oikeudet ovat yhtä tärkeitä ja niiden toteutuminen liittyy toisiinsa. Sananvapaudella on merkitystä vain silloin kun ihmiset osaavat lukea. Tiedotusvälineet, sananvapaus ja demokratia Vapaiden ja eri näkökantoja edustavien tiedotusvälineiden olemassaolo on ensiarvoinen tärkeää sekä hyvän hallinnon, ihmisoikeuksien kunnioittamisen että tasa-arvon ja demokratian kehityksen kannalta. Demokratian tunnuspiirteisiin kuuluu oikeus ilmaista myös hallituksen linjasta poikkeavia ja kriittisiä näkemyksiä. UM Vähemmistöt ja alkuperäiskansat Vähemmistöihin kuuluvat joutuvat usein muita helpommin ihmisoikeusloukkauksien kohteeksi. Siksi esimerkiksi etnisiin, uskonnollisiin, kielellisiin tai seksuaalisiin vähemmistöihin kuuluvien ihmisten oikeuksien turvaaminen on erityisen tärkeää. Vähemmistöjen eduista huolehtiminen palvelee myös konfliktien ehkäisyä: konfliktien taustalla on monesti etnisten ryhmien välisiä ristiriitoja ja vähemmistöoikeuksien loukkauksia. Alkuperäiskansojen ongelmat ovat usein samankaltaisia kuin vähemmistöjen. Alkuperäiskansoihin kuuluvat ovat usein vähemmistönä maassaan ja heidän ihmisoikeutensa ovat alttiita loukkauksille. TSS-oikeuksien toteutuminen on erityisen tärkeää alkuperäiskansoille, joiden kulttuurit ovat monin paikoin vaarassa tuhoutua syrjäytymisen tai taloudellisen muutoksen vuoksi. Eduskunta ei saa edes perustuslain säätämisjärjestyksessä säätää lakeja, jotka ovat TSS-sopimuksen vastaisia. Sopimuksella on siis sen alhaisesta voimaansaattamismuodosta riippumatta osittain jopa suurempi normatiivinen voima kuin perustuslailla. TSS-sopimus sitoo lainsäädäntötoiminnan ohella myös eduskunnan budjettivaltaa. Eduskunnan on tehtävä hallituksen budjettiesitykseen sellaiset muutokset että sopimuksen määräys kaikkien käytettävissä olevien voimavarojen keskittämisestä sosiaalisten oikeuksien toteuttamiseen tulee toteutetuksi. Samoin eduskunnalla on velvollisuus käyttää poliittista ja oikeudellista kontrollivaltaansa sopimuksen toteuttamiseksi esim. niin, että eduskunta antaa epäluottamuslauseen tai saattaa oikeudelliseen vastuuseen valtioneuvoston, joka toimii TSS-sopimuksen vastaisella tavalla’’(Kansainväliset ihmisoikeudet, 1988, Heikki Karapuu s. 84). ’’Perustuslain 3 §:n 1 momentin mukaan eduskunta päättää valtiontaloudesta. Tällä viitataan erityisesti perustuslain 83 §:n 1 momentin säädökseen eduskunnan toimivaltaan päättää talousarviosta vuodeksi kerrallaan. Eduskunta käyttää pääsääntöisesti budjettivaltaansa lainsäädäntötyön muodossa. Kuitenkin budjetin tosiasiallinen käyttö ja varojen hyödyntäminen kanavoituu hallituksen ja ministeriöiden sekä virkamiehistön kautta. Varojen kohdentamisella onkin erityinen merkitys perus- ja ihmisoikeuksien toteutumisella. Perusoikeudet saattavat, paitsi velvoittaa määrärahan osoittamista tiettyjen perusoikeuksien toteuttamista turvaaviin tai edistäviin käyttötarkoituksiin, myös kieltää määrärahan osoittamisen perusoikeuksia loukkaaviin tarkoituksiin. On nimittäin huomattava, ettei resurssipulaan viittaaminen poista valtion vastuuta huolehtia perusoikeuksien asianmukaisesta toteuttamisesta’’. (Perusoikeudet Veli-Pekka Viljanen, OTL, Turun yliopiston valtiosääntö- ja kansainvälisen oikeuden professori) Edustuksellinen demokratia on edelleen tehokkain tapa päättää yhteisistä asioista ja suurista linjoista jäsenmäärältään suurissa yhteisöissä. Edustuksellisessa demokratiassa äänestäjät valitsevat itselleen edustajat, jotka kansalaisten valtuuttamina tekevät päätökset yhdessä muiden edustajien kanssa. Ongelmana on, että osallistuminen ja osallistumattomuus ovat jakautuneet epätasaisesti eri sosioekonomisten ryhmien kesken. Suomessakin edustuksellisen järjestelmän tarjoamia vaikutuskanavia hyödyntävät eniten politiikasta paljon tietävät, korkeasti koulutetut ja hyvätuloiset (tästä lisää julkaisun ensimmäisessä luvussa). Siten poliittiset ratkaisutkin edustavat enemmän näiden ryhmien tahtoa, mikä vahvistaa heikosti osallistuvien käsitystä siitä, että järjestelmä ei ole heitä tai heidän tarpeitaan varten. Ongelma ei poistu monipuolistamalla osallistumistapoja ja vaikutuskanavia, sillä myös niitä hyödyntävät ahkerimmin politiikasta paljon tietävät, korkeasti koulutetut ja hyväpalkkaiset. Kun demokratiaa pyritään vahvistamaan, huomion tulisi olla siihen osallistumattomien aktivoinnissa. Vain siten on mahdollista korjata osallistumisen väärentymää. Osallistuminen epätasaistuu ja vaikutusvalta kaventuu Nykyisellä yleisödemokratian aikakaudella kansalaiset ovat ikään kuin yleisön asemassa. Kansalaisten ja poliittisen eliitin välinen etäisyys on kasvanut, median ja mielipidemittausten rooli korostunut ja poliittisten toimijoiden henkilökohtaiset ominaisuudet painottuneet sisältökysymysten sijaan.7 Päätöksentekijät eivät enää tavoita kansalaisia puolueiden, vaan median kautta. ! Suomessa järjestelmä kuitenkin on monimutkaisempi kuin muualla. Äänestäjä ei voi etukäteen tietää puolueiden mahdollisia hallituskumppaneita, eikä yksittäisen puolueen linja näyttäydy erityisen selkeänä, kun puolueiden ehdokkaat kilpailevat vaalipiirissä keskenään. Siten äänestyspäätöksellä on Suomessa epäsuorempi vaikutus maassa harjoitettuun politiikkaan kuin esimerkiksi Ruotsissa. Osallistumisen ja tiedon polarisaatio Suomessa on muodostunut ongelmaksi, että yhä useampi kansalainen jättää käyttämättä perustuslain takaaman oikeutensa osallistua ja vaikuttaa päätöksentekoon yhteisistä ja itseä koskevista asioista. Osallistuminen on jakautunut vahvasti eri sosioekonomisten ryhmien välillä. Korkeasti koulutetuilla on korkein tietotaso ja vahvin poliittinen lukutaito, ja he myös osallistuvat koulutusalasta riippumatta. Korkeasti koulutetut kokevat muita useammin, että he voivat vaikuttaa poliittiseen päätöksentekoon,29 ja he myös hyödyntävät eri vaikuttamistapoja muita yleisemmin. Yliopisto- tai ammattikorkeakoulututkinnon suorittaneista yli puolet koki kykenevänsä vaikuttamaan poliittiseen järjestelmään, kun taas alle neljännes niistä, joilla ei ollut minkäänlaista ammattikoulutusta, ajatteli samoin. 29 Elo & Rapeli 2012, 275 Demokraattisen järjestelmän perusajatus on kansalaisten yhtäläinen osallistuminen päätöksentekoon. Kun suuri osa kansalaisista järjestelmällisesti jättää osallistumasta, järjestelmän oikeutus kärsii. Edustuksellisen demokratian ei myöskään voida antaa kaventua politiikasta paljon tietävien ja hyvin menestyvien ja korkeasti koulutettujen lajiksi, vaan se kuuluu kaikille. Sen vuoksi edustuksellista järjestelmää tulisi pyrkiä uudistamaan siten, että se pystyisi vastaamaan kansalaisten odotuksiin paremmin. Myös yhtiöittämällä ja ulkoistamalla julkisia palveluita päätösvaltaa siirretään demokraattisen päätöksenteon ulkopuolelle. Päätösvaltaa siirtyy kansalaisten valitsemilta valtuutetuilta yhtiöiden hallituksille ja lisäksi päätöksenteon avoimuus kärsii, kun päätöksistä ja niiden taustoista tulee liikesalaisuuksia. Myös oikeusturva heikkenee, sillä yksityisiltä toimijoilta ei edellytetä samalla lailla suhteellisuus-, yhdenvertaisuus- ja syrjimättömyysperiaatteiden noudattamista. Lisäksi vastuut hämärtyvät, kun esimerkiksi palvelun tuottaja ei ole vastuussa palvelun käyttäjälle vaan sen maksajalle, jolla on vain rajattua vaikutusvaltaa palvelun sisältöön.57 57 Kuusela & Ylönen 2015. Vallalla oleva yksilöllisyyden painottaminen voi myös heikentää ihmisten kykyä vaikuttaa asioihin yhdessä muiden kanssa. Vaarana on myös ristiriita kunkin kynnelle kykenevän omien intressien ja yhteisen hyvän välillä.98 Lisäksi ”ihmiset ovat mitä suuremmassa määrin eriarvoisessa asemassa sen suhteen, kuinka he osaavat kommunikoida oikeiden tahojen kanssa.”99 Korkeasti koulutettujen, politiikasta paljon tietävien vaikutusmahdollisuudet verrattuna politiikkaa vähemmän aktiivisesti seuraavien suhteen. 97 Häyhtiö & Rinne 2007, 12. ”Kaikki, minkä tahdotte ihmisten tekevän teille, tehkää te heille.” (Matteus 7:12) 955 Raamattu: 5. Moos. 16:1 Tuomarien velvollisuudet 18 "Asettakaa heimojanne varten tuomareita ja kirjureita kaikkiin kaupunkeihin, jotka Herra, teidän Jumalanne, teille antaa. Heidän tulee tuomita kansaa oikeudenmukaisesti. 19 Älkää vääristäkö oikeutta älkääkä olko puolueellisia. Älkää ottako lahjuksia, sillä lahjus sokaisee viisaankin ja vääristää niiden asian, jotka ovat oikeassa. 20 Olkaa rehellisiä, noudattakaa oikeudenmukaisuutta, niin saatte elää ja pitää omananne sen maan, jonka Herra, teidän Jumalanne, antaa teille. JESAJA 10 1. Voi niitä, jotka vääriä säädöksiä säätävät, jotka turmiollisia tuomioita kirjoittelevat, Yleinen yhdeenvertaisuuslauseke Yleisellä yhdenvertaisuuslausekkeella ilmaistaan yhdenvertaisuutta ja tasaarvoa koskeva pääperiaate. 2Yleinen yhdenvertaisuuslauseke kohdistuu myös lainsäätäjään. Lailla ei voida mielivaltaisesti asettaa ihmisiä tai ihmisryhmiä toisia edullisempaan tai epäedullisempaan asemaan. "Syrjintä ei ole uhka vain yhteiskunnalle, vaan tietenkin myös sille yksilölle joka sen kohteeksi joutuu. Syrjintä merkitsee uhrin yhtäläisen ihmisarvon kiistämistä, ja syrjivällä käytöksellä on aina kaksinkertainen kielteinen vaikutus; teolla riistetään jokin uhrille kuuluva oikeus, palvelu tai muu oikeushyvä, samalla kun hänen identiteettiään loukataan perustavanlaatuisella tavalla. Syrjinnästä tekee erityisen vakavan ilmiön se, että se tavallisesti perustuu sellaisiin henkilön ominaisuuksiin joihin hän ei voi vaikuttaa, kuten etniseen tai rodulliseen2 alkuperään, sukupuoleen, ikään, sukupuoliseen suuntautumiseen tai vammaisuuteen. Syrjintä kohdistuu siten henkilön identiteetin kannalta olennaisen tärkeisiin alueisiin. Syrjinnän seuraukset ovat sen mukaisia: syrjinnän on todettu olevan yhteydessä esimerkiksi vieraantumiseen, syrjäytymiseen, radikalisoitumiseen ja psyykkiseen pahoinvointiin." Kun valtio loukkaa ihmisoikeuksia, loukkauksessa on kyse paitsi yksittäistä loukkauksen kohdetta, myös koko yhteiskuntajärjestystä vastaan kohdistuvasta teosta, oikeusvaltion perusteiden loukkaamisesta. Koskaihmisoikeudet ovat perustavanlaatuisia moraalisia oikeuksia, niiden loukkaamista on pidettävä erityisen vakavana. (Suvianna Hakalehto-Wainio) II.2 IHMISOIKEUKSIEN YLEISMAAILMALLINEN JULISTUS (Universal Declaration of Human Rights; Déclaration universelle des Droits de l’Homme) Eduskunnan perustuslakivaliokunta on eri yhteksissä korostuanut hallituksen velvollisuutta huolehtia ihmisoikeusnormien asianmukasesta huomioon ottamisesta lainvalmistelussa (ks. PeVM 3/1988 vp. ja PeVL 2/1990 vp.) Valtionneuvoston selonteko: Wienin ihmisoikeuskonferenssi vahvisti ihmisoikeuksien jakamattomuuden ja niiden riippuvuuden toisistaan. Suomen lähtökohtana on kaikkien ihmisoikeuksien - niin kansalais- ja poliittisten kuin taloudellisten, sosiaalisten ja sivistyksellistenkin - samanarvoisuus. Kaikki ihmisoikeudet ovat yhtä tärkeitä eikä yksi oikeus voi käytännössä toteutua ilman toista. Wienin ihmisoikeuskonferenssi vahvisti ihmisoikeuksien jakamattomuuden ja niiden riippuvuuden toisistaan. Suomen lähtökohtana on kaikkien ihmisoikeuksien - niin kansalais- ja poliittisten kuin taloudellisten, sosiaalisten ja sivistyksellistenkin - samanarvoisuus. Kaikki ihmisoikeudet ovat yhtä tärkeitä eikä yksi oikeus voi käytännössä toteutua ilman toista. Erityisesti haavoittuvassa asemassa olevien ryhmien osalta on tärkeää korostaa ja vahvistaa taloudellisten, sosiaalisten ja sivistyksellisten oikeuksien (TSS-oikeuksien) velvoittavuutta. Globalisaatio ja maailmanlaajuiset kehityskysymykset sekä ilmastonmuutos ja sen mukanaan tuomat luonnonkatastrofit ovat korostaneet TSS-oikeuksien merkitystä. kun ihmisoikeuksia on väheksytty tai ne on jätetty huomiota vaille, on tapahtunut raakalaistekoja, jotka ovat järkyttäneet ihmiskunnan omaatuntoa, ja kun kansojen korkeimmaksi päämääräksi on julistettu sellaisen maailman luominen, missä ihmiset voivat vapaasti nauttia sanan ja uskon vapautta sekä elää vapaina pelosta ja puutteesta, oikeusjärjestyksellä, jotta ihmisten ei olisi pakko viimeisenä keinona nousta kapinaan pakkovaltaa ja sortoa vastaan, kun on tähdellistä edistää ystävällisten suhteiden kehittymistä kansojenvälille, kun Yhdistyneiden KKansakuntien kansat ovat peruskirjassa vahvistaneet uskonsa ihmisten perusoikeuksiin, ihmisyksilön arvoon ja merkitykseen, sekä miesten ja naisten yhtäläisiin oikeuksiin ja kun ne ovat ilmaisseet vakaan tahtonsa edistää sosiaalista kehitystä ja parempien elämisen ehtojen aikaansaamista vapaammissa oloissa, kun jäsenvaltiot ovat sitoutuneet edistämään, yhteistoiminnassa Yhdistyneet Kansakunnat-järjestön kanssa, ihmisoikeuksien ja perusvapauksien yleistä kunnioittamista ja noudattamista, ja, kun yhteinen käsitys näiden oikeuksien ja vapauksien sisällöstä on mitä tärkein tämän sitoumuksen täydelliselle toteuttamiselle,.. TÄLLÄINEN LAINVALMISTELUN MENETTELY (KANSALAISTEN/KANSALAISRYHMIEN TOSIASIALLINEN KUULEMATTA JÄTTÄMINEN) ON IHMISOIKEUSSOPIMUSTEN VASTAISTA JA ON VIHAPUHETTA!!!! Euroopan neuvoston ministerikomitea: Vihapuheella tarkoitetaan sellaista ilmaisua, jolla levitetään, ylläpidetään, edistetään tai oikeutetaan rotuvihaa, muukalaisvihaa, antisemitismiä tai muunlaista suvaitsemattomuuteen perustuvaa vihaa. Ihmisoikeudet ovat yksilön oikeuksia, joita valtio viranomaiset ei voi pidättää itselleen! Ulkoistamissopimuksissa tulee vaatia perus- ja ihmisoikeuksien turvaamista.1 Intressikonfliktin poistamisen vaatimus Kansalaisuuteen perustuvan syrjinnän kielto on yksi keskeisimmistä yhteisöoikeudellisista periaatteista he_265+2002.pdf. Valtio ei voi vedota kansalliseen oikeuteensa, ei edes perustuslakiinsa, perusteena kansainvälisten velvoitteidensa loukkauksille. Tämä tiedonato sekä vaatimukset jää voimaan ikuisesti jokaisen lain sekä asetuksen säätmisessä. Jokaisen lausunnonpyynnön vastaukseksi. Velvoittan siitä vaatimuksesta tiedotamaan myös jokaista lainsäätäjä kaikissa ministeriöissä, hallintoviranomaista sekä kansanedustaa, persidentti. Lisävaatimukset: KAIKKINAISEN ROTUSYRJINNÄN POISTAMISTA KOSKEVAN KANSAINVÄLISEN YLEISSOPIMUKSEN NOUDATTAMISEN VAATIMUS YHDISTYNEIDEN KANSANKUNTIEN PERUSKIRJAN SISÄLTÄMÄN VELVOITUKSIEN NOUDATTAMISEN VAATIMUS Yleissopimus ihmisoikeuksien ja perusvapauksien suojaamiseksi noudattamisen vaatimus sekä siihen liittyvien lisäpytäkirjojen noudattamisen vaatimus (1. Yleissopimuksen ja lisäpöytäkirjojen sisältö 1 artikla velvoittaa sopimusvaltioita takaamaan jokaiselle lainkäyttövaltaansa kuuluvalle henkilölle yleissopimuksen 1 osassa määritellyt oikeudet ja vapaudet.) WIENIN YLEISSOPIMUS JA SEN 18 ARTIKLA - PACTA SUNT SERVANDA -velvoiten noudattamisen vaatimus TSS:n sekä KP:n sopimuksien noudattamisen vaatimus Ihmisoikeusvelvoitteiden noudattamisen vaatimus Itergiteettiperiaaten noudattamisen vaatimus Luottamuksensuojan periaaten vaatimus Oikeutettujen odotusten suojan vaatimus Perustuslain noudattamisen vaatimus Korostettu asiantuntemusvaatimus. Yleinen yhdeenvertaisuuslauseke Syrjintä on ihmisten välisiin eroihin perustuvaa ei-hyväksyttävää kohtelua. Oikeus olla joutumatta syrjityksi on yksi kaikkein keskeisimmistä ihmisoikeuksista, koska syrjintä loukkaa ihmisarvon ydintä, ihmisen omaa identiteettiä. Perustuslain 6 §:n yhdenvertaisuussäännös. Lisäksi PL 2.3 §:stä johdettu lakisidonnaisuus luo yksilölle oikeuden vaatia ja edellyttää, että viranomaiset toteuttavat laissa määritellyt oikeudet ja edut. Avoin ja yhdenvertainen osallistuminen OECD:n maa-arvion mukaan kansalaisten kuulemista koskeva toimintapolitiikka on pysynyt Suomessa heikkona hyvästä tahdosta ja monista eri puolilla hallintoa tehdyistä parannuksista riippumatta. Ydinkysymys hallinnon ja kansalaisten välisessä etäisyydessä on kansalaisten kuulemisen vähyys poliittisessa valmistelussa ja valtionhallinnossa. Kansainvälisten tutkimusten mukaan ongelmia on aiheuttanut toimintaympäristön hidas muuttuminen asetettuihin tavoitteisiin nähden. Hallinnon avoimuutta ja osallistumista kehittävät hankkeet ovat usein olleet projektimaisia, mikä on hankaloittanut pysyvien tulosten aikaansaamista. Ministeriöiltä vaadittava uudenlainen proaktiivinen ote sekä hallinnon sisälle että ulkomaailmaan ja toisaalta ehtyvistä resursseista syntyvät paineet tehostaa toimintaa ovat osittain ristiriitaisia. s.44 Myös maahanmuuttajat ovat edelleen selkeästi aliedustettuja sekä ehdokkaina että luottamushenkilöinä. Tasa-arvoisen ja yhdenvertaisen Suomen muuttuvan väestörakenteen tulisi näkyä myös demokraattisissa päätöksentekoelimissä. Ilman maahanmuuttajien edustusta on hankala löytää toimivia keinoja monikulttuurisuuden haasteisiin vastaamiseksi. Avoin ja vastavuoroinen poliittinen järjestelmä on myös keino estää poliittista radikalisoitumista. Suomalaisen demokratian ongelmat näyttäisivät olevan säädösten sijaan toiminnan sekä asenteiden ja osallistumisen tasolla. Suomen etuna on lainsäädännöllisestä ja oikeudellisesta näkökulmasta katsottuna vahva edustuksellinen järjestelmä ja yleisesti kattava ja osallistumista tukeva lainsäädäntö. Demokratiapolitiikan tulee tähdätä aidosti vuorovaikutukselliseen päätöksentekokulttuuriin, jossa kaikki väestöryhmät voisivat osallistua kykyjensä ja halujensa mukaan yhteiskunnalliseen keskusteluun ja päätöksentekoon. s.35 Linjaus 21: Suomi korostaa erityisesti naisten sekä heikoimmassa asemassa olevien väestöryhmien oikeuksia ja osallistumismahdollisuuksia Suomi painottaa syrjinnän poistamiseen liittyviä kysymyksiä niin kansainvälisissä politiikkalinjauksissaan kuin antamallaan kehitysyhteistyö- ja muulla taloudellisella tuellaan. Demokratiaan kuuluvat myös taloudelliset, sosiaaliset ja sivistykselliset oikeudet ilman syrjintää. s.64 "Tuottamuksellinen teko. Jos tekijä rikkoo huolellisuusvelvoitettaan vaikka hän olisi voinut noudatta sitä. Tuottamuus voi olla törkeää, mikäli se kokoinaisuudena arvioidaan törkeäksi. Mitä korkemmaksi tuottamuus arvioidaan, stiä kovempi on myös rangasitus. Oleellista tuottamuksellisuudessa on se, mitä henkilö tiesi tai olisi pitänyt tietää vallitsevista olosuhteista ja tapahtumaan vaikuttavista tekijöistä. Nämä tekijät määrittelevät huolellisuusvelvoitteita , jota tekijän tulisi noudattaa. Voidaan oletta, että mikäli vahingonaiheuttaja on asiantuntija vahingontapahtumiseen liittyvissä asioissa, hänen oli pitänyt tietää tekonsa riskit. Asiantuntialta voidaan siis odottaa tiettyä tietämystä, vaikka hän ei tietäisi, hänen olisi pitänyt tietää. Henkilö ei siis voi vedota tiedon puutteensa. Henkilöltä voidaan odottaa sitä, että hän käyttää kaiken asiantuntemuksensa vahinkojen synnyn minimoimiseksi. " Kansojen alistaminen vieraalle alistumiselle, ylivaltiolle ja hyväksikäytölle on perusihmisoikeuksien kieltäminen, on vastoin Yhdistyneiden Kansakuntien peruskirjan ja estää sen edistämisen maailmanrauhaa ja yhteistyötä. Menevätkö kansalaisten verot oikeisiin tarkoituksiin? Hypoteetti STATUS NEGATIVUS
      • Ulkoministeriö
        Päivitetty:
        18.11.2019
        • Kuten esityksessäkin on oikein kirjattu, tiedonhallintamallin laadinta ei ole kertaluontoinen kuvausvelvoite, vaan mallia on ylläpidettävä aina, kun tiedonhallintayksikön tiedonhallinnassa tapahtuu muutoksia, jotka vaikuttavat mallin sisältöön. Tiedonhallintamallin on kuvattu olevan luonteeltaan tiedonhallintayksikön sisäinen määräys siitä, miten tiedonhallinta on toteutettava tiedonhallintayksikössä tietoaineistoja käsiteltäessä. Malli muodostaa osan siitä informaatiopohjasta, jolla tiedonhallintayksikkö suunnittelee toimintaansa kohdistuvia muutoksia. Tiedonhallintamallin määritelmä mallissa on seuraava: tiedonhallintamalli on kuvaus tiedonhallintayksikön tehtäviensä hoidossa toteuttamasta tiedonhallinnasta. Se on siis toiminnallinen kuvaus toimintaympäristöstä ja siihen liittyvästä tiedonhallinnasta. Jotta tiedonhallintaan kuuluvia elementtejä voidaan ylipäänsä tarkastella, vertailla ja ohjata (yhteentoimivuutta), täytyy tiedon olla käytettävissä analytiikan menetelmin ns. dashboard-tyyppisesti, jotta erilaiset johdon ym. tarvitesemat näkymät tietoon mahdollistuvat ajantasaisesti. Tämä edellyttää luonnollisesti kerättävän keskeisen datan virtaviivaistamista ja jalostamista eri tarkoituksiin. Ajantasainen seurantatieto edesauttaa myös esimerkiksi tietotilinpäätösten tekemistä tiedonhallintayksiköissä. Tiedonhallintamallin kuvauksesta yleiskommentointina voi todeta hyvää olevan sen, että riskienhallinnan ja tietoturvallisuuden osuus on huomioitu. Riskienhallintaahan on viime aikoina korostettu myös valtiovarain controllerin sekä Valtion tieto- ja kyberturvallisuuden johtoryhmän (Vahti) toimesta liittyen hallintamallien rakentamiseen palveluissa ja kehityshankkeissa. Ko. sektorilta kerättävän tiedon tulee luonnollisesti olla relevanttia ja yhdenmukaista. Tämän kehittäminen edellyttää vielä runsaasti laatu- ym. mittarien pohtimista kvalitatiivisen ja kvantitavtiivisen seurannan välineinä. Tiedon keruun suhteen tulee luonnollisesti arvioida millaista tietoa yleensä mihinkin tarkoitukseen kerätään. Tarvitaan ennen kaikkea tietopolitiikkaa, jolla edistetään mm. tiedon keräämistä, avaamista, yhdistämistä, jakamista ja säilyttämistä sekä vahvistetaan tietosuojan ja tietoturvallisuuden toteuttamista. Tietopolitiikan tavoitteena tulee olla tiedon jalostamisen edistäminen ja tehostaminen, hyödyntäminen yhteiseksi hyväksi sekä väärinkäytön minimointi. Myös eettiset kysymykset, osaamisen varmistaminen sekä sääntelykysymykset edellyttävät tietopoliittisia linjauksia. Tietojohtamista tarpeesta on puhuttu pitkään– vain tarvelähtöisesti saadaan yhteiskunnallisesti arvokasta tietoa hyödynnettäväksi päätöksentekoa varten. Tietojohtamisesta on esityksessä maininta tiedonhallintayksiköiden yhteydessä. Ensisijaisesti on tarpeen priorisoida kerättävä tieto ja hankittava tarvittavat digitaaliset välineet sen keruuta ja analysointia varten. Kaikille yhteisten perusrekistereiden tieto (perustietovarannot, primääri tieto) lienee ensisijaista tässä työssä. Tiedon yhteentoimivuuden vaatimus korostuu ja päällekkäisen tiedon keruu tulee asteittain poistaa varmistaen toisaalta primääritiedon saatavuus kaikissa tarvetapauksissa.. Tiedonhallintamalli vaikuttaa toisaalta enemmän nykytilan kuvaukselta – tavoite tulevasta tiedonhallinnan käyttötarkoituksesta jää osin hämäräksi. Mikäli asetettuna tavoitteena on jatkuva tilanteen parantaminen, se on sinänsä tavoitteena asiallinen, joskin hankalasti mitattava. Tiedonhallinnan kuvausten osalta on hyvä, ettei ole välttämätöntä kuvata täydellisesti edes prosesseja esim. uimaratatyyppisesti vaan tekstimuotoisetkin kuvaukset käyvät. Ulkoasiainhallinnon osalta kaikki keskeiset prosessit lienee yleistasolla kuvattu tai niitä ollaan parhaillaan kuvaamassa valtioneuvoston TOS-työssä. Digitalisointitarpeen suhteen tulee olla käytettävissä digitaalinen alusta/dashboard, jonne tieto kertyy eri lähteistä mahdollisimman automaattisesti. Tekoälyn hyödyntäminen lisännee mahdollisuuksia tähän tulevaisuudessa. Esimerkiksi tiedonhallintayksiköiden alustat sisältäisivät oman organisaationsa tiedot sekä rajapinnat ja sieltä kulkisivat vaikkapa lkoaville alustoille. Perusrekisterit ja Tilastokeskuksen sekä muiden asiassa keskeisten virastojen ja laitosten (Kela, THL jne.) tieto ja tietovarannot ovat avainasemassa. Perusrekisteritkin todennäköisesti sisältävät päällekkäistä tietoa, joka tulisi yhtenäistää sopien mikä taho kerää jatkossa mitäkin nimeten vastuut. Toisaalta voidaan kysyä mikä on lopullinen tavoite tiedonhallintamalleissa. Tulisi ehkä saada aikaan yhteisen tiedon koordinointimalli, jonka avulla hallinnossa päästään vihdoin tilanteeseen, jossa yhteiskunnallisesti merkittävä tieto on ajantasaisesti hyödynnettävissä (lähes) reaaliajassa. Nykyisen hallintamalli-idean tavoite ei vielä yllä tähän, vaan ulottuu pelkästään hallinnan kuvaamiseen. Jatkuvan muutoksen edellytys on kuvauksessa mukana, mutta puuttuuko mallista vielä varsinaisen tiedon koordinoinnin ylin tavoite. On vaarana, että kuvausten tavoite hämärtyy ja saattaa johtaa eritasoisten kuvausten valtavaan massaan, josta ei saa irti yhteiskäyttöistä tietoa. Tieto- ja alustatalouden edellytysten osalta tulee määritellä, mitä tietoa halutaan ja millaisessa formaatissa. Tiedon massasta on pyrittävä saamaan eri toimijoille ajantasaista tietoa eri näkökulmista. On voitava määritellä avoimen sekä suojattavan tiedon osuus. Tiedontarpeet voivat vaihdella aika ajoin – siksi tarvitaan pitkäjänteistä tiedon keruuta koordinoiden. Uusia tiedontarpeita kun syntyy jatkuvasti. On olemassa paljon yhteiskunnalle elintärkeiden toimintojen seurantaa kuvaavaa tietoa, jota jatkossa tarvitaan lisää mm. ennakointiin liittyen. Tietopoliittinen selonteko on tarpeellinen määrittelemään viitekehys kaikkia hyödyttävän informaatiotalouden datan keruun, jalostamisen sekä vaihtamisen ja kaupankäynnin sekä tekoälyn kehittämisen edistämiseksi. On huolehdittava kansallisesta digitalisaation vaatimasta infrastruktuurista ja varataan sille rahoitusta tieto- ja kyberturvallisuuteen liittyvät uhkatekijät huomioiden.
      • Imatran kaupunki
        Päivitetty:
        18.11.2019
        • Tiedonhallintamallin laatimiseen tehdyn kirjallisen suosituksen lisäksi tulisi mielestämme tarjota kaikille organisaatiolle käyttöön konkreettinen työväline, jolla malli kuvattaisiin. Tämä tarjoaisi yhdenmukaisen tavan kuvata tiedonhallinta kaikilta osiltaan, mahdollistaisi eri tiedonhallintayksiköiden tiedonhallintamallien vertailun ja sitä kautta yhdenmukaistaisi valtakunnan tasolla tiedonhallintaa. Tämähän on yksi perimmäisistä lain tavoitteista. Mallin konkretisoinnin pohjalla voisi olla suosituksen kuvan viisi kaltainen rakenne, jossa on tietojenhallinta jaoteltu loogisiin kokonaisuuksiin. Tähän työvälineeseen voisi lisäillä valmiita osakokonaisuuksia, joita organisaatiot voisivat hyödyntää valitsemalla omaa toimintaa parhaiten kuvaavaksi elementiksi, näitä pitäisi lisäksi pystyä tarpeen mukaan muokkaamaan. Lain noudattamisen seuranta olisi helpommin mahdollista, jos suoraan näkisi mitkä organisaatiot ovat työkalua hyödyntäneet ja miltä osin.
      • Isosaari Jukka
        Päivitetty:
        11.11.2019
      • Palaute tietoturvallisuutta koskevasta suosituskokonaisuudesta, joka koostuu seitsemästä kortista.Palaute voi kohdistua suositusten sisältöön, rakenteeseen tai tarkkuustasoon tai suositusten eri käyttäjäryhmien tarpeisiin. Palautteessa voit tuoda esiin esimerkiksi lain soveltajan kannalta hyödyllisiä lisäyksiä.
      • Suomen Kuntaliitto ry, Tietoyhteiskuntayksikkö, Seppo Tuula
        Päivitetty:
        5.12.2019
        • 13§ Elinkaaren huomioiminen tietojärjestelmissä Kortti 13.1§ Tietoaineistojen ja tietojärjestelmien tietoturvallisuus Kortissa 13.1§ Tietoaineistojen ja tietojärjestelmien tietoturvallisuus annetaan suositus tiedonhallintayksikön tietoturvallisuuden tilan seurantavaatimuksille sekä miten tiedonhallintayksikön tulee varmistaa tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko niiden elinkaaren ajan. Digitaalisuudessa tiedon elinkaari korostuu, koska alkuvaiheen päätökset vaikuttavat tiedon käyttöön ja myös sen loppuvaiheeseen. Suosituksen viimeisellä sivulla on kuvattu toimenpiteet eri elinkaaren vaiheissa. Jotta käytöstäpoistovaihe voidaan onnistuneesti toteuttaa (esimerkiksi siirtää aineisto kolmannelle osapuolelle tai siirtää aineisto takaisin kunnalle, esimerkiksi arkistointia varten tai hävittää tietoaineistoja) vaatii sen näiden asioiden suunnittelua heti alkuvaiheessa. Eli tiedon elinkaaren alussa on suunniteltava koko tiedon elinkaari sen synnystä, käytöstä aina tiedon hävittämiseen tai arkistointiin asti. Lisäksi täytyy huomioida mahdolliset tiedon siirrot tai luovutukset. Tietojärjestelmän tulee kyetä tekemään nämä asiat tietoturvallisesti. 13§ Elinkaaren huomioiminen tietojen käsittelyssä Kyseisessä 13§ Elinkaaren huomioiminen tietojen käsittelyssä suosituskortissa annetaan suositus sille, miten tietoaineistojen tietoturvallisuus taataan koko tiedon elinkaaren ajan. Keskeisinä tiedon säilytykseen liittyviä kysymyksiä on listattu suosituksessa. Ensimmäisenä pyydetään kiinnittämään huomioita tiedon suojaustasoluokitteluun (turvallisuusluokitteluun). Olisi parempi puhua tiedon luokittelusta yleisesti. Tieto voidaan luokitella mm. seuraavilla tavoilla: salassapito/julkisuus, turvaluokiteltu tieto, henkilötieto, erityisiin henkilötietoryhmiin kuuluva tieto. Tässäkin kortissa on paljon linkkejä ja viittauksia muihin ohjeistuksiin. Tämä tekee kortista vaikealukuisen ja onko esimerkiksi VAHTI-ohje vuodelta 2010 enää tiedonhallintalain näkökulmasta täysin paikkansapitävä? Korttien ylläpito vaikeutuu, mikäli ne sisältävät useita viittauksia. 13.1§ Riskienhallinta Kyseisessä 13.1§ Riskienhallinta suosituskortissa kuvataan tiedonhallintalain riskienhallintaan liittyviä suosituksia. Kortissa käytetään pohjana riskienhallintaohjetta vuodelta 2017. Tulisi selventää tarkemmin jo aikaisemmin tehtyjen ohjeiden ja suosituksen välistä suhdetta. Tässä tapauksessa VAHTI-ohje on suhteellisen uusi, mutta näin ei välttämättä ole muissa korteissa. Tiedonhallintayksikölle voi olla hankala tietää näiden eri ohjeiden välistä eroavaisuutta. Lisäksi tiedonhallintayksikön näkökulmasta suosituskortin rooli sisällöllisesti jää epäselväksi. Tiedonhallintayksikön tulisi johtaa ja ohjata riskien käsittelyä ja niiden hallintaa oman toimintaympäristönsä tasoisesti. Kortin tulisi sisällöllisesti tukea sitä, miten riskien käsittely tiedonhallintalain tunnistamisen ja määrittelemisen tasolla tulee huomioiduksi systemaattisesti, toimien osana informaatio-ohjausta tiedonhallintayksikön informaatiopohjan luomiselle. Nykymuodossaan suosituskortti esittelee riskien hallintaan liittyviä toimintamalleja ja niitä toteuttavia toiminnallisuuksia kuten hyviä käytäntöjä, tehden kokonaisuuden tiedonhallintalain esittelemän riskipohjaisen päätöksenteon kannalta vaikeaselkoiseksi. Kuntatoimijoiden kannalta (taloushallinto, henkilöstöhallinto) riskien käsittely ja hallinta ovat lähtökohtaisesti olemassa olevia käytänteitä. Suosituskortin lähtökohtana on riskienhallinta menetelmän olemassaolo tiedon käsittelyn ja hallinnan tulokulmasta. Suosituskortti nostaa esille joukon käsitteitä (tietoriski, tietoriskien hallinta, riskienhallinta, tietoturvariski, riskirekisteri, riskiluettelo, ja näihin liittyviä toimintatapoja/toiminnallisuuksia), nojautuen lueteltuihin liitetiedostoihin. Näiden käsitteiden keskinäinen suhde edellyttää tulkintaa suosituskortin käytön kannalta. Suosituskortti lähestyy tärkeää ja keskeistä asiakokonaisuutta tiedonhallintayksikön toiminnan, ohjauksen ja vaikuttamisen kannalta. Asiasisältö sellaisenaan on hyvää ja ”täyttä asiaa”, mutta riskinä on syytä tunnistaa nykyrakenteen mahdollisesti johtavan suosituskortin tulevan ei-ymmärretyksi. Sisältö jää vieraaksi johtamisen ja päätöksenteon tasolla. Suositeltavaa olisi kiinnittää erityistä huomiota suosituskortin rakenteeseen, johdonmukaisesti lähestyen eri käsitteitä ja toimintatapoja. Tiedonhallintayksilön ylläpitämä tiedonhallintamalli tarjoaa päivittyvän nykytila kuvauksen toiminnasta koskien tietojen luomista, käsittelyä ja siirtämistä. Tämä päivittyvä nykytila on merkityksellinen johtamisen ja päätöksenteon kannalta kehittäminen ja investoinnit kuten myös eri osa-alueitten priorisoinnit huomioiden, ja tässä kokonaisuudessa riskien käsittely ja hallinta on merkityksellistä. 15§ Vahingolta suojaaminen 15.1§ Vahingolta suojaaminen Kyseisessä 15.1§ Vahingolta suojaaminen kortissa annetaan suositus sille, miten tietoaineistoja suojataan teknisiltä ja fyysisiltä vahingoilta. Kortissa viitataan paljolti muihin olemassa oleviin ohjeistuksiin, muun muassa VAHTI-ohjeistuksiin. Kortti käsittelee sekä sähköisiä että paperisia aineistoja. Rakenteellisessa suojauksessa viitataan Kansalliseen auditointikriteeristön F-osioon. Onko suosituksessa huomioitu Kansallisarkiston määräystä ja ohjeistusta arkistotiloista 1.3.2012 AL/19699/07.01.01.00/2012 missä määritellään pysyvästi säilytettävien asiakirjallisten tietojen arkistotiloja koskevat määräykset ja ohjeet? Lisäksi kortissa on viittauksia muihin ohjeistuksiin, onko ko. ohjeistuksia päivitetty tiedonhallintalain vaatimuksiin nähden?
      • Luonnonvarakeskus, Hallinto ja yhteiskuntasuhteet, Määttä Jari
        Päivitetty:
        4.12.2019
        • Tiedon arkistoinnin määritelmä suosituskortissa 13 § Elinkaaren huomioiminen tietojen käsittelyssä ei ole linjassa tiedonhallintalain määritelmän kanssa. Kortti ottaa kantaa avoimen datan julkaisemiseen ja luovuttamiseen, jota ei ole kuitenkaan määritelty laissa. Antaako tiedonhallintalautakunta jatkossa suosituksia muistakin kuin tiedonhallintalaissa määritellyistä tiedonhallintaan liittyvistä asioista? Kaikkien suosituskorttien kohderyhmät kannattaisi rajata tarkemmin, jolloin ne voisivat olla samalla sekä tiiviimpiä että käytännönläheisempiä. Johtoa eivät kiinnosta samanlaiset tekniset yksityiskohdat kuin asiantuntijoita, jotka puolestaan turhautuvat tiedonhallintalakia referoivista taustoituksista
      • Valtioneuvoston kanslia
        Päivitetty:
        4.12.2019
        • Yleiset huomiot korteista: Useampi ohjekortti jättää epäselväksi, mitä organisaatioissa on tarkoitus tapahtua ohjeen johdosta: Tulisiko organisaation esimerkiksi käydä läpi omat käytäntönsä ja verrata niitä ohjekortissa esitettyihin asioihin? Jos kyllä, ohjekortti olisi hyvä laatia selkeän tarkistuslistan muodossa. Tarkistuslista toimisi käyttökelpoisena pohjana organisaation maturiteettiasteen arvioinnille. Kortit ovat turhan pitkiä (esim. kortti 13.4§, yhdeksän sivua), jotta ne olisivat toimivia ohjeina. Asiat on esitetty erittäin laveasti, ja teksti sisältää lukuisia toistoja. Tiivistäminen ja keskittyminen olennaiseen parantaisi korttien käytettävyyttä. Korteista puuttuu sivunumerot. Ne olisi hyvä lisätä. Tekstit on esitetty pitkinä, tiiviinä kappaleina, ja väliotsikoita on paikoin harvemmin kuin 1/sivu. Sisällön ja rakenteen hahmottaminen on tämän vuoksi työlästä. Väliotsikoita olisi toivottavaa olla vähintään 3-4/sivu. Myös otsikot ja alaotsikot tulisi numeroida, jotta ohjeen tiettyyn kohtaan voisi viitata. Korttien kieli on vaikeaselkoista, hidaslukuista kapulakieltä. Tekstit ovat kokonaisuudessaan kertoilevassa passiivimuodossa. Koska kyse on ohjeesta, rakenne olisi syytä muuttaa suoraan kehotusmuotoon/tarkistuslistaksi: ”Varmista, että xxxx”. Pelkästään tämä lyhentäisi nykymuodossaan turhan pitkää tekstiä merkittävästi, ja tekisi siitä kuvauksen sijasta ohjeen. ”Substantiivitautia” esiintyy käytännössä joka virkkeessä, vahvoja verbejä ei käytetä juuri lainkaan. ”Tapahtumisen toteuttaminen” / ”Toteuttamisen tapahtuminen” -tyyppiset rakenteet olisi syytä avata ja etsiä lauseen takana olevasta ajatuksesta selkeä tekijä. Virkkeet ovat pitkiä, kankeita adjektiivi- tai määrekimppuja, joiden kahlaaminen läpi on hidasta ja vaatii montaa lukukertaa. Virkkeissä on sisäänrakennettuja kiilalauseita, joissa esitetään oletuksia organisaation taustatilanteesta. Tämäkin vaikeuttaa olennaisen sisällön löytämistä. Korttien jäsentelyn, tiivistämisen tarpeen ja selkokielisyyden osalta viittaamme myös Suojelupoliisin ja Kuopion kaupungin lausuntoihin. Yksittäiset kortit: 13 § Elinkaaren huomioiminen tietojen käsittelyssä Tietojen luonti-muotoilun sijaan olisi suositeltavampaa käyttää tietojen tuottamista tai laatimista. 13 § Riskienhallinta Riskienhallinnan suosituskortissa todetaan seuraavaa: Kaikissa organisaatioissa tietoturvariskit on käsiteltävä johdon sisäisen valvonnan ja riskienhallinnan arviointi- ja vahvistuslausumassa kerran vuodessa. Mikä on tämä lausuma ja minne se toimitetaan? Kansallinen koordinaatio puuttuu riskienhallinnan tehtävien osalta, mikä taho toimii omistajana näissä asioissa? Minne organisaatioiden on toimitettava tietoa riskienhallinnastaan? Entä mitä tarkoitetaan kortissa mainitulla hyväksyttävällä tasolla? Määritteleekö jokainen organisaatio tämän itse? 13.4 § Tietoturvallisuus hankinnoissa [kaikki allaolevat huomiot koskevat korttia 13.4 §] Alaotsikko Hankintaohjeistus: ”Hankintaan ja kumppanienhallintaan liittyvät mallit luovat osaltaan viitekehyksen hankinnan ja palvelutoimittajan luokittelemiseksi […]” Kommentti: Mitä ovat ”hankintaan liittyvät mallit”? Entä kumppanienhallintaan liittyvät mallit”? Tarkoitetaanko em. malleilla luokittelua tietoturvallisuuden kannalta, vai mitä luokittelua - strategisesti tärkeimpien vs. bulkkitoimittajien luokittelua, esim. ostovolyymin tai tehtävän merkittävyyden kannalta? Mistä nämä tässä viitatun luokittelun luokitteluperusteet tulevat/mihin ne perustuvat? Tätä olisi hyvä avata tarkemmin. Mitä organisaation pitäisi konkreettisesti tämän johdosta tehdä? Alaotsikko Hankinnan suunnittelu ja valmistelu ”Hankintaprosessi noudattaa organisaation hankintamallia ja siihen liittyvää ohjeistusta toteuttaen tarvittavat vaiheet ja tuottaen määritetyn dokumentaation.” Kommentti: Huomio kieleen: “Prosessi” ei toteuta eikä tuota vaiheita eikä asiakirjoja, ihmiset toteuttavat ja tuottavat. Mitä tällä virkkeellä konkreettisesti halutaan ohjeistaa organisaatiota tekemään? ”Huolehdi, että organisaatiolla on olemassa hankintamalli. Toimi sen mukaisesti.” Vai jotain muuta, mitä? Riittäisikö, että viitattaisiin organisaatioiden omiin hankintaohjeisiin? Alaotsikko Hankinnan suunnittelu ja valmistelu Esimerkkejä korttien kielen ongelmista - kortin mukaan: ”Tähän liittyy keskeisesti organisaation laatimien standardisopimuslausekkeiden ja vaatimuslistojen asianmukaisuuden ja kyseiseen hankintaan soveltuvuuden arvioiminen sekä tarvittavien täsmennysten ja muutosten tunnistaminen.” Korvaava ehdotus, tiiviimmin & ohjemuodossa: ”Arvioi, soveltuvatko organisaation standardisopimuslausekkeet ja vaatimuslistat kyseiseen hankintaan. Selvitä, tarvitseeko niitä muuttaa tai täsmentää.” Alaotsikko Hankinnan suunnittelu ja valmistelu ”On keskeistä, että hankinnan suunnittelu- ja valmistelutyössä tunnistetaan hankinnan kohteena olevan tietojärjestelmän tai tuotteen sekä palvelutoimittajan käsiteltäväksi tulevat tiedot ja niihin kohdistuvat vaatimukset.” Kommentti: Tämä ajatus on toistettu ohjeessa monesti. Asia on sinänsä selvä ja tärkeä, mutta ohjeelta kaivattaisiin nimenomaan konkreettista ohjeistusta, muistilistoja tms., miten hankinnan valmistelija käytännössä nämä asiat tunnistaa. Alaotsikko Riskien arviointi ”Hankinnan kohteeseen liittyvän toiminnan ja siinä käsiteltävien tietojen kriittisyyden ja tärkeyden sekä riskien arviointi tulee tehdä useasta näkökulmasta, huomioiden muun muassa toiminnan kriittisyyden, jatkuvuuden ja tietoturvallisuuden sekä toiminnalliset vaatimukset.” Kommentti: Voisiko tämän virkkeen avata konkreettisemmaksi tekemiseksi? Montaa asiaa (mitkä kaikki?) pitäisi virkkeen mukaan arvioida monesta näkökulmasta. Auttaisiko taulukkomuoto konkretisoimaan arviointikohteet ja huomioitavat näkökulmat, ja sen, mitä kortin kirjoittajan tarkoitus on tässä ohjeistaa? Alaotsikko Riskien arviointi ”Riskien arvioinnin avulla varmistetaan myös hankinnan kohteessa mahdollisesti käsiteltävien henkilötietojen ja salassa pidettävien tietojen käsittelyn edellytykset […]” Kommentti: Millaiset edellytykset? Tietoturvalliset? Vai pitäisikö edellytykset-sanan tilalle vaihtaa esim. “turvallisuus” tai “asianmukaisuus”? Alaotsikko Riskien arviointi Bullet point: “..suunnitella, miten huolehditaan hankinnan kohteessa käsiteltävän ja palvelutoimittajan käsittelemän tiedon riittävästä tietoturvallisuudesta, sekä ..” Kommentti: Eikö tämä ole sama sisältö kuin saman listauksen 2. bulletissa? Turhan toiston voisi poistaa. Alaotsikko Tarjousprosessi sekä tietojärjestelmän ja toimittajan valinta Onko tätä aihetta ylipäätään tarvetta käsitellä kortissa? Kortin ei liene tarkoitus toimia hankintaohjeena. Kortin kohderyhmälle nämä asiat ovat tuttuja, ja tässä yhteydessä kasvattavat turhaan sivumäärää. Organisaatiot tekevät hankintansa omien ohjeidensa ja valtion hankintakäsikirjan mukaan. Tämä kortti tuskin on se paikka, josta hankinnan valmistelija etsii yleistietoa hankinnan vaiheista. Yleistieto tässä esitettynä jää joka tapauksessa niin yleiselle tasolle, ettei siitä ole käytännön hyötyä. Alaotsikko Tarjousprosessi sekä tietojärjestelmän ja toimittajan valinta ”Tarjousten vertailun ja neuvotteluiden pohjalta …” - Kommentti: Neuvottelut-sanaa ennen tulisi lisätä esim.: ” hankintamenettelystä riippuen mahdollisesti myös [neuvottelujen]”. Ilman lisäystä lukija voi saada käsityksen, että hankinnoissa voi aina neuvotella, mikä ei pidä paikkaansa. Ilman lisäyksiä katkelma koskee vain neuvottelu- ja kilp.neuvottelumenettelyä ja jossain määrin innovaatiokumppanuutta. Vaihtoehtoisesti: Koko tämä alaotsikko kuvauksineen poistetaan tai tiivistetään merkittävästi. Alaotsikko Sopimuksen teko ”Osana sopimuksen tekoa on myös huomioitava hankinnan kohteeseen liittyvistä immateriaalioikeuksista sopiminen eli sopia palvelun tai toimituksen lopputulokseen liittyvistä immateriaalioikeuksista.” Kommentti: Immateriaalioikeudet ovat tietysti tärkeä asia. Tämä lause itsessään ei kuitenkaan niiden huomioimisessa ole avuksi. Voisiko poistaa, koska tämä ei kovin kiinteästi liity tietoturvallisuuteen tiedonhallintalain näkökulmasta. Ohjeessa ei liene tarkoitus eikä mahdollista käsitellä kaikkia mahdollisia hankintoihin liittyviä asioita. Alaotsikko Sopimuksen teko ”Sopimuksen teossa keskeistä tietoturvanäkökulmasta on: -Kuvata tarvittavat suojaustoimet ja kontrollit tietoturvavaatimuksiksi, -määritellä tarvittavat mittarit sekä niitä tukeva raportointi ja valvonta, mukaan lukien auditointioikeus, sekä -määritellä sanktiot poikkeamille vaatimuksista ja palvelutasoista.” Kommentti: Tämä on aivan erinomainen tiivistys, selkeä luettelo, juuri asian ytimessä. Voisiko koko ohjeen laatia tällä tavalla tiiviinä tarkistuslistana? Alaotsikko Hankinnan kohteen toteutus ja käyttöönotto Mitä tarkoittaa ”vähintään merkittävä” hankinta? Voisiko tarkentaa? Vaihtoehtoisesti voisi poistaa epämääräiset käsitteet. ”Hyvä varmistaa” – voisiko sen tilalla ilmoittaa: ”..on varmistettava”? Jos on kyse merkittävistä hankinnoista, ”hyvä varmistaa” jää turhan laimeaksi. Sanasto: Voisi harkita, onko sanasto ehdottoman tarpeellinen. Se on nykyisellään suppea, lisäksi termit ovat riittävän yleiskielisiä, eikä niitä tarvitse tässä kontekstissa avata. Kortin kohderyhmä osaa etsiä määritelmät näille termeille, jos ei tunne niitä. Tuoko lisäarvoa lukijalle, että esim. termi ”tietojärjestelmä” määritellään tiedonhallintalain toimeenpano-ohjeen yhden kortin lopussa? Jos sanastoa ei poisteta, voisi poistaa tarpeettomat termit, esim. ’immateriaalioikeus’ – ei kuulu tämän kortin alaan, eikä sitä käsitelläkään kuin yhden (tarpeettoman) virkkeen verran.
      • Ruokavirasto
        Päivitetty:
        4.12.2019
        • Suositukset tietoturvallisuudesta • Tietoturvallisuuden vähimmäisvaatimukselle 6) Julkisuus ja salassapitorakenne on huomioitu tietovarantojen tietorakenteissa olisi hyvä saada myös oma suosituksensa. • Stilisointiin liittyen lauseeseen ”Viranomaisen on hyvä arvioida, että mitä suunniteltu muutos tarkoittaisi kunkin yllä luetellun vähimmäisvaatimuksen osalta tai mitä kunkin vähimmäisvaatimuksen osalta on huomioitava kehittämisessä?” kysymysmerkin tilalle piste. Kortti 13 § Elinkaaren huomioiminen tietojen käsittelyssä • "Lisätietojaturvallisuusluokitellun tiedon käsittelystä löytyy mm. Vahti ohjeen 2/2010 liitteestä 4" Kannattaako viitata vanhan asetuksen pohjalta tehtyyn ohjeeseen, jossa viitataan pois käytöstä jäämässä oleviin suojaustasoihin? • Tiedon luonti ja vastaanotto: voisiko tässä yhteydessä puhua myös tiedon keräämisestä, vai venytetäänkö vastaanotto tässä kattamaan myös tilanteen, jossa asiakkaalta kysytään tietoa paperilomakkeella tai sähköisessä asiointipalvelussa? Tässä ja monessa muussa kohdassa puhutaan sekä tietoaineistosta että tiedoista, olisi hyvä täsmentää mistä puhutaan ja avata suosituskortin keskeiset käsitteet sanastossa. • Tiedon jakaminen, siirtäminen ja luovuttaminen: kaivataan tarkennusta em. toimintojen määrittelyihin. Kuvauksen mukaisesti jakamisella tarkoitetaan hallinnollisia toimia ja siirtämisellä yksisuuntaisia fyysisiä toimenpiteitä. Määrittelyjä voisi tarkistaa vielä etenkin ensin mainitun osalta, kyse on muustakin kuin hallinnollisesta asiasta ja tämä välittyy myös myöhemmästä teksti. Tiedon siirtäminen voi olla molemminsuuntaista. Tiedon luovutusta ei ole tässä avattu lainkaan. • Tiedon arkistointi: tämä tulee tarkastella kokonaan uudelleen tiedonhallintalain 21 §:n pohjalta. • Tiedon tuhoaminen: suosituksessa otetaan kantaa tiedon tuhoamiseen lähinnä vain fyysisellä tavalla eli kuinka tuhotaan konkreettisia asioita. Tosiasiassa suurin osa tuhottavista tiedoista on tällä hetkellä sellaisissa teknisissä ratkaisuissa, joissa tuhoaminen on toteuttava muulla tavoin kuin tuhoamalla fyysinen laite, kovalevy, muistitikku tai paperi tms. Tyypillinen tiedon säilytyspaikka on tietokanta, josta tietoja on tarve poistaa joko yksittäin tai isompina kokonaisuuksina ja joissa saatetaan säilyttää tietoja, joilla on eri säilytysajat. Valtionhallinnossa tiedon poiston ja tuhoamisen ohjeistus tulisi ehdottomasti ulottaa kattamaan nykyaikaiset tiedonsäilytysratkaisut. Se ei ehkä ole tämän suosituskortin asia, mutta silti myös tässä näkökulman tulisi olla laajempi. • Tiedon tuhoaminen: olisi toivottavaa ottaa tässä yhteydessä kantaa myös varmuuskopioihin. Teknisesti on suuri haaste (käytännössä mahdottomuus) poistaa esimerkiksi tietokannan lukuisilta varmistuksilta yksittäinen tietoaineisto ja säilyttää kuitenkin ko. varmistuksen eheys. Voidaanko varmistuksen osalta käsittää 2. kappaleen loppu "Tietoaineistoista muodostetut kopiot ja luonnokset sekä väliaikaistiedostot tuhotaan niiden käyttötarpeen päätyttyä." siten, että varmistuksen käyttötarve voi olla eri kuin tietoaineiston käyttötarve. Eli varmistus poistuu sille määritellyt ajan kuluttua, vaikka jonkin tietoaineiston käyttötarve olisi päättynyt jo aikaisemmin ja tämä ei katsottaisi rikkovat tiedon tuhoamisen vaatimusta. Kortti 13 § Elinkaaren huomioiminen tietojärjestelmissä • Tietojärjestelmien elinkaari: Elinkaari on kuvattuna suosituksessa vesiputousmallin mukaisena vaihejakona: "määrittely, suunnittelu, kilpailutus... jne". Tämä malli kuvaa hyvin huonosti modernia tapaa kehittää tietojärjestelmiä. Suosituksessa olisi syytä nostaa esille myös ketterän kehityksen toimintatavat. • Määrittely- ja suunnitteluvaihe: suosituksessa esitetään tarvekartoituksen olevan osa määrittelyä ja suunnittelua. Tyypillisesti tietojärjestelmähankkeet ovat osa jotain isompaa toiminnan kehittämisen kokonaisuutta ja tarvekartoitus tulee tehdä ennen määrittelyä saatika suunnittelua. Voisiko tarvekartoituksen nostaa omaksi vaiheekseen? Suuri osa (kokonais)arkkitehtuurityöstä tehdään jo tarpeen kartoitusvaiheessa, jotta seuraavien vaiheiden raamit ovat selvillä ja kehittäminen ketterää. • Määrittely- ja suunnitteluvaihe: "Lisäksi ennen hankintaa tai toteutusta suunnitteluvaiheessa laaditaan alustava suunnitelma hankinnan ja toteutuksen aikaisista tietoturvaan liittyvistä tehtävistä, vastuista ja aikataulutuksesta." Määrittelyvaiheessa tulisi lisäksi varmistaa järjestelmille resurssit tietoturvaa vaativien päivitysten ja muutosten toteuttamiseen elinkaaren kaikissa vaiheissa. Ilman budjetoinnin huomioimista helposti tingitään toteutuksessa ja versiopäivityksissä. • Toteutusvaihe: "Toteutusvaiheessa tunnistetaan myös tietojärjestelmän liittymät muihin järjestelmiin sekä niistä muodostuvat riippuvuudet ja tietovirrat." Em. asiat tulisi tunnistaa jo aiemmissa vaiheissa, mieluiten jo tarvekartoituksessa, vaikkakin tarkentuvat kehittämisen edetessä. • Toteutusvaihe: "Tietojärjestelmät koostuvat usein lukuisista, mahdollisesti hajautetuista ja usean osapuolen tekemistä komponenteista. Tällöin on tietoriskien hallinnassa hyvä kiinnittää huomiota rajapintojen hallintaan sekä palvelujärjestelmän ja taustajärjestelmän välisen tiedonsiirron hallintaan." Mitä tässä tarkoitetaan palvelujärjestelmällä ja taustajärjestelmälle? Mikä on näiden funktio? Edellytetäänkö näiden kahden erottamista toisistaan? • Käyttöönottovaihe: "Tietojärjestelmien, laitteiden ja sovellusten käyttöönottoasennuksen tehdään määritetyn prosessin ja ohjeistuksen mukaisesti huomioiden esimerkiksi organisaation laatimat arkkitehtuuriperiaatteet, yhteensopivuuden muuhun ympäristöön sekä määritetyt suojausvaatimukset ja kovennukset" Käytännössä esitettyjen kohtien huomiointi tulee tapahtua jo aikaisemmin ja se on osa kaikkia vaiheita. Pelkästään käyttöönottovaiheessa asioiden muuttaminen esim. arkkitehtuurin kannalta on liian myöhäistä. Jos tällä tarkoitetaan sitä, että laitteet toteutetaan organisaation yleisten periaatteiden mukaan, niin on syytä huomioida, että organisaatiolla on usein periaatteita ja ohjeita myös järjestelmien toteutukseen, sovellusarkkitehtuuriin yms. liittyen. • Käyttöönottovaihe: "Kovennetun, määritetyt tietoturva-asetukset sisältävän, asennuksen toteuttamisessa voidaan hyödyntää ylläpidettyä luotettua levykuvaa (golden image), jonka avulla asennus tehdään." Onko tämä määritys ja esimerkki levykuvasta hieman rajaava? Luotettaviin ja toistettaviin tuloksiin päästäneen myös Infrastructure as Code -tyyppisesti ja varmasti muitakin menetelmiä toteutuksen vakiointiin on olemassa. • Ylläpitovaihe: ”Ylläpitovaiheessa pitää huolehtia myös toiminnan jatkuvuuden edellyttämästä tietojärjestelmän toivuttamisen suunnittelusta ja varmistamisesta harjoittelulla” Tarkoitetaanko tässä, että toivuttamisen suunnittelu tehdään ylläpitovaiheessa vai että sitä harjoitellaan? Suunnittelu tulisi olla tehtynä ylläpidon käynnistyessä ehkä koestettunakin. • Ylläpitovaihe: "Osana tietojärjestelmien ylläpitoa toteutetaan tarvittava valvonta..." Tarkoitetaanko tällä, että valvonta suunnitellaan ja toteutetaan vasta käytön alettua? Valvonta tulisi suunnitella osana järjestelmän suunnittelua. Myös toteutusta tulisi tehdä toteutusvaiheessa siten, että se on käytössä käyttöönottovaiheen lopussa. • Ylläpitovaihe: "Tietojärjestelmien ylläpitoyhteydet tehdään käyttäen salattuja yhteyksiä sekä looginen ja fyysinen pääsy on rajattua." Tässä tunnutaan käsittelevän enemmän yhteyttä laitealustalle? Olisi hyvä huomioida ohjeissa myös järjestelmän ylläpito esim. järjestelmän käyttöliittymällä ja laitealustalta tapahtuvat toimet. Koskeeko vaatimukset siis myös sovelluksen itsensä ylläpitoa selaimella. Esimerkiksi sovelluksen käyttöliittymän kautta tehtävää ylläpitoa ei käytännössä voi rajata vain ylläpitäjiin teknisesti, jos molemmat käyttävät samaa käyttöliittymää esim. selainsovellukset. Tuleeko sovellus hylätä (tai käyttö siirtää esim. hyppykoneelle), jos sillä on suojaamaton hallintayhteys sisäverkossa (esim. valmistajakohtainen protokolla, jossa ei kuitenkaan ole salausta)? Kortti 13 § Riskienhallinta • Suosituksessa voisi nostaa esille, että itse virheellinen tieto on iso riski ja tiedon laadun varmistaminen on osa riskienhallintaa, jota voidaan tehdä nykyään hyvinkin tehokkaasti ja automaattisesti. Kortti 13 § Tietoturvallisuus hankinnoissa • Suosituksen otsikolla viitataan tietoturvaan. Kuitenkin suosituksessa kuvataan suurelta osin koko hankintaprosessi ja hankintoja yleisesti, ei keskittyen otsikon mukaisesti tietoturvaan. Suositus voisi olla tiiviimpi keskittyen tietoturvanäkökulmaan sen tarkemmin ottamatta kantaa hankinnan toteutukseen muilta osin. Kortti 17 § Lokitietojen kerääminen • Lokitietojen säilyttäminen: "Tässä yhteydessä tulee huomata, että lokeja on tyypillisesti myös tallennettu varmistusnauhoille tai muille vastaaville tallennus ja arkistointivälineille, joista tiedot tulee tarvittaessa myös poistaa." Varmistuksiin olisi hyvä ottaa yleisemmin kantaa kuin vain tässä lokiasiassa. Käytännössä tämä vaatimus voi olla mahdoton toteuttaa riskeeraamatta varmistusten eheyttä. Olisi hyvä osoittaa, miten tämä tehdään ihan todellisuudessa. • Lokitietojen kerääminen: "Lokiin ei lähtökohtaisesti tule kerätä seuraavan kaltaisia tietoja:..". Lähtökohtaisesti monet lokit ovat "annettuja", esim. tietokannan hallintajärjestelmien (Oracle, Postgres, MS SQL,..) auditointidatan rakenne on annettu. Toki voi valita minkälaiset tapahtumat laukaisevat lokiin kirjoituksen ja lokin jatkokäsittelyssä voi jättää joitakin tietoja pois. Yleensä tietokannan hallintajärjestelmän lokituksessakin kannattaa mennä toimittajan oletuksilla. Taustalla on kuitenkin järkiperuste, millaista tietoa on hyvä kerätä ja millaisista tapahtumista lokia tuotetaan, jotta varmistetaan esim. tietokannan käytön mahdollisimman hyvä jäljitettävyys. Tietokannan hallintajärjestelmän auditointitiedoista yksi keskeisempiä on auditoitavaan tapahtumaan liittyvä SQL-kysely. SQL-kysely voi sisältää henkilötunnuksia kyselyn rajausehdoissa. Jos kyselyä jouduttaisiin jotenkin suodattamaan lainsäädännön vaatimuksista johtuen niin samalla menetettäisiin lokitietoa, joka nimenomaan olisi tarpeen, kun halutaan seurata tietojärjestelmien käyttöä tai tietojen luovutusta. Hyvä tiedostaa myös, että monien lokilähteiden ensisijainen käyttötarkoitus voi olla jokin muu kuin tietojärjestelmän käyttöön ja tietojen luovutukseen liittyvä.
      • Tilastokeskus
        Päivitetty:
        4.12.2019
        • Tilastokeskus toivoo, että analogisten aineistojen tietoturvallisuutta koskevat näkökulmat nostettaisiin suosituksissa ehdotettua kattavammin esille.
      • TEM
        Päivitetty:
        4.12.2019
        • Kortti 13 § Elinkaaren huomioiminen tietojen käsittelyssä Tiedon elinkaaressa tulisi huomioida myös tiedon määrittelyvaihe. Siinä vaiheessa tiedolla määritellään sen ominaisuuksia/metatietoja/tiedon turvallisuuteen liittyviä ominaispiirteitä, joiden mukaan tietoa tullaan käsit-telemään alkaen aina tiedon luomisesta tai vastaanottamisesta aina tiedon elinkaaren loppuun asti. Toisin sanoen myös siinä vaiheessa kun tietoja tai tietotarpeita määritellään niin oteta kantaa riskiperusteiseen arviointiin, mm. tiedon kriittisyyteen liittyen. Tiedon fyysinen ilmentymä alkaa tiedon luomisesta tai vastaanottamisesta, mutta tiedon määrittelyt ja tietotarpeet tarvitaan aina ennen edellisiä vaiheita. Samoin tulisi huomioida, että vastaavasti tietojen määrittelyn kautta tulee vaatimuksia myös pilvipalvelua ja sen hankintaa var-ten. Tiedon elinkaari -ajattelu on hyvä asia sillä harvemmin mietitään tietoa/tietoja sen koko elinkaaren ajalta, koska tieto ”muuttaa muotoaan” ja sitä käsitellään hieman eri tavalla sen elinkaaren vaiheissa, esim. kun tie-toja yhdistetään tai kun pohditaan tietojen kasautumisvaikutuksia. Kysymys herää myös siitä, miten tiedon elinkaari tulisi kuvata ja huomioida tietoarkkitehtuurissa tai muissa tietoon ja tietoturvallisuuteen liittyvissä kuvauksissa? Myös tiedon luokittelua voidaan tehdä useasta eri näkökulmasta esim. toimintaprosessien, tietoarkkitehtuurin, tietojärjestelmän, tietoturvan ja tietosuojan perusteella. Esim. henkilötieto, erityinen henkilötieto ja muut tiedot tms. Oleellinen osa myös tiedon elinkaarta on tietovirtakuvaukset. Myös tietovirtakuvaus voi toimia apuvälineenä kun mietitään lokitusta tai tietoturvallisuuteen liittyviä riskejä ja niitä paikkoja, joista tietovuoto olisi mahdol-lista tehdä. Kuvauksesta voisi olla hyötyä myös siinä tapauksessa kun nähdään kokonaisuus isommassa kuvas-sa kun mietitään ja määritellään erilaisia tiedonvälitys, suojaus- ja salausratkaisuita jne. Kohta: Keskeisiä tietoaineistojen elinkaareen liittyviä kysymyksiä: • Tulisiko kysymyksissä jollakin tapaa ottaa huomioon myös henkilötietojen lisäksi erityiset henkilötiedot? Kohta: Tiedon säilytys: • On tärkeää, että tiedot säilytetään (säilytettävyys) sellaisessa muodossa, että niitä voi myöhemminkin hyödyntää, ovat saatavissa, käytettävissä, tiedon eheys on varmistettu, vaikka tietojärjestelmät ja teknologiat tiedon ympäriltä ovat muuttuneet ja muuttuvat vuosien ja vuosikymmenien varrella. Keskeisiä tiedon säilytykseen liittyviä kysymyksiä: • Ensimmäinen kysymys: Onko säilytettävä tieto suojausluokiteltua (turvallisuusluokiteltua)? Kysymyksessä mainitaan suojausluokittelu –käsite, eikö suojausluokittelu poistu uuden tiedonhallintalain myötä ja tällöin se on turha maininta tuossa kysymyksessä? Kohta:Tiedon käyttö: • Tapauksissa, joissa haetaan turvakiellollisen henkilön tietoja hausta tai hakuyrityksistä tulisi tehdä lokimerkinnät. • Tiedon käyttöön ja sen seurantaan/valvontaan oleellisesti liittyy lokit ja lokien kerääminen sekä niiden hyödyntäminen. Olisiko kysymyksissä syytä olla jokin kysymys lokitietoihin liittyen, esim. kerätäänkö lokeja erityisen henkilötiedon käsittelystä, turvakiellollisten käsittelystä, henkilötietojen käsittelystä tms.? Kohta: Tiedon tuhoaminen: • Aika pitkälti tiedon tuhoamiseen liittyvät asiat koskevat, esim. Valtoria tai jotakin muuta laite-/palvelun tuottajaa, jolta tiettyjä palveluita saadaan. Kuinka paljon esim. yksittäisillä virastoilla tai ministeriöillä on näkyvyyttä siihen, miten esim. käytöstä poistettuja tietokoneita, kovalevyjä ja siellä olleita tietoja tullaan käsittelemään myöhemmissä vaiheissa? Voi olla tilanne, että vastatessaan kortissa esitettyihin kysymyksiin vastaukset perustuvat hyviin olettamuksiin? Miten tässä kohtaa huomioi-daan eri varmuuskopiot, joita esim. palvelimien tietokannoista otetaan ja niiden käsittelyn (mediassa saattaa olla/on salassa pidettävää tietoa, henkilötietoa, arkaluonteista henkilötietoa tms). Dokumentin loppuosassa oleva taulukko: • Koko elinkaari: Olisiko täällä hyvä olla maininta siitä että, varmistetaan, että tietoon, tietoaineistoon ja niiden käsittelyyn liittyvät vaatimukset huomioidaan tietojärjestelmiä ja ympäristöä suunniteltaessa ja ratkaisujen toteuttamisessa? • Tiedon käyttö: Olisiko täällä olla hyvä maininta siitä, että tietoja/tietoaineistoja käytetään siinä käyt-tötarkoituksessa, johon se on (alun perin) tarkoitettu/määritetty tms.? Kortti 13 § Elinkaaren huomioiminen tietojärjestelmissä • Tulisiko myös tässä kortissa olla tarkentavia kysymyksiä kuten toisessa elinkaaren hallintaan liittyvässä kortissa? • Olisiko mahdollista saada mallipohjia tai muita yhteneväisiin toimintatapoihin pyrkiviä tarkempia ohjeistuksia. Uudistettu ja uudistuva lainsäädäntö ml. GDPR nojaa riskiarvioihin perustuvaan suunnitteluun ja toteuttamiseen. Sanasto –osuus: Voisiko sanastoon lisätä käsitteet ja niiden määritykset: • IRP-kysymykset • Levykuva • Palvelujärjestelmä • Palveluelementti • Turvallisuuskuvaus • Taustajärjestelmä • Rajapinta • Tietoriski Kortti 13 § Tietoturvallisuus hankinnoissa Hankinnan suunnittelu- ja valmisteluvaihe: • Eikö vaatimusmäärittelyssä tulisi ottaa huomioon ja kuvata vaatimusmäärittelyä huomioiden tiedot ja tietojenkäsittely sekä niiden kautta tulevat vaatimukset? Nyt tietoihin liittyvää näkökulmaa ei ole huomioitu? Tietojen mallintaminen ja tietojen vaatimusmäärittely olisi syytä tehdä ennen varsinaista tietojärjestelmän hankintaa. Turvallisuusluokiteltu tieto aiheuttaa myös vaatimuksia palveluntarjoajalle ja/tai viranomaisille? Kortti 17 Lokitietojen kerääminen Mikä on automaattisesti kerättävien lokien suhde tarpeellisuusarviointiin ja sitä kautta kerättäviin lokitietoihin? • On hyvä, että suosituskortissa on hieman avattu, mihin asioihin lokitietoja voidaan käyttää, sillä lokitieto -käsitteen voi ymmärtää joko suppeasti tai laajasti. • Olisiko suosituskortissa hyvä mainita jotain lokeista liittyen pilvipalveluihin? Lokithan muodostavat tietynlaiset reunaehdot/vaatimukset pilvipalveluiden hankinnalle. • Hyvä, että suosituskortissa on lokienkin osalta käytetty ja kuvattu eri lokien vaiheet sekä lokeja on tyypitelty (käyttöloki, tekninen loki jne.) • Hyvä, jos suosituskortissa olevan sisällön avulla saadaan lokitiedot parempaan ja hyödynnettävämpään kuntoon • Lokirekisteri muodostaa pääsääntöisesti henkilötietoja sisältävän rekisterin, ts. henkilörekisteri. • Tiedonhallintaa suunniteltaessa on hyvä myös muistaa, että lokitiedot ovat myös tietoa, jota pitää mm. käsitellä ja suojata siinä missä myös muitakin tietoja. • Lokitietojen säilytysaika on eri kuin mitä tietojärjestelmässä olevat muut tiedot (”substanssitiedot”) • On hyvä muistaa, että tietojen käsittely voi olla edelleen manuaalista ja niihinkin tarvitaan jonkinlaista lokia • Verkkolevyjä käytetään edelleen jonkin verran, mutta miten niissä on lokivaatimukset huomioitu, esim. tiedoston avaaminen ja katsominen? • Lokitietojen osalta tietojen eheys korostuu entisestään ja se pitää osata huomioida siinä vaiheessa kun mietitään tarkemmin lokien keräämistä, niiden tietosisältöä jne. • Tiedonmäärän lisääntyessä myös lokitietojen määrä kasvaa. Lokitietojen pitäisi jatkossakin pysyä selkeinä ja ymmärrettävinä huomioiden myös niiden käyttötarkoituksen. Lokit pitää saada järjestelmistä ulos ja ymmärrettävään sekä selkeään muotoon. • Lokit tulee saada mukaan järjestelmäkehitykseen aikaisessa vaiheessa. • Kuva voisi avata kortin sisältöä paremmin • Kuinka paljon lokien seurannassa ja analysoinnissa voidaan hyödyntää tekoälyä esim. poikkeamien toteaminen? • Katseluyhteyden lokitus? Miten se tulisi hoitaa? • Kuinka tarkkaan lokituksista tulisi sopia sopimuksella esim. viraston ja palvelun tuottajan kesken? Yleiset kommentit suosituskortteihin liittyen: • Elinkaarikortteihin liittyen: Tulisiko riskiarviointia laatia elinkaarivaihe kohtaisesti? Voisiko ajatella, että eri tyyppisiä riskejä kohdistuu eri (tiedon ja/tai tietojärjestelmän) elinkaarivaiheisiin? • Elinkaarista ja hankinnan eri vaiheista voisi kortteihin lisätä kuvan, joka näyttäisi elinkaaren eri vaiheet? • Suosituskorteissa viitataan Vahti-ohjeisiin ja jatkossa Vahti-ohjeet eivät kuitenkaan poistu käytöstä niin, päivitetäänkö myöhemmin Vahti-ohjeita vanhentuneilta osin vai jäävätkö Vahti-ohjeet sellaiseksi kuin ne nyt ovat? • On hyvä, että suosituskorttiin on listattu ns. apukysymyksiä tietoon liittyen mikä helpottaa organisaatioita pohtimaan vähintään kysymyksissä mainittuja asioita. • Erilaiset kuvat ja konkreettiset (käytännönläheiset) esimerkit suosituskorteissa voisivat helpottaa ja selkeyttäisivät asioiden ymmärrettävyyttä
      • Ilmatieteen laitos
        Päivitetty:
        4.12.2019
        • Kortti 13 §, Elinkaaren huomioiminen tietojen käsittelyssä Tämän kortin osalta ei Ilmatieteen laitoksella ei ole asiaan meneviä kommentteja. Sen sijaan avoimeen dataan liittyvien kirjausten osalta pyydämme tarkastamaan, tulisiko “joukko henkilötietoja” ilmaista “joukkohenkilötietoja”. Kortti, 13 § Elinkaaren huomioiminen tietojärjestelmissä Tässä kortissa todetaan Toteutusvaihe-otsikon alla, että toteutusvaiheessa tunnistetaan myös tietojärjestelmän liittymät muihin järjestelmiin sekä niistä muodostuvat riippuvuudet ja tietovirrat. Ilmatieteen laitoksen näkemyksen mukaan toteutusvaihe ei ole kaikilta osin paras mahdollinen ajankohta tunnistaa näitä liittymiä ja riippuvaisuuksia. Näin oleellisimmat liittymät tulisikin tunnistaa jo määrittely- ja suunnitteluvaiheessa. Samaan toteutusvaiheeseen liittyen tässä kortissa todetaan, että sopimuksiin liittyviä tyypillisiä riskejä ovat IRP- kysymykset, tekijänoikeudet, lisenssit ja kaikki vielä tunnistamaton immateriaalioikeuden alla oleva aineisto, omistajan vaihdokset ja fuusiot. Ilmatieteen laitos ehdottaa tähän liittyen ilmaistavan kortissa, että yleisesti ottaen on toivottavaa edistää avoimen lähdekoodin ratkaisuja, tai ratkaisuja, joissa IPR siirtyy tilaajalle. Kortti, 13 § Riskienhallinta Ilmatieteen laitoksella ei ole tämän osalta lausuttavaa. Kortti, 13 § Tietoturvallisuus hankinnoissa Ilmatieteen laitoksella ei ole tämän osalta lausuttavaa. Kortti, 15 § Vahingoilta suojaaminen Kyseisen kortin kolmannessa varsinaisessa tekstikappaleessa todetaan, että tyypillisesti palvelutarjoajat säilyttävät ja ylläpitävät tietojen ja tietojärjestelmien käsittelyssä tarvittavia fyysisiä tiloja ja laitteita. Ilmatieteen laitos kiinnittää tämän osalta siihen, että pilvipalvelujen hyödyntäminen on jo nykyisin erittäin yleistä ja tulee melko varmasti muuttumaan yleisimmäksi ratkaisuksi lähitulevaisuudessa. Yksi mahdollinen vaihtoehto kehittää tältä osin suosituksen tekstiä olisi poistaa kyseinen lause sekä samalla lisätä korttiin yksityiskohtaisempi kuvaus niin sanottujen pilvipalvelujen hyödyntämisestä ottaen huomioon myös vahingoilta suojaamisen näkökulman. Kortti, 17 § Lokitietojen kerääminen Ilmatieteen laitoksella ei ole tämän osalta lausuttavaa.
      • Teuvan kunta
        Päivitetty:
        4.12.2019
        • Kortti 13 Tietoturvallisuusvaatimukset aiheuttanevat organisaatioille merkittäviäkin kustannuksia laitteiden ja ohjelmistojen vaihdon muodossa, mikäli nykyisin käytössä olevat eivät täytä kaikkia vaatimuksia. Miten huomioidaan pienten organisaatioiden toimintakyky. Näiden laitteiden ja ohjelmistojen vaihdosta aiheutuvat kustannukset, voivat olla merkittävä osa käytössä olevasta budjetista. Käytännössä siirtymäaikojen tulee olla riittävän pitkiä, jolloin vältetään täysin toimintakykyisten laitteiden ja järjestelmien, jotka eivät ehkä täysin täytä jotain osa-aluetta, vaihtaminen uusiin liian tiukalla aikataululla. Vaihdosta aiheutuu organisaation kustannusten lisäksi kuormitusta ympäristölle, mikäli täysin käyttökelpoiset laitteet joudutaan kierrättämään ennen niiden elinkaaren loppua. Kortti 17 Lokitietojen laajamittainen ja jatkuva seuranta tulee aiheuttamaan merkittävän työmäärän jo pienen organisaation toiminnassa, tämän valvonnan au-tomatisointi puolestaan tulee aiheuttamaan kustannuksia. Käytännössä tämä avannee markkinat erityisesti lokitietojen seurantaan luoduille ohjelmistoille, joiden pohjalle valvonta käytännössä on rakennettava. Sinällään on hyvä, että lokitietojen käyttöön ja tietojärjestelmien käytön valvontaan annetaan ohjeistus ja puitteet.
      • Kilpailu- ja kuluttajavirasto, Oravainen Henrikki
        Päivitetty:
        4.12.2019
        • Katso jäljempänä viimeisessä kohdassa KKV:n yleinen vastaus.
      • Väylävirasto
        Päivitetty:
        4.12.2019
        • Tietoturvallisuuden osalta puuttuu vielä konkreettiset vaatimusohjeet ja –taulukot uuden lain kannalta. Nyt viitataan VAHTI-ohjeisiin, jotka pohjautuvat nykyiseen lainsäädäntöön ja taso-ajatteluun (perus, korotettu ja korkea). Nyt kun uuden lain voimaantulon jälkeen nämä tasot poistuvat suojaustaso-luokittelusta, niin tämä aiheuttaa sekaannusta, miten asioita pitäisi ratkaista. Suosituskortin 13 § Elinkaaren huomioiminen tietojen käsittelyssä osalta on kiinnitettävä huomiota seuraaviin asioihin: Kortin alkupuolella oleva lause, joka toteaa muun muassa, että tiedon elinkaari päättyy sen pysyvään säilyttämiseen arkistoinnin muodossa tai tiedon tuhoamiseen, saattaa aiheuttaa lukijalle väärän mielikuvan, ettei arkistointi sisältyisi tiedon elinkaareen. Tiedon käyttöä seurataan ja valvotaan vähintään sisään ja uloskirjautumistasolla tai niiden yrityksillä. Useissa tapauksissa tulee kerätä myös käyttölokia. Tämän osalta pyydetään selventämään, miten tämä toteutuu niissä tapauksissa, joissa hallitaan ympäristöä ja roolilla pääsee useisiin järjestelmiin. Siinä käsitellään vain järjestelmiä mutta ei palveluita, esimerkiksi SOA-palveluita. Suosituskortin 13 § Elinkaaren huomioiminen tietojärjestelmissä osalta on kiinnitettävä huomiota seuraaviin asioihin: Siinä käsitellään tietojärjestelmiä, joten näkökanta SOA-pohjaisista ratkaisuista puuttuu. Vaiheilla on kuvattu vesiputousmalliajattelun mukaista järjestelmäkehitystä. Tämän osalta on harkittava, pätevätkö kirjaukset tässä muodossa myös ketterään kehittämiseen ja DevOps-malliin. Suosituskortin 17 § Lokitietojen kerääminen osalta on kiinnitettävä huomiota seuraaviin asioihin: Suosituskortissa on kerrottu ja vaadittu hyviä käytäntöjä ja periaatteita, mutta linjaukset puuttuvat tai ovat erittäin epämääräisiä. Esimerkiksi ”Lokitiedot kerätään tietojärjestelmän käytöstä ja tietojen luovutuksista varsinkin, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista.” Tämän osalta jää epäselväksi, voiko käyttölokit jättää keräämättä, säilyttää vain vähän aikaa tai kerätä vain osittain, jos järjestelmän käyttö ei vaadi tunnistautumista vai tehdäänkö anonyymikäytön lokitukset. Lokien hallinnassa on huomioitava vaaralliset työyhdistelmät, ettei käyttäjä pääse muokkaamaan omia lokitietojaan. Tämän osalta on harkittava, miten tämä voidaan varmistaa aukottomasti palvelutoimittajalla. Suosituskortin osalta jää epäselväksi, mitä tapahtuu, jos epäillään lokitietojen muokkausta. Esitetyt säilytysajat ja eheysvaatimukset tarkoittavat, että kustannukset tämän osalta saattavat nousta suuriksi.
      • Suojelupoliisi
        Päivitetty:
        4.12.2019
        • Suojelupoliisi esittää palautteenaan suosituskorteista seuraavaa Ensinnäkin Kortit eivät ole käytettäviä. Niistä puuttuu sivunumerointi, korttien selkeä numerointi, ja ne ovat vaikealukuisia. Korteissa käytetty pykäläviittaus on epäselvä - viitataanko tiedonhallintalakiin vai mihin? Korteissa käytettyjä värikoodeja ei selitetä missään. Toimituksellinen, kokonaisuutta kuvaava etulehti puuttuu. Korttien keskinäiset suhteet ja suhteet muuhun suosituspatteriin ovat epäselviä ja eri korteissa on paljon samaa asiaa. Tällaisenaan korttimuotoinen ohjerakenne ei palvele käyttäjää sen paremmin paperi- kuin sähköisessä muodossa. Hyvin toimitettu käsikirja (viittaan esim. Vahti 2/2010-ohjeeseen) on huomattavan paljon parempi työkalu. Korttien sisältö on ylätasoista, ja jos näillä on tarkoitus korvata esim. Vahti 2/2010, niin siinä onnistutaan huonosti; vastaavia käytännön sovellusohjeita ei ole. Jossain olisi myös hyvä kertoa, mitä ohjeita ja suosituksia tällä paketilla aiotaan korvata. Toisekseen Koko ohjepaketti on epätasapainoinen (liite: tiedonhallintamallin tarkoitus, laatiminen ja hyödyntäminen, kuva, s 5). Asiakirjahallinta, eli tiedonhallinnan toiminnallinen ja sisällöllinen puoli eivät oikeastaan näy mitenkään. Eivät myöskään prosessit, arkkitehtuuri, tietosuoja. Nyt lausuttavana ollut paketti koskee käytännössä tietoturvaa ja tekniikkaa. Korttien sisällöt ovat terminologisesti osin ristiriitaisia ja toisaalta vakiintuneiden käytännön perinteiden vastaisia - viime mainittu näkyy koko tiedonhallintalaissa muutoinkin, ja tulee hankaloittamaan käytännön työtä. Esimerkkinä kortissa 13§, 13.1 § tietoaineistojen ja tietojärjestelmien tietoturvallisuus ensimmäisessä kappaleessa on kaksi tiedon elinkaaren määritelmää, jotka vaikuttavat keskenään ristiriitaisiltaa ja toisaalta romuttavat suomalaisen perinteisen toimintamallin.
      • Väestorekisterikeskus
        Päivitetty:
        4.12.2019
        • Väestörekisterikeskukselta on valmistumassa uusi ehdotus suositusten julkaisuformaatista lähiviikkoina. Siksi Väestörekisterikeskus esittää, että nyt palautekierroksella olevat suosituk-set julkaistaisiin uudessa muodossa niiden valmistuttua. 13.4 § Tietoaineistojen ja tietojärjestelmien tietoturvallisuus Hankintojen aikataulun määrittelyssä olisi hyvä huomioida lisäksi auditoinneissa havaitut vakavat puutteet verrattuna määriteltyihin vaatimuksiin. Pahimmassa tapauksessa nämä voivat viivästyttää käyttöönottoa. Hankinnan tietoturvavaatimukset olisi hyvä määritellä yhteistyössä tietoturva-asiantuntijoiden ja hankinnan kohteen asiantuntijoiden kanssa. Vaatimusmäärittelyyn tulisi panostaa ja siihen käytettävät resurssit tulisi varmistaa, koska muutoksien tekeminen jälkikäteen voi olla kallista. Joissain tapauksissa tietoturvavaatimukset saatetaan esittää liian korkealla tasolla ilman konkretiaa. Tietoturvallisuusvaatimukset, kuten muut toiminnalliset ja ei-toiminnalliset vaatimukset, tulisi esittää riittävän täsmällisesti. Lisäksi huonot vaatimukset voivat olla esimerkiksi monimerkityksellisiä, ne eivät ole auditoitavissa, ne voivat olla epäjohdonmukaisia tai niitä ei voida konkreettisesti toteuttaa. Määriteltyjä vaatimuksia olisi hyvä peilata kohteelle asetettuihin turvallisuustavoitteisiin. Lisäksi sidosryhmien ja riippuvuuksien olisi hyvä olla tiedossa vaatimuksia määriteltäessä. Kortti 13 § Riskienhallinta.pdf - Kaikki keskeisten roolien olisi hyvä osallistua arvioitavan kohteen tietoriskien kartoittamiseen ja arviointiin, jotta tuloksena saadaan kattava riskirekisteri ja eri asiantuntijoiden näkemys. ”Tietoriskin arvioinnin kohteen omistaja päättää” voidaan muotoilla myös ”- - - - riskin omistaja - - - -”. Joillakin riskeillä voi olla eri omistaja kuin kohteen omistaja. 15.1 § Vahingoilta suojaaminen Henkilöstöä tulisi ohjeistaa, mihin tiloihin voi tulla organisaation ulkopuolisia henkilöitä ja mihin ei. Henkilöstön tulisi myös pitää huolta, että tiloihin ei pääse ulkopuolisia henkilöitä. Henkilöstön tulisi itse puuttua sekä ilmoittaa ulkopuolisista henkilöistä turvallisuusvastaavalle. Kriittisten tilojen sisäänkäyntireittejä olisi hyvä valvoa kameroilla. Turvallisuusselvitykset ja vaitiolositoumukset kannattaisi myös huomioida, kun kriittisiin tiloihin sallitaan pääsy. 13.1 § Tietoaineistojen ja tietojärjestelmien tietoturvallisuus Keskeistä olisi esimerkiksi katselmoida tietoaineistoihin liittyvät käyttövaltuudet säännöllisesti. Tietoaineistoilla tulisi aina olla omistaja. 13.1 § Tietoaineistojen ja tietojärjestelmien tietoturvallisuus Kriittisillä tietojärjestelmillä olisi hyvä olla jatkuvuus- tai toipumissuunnitelma, jossa on kuvattu toiminta häiriön aikana ja nopea toipuminen erilaisista uhkaskenaarioista. Kriittisillä tietojärjestelmillä olisi hyvä olla määriteltynä vuosikello, jossa on kuvattu tietoturvaan ja jatkuvuuteen liittyviä, säännöllisesti toistuvia toimenpiteitä. Tietojärjestelmään liittyvät vastuut, kuten tietoturvapäivitysten asennukset ja seuranta, olisi hyvä kuvata. Toteutusvaiheessa voidaan käyttää apuna turvallisen sovelluskehityksen periaatteita.
      • Järvenpään kaupunki, Hallintopalvelut
        Päivitetty:
        4.12.2019
        • Kortti 13 § Elinkaaren huomioiminen tietojen käsittelyssä Kortissa esitetyt kysymykset tukevat hyvin kuvausten laatimista. Kortti vaati kielenhuoltoa, jotta se olisi nykyistä ymmärrettävämpi. Sisältöön liittyvä palaute: Otsikko ” Elinkaaren huomioiminen tietojen käsittelyssä” on harhaanjohtava. Kyse ei ole tiedon koko elinkaaresta vaan yksittäisen operatiivisessa järjestelmässä tiedon käsittelyyn liittyvistä toimenpiteistä. Kappale Tiedon käyttö: ”Tietojärjestelmien kohdalla vähintään sisään ja uloskirjautumisista sekä näiden yrityksistä tulee tuottaa lokia, mutta useissa tapauksissa myös järjestelmän sisällä toimimisesta tulee kerätä käyttölokia.” On myös palveluja (julkiset tietoaineistot), joiden käytöstä ei saa kerätä lokia. Kappale Tiedon jakaminen, siirtäminen ja luovuttaminen: Tietoaineistojen jakamisella tarkoitetaan toimia, joiden avulla päätetään tietoaineiston vastaanottajat, varmistetaan vastaanottajien tiedontarve ja oikeus sekä kyky käsitellä jaettavaa tietoaineistoa. Julkiset tiedot annetaan tiedon pyytäjälle ilman tiedon tarpeen tai muiden seikkojen selvittämistä. Tässä tarkoittanee henkilötietojen ja salassa pidettävien tietojen antamista tai luovuttamista. Silloinkin esimerkiksi kykyä käsitellä tietoa, jos tässä tarkoitetaan henkilön kykyä, on käytännössä mahdotonta selvittää. Kappale Tiedon arkistointi: Arkistoinnissa huomioidaan tiedon säilytysaika, -paikka ja -tapa sekä varmistetaan tiedon käyttökelpoisuus ja luettavuus koko säilytysajaksi. Arkistoinnin osalta kortti liian yleisellä tasolla, eikä tässä huomioida tiedon hyödyntämistä pitkällä aikavälillä. Kappale Avoin data jää tässä lyhyeksi ja irralliseksi toteamukseksi anonymisoinnista ja kustannuksista. Tällaisena tämän voisi jättää pois ja ohjeistaa se muulla tavoin esimerkiksi luomalla avoimen datan kriteeristön. Kappale Tiedon tuhoaminen on sisällöltään lähinnä työohje. Siinä ei viitata siihen, että jo järjestelmä tai sen käyttöönottoa suunnitellessa, määritellään myös se, miten tiedot hävitetään järjestelmässä. Esimerkiksi tietosuojalainsäädäntö edellyttää henkilötietojen minimointia, mikä tarkoittaa sitä, että järjestelmästä on pystyttävä hävittämään tietoa suunnitelmallisesti jo järjestelmän elinkaaren aktiivivaiheessa. Suositukset tietoturvallisuudesta Tuleeko toteuttaa tietoturvallisuustoimenpiteet, vahingolta suojaamisen vaatimukset olemassa oleviin järjestelmiin vai vain osa vaatimuksista, kuten lokivaatimukset? Kortti 15 § Vahingoilta suojaaminen · Tuleeko vahingolta suojaamisen vaatimukset toteuttaa olemassa oleviin järjestelmiin ja palveluihin? o Tarkoittaa nykyisten sopimusten päivitystä ja/tai järjestelmien/palveluiden kilpailuttamista. Mikäli lakisääteisiä muutoksia ei ole sisällytetty aikoinaan sopimuksiin, kustannukset saattavat olla merkittävät. Kortti 13 § Tietoturvallisuus hankinnoissa · Kortti sisältää paljon yleisestä hankintalaista. Tiiviimpi tietoturvaan keskittynyt kortti olisi parempi. Kortti sisältää paljon myös toistoa.
      • Terveyden ja hyvinvoinnin laitos THL, Siltala Heikki
        Päivitetty:
        4.12.2019
        • Elinkaaren huomioiminen tietojen käsittelyssä -dokumentin lopussa olevat "periaatesuositukset" ovat käyttökelpoinen tarkastuslista keskeisten kysymysten esittämiseksi elinkaaren eri vaiheissa. Riskienhallinnan suositus on selkeä ja linjassa voimassa olevien riskienhallintaperiaatteidemme kanssa. Lokitietojen kokoamisen tarpeellisuuden korostaminen on hyvä periaate. Konkretiassa voisi mennä vielä pidemmälle ja mainita suositellut tavat koota yhteen samaan tapahtumaan liittyvät eri lokeissa olevat lokirivit (esim. generoitava uniikki tunniste). Lokitietojen kerääminen -dokumentin lopussa Sanasto-osiossa on viittaukset kolmeen sanastoon ja niiden jälkeen luettelo termejä. Tämän termilistan suhde viitattuihin sanastoihin tulisi kuvata, esimerkiksi kertoa, mikäli dokumentissa olevia termejä on poimittu viitatuista sanastoista. Erityyppisiä lokeja muodostuu erityyppisistä toimenpiteistä. Näistä erityyppisistä lokeista puhutaan suosituksessa, mutta selkeää listausta näistä ei ole. Suosituskortissa todetaan myös, että erilaisten lokityyppien säilytysajat ja suojaustarve voivat poiketa toisistaan, mutta tarkempaa ohjeistusta tästä ei anneta. Näiltä osin suositusta tulisi vielä täydentää. Tekstissä listataan esimerkinomaisesti lokeihin sisällytettäviä asioita, joiden seassa vaikuttaa olevan lähes pakollisia vaatimuksia. Suositus kaipaa vielä täsmentämistä sen suhteen mitkä mainitut ovat asiat likipitäen pakollisia ja mitkä vain suositeltavia. On hyvä, että suositus korostaa lokienhallintaan liittyvää suunnittelua, kuten esim. lokien määrittelyä ja elinkaaren hallintaa.
      • Kuopion kaupunki
        Päivitetty:
        4.12.2019
        • Tietoturva ei saa olla liian irrallaan muista suosituksista. Suosituksiin kaivataan enemmän konkretiaa. Suositukset ovat nimeltään suosituskortteja. Kortti-sana saa lukijan odottamaan tiivistä ja asiaan keskittyvää sisältöä. Tämä ei toteudu. Säännösten kattava ja mahdollisimman tarkka noudattaminen edellyttää myös sitä, että tiedonhallintayksiköllä/kunnalla on käytössään riittävät henkilö- ja tekniset resurssit. Nykyisellään näin ei ole. Kortit jättävät joiltakin osin myös tulkinnanvaraisuutta tietoturvallisuustoimien käytännön toteuttamiseen, tämä voi myös joskus johtaa riittämättömiin tietoturvatoimiin. Tällaisenaan kortit vaatisivat myös tarkempaa ohjeistusta. Olisiko mahdollista viitata Vahti -ohjeiden lisäksi myös olemassa oleviin tietoturvastandardeihin joista löytyisi lisätietoa asiasta. Jos suosituksille halutaan vaikuttavuutta, niin tulee niiden sisältö irrottaa yleisestä tietoturvaohjeistuksesta
      • Liikenne- ja viestintävirasto
        Päivitetty:
        4.12.2019
        • Elinkaaren huomioiminen tietojen käsittelyssä -kortti on pääosin selkeä, mutta kaipaa joiltakin osin hienosäätöä. Viitteenä olevia lisätietolähteitä olisi hyvä vielä tarkastaa. Esimerkiksi turvallisuusluokitellun tiedon käsittelyssä viitataan VAHTI-ohjeen 2/2010 liitteeseen 4, joka pohjautuu vahvasti 2020 alusta kumoutuvaan tietoturvallisuusasetukseen. Tietoturvallisuusasetus eroaa paikoin oleellisestikin tulevasta turvallisuusluokitteluasetuksesta. Kortissa viitataan lisäksi Kyberturvallisuuskeskuksen yhdyskäytäväratkaisuohjeeseen turvallisen tiedon siirron lisätietolähteenä. Viittaus ei vaikuta täysin onnistuneelta, sillä Kyberturvallisuuskeskuksen ohje keskittyy turvallisuusluokkien III ja II ympäristöihin soveltuviin yhdyskäytäväratkaisuihin. Viittauksessa Kyberturvallisuuskeskuksen hyväksymiin salausratkaisuihin ja salausvahvuuksiin olisi hyvä tuoda esille, että niissä on kyse ensisijaisesti turvallisuusluokitellun tiedon suojaamisesta. Salausratkaisujen yhteydessä voitaisiin myös viitata 29.11.2019 palautekierrokselle saapuneen turvallisuusluokitteluasetuksen suositusten salausratkaisut-korttiin. Elinkaaren huomioiminen tietojen käsittelyssä –kortissa käytetään paikoin termiä "suojaustaso", joka on kumoutuvan lainsäädännön termistöä. Korteissa olisi hyvä käyttää johdonmukaisesti uusiutuvan lainsäädännön mukaisia käsitteitä. Mikäli samassa kortissa halutaan käsitellä sekä turvallisuusluokitellun, että muun salassa pidettävän tiedon suojaamista, tulisi tuoda selkeämmin esille miltä osin käytännöt eroavat ja mihin viitatut lisätietolähteet ottavat kantaa. Tieto voi elinkaarensa aikana liittyä eri tavoin muuhun tietoon ja tämä tietojen yhdistyminen voi vaikuttaa siihen miten tietoa tulee käsitellä. Yhdistetyn tietokokonaisuuden käsittelyn vaatimukset saattavat olla tiukemmat kuin yksittäisen siihen kuuluvan tietoaineiston. Lisäksi toiston poistaminen selkeyttäisi korttia. Elinkaaren huomioiminen tietojärjestelmissä -kortissa olisi hyvä kuvata vaatimuksia, ohjeita ja seurantaa koskevat tehtävät selkeästi siten, että ne nivoutuvat tietojärjestelmän elinkaaren vaiheeseen eivätkä kehittämistapaan (vesiputous tai ketterä). Lisäksi voisi harkita käytettävän esimerkiksi termiä "ohjelmistohaavoittuvuuksien hallinta" käytetyn "päivitysten hallinnan" sijaan. Kyseiset suositukset voisi ulottaa koskemaan myös tilanteita, joissa ohjelmisto ei ole enää tuen piirissä. Huomioitavaa on myös, että tiedon tuhoamisella pyritään päättämään tiedon elinkaari. Tuhoamisen tulisi siten kattaa menetelmät, joilla estetään tietojen kokoaminen kokonaan tai osittain riippumatta siitä, päätyvätkö tiedot tuhoamisen jälkeen tietoon valtuutettujen vai valtuuttamattomien henkilöiden käsiin. Vahingoilta suojaaminen-kortissa olisi hyvä erikseen mainita, että viranomaisen tietoja käsittelevän palveluntuottajan tulee toteuttaa hyvän tie-donhallintatavan turvallisuustoimenpiteitä. Lokitietojen kerääminen -kortti tukee viranomaisia lokeihin liittyvien toteutusten järjestämisessä. Mikäli samassa kortissa käsitellään myös poikkeamien havainnointikykyyn viittaavia asioita, lakiviitteeksi voisi harkita myös esimerkiksi toimintaympäristön tietoturvallisuustilan seuraamista koskevaa tiedonhallintalain pykälää (13.1 §) 17 §:n lisäksi. Myös muut yleiset hyvät käytännöt on hyvä huomioida, erityisesti normaalin liikenneprofiilin tunnistaminen ja poikkeavuuksiin reagoiminen. Lisätietolähteeksi voisi lisätä myös Katakri 2015 -kriteeristön kohdat I 10 ja I 11, jotka täydentävät muita kortissa mainittuja lisätietolähteitä. Lisäksi elinkaaren huomioiminen tietojärjestelmissä sekä tietojen käsittelyssä- kortit voisi linkittää tähän korttiin, jos niitä on tarkoitus noudattaa lokitietojen hallinnassa. Suosituksia selkeyttäisi se, jos tietoturvallisuuden vähimmäisvaatimukset -kortissa olisi linkit sitä täydentäville seitsemälle kortille tai ne liitettäisiin tietoturvallisuuden vähimmäisvaatimukset -kortin perään kuten teknisiä rajapintoja ja katseluyhteyksiä koskevien suositusten osalta on tehty.
      • Mikkelin kaupunki
        Päivitetty:
        4.12.2019
        • Tietoturvallisuussuosituksissa toivotaan, että niitä yhdenmukaistettaisiin helpommin luettavampaan ja jäsennettyyn muotoon. Toinen asia, joka nousee esille, on useat viittaukset VAHTI:n ohjeisiin ja suosituksiin. Tiedonhallintalautakunnan muodostamisen yhteydessä olisi hyvä koota yhteen ja osoittaa tiedonhallintayksiköille, mitä olemassa olevia suosituksia voidaan jo noudattaa ja joita tulee huomioida tiedonhallinnassa ennen kuin lautakunta alkaa itse tekemään omia suosituksiaan. Tiedonhallintaan liittyviä suosituksia on tähän mennessä antanut ainakin JUHTA, VAHTI ja Kansallisarkisto, joten olisi hyvä tietää mitä näiden tahojen suosituksista tai määräyksistä tulisi edelleen noudattaa tiedonhallintaan liittyen.
      • Maanmittauslaitos, Tietohallintotoimisto
        Päivitetty:
        4.12.2019
        • Yleisesti: Suosituskorteista puuttuu tieto, kuka omistaa kortit tai vastaa niistä. Suosituskortit ovat vielä osittain keskeneräisiä. Olisi hyvä, jos niitä voidaan täydentää ja niiden luettavuutta parantaa vielä korttien käytön alettua (ainakin vuoden 2020 ajan). Olisi hyvä nimetä taho, jolle voi ilmoittaa havaitsemistaan puutteista tai kehitysehdotuksista. Lisäksi suosituskortit ovat varsin pitkiä ja osa niissä kuvatuista asioista on jo esitetty Vahti-ohjeissa. Jos Vahti-ohjeita ollaan kumoamassa, niin tulisi huolehtia, että kaikki niissä olevat tarpeelliset asiat löytyvät suosituskorteista. Korttien Elinkaaren huomioiminen tietojen käsittelyssä ja Elinkaaren huomioiminen tietojärjestelmissä välinen yhteys jää puutteelliseksi. Olisi tarkoituksenmukaista, jos tietojärjestelmän elinkaaren määrittelyn ja suunnittelun tärkein lähtökohta olisi se, mitä tietoja järjestelmällä on tarkoitus käsitellä. Vastaavasti tietojen käsittelyn elinkaaren tärkeä vaihe on arvioida, minkälaisella tietojärjestelmällä tietoja tullaan käsittelemään vai tullaanko tietoja käsittelemään vain paperimuodossa. Lisäksi on erittäin tärkeä suunnitella jo ennen tietojen keräämistä, kuinka tietojen loppusijoitus tehdään (mitkä kerättävistä tiedoista säilytetään pysyvästi, mitkä säilytetään määräajan ja mitkä tuhotaan). Tämä vaikuttaa merkittävästi myös tietojärjestelmän ja tietovarantojen rakenteeseen. Elinkaaren huomioiminen tietojen käsittelyssä-kortissa viitataan Vahti-ohjeeseen 2/2010. Ohje on tehty tietoturvallisuusasetusta täydentämään. Olisi hyvä päättää, tullaanko ohje säilyttämään edelleen, kun tietoturvallisuusasetus kumotaan ja suojaustasojen käyttö loppuu tai vähenee? Kortteja Riskienhallinta ja Lokitietojen kerääminen Maanmittauslaitos on kommentoinut ja täydentänyt jo suosituskorttien kokoamisen aikaisemmassa vaiheessa. Tietoturvakortteihin termeistä: Korteissa on paljon termejä, joiden tulee olla löydettävissä helposti, mieluiten saatavilla korttien sisällä. Nyt ja jatkossa on käytettävä yleisesti hyväksyttyjä sanastoja ja käsitekaavioita. Sisältöön: Tietoturvallisuussuosituksissa (korteissa) ja lain vaatimuksissa on yhteyksiä tiedonhallintaan ja sitä kautta kyvykkyyksiin: miten saadaan mallinnettua tiedonhallintalaki? o Tarvitaan EA-mallinnus  Mitä mallinnetaan? Tiedonhallintalain vaatimusten sisältämät kyvykkyydet o Kyvykkyyksiin liittyy vaatimuksia.  Kun vaatimus täyttyy, kyvykkyys saavutetaan. • Vaatimukset ovat konkreettisia ja tuttuja toimia, sisältävät jopa lainsäädäntöä. Esimerkkejä ovat asiakirjajulkisuus ja varautuminen ja .. (loputon lista). Nämä ovat taas tuttuja toimia, joihin on keinoja. Koko tiedonhallintalaki tulee mallintaa. Luonnos olemassa, Maanmittauslaitoksessa on tunnistettu 24 kpl kyvykkyyksiä Asiakirjan Tiedonhallintamallin tarkoitus, laatiminen & hyödyntäminen kappaleeseen 9 Kuvaus tietoturvajärjestelyistä -> ei lausuttavaa.
      • Kansallisarkisto
        Päivitetty:
        4.12.2019
        • Suosituksissa ei huomioida riittävästi analogisia aineistoja. Ylätasolle jäävästä suosituksesta puuttuu riittävä käytännön ohjeistus ja esimerkit, jotka avaisivat lain soveltamista käytäntöön. Kortti 13 § Elinkaaren huomioiminen tietojen käsittelyssä: Tiedonhallintalakiin ei sisälly arkistointia koskevia määräyksiä vaan arkistoinnista määrätään arkistolaissa. Suosituskorttiin on elinkaaren hallinnan mukaisesti otettu mukaan myös arkistointi, mutta se on määritelty muilla kuin arkistoprofession tuntemilla käsitteillä. Arkistointi eli arkistolain mukainen pysyvä säilyttäminen tarkoittaa tiedon säilyttämistä ilman tarkkaan määrättyä aikarajaa, ts. ikuisesti. Tämä on syytä tuoda selkeästi ilmi eikä käyttää epämääräistä ”asetettu elinjakso” –määritelmää. Tiedon elinkaaren määritelmä ei pidä paikkaansa. Arkistointi on osa elinkaarta, eikä tiedon elinkaari pääty arkistoimiseen. Kortti 13 § Elinkaaren huomioiminen tietojärjestelmissä: Suosituskortti keskittyy vain tietoturvallisuuden ja tietosuojan vaatimuksiin. Tietojärjestelmien elinkaari loppuu kortissa käytöstä poistamiseen, jossa korostuu vain tietoaineistojen tuhoaminen. Suosituksessa on mainittava selvästi, että tietojärjestelmien sisältämät tiedot voidaan myös arkistoida (arkistolain mukainen pysyvä säilyttäminen). Ohut viittaus korttiin ”13 § Elinkaaren huomioiminen tietojen käsittelyssä” ei riitä. Säilytyksen loppuminen ja arkistoinnin alkaminen rajanvetona on hyvin monipuolinen ja vaikea tehtävä. Suosituksessakaan ei oteta kantaa siihen mitä tiedolle tapahtuu tai mitä sille tehdään siinä vaiheessa, kun arkistointi alkaa. Arkistointivaiheen alkaminen ei todellisuudessa tarkoita arkistoon siirtoa. Arkistoinnin yhteydessä säilytysaika-termin tai elinjakson käyttäminen on harhaanjohtavaa ja tietyssä mielessä turhaa, kun lähtökohta on, että arkistoitava tieto on pysyvästi säilytettävää eli ikuisesti. Arkistoinnin keskiössä on säilymisen lisäksi käytettävyys. Tiedon säilyvyyden, käyttökelpoisuuden ja luettavuuden varmistaminen on keskeistä, mutta etenkään sähköisessä ympäristössä ei tietyn hetken kuvaamisella tai teknisen muodon käyttämisellä voida mitenkään varmistaa pysyvää säilytystä, vaan voi olla korkeintaan tuon hetken parhaita arvioita asiasta. Kortti 13 § Riskienhallinta: Suosituskortissa mainitaan, että riskienhallinnassa hyödynnetään metatietoja ja metatietokuvauksia, mutta kortissa ei viitata Kansallisarkiston SÄHKE2-määräykseen. Kortti 15 § Vahingoilta suojaaminen: Kortista puuttuu lähes kokonaan analogisten aineistojen suojaaminen vahingoilta normi- ja poikkeusoloissa. Suosituksessa ei viitata lainkaan arkistolain 12 §:n vaatimuksiin, jotka velvoittavat kaikkia arkistolain mukaisia asiakirjoja (sekä analogisia että digitaalisia) tuottavia/säilyttäviä/arkistoivia arkistonmuodostajia huolehtimaan asiakirjojen säilyttämisestä siten, että ne ovat turvassa tuhoutumiselta, vahingoittumiselta ja asiattomalta käytöltä. Kortin viitetiedoissa ei mainita lainkaan Kansallisarkiston arkistotilamääräystä tai analogisten asiakirjojen suojaaminen poikkeusoloissa –ohjetta. Tietoturvallisuuden järjestäminen on jatkossa riskiarviointiin perustuvaa. Nykyisellään VAHTI-ohjeistus on kertonut toimenpiteistä, joita esim tietyn suojaustason tietojen säilyttämiseltä tai käytöltä vaaditaan tietoturvatoimenpiteinä. Suosituksessa tulisi ottaa kantaa näihin konkreettisiin toimenpiteisiin, sillä VAHTI-ohjeistusta ei voi enää soveltaa. Viranomaisten kyky arvioida sopivia ja riittäviä riskiperustaisia tietoturvakeinoja voi olla omassa harkinnassaan vaativaa ja vaihtelevaa ilman ohjeistusta. Tukea riskiarviointiin ja toimenpiteisiin kaivattaisiin paljon. Kortti 17 § Lokitietojen kerääminen: Kortissa mainitaan, että myös analogisten aineistojen käsittelyn suunnittelussa ja toteuttamisessa pitää noudattaa soveltuvin osin ohjetta. Tältä osin operationalisointiin ei kuitenkaan anneta mitään kättä pidempää: mitenkään ei määritellä, mitä tämä käytännössä tarkoittaa. Miten ja millä tarkkuustasolla analogisten aineistojen käytöstä on kerättävä lokitietoja? Onko analogisten tietojen luovuttamisesta vaadittavat lokitiedot sama asia kuin asiankäsittelyjärjestelmään tallentuvat käsittelytiedot?
      • Maa- ja metsätalousministeriö, Tieto- ja tutkimustoimiala
        Päivitetty:
        4.12.2019
        • Tiedonhallintalain 15 §;ssä todetaan, että viranomaisen on varmistettava tarpeellisin tietoturvallisuustoimenpitein, että sen: 1) tietoaineistojen muuttumattomuus on riittävästi varmistettu; 2) tietoaineistot on suojattu teknisiltä ja fyysisiltä vahingoilta; 3) tietoaineistojen alkuperäisyys, ajantasaisuus ja virheettömyys on varmistettu; 4) tietoaineistojen saatavuus ja käyttökelpoisuus on varmistettu; 5) tietoaineistojen saatavuutta rajoitetaan vain, jos tiedonsaantia tai käsittelyoikeuksia on laissa erikseen rajoitettu; 6) tietoaineistot voidaan tarvittavilta osin arkistoida. Vastaavia sanamuotoja ’varmistettu’ käytetään suosituksessa osana minimivaatimuksia mm. Tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys on varmistettu. Suositus ei kuitenkaan kuvaa minimivaatimusta tai kuvausta sille, kuinka tiedonhallintayksikön johto voi katsoa riittävästi varmistaneensa esimerkiksi tietojärjestelmien vikasietoisuuden. Virastojen osalta perustietotekniikka ja sen tietoturvallisuus on laajasti palvelukeskuksen vastuulla. Riittääkö varmistamiseksi se, että palvelusopimuksissa vastuu on siirretty toimittajalle? Tähän suositukseen tarvitaan tarkempaa ja kattavaa kuvausta siitä mitkä ovat riittäviä toimenpiteitä tietoturvallisuuden ’varmistamiseksi’, jotta niiden toteutuminen voidaan myös aidosti auditoida.
      • Suomen ympäristökeskus SYKE
        Päivitetty:
        4.12.2019
        • Suositukset tietoturvallisuudesta Mainitut 13 suositusta antavat yleiskäsityksen tietoturvassa huomioitavista asioista. Koska vähimmäisvaatimukset sisältävät kuitenkin kaikkien tietoturvallisuuskorttien huomioimisen, tietoturvallisuuden vähimmäistaso ei ole selkeä. Kortteihin liittyy paljon päällekkäisyyksiä ja saman toistoa. Riskien arviointi ja elinkaariajattelu ovat saanet runsaasti huomioita ja näyttäytyvät melko sekavana. Näitä 13§:n suosituskortteja olisikin hyvä yksinkertaistaa. Hyödyllisintä korteissa on selkeät ja yksinkertaiset listaukset huomioitavista asioista. Kortti 13 § Elinkaaren huomioiminen tietojenkäsittelyssä Kortissa on selkeitä listauksia ja asiakirjan lopusta löytyvä taulukko on hyödyllinen. Kohta ”Tiedon jakaminen, siirtäminen ja luovuttaminen” Tässä kohdassa tulisi huomioida myös sopimukset esim. ei julkisten aineistojen tai toisen ylläpitoon siirtämisen osalta. Tekstistä tulee poistaa suojaustaso-maininta. Epäselväksi puolestaan jää kohta, jonka mukaan tietoaineistojen tietoturvallisuuden on täytettävä tiedonhallintalain asettamat vähimmäisvaatimukset, jotka on lueteltu kortissa ”Suositukset tietoturvallisuudesta”, koska kohdassa viitatusta kortista ei käy yksiselitteisesti ilmi lain mukaiset vähimmäisvaatimukset. Kortti 13 § Elinkaaren huomioiminen tietojärjestelmissä Kortin sisältö on hyvin jäsennelty eri vaiheiden mukaan otsikoimalla. Lisäksi SYKE esittää seuraavia tekstimuutoksia kortin sisältöön: ”Tietojärjestelmien elinkaariajattelun lähtökohtana kussakin järjestelmässä käsiteltävien tietojen elinkaaren huomiointi ja järjestelmien suunnitelmallinen ja riskilähtöinen hallinta osana tiedonhallintayksikön toimintaa.” Kortti 13 § Riskienhallinta Riskien arviointi on vahvasti esillä lähes kaikissa korteissa. Kortin väliotsikoilla muodostettu rakenne ei anna selkeää kokonaiskuvaa tietoturvariskien hallinnointiin tarvittavista menettelyistä. Lisäksi muissa korteissa saatetaan riskien yhteydessä kuvata asioita, joista ei Riski-kortissa ole mainintoja. Näin ollen tämän erillisen riskikortin funktio jää epäselväksi. Kortissa mainittu Käyttötarkoitus ei osaltaan selkiytä asiaa. VM:n Riskienhallinnan järjestäminen –ohjeistus on selkeä, joten sitä kannattaisi ainoastaan täydentää tietoturvaosuudella esim. hyödyntämällä tässä kortissa ko. ohjeistuksen jäsentelyä. Kortin käyttötarkoitusta voisi muokata seuraavaan muotoon: ”Tiedonhallinnan muutosten arviointi; Tiedonhallintayksikön tietoriskien hallintamenettelyiden valmistelu huomioiden tietoon kohdistuvien riskien tunnistamisen, arvioinnin ja asianmukaisen hallinnan uusien ja muutoksessa olevien tietoaineistojen ja tietojärjestelmien osalta.” Tietoriskien menettelytapoihin vaikuttanee myös tehtävien ja tietoaineistojen luonne eli ei pelkästään laajuus. Tästä johtaen myös se, että asiaan vaikuttasi pelkästään näkökulma pieni/iso organisaatio, ei ole riittävä. Tietoturvariskien käsittelystä organisaation johdon osalta on kirjoitettu joissain kohdin hyvin tarkkaan määräysmuotoon, joka ei ole tarpeen. Kortti 13 § Tietoturvallisuus hankinnoissa Tässä kortissa käydään läpi hankintojen perusasioista, kuten tarjouspyyntöprosessia. Korttia voisi hiukan lyhentää päällekkäisyyksien osalta, jolloin siitä tulisi myös selkeämpi. Selkeämpää olisi ainoastaan kertoa hankinnan eri vaiheisiin liittyvät tietoturvatoimenpiteet. Kortissa ei myöskään ole huomioitu mahdollista teknistä vuoropuhelua, jota voidaan käydä ennen varsinaisen hankinnan aloittamista. Lisäksi SYKE esittää seuraavia tekstimuutoksia kortin sisältöön: ”Organisaation on tunnettava omaan toimintaansa ja hallinnoimaansa tietoon kohdistuvat ulkoiset vaatimukset ja sisäiset määritykset sekä toiminnastaan muodostuvat tarpeensa ja kyettävä ilmaisemaan ne mitattavissa olevina vaatimuksina toimittajalle osana hankintaa.” ”Tarvittavat asiantuntijat kytketään osaksi hankintaprosessia jo tarjouspyynnön määrittelyvaiheessa, jotta tarvittavat näkökulmat otetaan huomioon riittävän ajoissa. Mikäli organisaatiolla ei ole jollain tarvittavalla osa-alueella itsellään tarvittavaa osaamista tai muuten resursseja, voidaan käyttää ulkopuolista asiantuntemusta hankintaprosessin tukena.” Kortti 15 § Vahingoilta suojaaminen Tämä kortti on selkeä ja tiivis kokonaisuus. Kortti on kuitenkin hyvin yleisellä tasolla. Konkreettisista työkaluista olisikin enemmän hyötyä (esim. Senaatti-kiinteistöt tarjoavat riskinarviointiin työkalun toimitilaturvallisuuteen liittyen). Fyysiseen turvallisuuteen liittyvät huomioitavat seikat kohdistuvat ilmeisesti kaikkiin tiloihin, joissa tietoja käsitellään. Osa seikoista on kuitenkin sen laatuisia, että ne kohdistuvat vain palvelinkonesaleihin. Joten ohjekorttia selkeyttäisi, jos olisi selkeämmin kerrottu mihin tiloihin (toimistot, tietoliikenne, konesali, ...) mitäkin seikkaa sovelletaan. Kortti 17 § Lokitietojen kerääminen Kortti on kirjoitettu passiivimuotoon, joten epäselväksi jää, mitä tulee tehdä. Lisäksi lokiperiaate ja -suunnitelman tekemiseksi voisi luoda mallidokumenttipohjan. Lisäksi SYKE esittää seuraavia tekstimuutoksia kortin sisältöön: ”Lokitietojen perusteella voidaan selvittää virhetilanteita ja valvoa tietojärjestelmien käyttöä muun muassa oikeusturvan toteuttamiseksi, häiriötilanteesta toipumiseksi ja virkavastuun todentamiseksi sekä häiriöiden ja riskin muodostavien poikkeamien tunnistamiseksi.”
      • Museovirasto
        Päivitetty:
        3.12.2019
        • Korteissa on selkeästi rajattu käyttötarkoitus ja kohderyhmä. On hyvä, että tuodaan myös esille mitä lain kohtaa ohje koskee. Visuaalisesti voisi korostaa enemmän yksittäisen ohjeen otsikkoa esim. ”13 § Tietoturvallisuus hankinnoissa”. Kun ohjeita on rinnakkain useampi esillä ne menevät helposti keskenään sekaisin, jos otsikko ei erotu selkeästi. Voisi myös harkita korttien numerointia. Varsinaiset ohjetekstit ovat rakenteeltaan selkeitä. Suositusten ja korttien teksteissä voisi vielä enemmän kiinnittää huomiota selkokielisyyteen ja lauserakenteiden lyhentämiseen. Selkokielisyys lisäisi suosituksen luettavuutta. Korttien todellinen toimivuus ja sisällön informatiivisuus ratkeavat vasta sitten kun tiedonhallintamallia aletaan toteuttaa käytännössä. Lausuntovaiheessa siihen ei ole mahdollisuutta. Toivottavasti kortteja voidaan jatkossa tarpeen mukaan päivittää ja kehittää. Toivottavasti kaikki tietoturvallisuuden vähimmäisvaatimukset tullaan kattamaan omilla ohjekorteillaan.
      • STM, Johdon tuki -yksikkö, Tieto-ryhmä
        Päivitetty:
        3.12.2019
        • Hallituksen esityksessä tietoturvallisuuteen liittyvät asiat on ilmaistu ehkä hiukan vaikeaselkoisesti ja lopputulos näkyy suosituksia tietoturvallisuudesta –kortissa. Tietoturvallisuuden vähimmäisvaatimuksena on tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys (kohta 5). Tämä on ilmeisesti tarkoitettu vain toiminnan kannalta kriittisille järjestelmille. Hallituksen esityksestä voi saada sellaisen kuvan, että vaatimus itsessään koskee kaikkia järjestelmiä, mutta sitä tarvitsee testata vain kriittisillä järjestelmillä. Ehkä tämän seurauksena vaatimus on päätynyt osaksi tietoturvallisuuden vähimmäisvaatimuksia, jonne se kuulu. Turvallisuusvaatimukset perustuvat asianmukaiseen riskiarvioon, jossa on otettu huomioon niin järjestelmän kriittisyys toiminnalle kuin käsiteltävien tietojen salassapitovaatimukset-kin. Tällä tavalla toimien vaatimukset ovat järkeviä. Yleisinä vähimmäisvaatimuksia ne ovat aivan liian raskaat. Korttien viittaukset Suosituksiin tietoturvallisuudesta nykyisellä tavalla on osittain sekavaa. Yleishuomiona, että kortit melko pitkiä. * kortti 13§ Elinkaaren huomioiminen tietojen käsittelyssä o onko tässä tarkoitettu tunnistaa kaikki riskit vai olennaiset riskit? o tiedon säilytys kohdassa 1. kappaleen viimeinen lause onko kesken vai seuraavan asian otsikko? * kortti 13§ Elinkaaren huomioiminen tietojärjestelmissä o sanastoon voisi lisätä vielä IRP-kysymykset * kortti 13§ Riskienhallinta o voisi helpottaa, jos olisi lisäksi pohja asioista, jotka ainakin käsiteltävä riskienhallin-nan keinoin o sanastossa voisi olla myös riskirekisteri * kortti 13§ Tietoturvallisuus hankinnoissa o voisiko sanastossa olla myös penetraatiotestaus * kortti 15§ o 1. lause, joka alkaa viranomaisella tulisi olla… on vaikeaselkoinen vaikka tarkoitus selviääkin.
      • CSC - Tieteen tietotekniikan keskus Oy
        Päivitetty:
        3.12.2019
        • Huomioita suosituskortista ”Suositukset tietoturvallisuudesta”: Tietoaineistojen ja tietojärjestelmien tietoturvallisuutta koskien tulee nykyistä selkeämmin korostaa aineiston ja järjestelmien omistajan vastuuta tunnistaa vaatimukset ja hyväksyä toteutetut toimenpiteet. Lisäksi suosittelemme muuttamaan muotoilua ”viranomaisen on hyvä arvioida” selkeämmäksi, esimerkiksi muotoon ”viranomaisen tulee arvioida”. Huomioita suosituskortista 13 § Riskienhallinta: Suosituskortin maininta ”kaikissa organisaatioissa tietoturvariskit on käsiteltävä johdon sisäisen valvonnan ja riskienhallinnan arviointi- ja vahvistuslausumassa kerran vuodessa” on erinomainen ja selkeästi ilmaistu vaatimus. Vaatimus riskien omistajuudesta tulee kuitenkin määritellä selkeämmin, esimerkiksi muuttamalla sivulla kaksi oleva maininta kohteen omistajasta (”tietoriskin arvioinnin kohteen omistaja päättää…”) kohteen johtajaksi. Huomioita suosituskortista 17 § Lokitietojen kerääminen: Kortti on hyvin jäsennelty ja muodostaa tasapainoisen kokonaisuuden. Suosituksen tavoitetaso on kannatettava, mutta melko kunnianhimoinen. Suosituksessa olisi tärkeää ottaa huomioon kaupallisten ja avointen valmisohjelmistojen lokien muodostaminen, johon yleensä voidaan vaikuttaa vain rajallisesti. Lokiaineistojen kuvaamisessa käyttötarkoituksen, tietotyyppien ja henkilötietojen kuvaaminen on hyvä tavoite. Lokiaineistojen kuvaaminen tarvitsee kuitenkin erillisen yksityiskohtaisemman suosituksen ja menetelmän, jolla eri tiedonhallintayksiköt voivat tuottaa yhteismitallisia ja laadukkaita kuvauksia lokiaineistojen tietosisällöistä. Lokiaineistojen kuvaamisessa voidaan hyödyntää Suomi.fi -yhteentoimivuusalustaa. Kortin lopussa olevista määritelmistä tulee muodostaa sanasto sanasto.suomi.fi -palveluun. Henkilötietotyypeistä, salassa pidettävistä tietoalkioista ja salassapitoperusteista voidaan muodostaa koodisto. Käsitteiden keskinäiset suhteet voidaan mallintaa tietomallit.suomi.fi -palvelussa. Lisäksi yhteentoimivuuden välineiden pohjalta voidaan rakentaa menetelmä ja työväline lokikuvausten laatimiseen tiedonhallintayksiköissä.  Suosituksessa todetaan, että lähtökohtaisesti henkilötunnuksia ei tulisi tallentaa lokeihin. Suosituksen tulee määrittää, kuinka henkilöt yksilöidään lokiaineistoissa, mikäli henkilötunnusta ei suositella käytettävän. Tässä on syytä ottaa huomioon lokien ja lokijärjestelmien tekniset rajoitteet, ja että relaatio-operaatiot ja lokivirtojen mielivaltaiset transformaatiot (pseudonymisointi) eivät ole aina mahdollisia. Henkilön yksilöivä ja yhteismitallinen tunniste on tärkeä käsiteltäessä tietopyyntöjä ja lokiselvityksiä. Tilattomissa palveluissa (esimerkiksi tunnistuspalvelut), loki itsessään voi olla ainoa pysyvä tallenne jota palvelu käsittelee. Suositusten toteuttaminen konkreettisissa tietojärjestelmissä ei ole suoraviivaista, vaan vaatii merkittävästi suunnittelutyötä. Viranomaisen hyväksymät yksityiskohtaiset lokipalvelujen ratkaisuarkkitehtuurimallit tukisivat suositusten jalkauttamista ja tehostaisivat toteutustyötä tiedonhallintayksiköissä.
      • Sisäministeriö
        Päivitetty:
        3.12.2019
        • Elinkaaren huomioimista tietoja käsiteltäessä koskevan suosituksen alussa on tuotu hyvin esiin tietosuojalainsäädännöstä juontuvaa käsittelytarkoituksen vaatimusta. Vaatimus ei kuitenkaan käy selkeästi ilmi kautta koko suosituksen. Esimerkiksi tiedon arkistointi -osiossa olisi sisäministeriön näkemyksen mukaan hyvä mainita, että tiedon käyttötarkoitus muuttuu, kun tiedot arkistoidaan. Yksityiskohtaisena huomiona sisäministeriö tuo esille sen, että suosituksessa tietoaineistojen vastaanottaminen on yhdistetty tiedonhallintayksikköön. Sisäministeriön näkemyksen mukaan viranomainen vastaanottaa tietoaineistoja. Lisäksi tietoaineistojen säilytys -osion kieliasua olisi hyvä tarkistaa. Samoin siinä olisi hyvä mainita tietoaineistojen muuttumattomuuden varmistaminen. Säilyttäminen on usein tiedon elinkaaren pisin vaihe. Lisäksi tiedon jakamista, siirtämistä ja luovuttamista koskevassa osiossa olisi hyvä arvioida uudelleen käytetty viittaus suojaustasoihin. Riskienhallinta-suositus on tällä hetkellä taustoittava, mutta toisaalta tiivistettävissä. Tiivistetty taustoitus ja konkreettisemmat esimerkit riskienhallintatoimenpiteiksi ja ylipäätään kokonaisvaltaiseen riskienhallintaan edistäisivät suosituksen hyödyntämistä. Sisäministeriö kiinnittää lisäksi yleisesti huomiota erityisesti tietoturvallisuutta koskevien suosituskorttien sävyyn sekä tekstiin sisällytettyihin oletuksiin. Suosituskortit olisi sisäministeriön näkemyksen mukaan laadittava siten, että niillä on yhtenäinen linja ja ne myötävaikuttavat osaltaan tiedonhallintalain tietopoliittisiin tavoitteisiin parantaa tietojen tehokasta luovuttamista ja käyttöä tietoturvallisesti eri toimijoiden välillä. Tällä hetkellä suosituskortit vaikuttavat ainakin jokseenkin laaditun rajoittavasta näkökulmasta, mikä ei välttämättä edistä lain tarkoituksen ja tavoitteiden toteutumista. Niin ikään suoraan tekstiin sisällytetyt oletukset olisi hyvä tarkistaa ja tarvittaessa muotoilla toisin.
      • Helsingin kaupunki
        Päivitetty:
        3.12.2019
        • Tietoturvallisuuteen liittyvät kortit eivät muodosta tasapainoista kokonaisuutta. Kortit eivät anna toimeenpano-ohjeita. Kortit sisältävät liiaksi johdanto-tyyppistä tekstiä, teksteistä on hankala hahmottaa asiayhteyksiä. Tällä hetkellä kortit soveltuvat asian oppimiseen, eivät toimeenpanoon. Tietohallinnossa kaivattaisiin mahdollisimman tarkkoja toteutusohjeita, joita noudattamalla on mahdollista tehdä toteutus KATAKRI-vaatimusten (PiTuKri-vaatimusten) mukaiseksi tai ainakin hyvään tietoturvan tasoon. Korttien rakenteeseen tulee kiinnittää huomiota. Korteissa on käytetty värikoodausta, jota ei kuitenkaan selitetä lukijalle. Kortit olisi hyvä voida tunnistaa yksilöivällä tunnisteella, jotta tiedonhallintayksiköissä voidaan viitata tarkkaan korttiin. Korteissa tulee ottaa huomioon, että asiakirjahallinnolla on vaatimuksia korteissa esitettyihin asioihin (esim. tilaturvallisuuden osalta vahingoilta suojaamisessa on olemassa Kansallisarkiston määräys ja ohje arkistotiloista) Korttien vaatimusta ei kannata sitoa sähköisen aineiston lisäksi paperilla säilytettävään aineistoon vaan analogiseen aineistoon, joka ottaa laajemmin säilytysmuodot huomioon (esim. mikrofilmillä säilytettävä aineisto). Kortit lähtevät olettamasta, että tiedonhallintayksikkö turvallisuusluokittelee tietonsa. Tiedon elinkaaren huomioiseen liittyvässä kortissa on tarpeen täsmentää, mihin tiedonhallintayksikön tietoturvallisuuden varmistaminen kohdistuu. Kohdistuvatko toimenpiteet koko tiedon elinkaareen riippumatta siitä, mikä tiedonhallintayksikkö sitä käsittelee, vai onko tiedon elinkaari ajateltu organisaatiokohtaisesti? Kortti olettaa tietojen olevan turvaluokiteltavia eikä tarkastelussa ole tuotu esiin tilanteita, joissa esim. henkilötietoja voidaan avata tai luovuttaa käyttöluvan perusteella. Elinkaaren huomioiminen tietojärjestelmissä –suosituskortti puolestaan lähestyy aihettaan hyvin tietojärjestelmälähtökohtaisesti. Suosituksessa esitetty elinkaaren malli on erittäin vahvasti ostolähtöinen vesiputousmalli ja siten aika yksipuolinen ja vaikeuttaa asioiden huomioista monimuotoisemmassa ympäristössä. Asiaa olisi syytä tarkastella suosituksessa myös ketterän, jatkuvan kehittämisen mallien kannalta sekä tilanteissa, jossa julkinen organisaatio kilpailuttaa järjestelmän sijaan sen toteutusresurssit. Myös tietoturvallisuus hankinnoissa –kortti lähtee siitä, että hankinnat olisivat perinteisiä järjestelmien hankintoja vesiputousmallilla.
      • Kansaneläkelaitos
        Päivitetty:
        3.12.2019
        • Yleistä Kortissa ”Suositukset tietoturvallisuudesta” viitataan kaikkiin muihin kortteihin, joten voisikohan tuohon kiteyttää pääasiat noista muista korteista? Tällöin yhdeltä kortilta olisi mahdollisuus saada yleiskuva asiasta. Myös muun kuin turvallisuusluokitellun salassa pidettävän materiaalin luokittelua olisi hyvä ohjata suosituksissa. Suosituksilla voisi edistää esim. erilaisten henkilötietojen yhdenmukaista käsittelyä eri viranomaistahoilla. Lisäksi samanlainen käsitys tiedon suojaamisesta helpottaisi tiedon sähköistä välittämistä viranomaisten välillä. Tietoturvallisuutta koskevien suosituskorttien tekstisisällöt kannattaa kertaalleen oikolukea niissä olevien kirjoitusvirheiden ja puutteellisten lauseiden vuoksi. Suosituskortit ovat myös melko pitkiä. Olisiko suosituskortin alussa hyvä olla tiivistettynä keskeisimmät huomioitavat asiat? Korttien lopullista ulkoasua kannattaa myös miettiä, että niistä tulisi mahdollisimman luettavat. Myös väliotsikointia tulisi käyttää enemmän. Elinkaaren huomioiminen tietojen käsittelyssä Myös tietoaineisto tulee määritellä suosituskorttiin (vrt. tietojärjestelmä). Tiedon säilytysaika tulee olla selvillä jo tiedon luonti- tai vastaanottovaiheessa, jotta sen elinkaari voidaan suunnitella asianmukaisesti. Suosituskortti ei ota kantaa siihen tuleeko määritellyn säilytysajan jälkeen tapahtuva tiedon tuhoaminen jollain tapaa dokumentoida. Suosituksessa tulisi huomioida myös mahdollinen tiedon käyttötarkoituksen muuttuminen etenkin henkilötietojen osalta. Sivulla 2, Tiedon säilytys -otsikon alla, 1. kappaleen lopussa irrallinen lause 'Ohjeistuksia tiedon asianmukaiseen säilytykseen'. Onko sen tarkoitus olla väliotsikko tai linkki? Elinkaaren huomioiminen tietojärjestelmissä Sivu 1, vihreä sarake, kappale 2 loppu: "Riskienarvioinnissa tunnistetaan olennaiset riskit, jotka voivat vaikuttaa tietojärjestelmien käytettävyyteen ja saatavuuteen tai niissä käsiteltävien tietoaineistojen tietoturvallisuuteen." Käsitteet 'Käytettävyys' ja 'saatavuus' eivät ole toisilleen rinnasteisia, joten jos saatavuudella tarkoitetaan toimintavarmuutta niin pitäisikö tässä yhteydessä lisäksi mainita tietojen oikeellisuuteen vaikuttavat riskit? Mikäli termillä 'käytettävyys' tarkoitetaan riskiä järjestelmän helppokäyttöisyyden tai yleisen käytön sujuvuuden kannalta, onko sitä silloin lainkaan tarpeen mainita käsiteltäessä tietoturvaa tiedon elinkaaren hallinnan kontekstissa? Jos 'käytettävyys' halutaan erityisesti mainita niin pitäisikö mainita myös 'saavutettavuus', jolla tarkoitetaan tiedon esittämistavan selkeyttä ja luettavuuden varmistamista myös esim. koneellisesti erityisryhmille? Sivulla 3, Toteutusvaihe -otsikon alla olevan viimeisen kappaleen lopussa olisi syytä mainita myös toimittajan mahdollinen toiminnan lopettaminen. Pelkkä ”omistajan vaihdokset ja fuusiot” ei ole tarpeeksi kattava. Tekstissä on paljon termejä, jotka eivät välttämättä ole kaikille tuttuja. Pitäisikö sanasto-osuutta laajentaa? Esim. tiedon migraatio ja muistivälineiden sanitointi. Suositusten liitteeksi voisi koota erillisen sanaston.
      • Oikeusrekisterikeskus
        Päivitetty:
        3.12.2019
        • Riskiperusteinen ja jatkuvaan riskien kartoittamiseen sekä riskienhallintamalliin perustuva tietoturvariskien kartoittaminen ja tietoturvallisuustoimenpiteiden mitoittaminen organisaation riskiarviointiin perustuen on tiedonhallintayksiköille haastava ja resursseja vielä tehtäväkokonaisuus. Riskienhallintaa ja riskienhallintamallien laadintaa helpottaa, jos käytössä on julkiselle hallinnolle yhteistä riskienhallintatyökaluja. Oikeusrekisterikeskuksen näkemyksen mukaan tietoturvallisuuden osalta suosituksia olisikin hyödyllistä kehittää suuntaan, joka tuottaa konkreettisia työkaluja tiedonhallintayksiköille riskienhallintaa ja tietoturvariskien tunnistamiseen sekä oikeanlaisten tietoturvallisuustoimenpiteiden tekemiseen.
      • Senaatti-kiinteistöt, Konttinen Petri
        Päivitetty:
        28.11.2019
        • 13.4 § Tietoaineistojen ja tietojärjestelmien Tietoturvallisuus Ensimmäinen kappale: Tietoturvavaatimusten tulee sisältää tiedonhallintalain asettamat tietoturvallisuuden vähimmäisvaatimukset, jotka on lueteltu kortissa Suositukset tietoturvallisuudesta. Suositukset tietoturvallisuudesta + erilliset teemoittain jaetut suosituskortit on lähtökohtaisesti hyvä ajatus. Olisi kuitenkin hyvä, jos näiden osana olisi olemassa konkreettinen ”tietojärjestelmien tietoturvavaatimusluettelo”. Tällä tavoin voitaisiin yhdenmukaistaa eri virastojen tulkintoja. 15.1 § Vahingoilta suojaaminen Neljäs kappale: Rakenteellinen turvallisuus: Tilojen rakenteiden tulee täyttää niihin kohdistuvat suojaustasovaatimukset jotka perustuvat säilytettävän tiedon tai tietojärjestelmien turvallisuusluokitukseen. Lisätietoja rakenteellisista vaatimuksista löytyy Kansallisen auditointi kriteeristön F-osiosta. Olisiko tässä tarpeen mainita Vahti100 tilaturvallisuuskortit? 17 § Lokitietojen kerääminen Erittäin laadukas ja hyvin laadittu kortti! Sisältää konkreettisia toimintaohjeita, joita tarvitaan. Kappale ”Lokitietojen säilyttäminen ”: Olisi hyvä ottaa kantaa säilytysaikoihin hieman tarkemmin. Nyt esimerkiksi suositellaan viiden vuoden säilytysaikaa kaikkiin ympäristöihin keskeisten teknisten lokien osalta. Voisiko ajatella, että eri suojaustasoille annetaan eri tasoinen vaatimus ja kuvataan toimintatapa miten virasto voi tästä mahdollisesti poiketa.
      • Liikenne- ja viestintäministeriö
        Päivitetty:
        26.11.2019
        • Kortti 12-18§: Kortti jää varsin ylätasolla eikä anna olennaisesti lisää tukea säädöksen tulkitsemiseen. Riskienhallinta: Lain 13§ tietoaineistojen ja tietojärjestelmien tietoturvallisuus näyttäisi lain hengessä tavoittelevan toiminnan jatkuvuutta sekä asiakirjajulkisuuden vaivatonta toteuttamista. Kortti keskittyy laajemmin kuvaamaan yleistä tietoriskien käsittelyä. Voisi olla tarkoituksenmukaista täsmentää näitä keskeisimpiä suojattavia intressejä eli viranomaisen toiminnan jatkuvuutta sekä asiakirjajulkisuuden vaivatonta toteuttamista. Elinkaaran huomioiminen tietojärjestelmissä: Kortissa olisi syytä keskittyä ylätasolla hahmottamaan elinkaaren vaiheet ja käsittelemään ylätasolla vaiheisiin liittyvä riskienhallinta. Nyt esimerkiksi arkkitehtuuriperusteiden huomioiminen mainitaan käyttöönottovaiheessa, vaikka lienee selvää, että arkkitehtuuriperusteiden huomioiminen vasta käyttöönottovaiheessa on auttamattomasti liian myöhään. Voisi olla tarkoituksenmukaista keskittyä kortissa kuvaamaan riskejä ja tavoitetta toiminnan jatkuvuuden ja asiakirjajulkisuuden vaivattoman toteuttamisen näkökulmasta.
      • Kross Guido, corpus delecti - IHMISET ovat korkeimpia, ei valtio
        Päivitetty:
        19.11.2019
        • The 1986 UN Declaration on the Right to Development states that development is a human right aware of and claim their rights Sisäministeriö: "Eriarvoistuminen on Suomessa keskeinen turvattomuustekijä" Syrjintä on sosiaalisen syrjäytymisen muoto ja usein köyhyyden syy. Tsentraalselt hallatav ülemaailmne rahasüsteem, mis viib kõik peale valitseva eliidi vaesusesse. Linjaus 21: Suomi korostaa erityisesti naisten sekä heikoimmassa asemassa olevien väestöryhmien oikeuksia ja osallistumismahdollisuuksia Suomi painottaa syrjinnän poistamiseen liittyviä kysymyksiä niin kansainvälisissä politiikkalinjauksissaan kuin antamallaan kehitysyhteistyö- ja muulla taloudellisella tuellaan. Demokratiaan kuuluvat myös taloudelliset, sosiaaliset ja sivistykselliset oikeudet ilman syrjintää. s.64 https://valtioneuvosto.fi/artikkeli/-/asset_publisher/10623/tiedonhallintalain-vaikuttavuus-edellyttaa-aktiivista-taytantoonpanoa Tiedonhallintalain valmistelua tehtiin yhdessä Tiedonhallintalain valmistelussa on ollut monia vaiheita ja valmistelua tehtiin laajan verkoston tukemana. Valmisteluun liittyviin työpajoihin ja kommentointiryhmiin osallistui yhteensä satoja alan asiantuntijoita. Ministeriö sai runsaasti lausuntoja eri vaiheiden tuloksista. TÄMÄ TIETO ON TÄYSIN VALHETTA!!! KANSALAISIA EI OLE ASIASSA LAINKAAN KUULTUU. OIKEUSLAITOKSET PITÄÄ OLLA RIIPPUMATTOMIA JA PUOLUEETTOMIA OVAT SILTI ANTANEET LAUSUNNOITA!!! LISÄKSI ON TÄMAÄN ASIAN YHTEYDESSÄ HALUTAAN ESTÄÄ KANSALAISTEN MIELIPITEET. 13 § Elinkaaren huomioiminen tietojärjestelmissä versio Esitän tällä kirjeellä myös ilmeisyysvaatimuksen, toimimisvaatimuksen sekä laajan, näkymättömille kanslaisryhmille aiheuttuvan vahingon estäämisvaatimuksen. (tiedonhallintalain tiedonhallinnan kuvausten suosituksista) KOKO TIEDONHALLINTALAKI SEKÄ NYT KUVATUT SUOSITUKSET OVAT KANSAINVÄLISTEN LAKIEN, YKn SOPIMUKSIEN EM. UNESCON YLEISSOPIMUKSEN J A TSS-SOPIMUKSEN SEKÄ SUOMEN PERUSTUSLAIN VASTAINEN. JOKAISELLA KANSALAISELLA (TEIDÄN TYÖNANTAJALLA) ON PERUSOIKEUS SAADA TARKISTAA, MITÄ KORRUPTIOITUNUT SUOMEN VIRANOMAISET YLIPÄÄNSÄ TALLENTTAA, HALUA PEITTÄÄ MITÄÄ TUHOAA. YHTÄKÄÄN ASIAKIRJA EI SAA TUHOA, ENNEN KUN KANSALISIA ON ASIASSA TOSIASIALLISETI KUULTUU JA HE OVAT MÄÄRITELLYT MITEN ASIAKIRJOJA SÄILYTETTÄÄN JA MITÄ NIILL E TEHTÄÄN. ANNAN KAIKKEN KANSALAISTEN PUOLESTA JOKASELLE VIRANOMAISELLE TOIMIMISVAATIMUKSEN, JA KOKO NYKYINEN AINESTO ON OTETTVA HUOMIOON, KIRJOITETTAVA MYÖS KOKONAISENA RAPORTTIIN JA SITÄ PITÄÄ MYÖS EHDOTTOMASTI JOKAINEN VIRANOMAINEN (MYÖS KUNNISSA-Kunnan eettiset periaatteet) NOUDATAA!!! YHDISTYNEIDEN KANSANKUNTIEN PERUSKIRJAN SISÄLTÄMÄN VELVOITUKSIEN NOUDATTAMISEN VAATIMUS WIENIN YLEISSOPIMUS JA SEN 18 ARTIKLA - PACTA SUNT SERVANDA -velvoite YK korruption vastaisen yleissopimuksen noudattamisen vaatimus YK:n vammaisyleissopimuksen noudattamisen vaatimus KP:n sekä TSS-sopimuksen noudattamisen vaatimus Pariisin rauhansopimuksen noudattamisen vaatimus Ihmisoikeusvelvoitteiden noudattamisen vaatimus Luottamuksensuojan periaaten vaatimus Oikeutettujen odotusten suojan vaatimus Lojaalisuusristiriitan lopettamisvaatimus Yleinen yhdenvertaisuuslauseke Perustuslain 118 §:n 3 momentin tarkoituksena on turvata yksilön mahdollisuus osallistua julkisen vallan käytön valvontaan 1.1 Suomen ihmisoikeuspolitiikan lähtökohdat Suomen ihmisoikeuspolitiikan lähtökohtana on ihmisoikeuksien yleismaailmallisuus, jakamattomuus ja keskinäinen riippuvuus. Ihmisoikeuspolitiikan keskeisiä osia ovat myös kollektiivisten oikeuksien edistäminen sekä syrjinnän vastainen toiminta. Ihmisoikeuspolitiikkaa harjoitetaan avoimesti ja yhteistyöhakuisesti. Tiedotus on keskeistä kaikissa vaiheissa Kuulemisesta/osallistumisesta tiedottaminen on tarpeellista aloittaa jo suunnitteluvaiheessa ennen työn varsinaista käynnistämistä, jotta on mahdollista reagoida jo alustaviin suunnitelmiin hankkeesta ja kuulemisen menettelytavoista Kuultavien piirin on oltava riittävän laaja · Valmistelun lopputuloksen kannalta on tärkeää, että kuultavien piiri on riittävän laaja ja ettei valmistelun kiireeseen tai muuhun syyhyn vedoten rajata kuultavia tahoja. · On kuultava ainakin kaikkia niitä ryhmiä, joiden alalla suunniteltu hanke/lainsäädäntö vaikuttaa. Valtion vallan väärinkäyttö voi siis vaarantaa kansalaisen tai kansalaisryhmän yksilön vapauden ( korruptio/terrorismi) Julistus yhteiskuntien valmistelusta rauhan elämää varten (YK) Euroopan sosiaalinen PERUSKIRJA 11. Jokaisella on oikeus käyttää hyväkseen kaikkia toimenpiteitä, joiden avulla hän voi saavuttaa parhaan mahdollisen terveydentilan. Korruptio käsitteenä ja sen ilmeneminen kuntasektorilla 1.1 Epäeettisen toiminnan ja korruption määritelmä Etiikka selvittää ihmisten tekojen, pyrkimysten ja arvostusten hyväksyttävyyttä tai tuomittavuutta. Pohjimmiltaan etiikassa on kysymys moraalista eli valinnoista oikean ja väärän, hyvän ja pahan, oikeuksien ja velvollisuuksien suhteen. Etiikka määrittelee sen, miten toimia oikein. • Virka-aseman väärinkäyttö, lahjonta, lahjusten ottaminen ja pyytäminen • Petos, kavallus, varastaminen, yhteisten varojen väärinkäyttö • Uhkailu ja väkivallalla pakottaminen • Luottamuksellisen tiedon väärinkäyttö • Suosinta ja suosikkijärjestelmän ylläpito • Lakien ja määräysten kiertäminen • Tosiasioiden vääristely • Laiton seuranta ja tarkkailu • Velvollisuuksien laiminlyönti ja asioiden viivyttely • Huonon hallinnon suojelu ja salailu • Välinpitämätön johtamistyö • Epäreilujen ja epäasiallisten keinojen käyttäminen alaisiin. Korruptiolla on yhteiskunnalle useita haitallisia seurauksia. Korruptio heikentää kansalaisten perusoikeuksia, lisää eriarvoisuutta ja hidastaa taloudellista kehitystä. Korruptio vähentää ihmisten luottamusta demokratiaan ja päätöksentekijöihin. Hyvän hallinnon periaatteet Hallintolaissa säädetään hyvän hallinnon perusteista. Niihin kuuluvat muun muassa hallinnon oikeusperiaatteet, jotka ohjaavat viranomaisen päätösharkintaa ja muuta asian käsittelyä. Hyvän hallinnon perusteet on otettava huomioon kaikessa julkisen hallinnon toiminnassa, ei vain hallintoasian käsittelyssä ja päätöksenteossa. • Luottamuksensuojaperiaate, joka on ennen muuta yksilön suojaa julkista valtaa vastaan ja antaa yksityiselle oikeuden luottaa viranomaisen toiminnan oikeellisuuteen ja virheettömyyteen. Hallinnon oikeusperiaatteet ovat ennen muuta oikeusturvasäännöksiä • Palveluperiaate ja palvelun asianmukaisuus Säännökset velvoittavat viranomaista järjestämään toimintansa niin, että hallinnossa asioiva saa asianmukaisesti hallinnon palveluita ja että viranomainen suorittaa tehtävänsä mahdollisimman tuloksellisesti. kaikki, mitä hallitus tekee, on "julkinen", koska hallituksen velvollisuus on palvella yleistä etua kaikessa siinä, että hallituksilla ei ole omia etuja. hiljattain julkaistu Euroopan perusoikeusviraston raportti osoittaa, rasismi on laaja ongelma suomalaisessa yhteiskunnassa. (rassistinen ahdistelu)
      • Isosaari Jukka
        Päivitetty:
        11.11.2019
        • Olen IT alan ammattilainen ja töissäni saanut "katsoa sivusta" kun parin vuoden ikäistä useiden miljoonien laitteistoa silputaan romuksi tietosuojamääräysten vuoksi, vaikka samaa laitteistoa olisi voitu samojen ihmisten toimesta käyttää muuhunkin hyödylliseen ja tietoturvaltaan yhtä vaativaan saman turvaluokittelutason projektiin. Laitteiston hyödyllisen elinajan käyttö tulisi mahdollistaa, jopa vaatia sen maksimointia laissa, esimerkiksi vaikka matemaattisten tieteellisten ongelmien ratkaisemiseen. Tätä voisi tehdä tausta- ja turvaselvitettyjen ihmisten toimesta, esimerkiksi sijoittamalla laitteet "saattohoitolaan," josta ne tuhotaan asianmukaisesti niiden rikkouduttua luonnostaan. Tämä on mahdollista järjestää ja organisoida siten että minkään turvaluokituksen tietoturva ei vaarannu, kaikki riskit minimoiden. Ehdotan siis, että ympäristöä ja taloudellisesti järkevää suunnittelua voitaisiin mahdollistaa lainsäädännössä, eikä pakotettaisi organisaatioita kalliiden resurssien tuhoamiseen, joka maksaa miljoonia veronmaksajille ja maksimoi ympäristötuhot. RedBook & Orange Book, josta nämä turvakäytännöt USA:sta ovat yleensä kopioituja, eivät ole nykyaikaa tai järkeviä nykyaikaiseksi laiksi muutettuina, kun on olemassa fiksumpiakin ratkaisuja, jotka huomioivat ympäristövaikutukset, tieteen edut ja Suomen taloudelliset edut. Nämä vaihtoehdot toimivat mielestäni harkitusti sovellettuina paremmin Suomen kaltaiselle pienelle kansantaloudelle, jossa tietokoneet ostetaan rahalla ulkomailta.
      • Palaute asiakirjajulkisuuskuvausta koskevasta suosituksesta. Palaute voi kohdistua suosituksen sisältöön asiakirjajulkisuuskuvauksen tarkoituksen, sen laatimisen tai sen hyödyntämisen näkökulmista; suosituksen rakenteeseen tai tarkkuustasoon tai suosituksen eri käyttäjäryhmien tarpeisiin. Palautteessa voit tuoda esiin esimerkiksi asiakkaan kannalta tai lain soveltajan kannalta hyödyllisiä lisäyksiä.
      • Suomen Kuntaliitto ry, Tietoyhteiskuntayksikkö, Seppo Tuula
        Päivitetty:
        5.12.2019
        • Asiakirjajulkisuuskuvauksen tehtävänä on julkisuusperiaatteen näkökulmasta palvella kansalaisen tiedonsaannin tarpeita ja hallinnon avoimuutta. Kuvauksen tulee olla saatavissa selkokielisesti tiedonhallintayksikön ulkoisilla verkkosivuilla. Tarvittavien kuvauksien tarkkuudesta informaatiosisältöineen on syytä käydä tarkempaa keskustelua - näkökulmana tulee olla sen, mikä on merkityksellistä kansalaisen kannalta ja miten toteuttaa asiakokonaisuus kansalaisille paremmin ymmärrettäväksi. Asiakokonaisuutta voidaan lähestyä esim. alla olevien kysymysten kautta (tiedonhallintayksikön näkökulmasta):  Missä organisaatio on nyt, mikä on organisaation nykytila  Miten olemme järjestäneet toimintamme?  Mitä tulemme kehittämään Kuntatoimijat toimivat monitoimittajaympäristössä, missä tarvittava tieto on hajautunut eri julkishallinnon organisaatioille. Kuntatoimijoiden tehtävien kannalta oleellista on varmistaa toimivat palvelukokonaisuudet. Kansalaisen näkökulmasta tiedonhallintayksikkö on kuntatoimija (pelkistetysti), ja kuntatoimijan julkisilla verkkosivuilla esitettävien palveluiden/palvelukokonaisuuksien kuvauksien tulee pyrkiä täyttämään niin tiedonhallintalain kuin myös digipalvelulain vaatimukset. Verkkosivujen osalta saavutettavuusvaatimusten huomioiminen on käynnissä. Kuntaliitto pitää hyvänä asiana sitä, että tarvittavien kuvauksien päivittäminen ja ylläpito tulee huomioiduksi myös tiedonhallintayksikön vastuujakotaulukko tasoisesti riittävällä tarkkuudella.
      • Luonnonvarakeskus, Hallinto ja yhteiskuntasuhteet, Määttä Jari
        Päivitetty:
        4.12.2019
        • Suosituksessa ei käytännössä sellaista tietoa, joka ei ilmenisi riittävän yksiselitteisesti itse tiedonhallintalaista. Esimerkit voivat kuitenkin madaltaa kynnystä suositusten laatimiseen. Suosituksessa todetaan, että kuvausten päivitystyötä voitaisiin helpottaa julkaisemalla vaaditut tiedot suoraan tiedonhallintamallista. Tämä on toki periaatteessa teknisesti mahdollista, mutta asettaa vaatimuksia tiedonhallintamallin muodolle, jota ei toisaalta määritellä viitteellisesti missään.
      • Valtioneuvoston kanslia
        Päivitetty:
        4.12.2019
        • Suositusluonnos on selkeä ja hyvin havainnollistettu. Asiakirjajulkisuuskuvauksen laatimiseksi tiedonhallintayksiköissä toivotaan yhteistä mallia, kuten tietojärjestelmäselosteissa on ollut. Sivulla kahdeksan liite 1:ssä esitetty kuva laajentaa perinteisen asiarekisterin käsitettä. Julkisen hallinnon yhteisessä sanastossa asiarekisterin käsitemäärittelyksi on luonnosteltu ”rekisteri vireillepannuista asioista, näiden käsittelyvaiheista ja niihin liittyvistä asiakirjoista”. Asiarekisteri korvaa käytännössä aiemmin käytössä olleen diaari-termin eikä määritelmä sisällä liitteen 1 kuvassa esitettyjä rekrytointi- ja henkilöjärjestelmiä, vaan ainoastaan asianhallintajärjestelmän.
      • Ruokavirasto
        Päivitetty:
        4.12.2019
        • • Tiedonhallintamallista ja asiakirjajulkisuuskuvauksesta on erilliset suositukset. Erillisten kuvausten laatiminen ei ole tarkoituksenmukaista ja suosituksessa kannustetaankin hyödyntämään tiedonhallintamallia. Tiedonhallintamallin suositukseen olisi hyödyllistä tuoda esille, että tämä tieto tulee julkaista osana asiakirjajulkisuuskuvausta. • Laajemmassa mittakaavassa yhtenäisempiä kuvauksia, myös asiakkaille ymmärrettävämpiä ja vertailukelpoisempia, saataisiin tarkemmalla mallikuvauksella. Lähinnä sitä kautta kuvausten ja mallien laatijat pääsisivät paremmin kiinni siitä, mitä tarkoitetaan tietoryhmillä, tietovarannoilla ja tietoaineistoilla. Täydelliseen yhdenmukaisuuteen ei suosituksilla voida päästä, mutta auttaisi hahmottamaan ja tulkitsemaan konkreettisemmin lain vaatimuksia.
      • Tilastokeskus
        Päivitetty:
        4.12.2019
        • Suositus on selkeä, mutta ei välttämättä riitä sellaisenaan asiakirjajulkisuuskuvauksen laatimiseen liittyvän käytännön työn ohjaamiseksi. Teknisen työn helpottamiseksi olisi erityisen toivottavaa, että kuvauksen ja tiedonhallintamallin välistä suhdetta avattaisiin kattavammin mahdollisimman aikaisessa vaiheessa.
      • Ilmatieteen laitos
        Päivitetty:
        4.12.2019
        • Ilmatieteen laitoksella ei ole asiassa lausuttavaa.
      • Teuvan kunta
        Päivitetty:
        4.12.2019
      • Kilpailu- ja kuluttajavirasto, Oravainen Henrikki
        Päivitetty:
        4.12.2019
        • Katso jäljempänä viimeisessä kohdassa KKV:n yleinen vastaus.
      • Väylävirasto
        Päivitetty:
        4.12.2019
        • Tietovarantojen sisältämien tietoaineistojen kuvaamista ei tule tehdä liian tarkalla tasolla, muuten kuvausten ylläpidosta voi tulla liian raskasta ja tieto vanhenee.
      • Väestorekisterikeskus
        Päivitetty:
        4.12.2019
        • Asiakirjajulkisuuskuvauksen tarkoituksena on edistää viranomaisen asiakirjojen julkisuutta, joka on turvattu jokaiselle kuuluvana perusoikeutena. Julkisuuslain esitöissä todetaan: ”Demokraattisen yhteiskunnan keskeisiin periaatteisiin ja perustuslakiin kirjattuihin perusoikeuksiin kuuluu, että jokaisella on oikeus vapaasti muodostaa ja ilmaista mielipiteensä yhtei-sistä asioista ja vaikuttaa niihin. Tämä edellyttää, että yksilöillä ja heitä edustavilla yhteisöillä on mahdollisuus saada luotettavaa tietoa julkista valtaa käyttävien orgaanien toiminnasta sekä yhteiskuntaoloista ja julkisen vallan toimenpiteiden vaikutuksesta niihin.” Viranomaisten on tullut jo julkisuuslain nojalla kuvata tietojärjestelmissään olevat julkiset tiedot, mutta tiedonhallintalain 28 §:ssä tarkoitettu asiakirjajulkisuuskuvaus on laajempi ja yksityiskohtaisempi, ja se on lisäksi julkaistava tietoverkossa, kun aiemmin on riittänyt kuvauksen saatavilla pitäminen. Tiedonhallintalain 28 § päivittää siis vastaavan julkisuuslakiin sisältyneen sääntelyn nykyaikaan. Myös tiedonhallintalain 5 §:ssä tarkoitettu tiedonhallintamalli palvelee asiakirjajulkisuutta, ja tiedonhallintamalli toimiikin pohjana asiakirjajulkisuuskuvaukselle. Tiedonhallintamallin tarkoituksena on kuitenkin tiedonhallintayksikön koko toimintaympäristön tiedonhallinnan jäsentäminen ja suunnittelu, kun taas asiakirjajulkisuuskuvaus on nimenomaan kansalaisille suunnattu dokumentti, jonka avulla kansalaiset voivat saada käsityksen tiedonhallintayksikössä käsiteltävistä julkisista asiakirjoista. Suosituksessa on kuvattu selkeästi myös tiedonhallintamallin ja asiakirjajulkisuuskuvauksen välistä yhteyttä. Esimerkiksi uuden tietojärjestelmän käyttöönotto voi edellyttää tiedonhallintamallin muuttamista, joka puolestaan johtaa tarpeeseen päivittää myös asiakirjajulkisuuskuvaus ajantasaiseksi. Itse asiassa jo ennen hallinnollisia uudistuksia tai tietojärjestelmien käyttöönottoa on arvioitava muutosten vaikutukset asiakirjajulkisuuskuvaukseen. Suosituksesta voi panna merkille, ettei siinä ole suoranaisesti käsitelty henkilötietojen suojaa. Henkilötietojen käsittelyyn liittyvät näkökohdat avautuvat kuitenkin tutustumalla laa-jemmin koko tiedonhallintalain suosituskokonaisuuteen. Etenkin tiedonhallintamallia koske-vaa suositusta kannattaa joka tapauksessa lukea asiakirjajulkisuuskuvausta laadittaessa. Asiakirjajulkisuuskuvausta koskeva suositus on tiivis ja helppolukuinen mutta sen ymmärtäminen edellyttää aiempaa tietämystä asiakirjahallinnon käsitteistöstä. Suosituksessa toistetaan kohtalaisen paljon tiedonhallintalain esitöissä (HE 284/2018 vp) todettua, mutta mukana on myös täydentäviä näkökohtia, havainnollistavia kuvia ja käytännön esimerkkejä, jotka saattavat helpottaa asiakirjajulkisuuskuvauksen laadintaa. Kyse ei toki ole kaikilta osin uusista vaatimuksista, mutta lainsäätäjän tahdon mukaisesti tiedonhallintalain tavoitteena on antaa kansalaisille aiempaa paremmat mahdollisuudet käyttää asiakirjajulkisuuteen liittyviä oikeuksiaan.
      • Järvenpään kaupunki, Hallintopalvelut
        Päivitetty:
        4.12.2019
        • Luku 3, s. 3: ”Suosituksessa kerrotaan, mitä lain vaatimukset toteuttavan kuvauksen tulee sisältää”. Tämän mukaan suositus on velvoittava.
      • Terveyden ja hyvinvoinnin laitos THL, Siltala Heikki
        Päivitetty:
        4.12.2019
        • Suositus on hyvä ja konkreettinen. On hyvä, että suositus ei ohjaa liian tarkasti miten kuvaus pitää laatia. Näin organisaatiokohtaiset erityispiirteet ja -tarpeet voidaan huomioida. Tässä suosituksessa olisi hyödyllistä kuvata miten suosituksen esittämät asiat saadaan tuotua olemassa olevasta tiedonhallintamallista. Toisaalta tämä suositus sisältää enemmän konkretiaa kuin tiedonhallintamallin suositus, joten näitä kahta suositusta olisi hyödyllistä synkronoida nykyistä enemmän. Olemassa olevien kuvausten hyödyntäminen on järkevää (esim. tiedonhallintasuunnitelma, aineisto- ja järjestelmäkuvaukset, tietosuoja-asetuksen vaatimat kuvaukset, erilaiset hallinnonalan kartoitukset) kuten myös tiedonhallintamallin hyödyntäminen asiakirjajulkisuuskuvauksessa. Tässä vaiheessa on epäselvää kuinka paljon samoja tietoja niissä on, vaikka suosituksessa korostetaan, että kuvauksen päivittämistyötä helpottaa jos tietoja pystytään julkaisemaan teknisesti suoraan tiedonhallintamallista. Tavoitteena voisi olla, että tiedonhallintamalli olisi niin kattava, ettei tarvittaisi erillistä kuvausta, vaan tiedot voisi hakea mallista. Tietopyyntöjen keskittäminen kirjaamoon vastaa nykyistä toimintatapaamme ja se luultavasti palvelee hyvin kansalaisia jatkossakin.
      • Kuopion kaupunki
        Päivitetty:
        4.12.2019
        • Luvussa 3 todetaan, että: ”Suosituksen pohjalta tiedonhallintayksikkö voi laatia kansalaisia ja sidosryhmiä parhaiten palvelevan kuvausmuodon ja –menettelyn.” Tämä on hyvä tavoite. Asiakirjajulkisuuskuvauksen toteutus käytännössä tulee olemaan kunnissa haaste. Suosituksiin kaivataan vielä näkemystä siihen, miten tiedonhallintamallista saadaan tuotettua tietoa asiakirjajulkisuuskuvaukseen. Suosituksessa todetaan, että ”kuvaus julkaistaan viranomaisen verkkosivuilla, sen tulee täyttää myös teknisen saavutettavuuden kriteerit, esim. ladattavia tiedostoja tulisi välttää”. Jos tiedonhallintamallin laadintaa ohjeistetaan lähinnä tekemään toimisto-ohjelmalla taulukoita, niin näiden kahden kuvauksen toteutustapa ei voine olla samanlainen.
      • Liikenne- ja viestintävirasto
        Päivitetty:
        4.12.2019
        • Suositus on kirjoitettu ylätasolla ja jättää monia kysymyksiä kuvauksen laatijan ratkaistavaksi. Yhdenmukaiset asiakirjajulkisuuskuvaukset auttaisivat asiakkaita löytämään eri tiedonhallintayksiköiden kuvausten tiedot. Jos kuvausten halutaan olevan sisällöltään mahdollisimman yhdenmukaisia, pitäisi suositusta viedä hieman yksityiskohtaisemmalle tasolle. Asiakirjajulkisuuskuvaussuosituksen ja tiedonhallintamallia koskevan suosituksen alussa esiintyvää toistoa voisi poistaa.
      • Mikkelin kaupunki
        Päivitetty:
        4.12.2019
        • Suositus avaa muita suosituksia paremmin sitä, mitä asiakirjajulkisuuden kuvauksella halutaan saada aikaan. Tähänkin toivottaisiin kuitenkin konkreettinen mallipohja kuvausten minimivaatimuksista samalla tavoin kuin tiedonhallintamallista. Asiakirjajulkisuuden kuvaamisessa tullaan suosituksen perusteella tekemään käytännössä hyvin paljon samaa työtä kuin mitä tiedonhallintamallin kokoamisessa. Tiedonhallintamalliin on kuvattavat prosessit ja palvelut, tietoaineistot sekä tietojärjestelmät. Asiakirjajulkisuuden kuvaus vaatii näiden samojen asioiden kuvaamista, vaikkakin niiden kohderyhmä on ulkoinen eikä sisäinen. Kaksinkertaisen työn välttämiseksi tulisiko tiedonhallintalautakunnan suosituksissa ohjeistaa vieläkin voimakkaammin ja konkreettisemmin tekemään asiakirjajulkisuuden kuvausta osaksi tiedonhallintamallia, jotta kahta erillistä kuvausta ei tarvitsi tehdä ja ylläpitää samoista asioista? Asiarekisterin määritelmää voisi myös täsmentää, sillä suositus antaa kuvan, että asiarekisteriin voisi kuulua ja kuuluu käytännössä kaikki viranomaisen tietoaineistot ja näin ollen kaikissa tietojärjestelmissä olevat tietoaineistot sekä paperiasiakirjat lähi- ja päätearkistotiloissa, ellei tämä ole tarkoituskin. Kaikissa tietojärjestelmissä voidaan käytännössä käsitellä asioita ja yleisesti käsitelläänkin. Tätä suuremmalla syyllä näyttää siltä, että tiedonhallintamallissa ja asiakirjajulkisuuden kuvauksessa tehdään hyvin pitkälti samaa selvitys- ja kokoamistyötä, joka on vain suunnattu eri kohderyhmille.
      • Maanmittauslaitos, Tietohallintotoimisto
        Päivitetty:
        4.12.2019
        • Asiakirjajulkisuuskuvausta laadittaessa tulee tunnistaa loogisen asiarekisterin kokonaisuus, eli ne järjestelmät, joihin TIHL 25 § ja 26 § mukaisia tietoja tallennetaan. Loogisen asiarekisterin käsite on uusi. Käsite on avattu HE:ssa, mutta se puuttuu suositusluonnoksesta. Asiarekisteri -kokonaisuuden hahmottaminen edellyttää yhteistyötä sekä asia- ja asiakirjojen rekisteröinnistä vastaavien että asiaa käsittelevien henkilöiden kanssa. Tämä ei käy ilmi luonnoksesta. Suosituksessa tulisi vielä selkeämmin ilmaista, millä tasolla kuvaus laaditaan. Epäselväksi jää onko kuvauksen kohteena asiakirja, tietoryhmä, vai yksittäinen tieto. Rajaus vaikuttaa työn laajuuteen. Tiedon ja tietoryhmän ero jää epäselväksi. Suosituksessa mainitaan, että asiakirjajulkisuuskuvauksessa voi hyödyntää tietojärjestelmäselosteiden sisältöä. Hyöty on hyvin pieni. JHS 146 mukaan (kohta 4.5): Henkilörekisteristä laadittava rekisteriseloste sisältää osaksi samoja tietoja, osaksi eri tietoja kuin julkisuuslain mukainen tietojärjestelmäseloste. Julkisuuslain perusteluissa on todettu henkilötietolain rekisteriselosteen ensisijaisuus julkisuuslain tietojärjestelmäselosteeseen nähden ts. tietojärjestelmäselosteen voi korvata rekisteriselosteella. Viranomaisessa useimmat tietojärjestelmät sisältävät henkilötietoja, joten tietojärjestelmäselosteiden ylläpitotarve on ollut hyvin vähäistä / olematonta tähänkin saakka. Asiakirjajulkisuuskuvaukseen tulee suosituksen mukaan sisällyttää julkiset tiedot. Joissain tapauksissa tietoja yhdistelemällä saadaan aikaan tieto, joka kokonaisuutena on salassa pidettävä. Tätä ei suosituksessa ole huomioitu.
      • Kansallisarkisto
        Päivitetty:
        4.12.2019
        • Kansallisarkisto toteaa suosituksesta seuraavaa: Suosituksen kuvat 2-4 jäävät irrallisiksi, kun niitä ei ole avattu mitenkään suosituksen tekstissä. Sama koskee liitettä 1. Suosituksen esitysjärjestys ei ole täysin looginen, esim. sivulla 4 ja sivun 5 alussa kerrotaan tietojärjestelmistä/asiarekisteristä sen jälkeen sivulla 5 tietovarannoista ja taas sivulla 6 tietojärjestelmistä/asiarekistereistä. Tekstit olisi hyvä yhdistää näiltä osin loogisimmiksi kokonaisuuksiksi Suosituksessa käytetään välillä termiä organisaatio, joka hämärtää sitä, milloin suositus kohdistuu tiedonhallintayksikköön ja milloin viranomaiseen. Suosituksen lähtökohtana on, että tietopyynnöt ohjattaisiin sille viranomaiselle, joka päättää tietojen antamisesta. Kirjaamo tulee vasta toisena vaihtoehtona, vaikka suosituksen esimerkkinä on tilanne, jossa tietopyyntö lähetetään kirjaamoon. Tietopyyntöjen rekisteröimisen varmistamiseksi, tietopyynnöt olisi kuitenkin suositeltavaa toimittaa ensisijaisesti kirjaamoon. Tämä on lisäksi ensisijainen toimintatapa hallinnossa tälläkin hetkellä. Tiedonhallintayksikössä on yleensä yksi yhteinen kirjaamo, eikä tiedonhallintayksikön viranomaisilla ole omia kirjaamoja. Näin on esim. Helsingin kaupungissa ja tietopyynnöt pyydetään Helsingissäkin lähettämään nimenomaan kirjaamoon. Tietoaineistojen saatavuus avoimesti teknisen rajapinnan avulla: suosituksesta ei käy ilmi, että tällä tarkoitetaan tiedonhallintalaissa vain tietojen luovuttamista teknisen rajapinnan avulla viranomaisten välillä, ja että tällä ei ole mitään tekemistä sen kanssa, että yksityinen kansalainen voisi saada tietoja teknisen rajapinnan kautta Hakutekijäesimerkit: lisäysehdotuksia sanat asiaryhmä, asian vaihe, asian nimike, asiasana, toimeksiantaja
      • Maa- ja metsätalousministeriö, Tieto- ja tutkimustoimiala
        Päivitetty:
        4.12.2019
        • Suositusluonnoksessa todetaan, että asiakirjajulkisuuskuvaus laaditaan tiedonhallintayksikön hallinnoimista tietovarannoista ja asiarekisteristä. Tiedonhallinmallia koskevassa suositusluonnoksessa todetaan, että tiedonhallintalain 5 §:n 2 momentin 2 kohdan mukaan tiedonhallintamallin on sisällettävä vähintään tiedot tietovarantojen nimikkeistä, kuvaukset tietovarantojen sidoksista toimintaprosesseihin ja tietojärjestelmiin jne. Onko tosiaan tarkoitus, että laaditaan kaksi lähes samansisältöistä tietovarantokuvausta ja vielä tiedonhallintakartta näiden lisäksi?
      • Suomen ympäristökeskus SYKE
        Päivitetty:
        4.12.2019
        • Kuvauksessa ja tiedonhallintamallissa on osin päällekkäistä tietoa (tietovarantojen nimikkeet, tietojärjestelmien kuvaukset) mutta se lienee väistämätöntä ja tiedonhallintamalliahan voi suosituksen mukaan hyödyntää asiakirjajulkisuuskuvauksen ylläpidossa. Termit ovat liian tulkinnanvaraisia tällaisenaan, joka aiheuttaa virastokohtaista tulkintaa.
      • Museovirasto
        Päivitetty:
        3.12.2019
        • Suosituksessa todetaan, että ”laissa ei ole määritelty, millä menettelyllä tai muodossa kuvaus tuotetaan.” Lisäksi todetaan, että ladattavia tiedostoja tulee välttää saavutettavuuskriteerien vuoksi. Samoin kuin tiedonhallintamallista, myös asiakirjajulkisuuskuvauksesta, olisi hyvä olla selkeät, valmiit mallipohjat, joiden perusteella tietoja voisi kerätä ja sen jälkeen luoda niistä kokonaisuus verkkosivuille saavutettavassa muodossa.
      • Sisäministeriö
        Päivitetty:
        3.12.2019
        • Asiakirjajulkisuuskuvausta koskeva suositus on laadittu selkeäksi ja käytännönläheiseksi apuvälineeksi. Sisäministeriö pitää hyvänä ja tarkoituksenmukaisena sitä, että suosituksessa nimenomaisesti jätetään tiedonhallintayksikön harkintaan päättää kuvauksen esitystapa, mutta toisaalta suositus täsmentää ja tarkentaa tiedonhallintalain 28 §:ää.
      • Helsingin kaupunki
        Päivitetty:
        3.12.2019
        • Asiakirjajulkisuuden kuvauksen suositus on nyt palautekierroksella olevista kuvauksista selkein, vaikka sekin sisältää epäselviä kohtia. Tiedonhallintalain määritelmä asiakirjajulkisuuskuvauksen sisällöstä on hankala ja siksi suositus tukee hyvin lain soveltamista. Suosituksessa on paljon toistoa ja päällekkäisyyttä muiden suositusten kanssa. Suosituksen alkuun riittää lyhyt info. Puutteellinen määrittely keskeisissä käsitteissä (tietovaranto, asiarekisteri, palvelu, tietoryhmä) hankaloittaa tiedonhallintalain täytäntöönpanoa 28 § osalta. Asiakirjajulkisuuden kuvauksessa on mukana tietojärjestelmien hakutekijät. Kaikki muut kuvauksen elementit on huomioitu tiedonhallintamallissa. Koska tiedot kerätään tiedonhallintamalliin, olisi suositeltavaa julkaista tiedonhallintamallista tarvittavat osat asiakirjajulkisuuskuvaukseen. Suosituksessa ohjataan hyödyntämään kuvausta laadittaessa ”mahdollisuuksien mukaan” tiedonhallintamallia, joka luo sen mielikuvan, että kuvausten keskinäisistä suhteista ei ole tarkkaa määritelmää. Tiedonhallintamalli ja asiakirjajulkisuuskuvaus on syytä koordinoida yhteen. On sangen todennäköistä, että suosituksen edellyttämällä tarkkuustasolla laaditut asiakirjajulkisuuskuvaukset eivät riitä kansalaisten tietopyyntöjen yksilöimiseksi tai tietojen löytämiseksi tietovarannoista. Jatkossakin tarvitaan tietoaineistojen yksityiskohtaisempaa kuvausta (esim. tiedonohjaussuunnitelma). Miten tuetaan tiedon löydettävyyttä niissä tilanteissa, joissa asiakas ei tiedä mikä tiedonhallintayksikkö omistaa hänen tarvitsemansa tiedon? Asiakirjajulkisuuskuvaukselle on syytä määritellä yhteinen julkishallinnon malli, jotta kansalaisia palvellaan samalla tavoin eri tiedonhallintayksiköissä.
      • Kansaneläkelaitos
        Päivitetty:
        3.12.2019
        • Asiakirjajulkisuuskuvaukselle ei ole annettu konkreettisia suuntaviivoja siitä, miten, millä välineillä tai missä muodossa se tulisi laatia. Asiakirjajulkisuuskuvaus tulisi laatia kuitenkin mm. tietovarantojen, asiarekisterin, joka on looginen kokonaisuus, tietojärjestelmäselosteiden sekä tiedonhallintamallin pohjalta. Jotta asiakirjajulkisuuskuvaus palvelisi eri sidosryhmiä, kansalaisia ja asiakkaita yhdenvertaisesti ja yhdenmukaisella tavalla, tarvitaan yhteisesti sovittuja reunaehtoja kansallisella tasolla. Näin turvataan myös saavutettavuusnäkökulmien huomioiminen, erityisesti kognitiivisten vaatimusten osalta. Ehdotus tietojen julkaisemisesta teknisesti suoraan tiedonhallintamallista, joka ei ole väline tai tekninen ratkaisu, kuulostaa tässä vaiheessa kaukaiselle tavoitteelle.
      • Kross Guido, corpus delecti - IHMISET ovat korkeimpia, ei valtio
        Päivitetty:
        19.11.2019
        • Julkisen vallan sekä kansalais- ja järjestötoiminnan herkkä suhde Laajamittaisempana käytännön toiminnan muutosprosessina kumppanuustyötä voidaan käynnistää vasta siinä vaiheessa, kun tulevat maakunnat ja uudistuvat kunnat pääsevät vauhtiin käytännön toiminnan rakentamisessa. Kumppanuudessa toimittaessa tärkeimpiä lähtökohtia ovat yhdenvertaisuus, luottamus, avoin vuorovaikutus sekä toisen osapuolen lähtökohtien tunteminen ja niiden kunnioittaminen. Julkinen valta – valtio ja kunnat – eivät myöskään voi eivätkä saa määritellä kansalaisyhteis-kunnalle rooleja ja tehtäviä, jotka esimerkiksi kansalais- ja järjestötoimijoiden tulisi ottaa vastaan. Kansalais- ja järjestötoiminta perustuu aina ihmisten omaan haluun osallistua ja vaikuttaa. Kansalais- ja järjestötoiminnan eetos lähtee aina alhaalta ylöspäin, eikä julkinen valta voi koskaan yksipuolisesti määritellä kumppanuudenkaan agendaa. TEM "Kansainväliset sopimukset velvoittavat eduskuntaa riippumatta siitä, missä järjestyksessä ne ovat saadettu valtionsisäisesti voimaan." M. Scheinin 2000 s.298 Eduskunnalla ei ole Suomen valtiosäännön sallimaa toimivaltaa säätää kansainvälisten sopimusten kanssa ristiriidassa olevia lakeja. M. Scheinin 2000 s.299 PL 2.3 §:stä johdettu lakisidonnaisuus luo yksilölle oikeuden vaatia ja edellyttää, että viranomaiset toteuttavat laissa määritellyt oikeudet ja edut valtioiden on täytettävä vilpittömässä mielessä velvoitteet ja sitoumukset, jotka ne ovat sitoutuneet kansainvälisiin sopimuksiin ja sopimuksiin, joihin ne ovat osallistuneet YLEISSOPIMUS ihmisoikeuksien ja perusvapauksien suojaamiseksi sekä pöytäkirjat. 1 artikla Velvollisuus kunnioittaa ihmisoikeuksia Yhdenvertaisuuslaissa säädetään myös vastatoimien kiellosta. Lain 8 §:n mukaan ketään ei saa asettaa epäedulliseen asemaan tai kohdella siten, että häneen kohdistuu kielteisiä seuraamuksia, koska hän on valittanut tai ryhtynyt toimenpiteisiin yhdenvertaisuuden turvaamiseksi. Vastatoimien kiellolla on kiinteä yhteys perustuslain 21 §:ssä säädettyyn oikeusturvaan. Kun hallitus ratifioi ihmisoikeussopimuksen, sillä on oikeudellinen velvoite kunnioittaa, suojella ja täyttää sopimukseen sisältyvät oikeudet. Hallitukset ovat velvollisia varmistamaan, että ihmisoikeudet ovat suojelemalla sekä estämällä ihmisoikeusrikkomuksia heidän alueellaan ja tarjoamalla tehokkaita oikeussuojakeinoja niille, joiden oikeuksia loukataan.8
      • Palaute teknisiä rajapintoja ja katseluyhteyksiä koskevista suosituksesta. Palaute voi kohdistua  teknisiä rajapintoja ja katseluyhteyksiä koskevien suositusten sisältöön, rakenteeseen tai tarkkuustasoon tai suositusten eri käyttäjäryhmien tarpeisiin. Palautteessa voit tuoda esiin esimerkiksi lain soveltajan kannalta hyödyllisiä lisäyksiä.
      • Suomen Kuntaliitto ry, Tietoyhteiskuntayksikkö, Seppo Tuula
        Päivitetty:
        5.12.2019
        • Esitetyt suositukset koskettavat tiedonhallintalain kautta tiedonhallintayksikön johtamaa ja ohjaamaa laajennettua toimintaympäristöä usealla eri osa-alueella. Erityistä huomiota tulisi kiinnittää suositusten osalta kokonaisuuteen. Suositukset läpileikkaavat tiedonhallintalain vaateita luettelomaisesti ja niiden ymmärtäminen ja organisaation kannalta sisäistäminen edellyttää moniosaamista. Esim. ettei käyttöönottovaiheissa teknologia ratkaisuissa tehdä dokumentoimattomia muutoksia käytännön kompromissien kautta, mitkä välillisesti synnyttävät riskejä palveluketjussa. Vaan poikkeamat tulevat kunkin tiedonhallintayksikön asettaman/nimeämän vastuulliseksi tiedoksi, osana tiedonhallintayksikön riskien käsittelyä ja hallintaa. Tarkentaen teknisen rajapinnan avaamisen osalta - ” Tiedot luovuttava viranomainen voi asettaa ehtoja tietoluovutuksille siltä osin kuin ne tarkentavat tiedonhallintalain 4 luvussa olevia tietoturvallisuusvaatimuksia.” Kun kyse on suosituksesta, niin tuleeko sitä luovuttavan viranomaisen kautta velvoittavaa hyödyntävälle taholle? Kuntaliitto pitää hyvänä, että yhteentoimivuus asiat tunnistetaan teknisten rajapintojen tasolla asioita tarkasteltaessa. Yhteentoimivuuden merkitys tiedonhallintayksikön johtamisen ja ohjaamisen kannalta korostuu tarvittavien investointien ja eri osa-alueitten priorisointien kautta. Mihin kohdistaa resursseja, voimavaroja ja miten asioita tulee toiminnan kehittämisen kannalta lähestyä. Tiedonhallintayksikön näkökulmasta yhteentoimivuus ratkaistaan lähtökohtaisesti organisaatio/toiminnan yhteentoimivuus kerroksella omaa toimintaa kehittäen, osana tiedonhallintamallia asiaan kuuluvalla tarkkuudella. Yhteentoimivuudelle tulee kyetä määritellä sovellettavissa olevat vaatimukset. Tiedonhallintalain jalkauttamisen kannalta oleellista ovat selkeät toteuttamiskelpoiset yhteentoimivuuden linjaukset niitä tukevine apuvälineineen. Yhteentoimivuusalustaa voidaan kokonaisuuden kannalta pitää yhtenä keskeisenä apuvälineenä tavoitteitten aikaansaamiseksi. Tehtävien tunnistamisen ja luotettavuuden varmistamisen kannalta tiedonhallintayksikön tulisi riskien käsittelyn ja hallinnan kautta saada riittävä ymmärrys toimittajanhallinnan osa-alueella. Tämä osa-alue on korostumassa kuntatoimijoiden entistä enenemässä määrin toteuttaessaan palvelukokonaisuuksiaan perustuen ohjelmistollisiin rajapintoihin. Tietojen siirron turvallisuudesta. Internet -pohjaisia palveluita ja operaattorien MPLS-ratkaisuja ei teknisiä rajapintoja tarkasteltaessa tulisi rinnastaa. Kyse on vähän sama kuin vertaisi ’omenoita ja appelsiineja’! Tiedonhallintayksikön laajennetun toimintaympäristön näkökulmasta teknisiä rajapintoja ja niitten käyttöasteisuutta sekä käytettävyyttä tarkasteltaessa, kuten suosituksissa todetaan, on hyvä kiinnittää huomiota käyttövaltuuksiin. Toiminnan johtamisen ja ohjattavuuden kannalta (tiedonhallintayksikön) keskitetty käyttövaltuushallinta ratkaisu tulee huomioida oman toiminnan ja tehtävien kautta. Tiedonhallintayksikön tulee huomioida käyttövaltuusasioiden vastuut vastuujakotaulukko tasoisesti (muodon toki palvellessa kutakin toimijaa). Lokitietojen keräämisen osalta on hyvä tarkastella asioita kokonaisuutena - tiedonhallintayksikön laajennetun toimintaympäristön silmin. Täten vältytään päällekkäisistä ratkaisuista ja toteutuksista, mitkä ovat omilta osin nostamassa palvelukokonaisuuksien kustannuksia (esimerkiksi ei lokiteta varmuuden maksimoinnin vuoksi - vaan kukin toimija/palveluntarjoaja lokittaa perustuen oman palveluosa-alue toteutukseensa).
      • Ruokavirasto
        Päivitetty:
        4.12.2019
        • Suosituskokonaisuus teknisistä rajapinnoista ja katseluyhteyksistä on selkeästi raskain ja monimuotoisin nyt kommenteilla olleista suosituksista. Kuitenkin henkilötiedot ovat hyvin laaja käsite, jota suosituskokonaisuus tuntuu käsittelevän hyvin suppeasta näkökulmasta. Virastoilla on hyvin erilaisia käsittelytarpeita, joihin liittyy henkilötietoja. Tähän liittyen nostamme jäljempänä keskeisimmät huomiomme suosituksen sisältöön. Pidämme todennäköisenä, että henkilötietojen käsittelyä joudutaan tiedonhallintalain näkökulmasta ohjeistamaan kussakin tiedonhallintayksikössä erikseen. Eli yhdellä ohjeella ei pystytä kattamaan kaikkia tilanteita. Kuitenkin näemme, että yleisellä ohjeella on merkitystä siinä, että se antaa yhtenäisen pohja tarkastella asiaa tiedonhallintayksiköissä ja niiden välillä. Näin ollen toivoisimme, että jäljempänä kommenttimme koskien suosituksen luettavuutta otettaisiin huomioon. Tarkemmalla sisällön rajauksella ja toisteisuuden poistolla kortti lyhenisi huomattavasti ja selkeytyisi. Ohjeistuksen selkeys edistää sen käyttöä ja täten tukee lainnoudattamista. KESKEISIMMÄT HUOMIOT / EPÄSELVIMMÄT KOHDAT SUOSITUKSEN SISÄLLÖSSÄ Kommentit jaoteltuna: • 22 § Tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä • 23 § Katseluyhteyden avaaminen viranomaiselle • Muut huomiot 22 § Tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä ”Sen lisäksi, mitä 4 luvussa säädetään, tietojen luovuttaminen teknisten rajapintojen avulla on toteutettava tietojärjestelmien välillä siten, että teknisesti varmistetaan luovutettavien tietojen tapauskohtainen tarpeellisuus tai välttämättömyys tietoja saavan viranomaisen tehtävien hoitamiseksi, jos luovutettavat tiedot ovat henkilötietoja tai salassa pidettäviä tietoja.” Oikeusrekisterikeskus ja CSC ovat lausuneet myös tästä asiasta. Suosituksen muotoilu on epäselvä ja vaatii tarkennusta. Erityisesti se, miten käsitetään tapauskohtainen tarpeellisuus. Tarkoittaako tämä todella, että jokaisen yksittäisen tiedon hakutarve pitää tunnistaa ja pyytää käyttäjältä vai riittääkö yleisempi taso? Voidaanko tässä käyttää riskeihin perustuvaa arviointia? Henkilöntietojen luonne voi olla hyvin erilainen, esimerkiksi SOTE-tiedoissa potilastiedot vs. Ruokaviraston maatilat tai eläintenpitopaikat. Ruokaviraston maatila- ja eläintenpitopaikkatiedot ovat myös henkilötietoa, vaikka ko. tiedoissa ei ole suoraan yhtään henkilöön liittyvää tunnistetietoa. Suosituksissa on myös tämä kohta: ”Prosessiohjatuissa tietojärjestelmissä käyttötarpeen selvittäminen ei ole tarpeen, koska rajapinta on avattu toiseen tietojärjestelmään vain tiettyä yksittäistä käyttötarkoitusta varten, jolloin käyttötarkoitus ilmoitetaan osana käyttäjälle annettavaa informointia.” Tätä olisi hyvä avata esimerkillä. Tämä näyttäisi olevan selkeä lievennys tapauskohtaisen tarpeen selvittämisessä. 23 § Katseluyhteyden avaaminen viranomaiselle Suosituksessa katseluyhteyteen on kirjattu useita erilaisia kontrolleja, joita ei voi ainakaan suoraan johtaa itse lain tekstistä. Esimerkkinä: ”Katseluyhteyttä tarjoavan viranomaisen tulee toteuttaa katseluyhteys siten, että tietoja voidaan hakea ainoastaan yksittäisinä hakuina. Tällöin hakukriteerien on oltava sellaisia, että niiden perusteella ei voida hakea suurta määrää useita henkilöitä koskevia tietoja, vaan haku rajautuu pääsääntöisesti yhden tai muutamaan kriteerit täyttävän henkilön tietotoihin.” Kuvitteellisessa tapauksessa jollakin toisella viranomaistaholla voisi olla tarvetta ja oikeus hakea esimerkiksi tietyn koordinaattipisteen lähellä olevat eläintenpitopaikat tai maatilat esimerkiksi 10 kilometrin säteellä eli kyseessä olisi massahaku. Toivottavaa, että rajoitteiden toteuttamisessa voidaan käyttää riskiperusteista arviointia. On hyvin kuviteltavissa, että SOTE-tietojen haussa massahakujen käyttöä halutaan estää, mutta sama logiikka ei ole välttämättä pätevää jossain muussa yhteydessä. Suosituksissa pitäisi huomioida erilaiset käyttötapaukset ja erilaiset riskitasot. Rajoitteet voivat myös hankaloittaa luvallista käyttö ja johtaa kiertoteiden etsimiseen. Muut huomiot: • "Teknisten rajapintojen ja katseluyhteyksien sovelluskehityksessä ja tietoturvallisuuden testaamisessa suositellaan noudatettavaksi Väestörekisterikeskuksen julkaisemaa turvallisen sovelluskehityksen käsikirjaa." Mikä on suosituksen ja em. käsikirjan suhde? Tarvitaanko koko korttia, jos asia ohjeistetaan käsikirjassa? • "Vikasietoisuus tulee mitoittaa sen perusteella, kuinka kriittinen järjestelmä on toiminnan kannalta ja kuinka pitkään toimintaa voidaan jatkaa, vaikka järjestelmä ei olisi käytettävissä." Kuka vastaa kustannuksista, jos luovuttava järjestelmä on matalan prioriteetin järjestelmä omistajavirastolle, mutta vastaanottava on korkean prioriteetin järjestelmä? Joutuuko luovuttava viranomainen vastoin omaa tarvettaan kasvattamaan järjestelmänsä saatavuustasoa omalla kustannuksellaan vastaanottavan järjestelmän tasolle? KOMMENTIT KOSKIEN SUOSITUSKOKONAISUUDEN LUETTAVUUTTA Suosituskokonaisuudessa on päällekkäisyyttä muiden suosituskorttien kanssa, minkä lisäksi siinä on paljon myös sisäistä toistoa. Suosituskokonaisuus tuntuu myös esittävän toisia dokumentteja kovempia vaatimuksia, kuitenkaan tuomatta esille varsinaisia ratkaisutapoja. Epäselväksi jää, miksi rajapinnat tässä yhteydessä olisivat erityisen riskialttiita. Suosituksen nimi ”tekninen” ohjaa lukijan ajatukset rajapintojen teknisiin toteutustapoihin, mutta suosituksessa tarkastellaan hyvin paljon itse tietojen luovutuksen vaatimuksia. Lisäksi suosituksesta saa sen käsityksen, että tietojen luovutuksella on suuremmat vaatimukset kuin käsittelyllä. Luovutuksessa vaaditaan käytännössä lukemisen lokitusta, tietojen yksilöintiä ja syyn kirjausta, kun käsittelyssä tuntuu toisen dokumentin mukaan riittävän kirjautumisen lokitus. Lisäksi suosituksessa (erityisesti Kortti 22§ ja 23§ yhteydessä sovellettavat Tiedonhallintalain 4 luvun tietoturvavaatimuksien soveltamissuositukset) käsitellään paljon asioita, jotka kytkeytyvät kokonaisuuteen aika ohuesti. Alla muutamia esimerkkejä: • "Ohjeistuksen ja koulutuksen lisäksi käyttäjien huolimattomuudesta tai kiireestä aiheutuvia riskejä voidaan hallita muistuttamalla käyttäjiä näistä aina kirjautumisen yhteydessä. Esimerkiksi niin, että kirjautumisen yhdessä muistutetaan, mihin tietoja saa käyttää, millä tavoin ne on luokiteltu ja mitä käsittelysääntöjä tulee noudattaa." => tähän kytkeytyy koko tietosuoja laajemmin. • ”Tekoälyn ja koneoppimisen hyödyntämiseen tietojen käsittelyssä liittyy riskejä, kuten se, että tekoäly oppiikin vahingossa tai tarkoituksellisen vihamielisen toiminnan seurauksena väärin tai sen ratkaisut eivät ole eettisesti kestävällä pohjalla. Ennen tekoälyn ja koneoppimisen käyttöönottoa tulee suunnitella ja määritellä tarkkaan, mitä niillä halutaan saavuttaa ja millä tavoin niiden halutaan toimivan." => tekoälystä pitäisi ohjeistaa erikseen, ei liity suoraan rajapintoihin • ”Sähköisten palveluiden toiminnallista käytettävyyttä toteutettaessa pitää huomioida myös EU:n saavutettavuusdirektiivi ((EU) 2016/2102) ja sitä seuraava kansallinen lainsäädäntö (Laki digitaalisten palveluiden tarjoamisesta 306/2019). Saavutettavuusdirektiivin soveltamisalaan kuuluvat julkisen hallinnon ja julkista hallintotehtävää hoitavien organisaatioiden verkkosivustot ja mobiilisovellukset sekä lähes kaikki näiden sisällöt.” => Käytettävyyden kytkeminen tähän ei ole kovin luontevaa. • Lohkoketju => suositus on jo nyt pitkä ja sisältää monentasoista asiaa. Onko tarkoituksenmukaista avata esimerkiksi tätä lohkoketjun ideaa tässä yhteydessä? Ehdotuksiamme suosituksen parantamiseksi, jotta ohje palvelisi laajempaa joukkoa: • Ohjeessa olisi hyvä tuoda esille, että ohje ei anna yksiselitteistä tapaa toteuttaa rajapinta tai katseluyhteys (tämä on eri asia kuin, että ohjetta ei ole pakko noudattaa) • Ohjeessa kuvattaisiin esimerkein erilaisia käyttötilanteita (esim. henkilön terveystiedot, eläintenpitopaikan tiedot, samaan tietoon tarve usealla viranomaisella, ei-henkilötietoja sisältävä jne.). Käyttötilanteita voisi vertailla selventävin taulukoin ja käyttää muita havainnollistavia keinoja. • Ohje kuvaisi kunkin esimerkin osalta keskeiset tiedonhallintaan liittyvät keinot ja niiden tason. Tason osalta olisi hyvä pyrkiä kuvaamaan syitä tason valintaan ja mitä pyritään suojaamaan, jolloin lukija paremmin ymmärtää merkityksen. • Ohjeessa voisi lähtökohtana pitää sitä, että rajapinta tai katseluyhteys toteutetaan noudattaen samoja vaatimuksia, joilla itse järjestelmäkin toteutetaan
      • Ilmatieteen laitos
        Päivitetty:
        4.12.2019
        • Ilmatieteen laitoksella ei ole asiassa lausuttavaa.
      • Kilpailu- ja kuluttajavirasto, Oravainen Henrikki
        Päivitetty:
        4.12.2019
        • Katso jäljempänä viimeisessä kohdassa KKV:n yleinen vastaus.
      • Väylävirasto
        Päivitetty:
        4.12.2019
        • Teknisistä rajapinnoista ja katseluyhteyksistä tulisi laatia sopimus, jotta hyödyntäjä pystyy paremmin hahmottamaan, mihin tietoja voi käyttää tai mitä niiden päälle voi rakentaa.
      • Väestorekisterikeskus
        Päivitetty:
        4.12.2019
        • Suosituksessa rajapinnat on yritetty nähdä yhtenä kokonaisuutena, vaikka niitä on hyvin paljon erilaisia. Väestörekisterikeskus esittää, että avoimesta datasta ja sen rajapinnoista kuvattaisiin tarkemmin. Niitä on julkisessa hallinnossa useita satoja ja lisää tulee, kun uusi direktiivi ”Uudelleenlaadittu direktiivi avoimesta datasta ja julkisen sektorin hallussa olevien tietojen uudel-leenkäytöstä (2019/1024/EU)” pannaan toimeen. Lisäksi Väestörekisterikeskus esittää, että rajapintojen kehittäjäkokemus ja informaatioarkkitehtuuri huomioitaisiin tarkemmin. Rajapintojen rakentamisesta vähintään vaikuttavuudeltaan keskeisimpiin tietovarantoihin tulisi tehdä velvoittavaa muidenkin kuin uusien järjestelmien kohdalla. Lisäksi ohjauksessa tulisi ottaa selkeämmin kantaa siihen, kuka myöntää luvan tiedonhallintalaissa olevaan rajapintojen rakentamisvelvoitteesta poikkeamiseen sekä luoda säännöstö millä perusteilla lupia myönnetään. Suositus teknisistä rajapinnoista ja katseluyhteyksistä (22§ ja 23§), Kortti 22 § Suositus teknisistä rajapin-noista viranomaisten välillä 1.mom ja 2.mom ja Kortti 22§ ja 23§ yhteydessä sovellettavat Tiedonhallintalain 4 luvun tietoturvavaatimuksien soveltamissuositukset Väestörekisterikeskus esittää, että ns. KaPA-laki (Laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista, 571/2016 §3.1 kohta 1) huomioitaisiin tarkemmin. Suositustekstissä lakiin voitaisiin viitata esimerkiksi seuraavasti: "Suomi.fi-palveluväylä on ekosysteemi, jossa siihen liittyneiden organisaatioiden järjestelmien tiedot ovat saatavilla ja jaettavissa tietoturvallisesti rajapintojen yli kaikille palveluväylään liittyneille ja kyseisiä tietoja tarvitseville organisaatioille. Jokainen palveluväylään liittynyt organisaatio hallitsee omien järjestelmiensä tietoja ja vastaa siitä, että muiden tarvitsemat tiedot ovat saatavissa ja kuvattuna väylän liitynnät esittävään katalogiin. Lisäksi organisaation on itse huomioitava tietojen jakoon liittyvät mahdolliset rajoitukset. Palveluväylän käytöstä on säädetty Laissa hallinnon yhteisistä sähköisen asioinnin tukipalveluista (571/2016)."
      • Järvenpään kaupunki, Hallintopalvelut
        Päivitetty:
        4.12.2019
        • · Tuleeko luovutettavat tiedot kuvata myös sisäisissä prosesseissa? Vai vain viranomaiselta viranomaiselle tapauksissa? Liittyy käsitteeseen viranomainen. · Tuleeko kaikki vähimmäisvaatimukset huomioida myös sisäisissä prosesseissa?
      • Terveyden ja hyvinvoinnin laitos THL, Siltala Heikki
        Päivitetty:
        4.12.2019
        • Korttimaisissa suosituksissa esitystapa eli suuri määrä tekstiä pilkottuna ja kehystettynä korttimaisilla ylä- ja alatunnisteilla tekee suosituksesta hankalasti luettavan, vaikka tarkoitus lienee ollut päinvastainen. Sivujen kohdalla pohtii usein, onko tämä sivu jatkoa edelliselle sivulle, sille jatkoa oleva seuraava asia vai täysin uusi asia. 24 sivua pitkän korttinipun rakenne ei avaudu lukijalle, joka hakee korteista työnsä kannalta oleellisinta tietoa nopeasti. Luultavasti perinteinen asiakirjamuoto väliotsikoineen toimisi paremmin kuin epäselväksi jäävä korttimuoto. Suosituksen sivulla 14 todetaan "aina kirjautumisen yhteydessä". Käyttäjien muistuttamisen sijaan järkevämpi toimintatapa voisi olla panostaa käyttäjien tietoturvallisuusosaamiseen sen sijaan että käyttäjät joutuisivat kuittaamaan järjestelmissä olevia muistutuksia, erityisesti kun perusteluna on käytetty käyttäjien huolimattomuuden ja kiireen aiheuttamia riskejä. Suosituksen kohdassa 2.15 käytettyä käsitettä ”toiminnallinen käytettävyys” ei ole määritelty. Käsite tulisi määritellä siten, että lukijoille on selvää, onko kyseessä käyttökokemusta kuvaava käytettävyys vai järjestelmän ja sen sisältämien tietojen saatavuus. Erityisesti tämä selkeytys tulee tehdä suhteessa vaatimukseen ”toiminnallinen käytettävyys on varmistettava riittävällä testauksella säännöllisesti”, koska näiden eri näkökulmien vaatimukset ja niiden testaus poikkeavat merkittävästi toisistaan. Mikäli erityislainsäädännön perusteella ei muuta johdu, on suosituskortin rajaus tietojen hakemiseen vain yksittäisinä hakuina aiheellinen. Olemme tunnistaneet, että ylläpidämme ja käytämme useita erityislainsäädäntöön perustuvia katseluyhteyksiä joissa on esitettyä laajemmat tietojen katselun oikeudet. THL ylläpitää tartuntatautilakiin perustuvaa tartuntatautirekisteriä, jonka tietolähteenä ovat lääkärien ja laboratorioiden tartuntatauti-ilmoitukset. Sairaanhoitopiirien ja terveyskeskusten tartuntataudeista vastaavilla lääkäreillä ja hoitajilla on lakiin perustuva tekninen etäkäyttöyhteys rekisteriin. Sairaanhoitopiirit ja terveyskeskukset tarvitsevat tarkkoja tietoja tartuntatautien torjuntatyöhön kuuluvien tehtävien hoitamisessa, mm. epidemiaselvityksissä. Toinen esimerkki teknisestä yhteydestä on Ruokaviraston ja THL:n yhteinen, Ruokaviraston ylläpitämä RYMY eli elintarvike- ja vesivälitteisten epidemioiden epäily- ja selvitysilmoitusten vastaanotto- ja jakelujärjestelmä sekä kansallinen ruokamyrkytysepidemiarekisteri.
      • Liikenne- ja viestintävirasto
        Päivitetty:
        4.12.2019
        • Suosituksessa olisi hyvä tarkastella luovuttavan viranomaisen ja vastaanottavan tahon välisten roolien ja vastuiden määrittelyä. Huomionarvoista on, että tietoja luovuttava taho ei aina pysty luotettavasti arvioimaan sitä, mitkä ovat välttämättömiä tietoja toisen viranomaisen työssä. Luovuttavan ja vastaanottavan tahon olisi hyvä määritellä käyttöoikeudet yhteistyössä. Traficom ehdottaa, että tiedonhallintalautakunnalla voisi olla ratkaisusuosituksia antava rooli tähän liittyvissä ristiriitatilanteissa arviointitehtävänsä puitteissa (tiedonhallintalain 11 §).
      • Maanmittauslaitos, Tietohallintotoimisto
        Päivitetty:
        4.12.2019
        • YLEISTÄ: - Yhteentoimivuutta edistävä suositusluonnos ei ole standardinmukainen ja se vaikeuttaa sisällön löydettävyyttä. Suosituksen tulee noudattaa standardien mukaista sisältöä (mm. johdanto, rajaus, käsitteet). - Suositusluonnos ei noudata periaatetta ”yksi tieto yhteen kertaan” vaan sinne on kopioitu tekstiä sekä laista että lain perusteluteksteistä. Suosituksesta on karsittava kopioitu tieto. - Kortti-termistä sekä värikoodauksesta tulee mieleen 1970-luvun ruokaohjekortit, joita pystyi tilaamaan kirjakerhosta. Ihan oikeasti, olemmeko me digitaalisella aikakaudella vai ei? - Värikoodaus ei ole digipalvelulain saavutettavuuden periaatteiden mukainen. Värikoodaus on poistettava suosituksesta. - Suositusluonnoksen kohderyhmäjoukko on liian heterogeeninen (johto kontra ICT-kehittäjät). Suosituksen kohderyhmä tulee tarkistaa ja sisältö rajata ja osoittaa valitulle joukolle. - Teksti nyt esitetyssä laajassa muodossa (24 sivua) vaikuttaa enemmän oppikirjalta tiedonhallintalakiin kuin suositukselta jollekin tekniselle, oman substanssialueen hyvin tuntevalle kohderyhmälle. - Dokumentin sisältö on kirjoitettu liian monimutkaisesti, tarvitaanko suositus tämän suosituksen lukemiseksi?
      • Kansallisarkisto
        Päivitetty:
        4.12.2019
        • Ylätasolle jäävästä suosituksesta puuttuu riittävä käytännön ohjeistus ja esimerkit, jotka avaisivat lain soveltamista käytäntöön.
      • Maa- ja metsätalousministeriö, Tieto- ja tutkimustoimiala
        Päivitetty:
        4.12.2019
        • Suositukset teknisistä rajapinnoista ja katseluyhteyksistä on käyttäjän kannalta melko sekava kokonaisuus ja toistaa tietoturvallisuuteen liittyviä vaatimuksia. Yhdessä osasuosituksessa todetaan, että tietojärjestelmästä vastuussa olevan viranomaisen on määriteltävä tietojärjestelmän käyttöoikeudet myös teknisten rajapintojen ja katseluyhteyksien osalta. Käyttöoikeudet on määriteltävä käyttäjän tehtäviin liittyvien käyttötarpeiden mukaan ja ne on pidettävä ajantasaisina. Suosituksissa ei kuitenkaan kuvata kuinka käyttöoikeuksista tulisi hallinnollisesti sopia tai miten muuten toimia käyttöoikeuksia annettaessa ja hallittaessa. Suositusluonnos keskittyy tältä osin teknisiin kysymyksiin. Olisiko suositukseen lisättävä kohtia, joissa kuvataan kuinka osapuolten tulisi sopia määrämuotoisesti palveluiden käytöstä. Vai tavoitellaanko tässä täysin sähköistä mallia, jossa rajapinta- tai katselupalvelu päättelisi jotenkin suoraan pyyntösanomasta käyttäjän mahdolliset oikeudet ja tarpeet?
      • Suomen ympäristökeskus SYKE
        Päivitetty:
        4.12.2019
        • Suositus on todella pitkä, joten tiivistelmä kortista voisi helpottaa sen lukemista.
      • Museovirasto
        Päivitetty:
        3.12.2019
        • Lausuntomateriaaliin tutustumista haittaa kaiken aineiston kuuluminen samaan tiedostoon. On toivottavaa että lopullisessa versiossa kukin osa on purettu omaksi kortikseen.
      • CSC - Tieteen tietotekniikan keskus Oy
        Päivitetty:
        3.12.2019
        • Suosituksen 22 § 2 momentissa todetaan seuraavasti: ”…teknisesti varmistetaan luovutettavien tietojen tapauskohtainen tarpeellisuus tai välttämättömyys tietoja saavan viranomaisen tehtävien hoitamiseksi, jos luovutettavat tiedot ovat henkilötietoja tai salassa pidettäviä tietoja.” Kohtaa on syytä selventää, sillä muotoilu on hieman epäselvä ja lisäksi herää kysymys, miten tämä on käytännössä mahdollista varmistaa tapauskohtaisesti, eli aina kun tulee tietotarve. Myös suosituksen 22 § 3 momentti vaatii selvennystä seuraavan kohdan osalta: ”Teknisen rajapinnan avulla luovutettavien tietojen tietorakenteen kuvauksen määrittelee ja sitä ylläpitää tiedot luovuttava viranomainen.” Suositus ei määrittele selvästi, miten toimitaan, jos tiedot ovat kolmannen osapuolen (palveluntarjoajan) hallussa viranomaisen puolesta. On epäselvää, määritelläänkö kolmas osapuoli tällaisessa tapauksessa viranomaiseksi tai sen nimissä toimivaksi, ja onko viranomaisella velvollisuus olla käyttämänsä palveluntarjoajan tietorakenteet kuvattuna. 23 § 2 momentin kohdan "2) tietojen hakemisen yhteydessä selvitetään tietojen käyttötarkoitus” tarpeellisuutta voisi selventää. Kohdassa 1) on jo todettu, että viranomainen saa katselumahdollisuuden vain tiedonsaantioikeuden mukaisiin tarpeellisiin ja välttämättömiin tietoihin. Lisäksi tulisi selventää, miten tietojen käyttötarkoitus käytännössä selvitetään.
      • Helsingin kaupunki
        Päivitetty:
        3.12.2019
        • Kokonaisuus on vaikeaselkoinen ja sisältää asiavirheitä (esim. kaikki käyttäjät eivät ole virkasuhteessa kuten kortti 23 § antaa ymmärtää). Rajapinnan tai katseluyhteyden toteuttamisen tietoturvakontrollit voisi olla hyvä pitää tietoturvallisuuden kokonaisuudessa ja vain viitata niihin tässä korttipaketissa. Rajapintakokonaisuus vaatii julkishallinnon yhteisten konseptien määrittelyä, joka ei nyt kovin selkeästi käy ilmi suosituskorteista. Julkishallinnon tietojen yhteentoimivuuden edistämiseksi on syytä kiinnittää kokonaisuudessa huomio tietojen luovutusrakenteeseen tietoelementtitasolle saakka (vakiosisältö). Kun tiedot ovat henkilötietoja ja/tai salassa pidettäviä, on erittäin tärkeää, että julkishallinnolle saadaan luokiteltu ja koodistopohjainen käyttötarkoitusmalli sekä niihin kiinnitettävät tiedonsaantioikeusmallit. Suositus kuvaa ensisijaisesti tiedonluovutusta yksittäisten viranomaisten välisenä tapauskohtaisena arviointina. Tämä voi johtaa viranomais- ja järjestelmäkohtaisiin toteutuksiin. Jo nykyisin käytössä olevissa rajapinnoissa on tunnistettu ongelmia sopimus- ja tietoluparakenteen toteuttamisessa. Olisi hyvä mahdollistaa tiedonsaanti niin, että tiedonsaannissa pyytävä osapuoli voi toteuttaa tarvittavaa tietojen minimointia. Suunnitteluvaiheessa tulisi ohjata yleiskäyttöisiin rajapintoihin perustuviin API-ratkaisuihin. Tiedonhallintalaissa rajapintojen kokonaisuus pirstaloituu eri kohtiin. Asiakirjajulkisuuskuvaus sisältää maininnan tietoaineistojen saatavuudesta avoimesti teknisen rajapinnan avulla. Avoin rajapinta voi myös palvella viranomaisten välistä tiedonsiirtoa (esim. YTJ:n avoimesti saatavissa olevat tiedot). Suosituksissa tietojen luovuttaminen olisi tärkeää nähdä kokonaisuutena ja antaa toimintamalleja myös niihin tilanteisiin, joissa tiedot tulisi olla avoimesti saatavissa ja nähdä se myös osana tiedonsaantioikeutta. Suositustasolla voisi olla syytä täsmentää tietojen välittäminen asiakkaan hyväksynnällä. Huomioitavaa on, että viranomaisten välinen tietoturvakontrollien vastuunjako poikkeaa merkitsevästi, kun luovutus toteutetaan teknisellä rajapinnalla tai avataan katseluyhteys. Katseluyhteyteen on kirjattu useita erilaisia kontrolleja. Rajoitteiden määrittelyssä esim. automaattisten bottien estämiseksi tulee ottaa huomioon rajoitteiden vaikutukset luvallisten käyttäjien tarkoituksenmukaiseen työskentelyyn.
      • Oikeusrekisterikeskus
        Päivitetty:
        3.12.2019
        • Oikeusrekisterikeskuksen näkemyksen mukaan suositus teknisistä rajapinnoista ja katseluyhteyksistä ei pääosin aiheuta muutoksia jo aiemmin noudatettuihin vakiintuneisiin käytänteisiin. On kuitenkin huomautettava, että joidenkin kohtien kuvaukset kaipaavat tarkennuksia. Tietojen hakemisen yhteydessä selvitettävä tietojen käyttötarkoitus, esimerkiksi kysymällä tietoja hakevalta käyttäjältä jokaisen hakutapahtuman yhteydessä käyttötarkoituksen, heikentää järjestelmien käytettävyyttä ja kasvattaa työskentelyn kuormittavuutta. Tietoihin pääsyn perustuessa lupakäytäntöön ja usein lakisääteisen organisaation vastuulla olevan tehtävän suorittamiseen, tämän tiedon tulisi riittää automaattisesti ilman käyttäjän toimenpiteitä. Vain tilanteissa, joissa mahdollisia käytön perusteita on samanaikaisesti useita ja tiedot luovuttava organisaatio niin on päättänyt, haun tekevän organisaation pitää jokaisen haun osalta yksilöidä käytön peruste. Tämä lienee jo usein vakiintunut käytäntö, joskin osittain ristiriitainen suositustekstin ilmaisujen kanssa. Suosittelemme selvittämään, että tulisiko Yhteentoimivuusalustalle asettaa käyttövelvoite. Palvelun tyypille on ominaista, että palvelu muuttuu käytön asteen kasvaessa hyödyllisemmäksi kaikille käyttäjille. Samanaikaisesti käytön voimakkaampi ohjaaminen tukisi myös tiedonhallintalain tavoitteiden täyttämistä. Käytön velvoitteen yhteydessä tulisi tosin samalla antaa mahdollisuus arvioida julkaistavan aineiston sisältöä sen perusteella, onko se realistisesti hyödyllistä 3. osapuolille. Esimerkiksi jokainen rajapintakuvaus välttämättä ei ole. Suosituksessa annettu julkisen verkon määritelmä saattaa aiheuttaa sen, että esimerkiksi Valtion yhteinen VY-verkko on kokonaisuutena tulkittava julkiseksi verkoksi. Tämä tarkoittaisi käytännössä sitä, että palvelujen tai palvelimien ja loppukäyttäjien välinen liikenne on tulkittava aina tapahtuvaksi julkisessa verkossa, eikä ns. ”sisäverkossa” toimivia palveluja enää ole olemassa. Vaikka yleinen käytäntö on ollut jo pitkään suojata myös sisäverkossa toimiva tietoliikenne, joillakin organisaatioilla näin ei välttämättä ole erityisesti vanhemmissa järjestelmissä. Monivaiheinen tunnistautuminen on tulkintamme mukaan väärä termi ja kirjoittaja on tarkoittanut useampaan yhtäaikaiseen tekijään perustuvaa käyttäjän tunnistautumista. Monivaiheinen tunnistautuminen saattaa viitata myös tunnistautumistapaan, jossa on käytetty samanaikaisesti esimerkiksi kahta salasanaa (”mitä tiedän” ja toiseen kertaan ”mitä tiedän”), mikä ei synnytä nk. vahvan tunnistautumisen tunnuspiirteitä. Tiedon todistusvoimaisuuden osalta on huomautettava, että osa viranomaisten välisestä tietojen vaihdosta voi olla suojattu muuttumattomuutta vastaan erityisesti sähköisillä (kehittyneillä) allekirjoituksilla. Tämä vaatii hieman ylimääräistä työtä erityisesti rakenteisten sanomien osalta, mutta asiakirjoja välitettäessä voi olla varsin luontevaakin. Erityisesti viranomaisten välisessä tiedonvaihdossa välitettävien päätösasiakirjojen tulisi jo yleisten yhteentoimivuuden periaatteiden sekä arkistoitavuusvaatimuksien vuoksi olla joka tapauksessa useimmiten PDF/A-muotoisia, jotka ovat luontihetkellä teknisesti varsin yksinkertaista allekirjoittaa esimerkiksi organisaatiovarmenteilla. Lokitietojen laadun on havaittu vaihtelevan erittäin paljon. Ihanteellisesti lokitietojen perusteella (joutumatta hakemaan lisätietoja esimerkiksi lokitiedot tuottaneesta järjestelmästä) tulisi pystyä vastaamaan tyypillisimpiin tietojen käytön laillisuuden valvontaan liittyviin kysymyksiin. Tästä johtuen lokitietojen sisältö tulee katselmoida ja esimerkiksi tyypilliset tietokantatunnisteet tulee avata suoraan lokitietoihin siten, että ylimääräisiä tulkintoja ei jouduta tekemään. Tämä poistaa samalla ongelmatiikan, joka voi syntyä, jos lokitiedoille syntyy järjestelmän tietoja pidempiä säilytysaikoja.
      • Senaatti-kiinteistöt, Konttinen Petri
        Päivitetty:
        28.11.2019
        • Suositus teknisistä rajapinnoista ja katseluyhteyksistä (22§ ja 23§) 22 § Tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä, 2 mom Ensimmäinen kappale: Siirrettäessä salassa pidettävää tietoa julkisen verkon kautta, tietoaineisto tai tietoliikenneyhteys suojataan riittävän turvallisella salauksella kuten turvapostilla tai käyttämällä TLS-salausta asiointipalvelun ja loppukäyttäjän välisen liikenteen suojaamiseen. Jossakin pitäisi määrittää mitkä ovat riittävät turvalliset salaustavat? Pitäisikö lisätä esim. viite Traficomin ylläpitämään listaan hyväksytyistä salaustuotteista tms.
      • Liikenne- ja viestintäministeriö
        Päivitetty:
        26.11.2019
        • Suositus teknisistä rajapinnoista ja katseluyhteyksistä: Kortit jäävät varsin ylätasolla eivätkä anna olennaisesti lisää tukea säädöksen tulkitsemiseen. Katseluyhteyden antaminen viranomaiselle: Kortit jäävät varsin ylätasolla eivätkä anna olennaisesti lisää tukea säädöksen tulkitsemiseen.
      • Kross Guido, corpus delecti - IHMISET ovat korkeimpia, ei valtio
        Päivitetty:
        19.11.2019
        • Suomessa perusoikeuksilla tarkoitetaan perustuslaissa säädettyjä kaikille yksilöille yhdenvertaisesti kuuluvia oikeuksia. Yksilön oikeuksilla ja vapaudella on perustuslakiin kirjattuina erityinen pysyvyys. Suomen lainsäädännössä ei erotella siirtotyöntekijöitä muista maahanmuuttajista. Heitä suojaavat samat perustuslailliset oikeudet ja Suomen ratifioimat ihmisoikeussopimukset kuin muitakin maahanmuuttajia. ”Perus- ja ihmisoikeudet kuuluvat kaikille. On kuitenkin ihmisryhmiä, joiden kohdalla oikeudet eivät toteudu, ellei niihin kiinnitetä erityistä huomiota ja toteuteta erityisiä toimia oikeuksien varmistamiseksi. Vammaiset ihmiset ovat yksi tällainen ihmisryhmä. Tämän vuoksi on tarvittu YK:n vammaisten henkilöiden oikeuksien yleissopimus ja tämän vuoksi tarvitaan myös erityisiä kansallisia toimia”, totesi sosiaali- ja terveysministeri Pirkko Mattila toimintaohjelman julkistustilaisuudessa 13.3. (Lähde: Sosiaali- ja terveysministeriö 13.3.2018 13.00 Tiedote 33/2018 Kansalaisilla tulee olla todellinen mahdollisuus vaikuttaa ihmisoikeus poliittiseen päätöksentekoon. Ihmisoikeusvelvoitteiden noudattamisen vaatimus Oikeutettujen odotusten suojan vaatimus TOIMIMISVAATIMUS If you would have obedienceyou must make it clearly understood that youhave no mercy. Man is an animal. The term organized crime usually refers to large-scale and complex criminal activities carried out by tightly or loosely organized associations and aimed at the establishment, supply and exploitation of illegal markets at the expense of society. Such operations are generally carried out with a ruthless disregard of the law, and often involve offences against the person, including threats, intimidation and physical violence. (United Nations 1990, 5) YK: n yleiskokouksen mukaan "tehokkaat terrorismin vastaiset toimenpiteet ja ihmisoikeuksien suojelu eivät ole ristiriitaisia tavoitteita, vaan täydentävät ja vahvistavat toisiaan" (A / RES / 60/288). Yleiskokous vahvisti 8. syyskuuta 2006 juhlallisesti ihmisoikeuksien kunnioittamisen keskeisen sijan terrorismin vastaisissa toimenpiteissä, kun se äänesti päätöslauselmasta 60/288, jolla hyväksytään maailmanlaajuinen terrorismin vastainen strategia. Tämä oli historiallinen hetki, koska se on ensimmäinen kerta kaikki jäsenvaltiot ovat sopineet yhteisestä strategisesta lähestymistavasta terrorismin torjumiseksi. Globaali terrorismin vastainen strategia Maailmanlaajuinen terrorismin vastainen strategia järjestää ne käytännölliset vaiheet, jotka valtiot ovat päättäneet ryhtyä yksilöllisesti ja yhdessä torjumaan terrorismia ja torjumaan sitä neljään osa-alueeseen, strategian neljään pilariin. Niihin sisältyy laaja joukko toimenpiteitä, jotka ulottuvat valtion valmiuksien vahvistamisesta torjumaan terrorismin uhkia Yhdistyneiden Kansakuntien järjestelmän terrorismin vastaisen toiminnan parempaan koordinointiin. Ihmisoikeuksien kunnioittaminen on nimenomaisesti kirjattu yhdeksi strategian "pilareista" (pilari IV), mutta se tuntuu myös kaikissa muissa strategian osissa. Neljä pylvästä ovat: I. Toimet terrorismin leviämistä edistävien olosuhteiden ratkaisemiseksi I pilarin valtiot päättävät ryhtyä toimiin, joilla pyritään vastaamaan ”terrorismin leviämistä edistäviin olosuhteisiin, mukaan lukien, mutta rajoittumatta, pitkittyneet ratkaisemattomat konfliktit, terrorismin uhrien dehumanisointi…, oikeusvaltion puuttuminen ja ihmisoikeuksien loukkaukset, etninen, kansallinen ja uskonnollinen syrjintä, poliittinen syrjäytyminen, sosiaalis-taloudellinen syrjäytyminen ja hyvän hallintotavan puute ”. Päättäessään puuttua näihin olosuhteisiin, valtiot "myöntävät [e], että mikään näistä ehdoista ei voi vapauttaa tai perustella terroritekoja". Tärkeimmät sitoumukset, jotka valtiot ovat antaneet globaalin terrorisminvastaisen strategian IV pilarin nojalla, ovat: • Varmistetaan, että kaikki terrorismin torjuntaa koskevat toimenpiteet ovat kansainvälisen oikeuden, etenkin ihmisoikeuslakien, pakolaislain ja kansainvälisen humanitaarisen oikeuden mukaisia. Turvallisuusneuvosto on Yhdistyneiden Kansakuntien pääelin, jolla on "ensisijainen vastuu kansainvälisen rauhan ja turvallisuuden ylläpitämisestä" Yhdistyneiden Kansakuntien peruskirjan 24 artiklan 1 kohdan mukaisesti. Neuvosto on toistuvasti todennut, että "kaikenlainen terrorismi on yksi vakavimmista uhista kansainväliselle rauhalle ja turvallisuudelle ja että kaikki terroriteot ovat rikollisia ja perusteettomia riippumatta niiden motiiveista, milloin ja kuka tahansa on syyllistynyt" .2 Turvallisuusneuvosto on myös useaan otteeseen vakuuttanut, että rauha, turvallisuus ja ihmisoikeuksien kunnioittaminen vastauksena terrorismiin ovat toisiaan täydentäviä tavoitteita. Ihmisoikeudet kuuluvat kaikille Merkittävin ja tunnetuin ihmisoikeuksia koskeva asiakirja on YK:n yleismaailmallinen ihmisoikeuksien julistus vuodelta 1948. Julistuksen pohjalta on solmittu joukko kansainvälisiä ihmisoikeussopimuksia. Julistuksen ydinsanoma on, että ihmisoikeudet ovat kaikkien ihmisten synnynnäisiä oikeuksia eikä valtio tai kukaan muukaan voi niitä yksilöltä riistää. Ihmisoikeudet ovat samat kaikille ihmisille riippumatta rodusta, ihonväristä, sukupuolesta, kielestä, uskonnosta, poliittisesta mielipiteestä, omaisuudesta, syntyperästä tai muista vastaavista seikoista. Ihmisoikeuksien julistus kattaa keskeiset ihmisoikeudet: sekä niin sanotut kansalais- ja poliittiset oikeudet (KP-oikeudet) että niin sanotut taloudelliset, sivistykselliset ja sosiaaliset oikeudet (TSS-oikeudet). Kansalaisoikeudet turvaavat jokaiselle ihmiselle henkilökohtaisen vapauspiirin, johon julkinen valta ei saa puuttua. Poliittiset oikeudet suojaavat yksilön osallistumista vapaaseen yhteiskunnalliseen toimintaan. TSSoikeudet eroavat sikäli KP-oikeuksista, että niiden toteutuminen edellyttää yleensä julkiselta vallalta aktiivista toimintaa eikä pelkästään pidättäytymistä puuttumasta yksilön vapauspiiriin. Ihmisoikeuksien yleismaailmallisuuden ja jakamattomuuden periaate vahvistettiin ihmisoikeuksien maailmankonferenssissa Wienissä vuonna 1993. KP- ja TSS-oikeudet ovat yhtä tärkeitä ja niiden toteutuminen liittyy toisiinsa. Sananvapaudella on merkitystä vain silloin kun ihmiset osaavat lukea. UM Vainolla" «perussäännössä» tarkoitetaan perusoikeuksien tahallista ja törkeää epäämistä kansainvälisen oikeuden vastaisesti ryhmän ominaisuuksien takia. Ilmaisulla viitataan erityisen vakaviin syrjinnän ilmenemismuotoihin. Suomea sitova kansainvälinen oikeus tuntee erilaisia syrjintäkieltoja. Niistä voidaan mainita Euroopan neuvoston ihmisoikeussopimuksen 14 artikla, KP-sopimuksen 24-27 artiklat, kaikkinaisen naisten syrjinnän poistamista koskeva yleissopimus (SopS 67-68/1986) sekä vuonna 1948 annetun Ihmisoikeuksien yleismaailmallisen julistuksen useat artiklat. Suomen sisäinen oikeus sisältää useita syrjintäkieltoja. Niistä voidaan mainita Suomen perustuslain 6 §, rikoslain 11 luvun 8 ja 9 §, rikoslain 47 luvun 3 § sekä 8.8.1986 annettu laki naisten ja miesten tasa-arvosta. Kansainvälisen rikostuomioistuimen toimivaltaan kuuluva syrjintä perusoikeuksien tahallisena ja törkeänä eväämisenä eli "vainona" edellyttää syrjinnältä sellaista vakavuusastetta, joka ilmenee artiklan 1 kappaleen h kohdasta. Sen mukaan toimivaltaan kuuluu vaino tunnistettavissa olevaa ryhmää tai kansaa vastaan poliittisen mielipiteen, rodun, kansallisuuden, etnisen alkuperän, kulttuurin, uskonnon tai sukupuolen perusteella tai muilla perusteilla, jotka yleisesti katsotaan kielletyiksi kansainvälisen oikeuden nojalla, muun kyseisessä kappaleessa tarkoitetun teon tai tuomioistuimen toimivaltaan kuuluvan rikoksen yhteydessä. Valtio ei voi vedota kansalliseen oikeuteensa, ei edes perustuslakiinsa, perusteena kansainvälisten velvoitteidensa loukkauksille. Asian nimi - epäinhimilliset teot, jotka on tehty siviiliväestöä vastaan. Salaliitto (valtio v. kansalaiset)
      • Arvioi tarvetta tiedonhallinnan kuvausten tuottamista konkreettisesti opastaville taulukkomuotoisille malleille tai vastaaville.
      • Suomen Kuntaliitto ry, Tietoyhteiskuntayksikkö, Seppo Tuula
        Päivitetty:
        5.12.2019
        • Tiedonhallinnan kuvausten ja mahdollisten mallien tueksi tarvitaan ohjausta ja koulutusta. Ohjeistuksissa ja malleissa tulisi näkyä myös selvemmin kehittämisnäkökulma sekä muutostenhallinta. Mallien tulisi olla suositustasoisia, koska mm. tiedonhallintamalli lähtee vahvasti tiedonhallintayksikön omista tarpeista. Näin ollen tiedonhallintayksikkö voi myös luoda omannäköisensä tiedonhallintamallin, sellaisen mikä parhaiten palvelee omaa toimintaympäristöä. Lisäksi tulisi kiinnittää huomioita myös itse suositusten/korttien tekoprosessiin. Tulisi kuvata se, kuinka suosituksia valmistellaan, minkälaisissa työryhmissä, kuinka hoidetaan niiden päivitys, mikä on niiden voimassaoloaika, mistä ne löytyvät jne.
      • Kirkkonummen kunta
        Päivitetty:
        4.12.2019
        • Mallin tai mallipohjan laatiminen suosituksen liitteeksi on hyvin toivottavaa. Mallissa esitettäisiin mahdollisimman kevyesti ja yksinkertaisesti laadittu tiedonhallintamalli yhden tehtävän osalta. Valtionhallinnon ja kuntien tarpeet lienevät erilaisia, joten olisi hyvä pohtia mallipohjan laatimista erikseen molemmille.
      • Ilmatieteen laitos
        Päivitetty:
        4.12.2019
        • Ilmatieteen laitoksella ei ole asiassa lausuttavaa.
      • Kilpailu- ja kuluttajavirasto, Oravainen Henrikki
        Päivitetty:
        4.12.2019
        • Tiedonhallintalain tavoitteena on yhtenäistää ja selkeyttää tiedonhallinnan menettelyä koko julkisessa hallinnossa. KKV pitää hyvänä, että on valmisteltu suosituksia, joiden tarkoituksena on opastaa täyttämään tiedonhallintalaissa säädetyt tiedonhallinnan kuvausvaatimukset. Lain tavoitteen toteutumiseksi KKV pitää tärkeänä, että eri tiedonhallintayksiköillä on mahdollisimman yhdenmukaiset ja selkeät tiedonhallintaan liittyvät käytännöt. Tätä tavoitetta edistäisivät konkreettiset ohjeet, mallipohjat ja -esimerkit, joiden avulla eri tiedonhallintoyksiköt voisivat toteuttaa tehokkaasti tiedonhallintalain vaatimukset. Konkreettiset ohjeet ja mallit myös vähentäisivät julkisen hallinnon organisaatioiden hallinnollista taakkaa liittyen lain täytäntöönpanoon helpottamalla lain vaatimusten toteuttamista. Konkreettiset ohjeet ja mallit voisivat siten tehostaa lain täytäntöönpanoa. Yhdenmukaiset käytännöt tekisivät lisäksi lain noudattamisen valvonnan helpommaksi niin organisaation sisällä kuin koko julkisessa hallinnossa. Valtorille on lakisäätäisesti keskitetty valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestäminen. Valtorin tavoitteena on saavuttaa säästöjä yhdenmukaisten prosessien ja palveluiden avulla. Säästöjä saavutettaisiin myös sillä, että Valtorilta olisi selkeästi saatavilla kuvaukset, miten sen tuotteet ja palvelut täyttävät esimerkiksi tiedonhallintalain 13–17 pykälien vaatimukset. Suosituskorttien jatkotyönä voisi olla Valtorin tuotteista ja palveluista laadittu kortti, josta kävisi ilmi, miten Valtorin perustuotteet ja -palvelut täyttävät velvoitteet, tai mitä mahdollisia lisäpalveluita Valtori tarjoaa tiedonhallintayksikköinä toimiville asiakkailleen velvoitteiden täyttämiseksi, ja/tai miltä osin asiakasorganisaatioiden tulee ryhtyä toimiin velvoitteiden täyttämiseksi esimerkiksi 17 §:n edellyttämän lokitietojen keräämisen osalta. Tiedon ja kokemusten jakamiseksi suositusten jatkotyönä voisi olla myös kerättynä käytännön esimerkkejä ja parhaita käytäntöjä (esim. projekti-suunnitelmat ja projektien loppuraportit sekä yhteenvedot näistä) sellaisista tiedonhallintayksiköistä, jotka ovat toteuttaneet 20, 22–24 ja 27 pykälissä edellytettyjä toimia. Yhdenmukaiset käytännöt eri tiedonhallintayksikköjen välillä olisivat myös kansalaisen etu. Tiedonhallintalain 28 §:n mukaan tiedonhallintayksikön on julkisuusperiaatteen toteuttamista varten ylläpidettävä kuvausta sen hallinnoimista tietovarannoista ja asiarekisteristä. Kuvaus asiakirjajulkisuudesta on julkaistava yleisessä tietoverkossa. Kansalaisen olisi helpompi seurata ja toteuttaa julkisuusperiaatteeseen liittyviä oikeuksiaan, mikäli lain tarkoittamat kuvaukset asiakirjajulkisuudesta olisivat mahdollisimman yhdenmukaisessa ja selkeässä muodossa eri tiedonhallintayksiköissä.
      • Väylävirasto
        Päivitetty:
        4.12.2019
        • Suosituksessa käytetyillä taulukkomuotoisilla malleilla ei koettu olevan tarvetta.
      • Terveyden ja hyvinvoinnin laitos THL, Siltala Heikki
        Päivitetty:
        4.12.2019
        • Suositus jättää vapauden valita tiedonhallintalakiin liittyvien kuvausten ylläpidon tekninen ratkaisu, kuvausten tekninen muoto ja kuvausten muotoon sekä sisältöön liittyvät yksityiskohdat. Pidämme tätä hyvänä asiana. Tämän palautepyynnön tiedonhallintamallin suositus ja asiakirjajulkisuuden suositus antavat jo mielestämme riittävän ohjauksen tiedonhallinnan kuvauksille. Muilla palautepyynnön kohteena olevilla alueilla opastavat taulukkomuotoiset mallit tai vastaavat voivat olla hyödyllisiä.
      • Kuopion kaupunki
        Päivitetty:
        4.12.2019
        • Tietohallintolaissa ja sen täytäntöönpanoa tukevissa suosituksissa käytetään runsaasti käsitettä tietoaineisto. Tiedonhallintalaissa määritellään seuraavasti: ”tietoaineistolla asiakirjoista ja muista vastaavista tiedoista muodostuvaa tiettyyn viranomaisen tehtävään tai palveluun liittyvää tietokokonaisuutta”. JHS 179 –suosituksesta löytyy seuraava luonnehdinta: ”Looginen tietovaranto kattaa toiminnan tarpeista kootun ja yhteisesti hallinnoidun joukon tietoja tai tietoaineistoja, jotka ovat olennaisia toiminnassa ja palveluissa.” Tiedonhallintamalli-suosituksen alussa todetaan: ”Tiedonhallintalaki kohdistuu tietoaineistoihin, jotka koostuvat asiakirjoista tai tiedoista, joista voidaan muodostaa asiakirjoja.” Asiakirjajulkisuus-kuvaus-suosituksen kuvassa 3 tietoaineisto on jotain, joka on tietovarannon ja tietoryhmän välillä. Näiden määritelmien perusteella voi päätellä, että tietoaineisto on abstrakti käsite. Suosituksissa ei kuitenkaan anneta esimerkkejä tietoaineistojen kuvaamisesta. Millainen on tietoaineisto, joka sisältää asiakirjoja ja tietoja? Miten se tulisi kuvata? Kunnilla on paljon tehtäviä ja palveluita, joihin liittynee määritelmän mukaisia tietoaineistoja. Tietoaineistoja ei ole totuttu kuvaamaan kokonaisarkkitehtuurikuvausten osana. Myöskin tietoryhmien kuvaaminen on suurimmaksi osaksi tekemättä kunnissa. Niiden kuvaaminen on vasta alussa myös kansallisella tasolla. Koska tietoaineistoin käsite on keskeinen käsite tietohallintolaissa ja sen suosituksista, olisi valtiovarainministeriön tuotettava malleja sen kuvaamisen helpottamiseksi. Jotta tiedonhallintalain täytäntöönpano kunnissa ei kokisi samaa kohtaloa kuin tietohallintolaki, olisi valtiovarainministeriön panostettava vielä enemmän sen täytäntöönpanon tukemiseen heti lain voimaantullessa. Lähes kaikkien Pohjois-Savon kuntien edustajat kokoontuivat marraskuussa yhteiseen tiedonhallintamalli-työpajaan. Siellä nousivat puheenvuoroissa esille mm. tarve materiaalille, jolla lain täytäntöönpanon tärkeys myydään johdolle, kuntien vajeet aihealueen osaamisessa ja resursseissa, suositusten keskeneräisyys ja tarve yhteisille soveltamisohjeille. Pienissä kunnissa lain täytäntöönpano voi käytännössä tulla yhden ihmisen tehtäväksi, mikä voi tuntua mahdottomalta tehtävältä.
      • Liikenne- ja viestintävirasto
        Päivitetty:
        4.12.2019
        • Tiedonhallintamallin ja asiakirjajulkisuuskuvauksen tekemistä voisi tukea esimerkkitaulukko ja/tai -kuvaus.
      • Maanmittauslaitos, Tietohallintotoimisto
        Päivitetty:
        4.12.2019
        • • Eri organisaatioiden kyvykkyys (= toimintamallit, osaaminen ja välineet) sekä resurssointi tiedonhallinnan kuvausten tuottamiseksi ovat niin eri tasolla, että yleistä opastusta ei voi tuottaa. • Aiempien kokemusten (JHS 179 kuvauspohjat) perusteella kannattaa arvioida, kuinka todennäköistä on, että mallipohjat tulisivat käyttöön, ja millaisia kokemuksia JHS 179:n käyttöönottajat ovat raportoineet.
      • Kansallisarkisto
        Päivitetty:
        4.12.2019
        • Tiedonhallinnan yhtenäistämiseksi olisi hyvä, että käytössä olisi yhteisiä malleja, joiden pohjalta tiedonhallintaa kuvataan ja tiedonhallintamalli laaditaan. Esimerkiksi julkishallinnon yhteinen tehtäväluokitus varmistaisi ainakin toimintaympäristön tehtävien kuvaamisen yhtenevällä tavalla.
      • Maa- ja metsätalousministeriö, Tieto- ja tutkimustoimiala
        Päivitetty:
        4.12.2019
        • Yhtenäiset pohjamallit todennäköisesti edistävät kuvausten yhtenäisyyttä, mikä puolestaan parantaa niiden käytettävyyttä esimerkiksi hallinnonalan ja/tai toimialan tietohallinnon ohjauksessa ja kehittämisessä.
      • Suomen ympäristökeskus SYKE
        Päivitetty:
        4.12.2019
        • Taulukkomuotoiset mallit olisivat hyödyllisiä.
      • Museovirasto
        Päivitetty:
        3.12.2019
        • Suositustekstin lisäksi tarvitaan konkreettisia työkaluja esimerkiksi täytettävien mallipohjien muodossa. Selkeät, täytettävät mallipohjat helpottavat tiedonhallintamallin luomista ja ylläpitoa organisaatioissa. Toimivien työkalujen ja selkeän ohjaavuuden puuttuessa riskinä on se, että aiemmat kuvaukset (mm. TOS, AMS, prosessikuvaukset, selosteet käsittelytoimista) kootaan yhteen ja ne lisätään sellaisenaan liitetiedostoiksi dokumenttiin, joka nimetään tiedonhallintamalliksi. Tällainen toimintatapa ei vastaa tiedonhallintalain tavoitteita. Hyödynnettävät mallipohjat helpottavat työskentelyä organisaatioissa ja lisäävät kuvausten yhdenmukaisuutta. Museovirasto toivoo, että tiedonhallintalautakunta tuottaa suosituksen liitteiksi valmiita mallipohjia, joita organisaatiot voivat halutessaan hyödyntää uusissa kuvauksissa ja aiempien kuvausten yhdistämisessä. Tietoturvallisuuden suosituskortteja voi pitää hyvänä esimerkkinä.
      • Ruokavirasto, MMM M3A arkkitehtuuriryhmä, Kämäri Hannu
        Päivitetty:
        3.12.2019
        • Nämä palautteet ovat kooste MMM hallinnonalan virastojen arkkitehtuuriryhmän kommenteista: Arvioi tarvetta tiedonhallinnan kuvausten tuottamista konkreettisesti opastaville taulukkomuotoisille malleille tai vastaaville. Valtiolla pitäisi olla tarkemmin kuvattu ohje/metamalli, jolla tiedonhallintamalli kuvataan. Muuten on riski, että saadaan liian epämääräisiä ja ei-yhteentoimivia yhteentoimivuuskuvauksia. Yhteiset rakenteet parantavat varmasti kuvausten laatua ja jopa nostavat tekijöiden maturiteettia. Toisaalta vaatimuksissa on huomioitava, että osa tiedonhallintayksiköistä on alemmalla maturiteettitasolla. Maturiteetin rakentamisessa voisi ottaa mallia esim. CMMI mallista. Yhteinen metamalli auttaisi hahmottamaan mitä kuvauksia on laadittava, miten nämä liittyvät toisiinsa ja mitä tavoitetta/tarvetta ne tukevat. Nyt nämä täytyy poimia tekstin seasta, mikä hankaloittaa yleiskuvan muodostamista. Tiedonhallintamallia käsittelevät yleiset kuvat tai esitetty tiedonhallinvan vastuutaulukko -esimerkki eivät palvele tätä tarkoitusta kattavasti. Tiedonhallintamallia myös lähestytään suosituksessa johdon näkymän kautta. Se on varmasti tärkeä näkökulma. Tässä vaiheessa kaipaisi esimerkkejä ja mallia/mallipohjia myös varsinaisen tiedonhallintamallin osalta. Selkein voisi olla esimerkki jostakin yleisestä tehtävästä, joka toistuu tiedonhallintayksiköstä toiseen melko yhtenäisin käytäntein. Ohjeistuksesta tulisi myös käydä ilmi tiedonhallintamallin suhde muihin VM:n ohjaamaan kuvauksiin? Mikä on esim. suhde tietoaluetyöhön?
      • CSC - Tieteen tietotekniikan keskus Oy
        Päivitetty:
        3.12.2019
        • CSC pitää tiedonhallinnan kuvausten tuottamista opastavien mallien luomista hyvänä ajatuksena. Kuvauksia luodessa on tärkeää huomioida tunnisteiden käyttö sekä yhteisten tietokomponenttien ja käsitteiden käyttö (semanttinen yhteentoimivuus).
      • Helsingin kaupunki
        Päivitetty:
        3.12.2019
        • Tiedonhallinnan kuvausten tuottamista konkreettisesti opastaville malleille on ilmeinen tarve. Suositukset ovat helpompia lukea ja ymmärtää, kun asiat esitetään taulukoissa ja kaavioissa sekä niiden käyttöä tuetaan käytännön esimerkein. Tarkastuslistatyyppinen malli voi myös olla käyttökelpoinen. Mallien tulee selkeästi kuvata pakolliset elementit ja suositeltavat elementit perusteluineen. Mallien tulee ohjata laatimaan tiedonhallinnan kuvauksia niin, että kuvaukset ovat hyödynnettävissä monipuolisesti eri käyttötarkoituksiin. Yleisenä palautteena kaikista nyt palautekierroksella olevista suosituksista ja korteista Helsingin kaupunki huomauttaa käsitteiden epäjohdonmukaisesta käytöstä. Suosituksilta puuttuu yhteinen käsitteiden määrittely ja käsitemalli. Suositukset ovat tarpeen harmonisoida käsitteiden osalta sekä lisätä uusien käsitteiden määritelmät suositukseen tai ainakin viitata lähteeseen (yhteentoimiva.suomi.fi), jossa käsitteet on määritelty. Esimerkiksi palvelu-käsitteen määrittelyssä olevat puutteet ja tulkinnanvaraisuudet tekevät tiedonhallintamallista hankalasti hyödynnettävän liikkeenjohdollisesta näkökulmasta. Palvelu-käsite tulisi selventää rakenteisesti ja sen tulisi selkeästi viitata mihinkin palvelunäkökulmaan/kerrokseen kulloinkin viitataan, kun puhutaan palvelusta. Koska laki ja malli ohjaavat niin selvästi digitalisaatiota, erityisen tärkeää on erotella nimenomaan "arvoa nappaava" (value capturing) palvelu ja teknologiset palvelut niiden alla. Palvelu-käsite tulee avata palveluhierarkiaksi yleisten tulkintojen mukaisesti ja siihen tulee viitata yksikäsitteisesti sen sijaan, että käytetään palvelu-käsitettä erittelemättömänä. Käytännönläheisempi ohjeistus tiedonhallintamallin muodostamiseksi ja terminologinen sanasto käsitemalleineen yhteentoimivuusalustalle tukisivat tiedonhalllintayksiköitä tiedonhallintalain tavoitteiden saavuttamisessa. Jos tiedonhallintamalilla halutaan vastata sille asetettuihin tavoitteisiin, tulisi sillä olla jokin yhteisesti sovittu muoto kaikkien tiedonhallintayksiköiden kesken. Tietovarantojen yhteentoimivuuden tavoitetta on hankala saavuttaa, jos mallille ei anneta yhteistä rakennetta. Helsingin kaupunki antaa tarvittaessa lisätietoa suosituksissa tällä hetkellä olevista asiavirheistä ja epäjohdonmukaisuuksista.
      • Oikeusrekisterikeskus
        Päivitetty:
        3.12.2019
      • Senaatti-kiinteistöt, Konttinen Petri
        Päivitetty:
        28.11.2019
        • Suosituskortti: Tietoturvallisuuden vähimmäisvaatimukset 12-18 § Suositusta/toimintaohjetta tarvittaisiin myös liittyen esim. 12 § (Tehtävien, joiden suorittaminen edellyttää henkilöiltä erityistä luotettavuutta, tunnistaminen) ja 13.3 § (Julkisuus ja salassapitorakenne tietovarantojen tietorakenteissa, mitä tarkoittaa jo olemassa olevien tietovarantojen ja tietojärjestelmien osalta)? 13 § Elinkaaren huomioiminen tietojen käsittelyssä - Kortissa on viittauksia VAHTI-ohjeisiin. Olisi selkeytettävä jossakin kohdin näiden asiakirjojen suhdetta. Lisäksi pitäisi miettiä onko korteissa järkevä viitata vanhoihin VAHTI-ohjeisiin (esim. sivu 1 viimeinen lause: Lisätietoja turvallisuusluokitellun tiedon käsittelystä löytyy mm. Vahti-ohjeen 2/2010 Liitteestä 4.) Suosituskortti: Riskienhallinta 13.1 § Ohjeistus noudattaa päälinjoiltaan ISO 31000 -riskienhallintastandardia, mitä pidämme kannatettavana. Suosituskortti: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus 13.1 § Suosituskortissa viitataan VAHTI-ohjeeseen 2/2010. Mikä on suosituksen ja VAHTI-ohjeen välinen suhde? Onko viitattuun VAHTI-ohjeeseen tulossa muutoksia tiedonhallintalain ja sen nojalla annettavan turvallisuusluokittelua koskevan asetuksen johdosta? Suosituskortin sivulla 5 todetaan, että ”Laitteistojen osien (kiintolevyt, muistit, muistikortit jne.) sisältämän salassa pidettävän tiedon luotettavasta tuhoamisesta on huolehdittava erityisesti käytöstä poiston, huoltoon lähetyksen tai uusiokäyttöön siirron yhteydessä. Mikäli luotettava tyhjennys ei ole mahdollista, salassa pidettävää tietoa sisältävää osaa ei tule luovuttaa kolmansille osapuolille.” Ehdotamme korvaavaksi muotoiluksi seuraavaa: ”Laitteistojen osien (kiintolevyt, muistit, muistikortit jne.) sisältämän salassa pidettävän tiedon luotettavasta tuhoamisesta on huolehdittava erityisesti käytöstä poiston tai uusiokäyttöön siirron yhteydessä. Huoltoon lähetyksen yhteydessä on varmistettava, että laite on salattu hyväksytyllä salausmenetelmällä. Mikäli luotettava tyhjennys tai salausmenetelmän käyttö ei ole mahdollista, salassa pidettävää tietoa sisältävää osaa ei tule luovuttaa kolmansille osapuolille.” Organisaatiot tarvitsisivat konkreettiset suojausvaatimukset eritasoista tietoa sisältävien tietojärjestelmien suojaamiselle, ts. konkreettiset vaatimuslistat joiden mukaisesti tietojärjestelmät tulee suojata, jos niissä käsitellään salassapidettävää / turvallisuusluokiteltua tietoa. Vaatimusluetteloa voitaisiin hyödyntää sekä organisaation tekemissä tietojärjestelmähankinnoissa että organisaation hankkiessa sellaisia palveluja, joissa salassa pidettäviä / turvallisuusluokiteltuja tietoja joudutaan luovuttamaan tai niitä syntyy yksityisen palveluntuottajan omassa järjestelmäympäristössä. Suosituskortti: Tietoturvallisuus hankinnoissa 13.4 § Suosituskortissa käsitellään vain hankittavia tietojärjestelmiä. Miten jo olemassa olevien tietojärjestelmien ja olemassa oleviin tietojärjestelmiin tehtävien muutosten ja palveluiden tietoturvallisuus tulisi toteuttaa, että se olisi ”riittävää”? Tähän kaivattaisiin konkreettisia ohjeita ja vaatimusluetteloja. Organisaatiot voisivat hyödyntää vaatimusluetteloja paitsi uusien tietojärjestelmien hankinnoissa, myös järjestelmiin liittyvissä palveluhankinnoissaan, joissa tietoja käsitellään palveluntuottajan omassa tietojärjestelmäympäristössä. Ohjeen sivulla 5 todetaan, että ”Turvallisuutta koskevat asiat on hyvä määrittää erillisessä turvallisuussopimuksessa, jonka laajuus ja sisältö riippuvat hankinnan kohteesta.” Mikä on juridinen peruste sille, että turvallisuutta koskevat vaatimukset pitäisi erotella varsinaisesta hankintasopimuksesta erilliseen hankintaa koskevaan turvallisuussopimukseen eikä turvallisuutta koskevia vaatimuksia voisi asettaa palveluntuottajalle osana hankintasopimusta joko hankintasopimuksen sopimustekstissä tai sen liitteessä? Suosituskortti: Vahingoilta suojaaminen 15.1 § Suosituksen sivulla 1 todetaan, että palveluntarjoajille tulee asettaa fyysistä turvallisuutta koskevia vaatimuksia. Ohjeen tekstissä viitataan lisätietojen osalta VAHTI-ohjeeseen 2/2014 ja rakenteellisten vaatimusten osalta KATAKRI-kriteeristön F-osioon, mutta ei lainkaan toimitilojen tietoturvallisuutta koskevaan VAHTI-ohjeeseen 2/2013. Viimeksi mainittu tilaturvallisuutta koskeva ohje on kuitenkin mainittu kortin lopussa olevassa linkkiluettelossa. Käytännössä tilaturvallisuusvaatimukset (alue, rakenteet, tilahallinta, valvontajärjestelyt jne.) sekä organisaation omille tiloille että palveluntuottajien tiloille, joissa käsitellään salassa pidettäviä /turvallisuusluokiteltuja tietoja, on johdettu VAHTI-ohjeesta 2/2013 ja tämä tulisi todeta suosituksen tekstissä. Olisi myös todettava, onko VAHTI-ohjeeseen 2/2013 tulossa muutoksia tiedonhallintalain ja sen nojalla annettavan asetuksen myötä. Suosituksen sivulla 1 todetaan pääsynhallinnan osalta: Vain henkilöillä joilla on työtehtäviin perustuva oikeus käsitellä tiloissa säilytettävää tietoa tai tietojärjestelmään, tulee olla pääsy näihin. Muiden tahojen pääsy tulee estää kulunvalvonnalla tai muulla vastaavalla ratkaisulla, jolla voidaan estää tai havaita asiaton pääsy ja reagoida riittävällä nopeudella.” Kirjausta tulee täsmentää. Henkilön pääsy salassa pidettävään / turvallisuusluokiteltuun tietoon on luonnollisesti rajoitettava vain niihin henkilöihin, jotka tarvitsevat tietoa työtehtävissään. Sen sijaan henkilön pääsyä tiloihin, joissa käsitellään salassa pidettävää / turvallisuusluokiteltua tietoa, ei voida rajoittaa sen perusteella onko henkilöllä oikeutta tällaisiin tiloissa käsiteltäviin tietoihin vai ei. Valtioneuvoston periaatepäätöksenä 18.12.2014 annetun Valtion toimitilastrategian mukaisesti valtion työympäristöt toteutetaan ns. monitilaympäristöinä, joissa työntekijät työskentelevät samoissa tiloissa. Jatkossa valtion virastojen työympäristöt toteutetaan lisäksi yhä useammin useamman viraston yhteiskäyttöisinä tiloina, joissa eri virastojen työntekijät työskentelevät rinnakkain yhteisissä, monitilaympäristöiksi toteutetuissa tiloissa. Tiloissa käsiteltävien salassa pidettävien / turvallisuusluokiteltujen tietojen suojaaminen toteutetaan mm. rakenteellisen suojauksen ja hallinnollisin keinoin. Esimerkkinä rakenteellisen suojauksen keinoista voi mainita esim. nimeämättömien työpisteiden sermit, vetäytymistilat, päätelaitteiden näytönsuojat. Hallinnollisista suojauskeinoista esimerkiksi pääsyoikeudet tietojärjestelmissä oleviin salassa pidettäviin tietoihin (ei siis koko tietojärjestelmään vaan ainoastaan tietoihin), pääsyoikeudet salassa pidettävän /turvallisuusluokitellun tiedon säilyttämiseen käytettävään lukittuun kaappiin / kassakaappiin sekä asianmukaiset salassa pidettävän / turvallisuusluokitellun tietoaineiston käsittelymenetelmät, joiden mukaisesti toimimalla tieto ei paljastu samoissa tiloissa työskenteleville henkilöille, joilla ei ole tällaisiin tietoihin oikeuksia (vrt. VAHTI-ohje 2/2010 käsittelyohjeistuksen mukainen toiminta). Suosituksella ei tulee estää tai vaikeuttaa valtion toimitilastrategian mukaisten valtion työympäristöjen (valtion työympäristökonsepti) eikä valtion toimitilojen yhteiskäyttöisyyden toteuttamista valtion tilaratkaisussa. Suosituksessa tulisi selvästi todeta, että myös salassa pidettävien / turvallisuusluokiteltujen tietojen ja henkilötietojen käsittely on mahdollista sekä viraston monitilaympäristössä ja että useiden virastojen yhteiskäyttöisissä tiloissa, kunhan tiedon suojaamisesta huolehditaan asianmukaisesti siten, ettei salassa pidettävä / turvallisuusluokiteltava tieto / henkilötieto paljastu samoissa tiloissa työskenteleville henkilöille, joilla ei ole siihen oikeutta. Vastaavasti sivulla 2 todettua kohtaa ”Yleisiä vaatimuksia: ”Onko pääsy tiloihin rajattu vain niihin henkilöihin, joilla on oikeus käsitellä tietoja” tulee muuttaa. Kyse ei ole pääsystä tiloihin, joissa suojattavaa tietoa käsitellään, vaan pääsystä suojattavaan tietoon. Mitä tarkoitetaan suosituksen sivulla 1 todetulla ”riittävällä olosuhdevalvonnalla”? Suosituskortti: Tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä 22 § Suosituksen sivulla 1 todetaan: ”...edellytyksenä katseluyhteyden avaamiselle on, että ….2) tietojen hakemisen yhteydessä selvitetään tietojen käyttötarkoitus”. Miten tämä on käytännössä tulisi toteuttaa? Tuleeko katseluoikeuden saavan organisaation ilmoittaa tarkoitus, joihin se tietoja käyttää kertaluonteisesti yhteyttä perustettaessa vai jokaisen katselukerran osalta erikseen?
      • Kross Guido, corpus delecti - IHMISET ovat korkeimpia, ei valtio
        Päivitetty:
        19.11.2019
        • Järjestäytynyt rikollisuus, kuten rikollisuus yleensä, ei leviä sattumanvaraisesti. Jesus said, “The truth will set you free.” Let me not pray to be sheltered from dangers, but to be fearless in facing them." Rabindranath Tagore "The world will not be destroyed by those who do evil, but by those who watch them without doing anything." Albert Einstein "As with any human-made crisis, we humans also have the ability to innovate solutions... Together, we must co-design the future we want and need for us, our children, and the Planet." - Cristiana Paşca Palmer, Executive Secretary, Convention on Biological Diversity Oikeusvaltioperiaatteiden tukeminen edistää osaltaan ihmisoikeuksia ja hyvää hallintoa. Oikeusvaltioperiaatteisiin sisältyvät lainalaisuus, vallanjaon tasapaino, ihmis- ja perusoikeudet ja näiden käytännön toteutuminen. Oikeusvaltioperiaatteiden toteutumisen kannalta on olennaista, että turvataan ihmisten todellinen osallistumismahdollisuus, ml. oikeus saada tietoa, ja syrjimättömyys, ottaen erityisesti huomioon naisten ja haavoittuvimmassa asemassa olevien ryhmien oikeudet. Ethics is a system of moral values that shape our behavior to bring about a happier life. With ethics, we live honestly, leading to trust and friendship with those around us. Ethics is the key to happiness. The European Union (“EU”) considers the principles of liberty, democracy, respect for human rights and fundamental freedoms, and the rule of law, to be of vital importance both nationally and in the international community. … Meidän on tunnustettava institutionaalinen syrjintä ongelmaksi, ennen kuin voimme alkaa puuttua siihen asianmukaisesti Kansalaisilla tulee olla todellinen mahdollisuus vaikuttaa ihmisoikeus poliittiseen päätöksentekoon. Julkisen vallan käytölle virkavastuun perustavana tekijänä on ominaista, että julkisen vallan käyttö ilmentää yhteiskunnan toimintaa, jolla sen elimet toteuttavat oikeusjärjestystä. Virkavastuulla tapahtuvalle julkisen vallan käytölle on ominaista se, että asianomaisella on paitsi oikeus käyttää julkista valtaa myös velvollisuus ryhtyä johonkin julkisen vallan käyttöä sisältävään toimeen (HE 77/2001 vp). Valtio ei voi vedota kansalliseen oikeuteensa, ei edes perustuslakiinsa, perusteena kansainvälisten velvoitteidensa loukkauksille. Oikeutettujen odotusten suojan vaatimus TOIMIMISVAATIMUS virkatehtävien hoitaminen vaatii korostettua julkista luotettavuutta ja objektiivisuutta. Siksi myös oikeudellisen vastuun tulee olla ankarampi Ketään henkilöä tai ryhmää ei saa syrjiä tai leimata millään perusteella ihmisarvon, ihmisoikeuksien ja perusvapauksien vastaisesti. Duty of police- Poliisin velvollisuus “In the performance of their duty, law enforcement offi cials shall respect and protect human dignity and maintain and uphold the human rights of all persons.” Code of Conduct for Law Enforcement Officials (General Assembly resolution 34/169, annex) vetoaminen esimiehen käskyyn ei vapauta vastuusta Tuottamuksellinen teko. Jos tekijä rikkoo huolellisuusvelvoitettaan vaikka hän olisi voinut noudatta sitä. Tuottamuus voi olla törkeää, mikäli se kokoinaisuudena arvioidaan törkeäksi. Mitä korkemmaksi tuottamuus arvioidaan, stiä kovempi on myös rangasitus. Oleellista tuottamuksellisuudessa on se, mitä henkilö tiesi tai olisi pitänyt tietää vallitsevista olosuhteista ja tapahtumaan vaikuttavista tekijöistä.. Nämä tekijät määrittelevät huolellisuusvelvoitteita , jota tekijän tulisi noudattaa. Voidaan oletta, että mikäli vahingonaiheuttaja on asiantuntija vahingontapahtumiseen liittyvissä asioissa, hänen oli pitänyt tietää tekonsa riskit. Asiantuntialta voidaan siis odottaa tiettyä tietämystä, vaikka hän ei tietäisi, hänen olisi pitänyt tietää. Henkilö ei siis voi vedota tiedon puutteensa. Henkilöltä voidaan odottaa sitä, että hän käyttää kaiken asiantuntemuksensa vahinkojen synnyn minimoimiseksi. Virkavirhe on julkisyhteisön tai sen palveluksessa olevan julkista valtaa käyttävän työntekijän tekemä päätös tai toimi, jossa tahallaan tai huolimattomuutta rikotaan annettuja säännöksiä, määräyksiä, asetuksia tai lakia. Virkarikoksista säädetään perustuslain 118 §:ssä sekä rikoslain 40. luvussa Vainottuna oleminen aiheuttaa psyykkistä traumatisoitumista Entinen kansanedustaja puhui valtuustossa syrjäytyneistä ”ihmisroskana” Sanan herättämien reaktioiden sijaan kiinnitän huomiota itse sanaan. ”Ihmisroskasta”, ”ihmisjätteestä” ja ”ihmissaastasta” kun on puhuttu julkisuudessa aiemminkin. TSS oikeuksia koskevat säännökset kohdistuvat nimenomaan julkiseen valtaan, eivätkä yksityisten väliseen horisontaalsuhteen. Vainoa -ryhmää tai kansaa vastaan- katsotaan kielletyksi kansainvälisen oikeuden nojalla. Ihmisoikeudet ovat jokaisen luonnolisia oikeuksia eivätkä ne siten ole sidoksissa mihinkään velvoitteisiin tai ennakkosuorituksiin. Ihmisoikeuksia ei voida toteuttaa pelkästään julistuksella. KANSALLINEN TURVALLISUUS 65 taloudellisten, soiaalisten ja kultuuristen oikeuksien järjestelmällinen rikkominen heikentää todellista kansallista turvallisuuta ja voi vaarantaa kansainvälisen rauhan ja turvallisuuden. Tälläisestä rikkomisesta vastuussa oleva valtio ei saa vedota kansalliseen turvallisuuden perusteena toimeenpiteille, jolla pyritään estämään tälläisen rikkomisen vastustaminen tai todeuttaminen repressivisiä käytäntökä sen väestön vastaan ”Tämän päivän ihmisoikeusloukkaukset ovat huomispäivän konflikteja.” Mary Robinson, YK:n ihmisoikeusvaltuutettu 1997-2002 LUONNON LAKI - rakasta Herraa, sinun Jumalaasi, kaikesta sydämestäsi, kaikesta sielustasi ja kaikesta mielestäsi. Tämä on ensimmäinen ja suuri käsky. Ja toinen on kuin se: rakastat sinun naapuri kuin sinä itse. Näiden kahden käskyn päällä ripustetaan kaikki laki ja profeetat. - Matto 22: 37-40 "Ihmistä johtaa viime kädessä Jumala tai tyrannit." -- Benjamin Franklin ”Kaikki, minkä tahdotte ihmisten tekevän teille, tehkää te heille.” (Matteus 7:12) 955 JESAJA 10 1. Voi niitä, jotka vääriä säädöksiä säätävät, jotka turmiollisia tuomioita kirjoittelevat, Luottamuksensuojan menettäminen. Luottamuksensuoja-periaate ei vastusta virheen korjaamista, vaan määrää viranomaisen vastuuseen tekemästään virheestä Wienin yleissopimus perussopimusten oikeudesta (1969) That "all are equal before the law and shall be accorded equal protection before the law" is the assertion of Article 20 of the Declaration of Human Rights. Yet without equal access · to the law there c~n be no equality before it. A law that the sufferer cannot invoke gives no protection, equal or otherwise. The United Nations, moreover, declares itself an organization formed by "We, the people o£ t~e United Nations, de- termined, .. to reaffirm faith in fundamental human rights, in the dignity and worth of the human person, in the equal rights of men and women and of nations large and small ... " "Since it is believed that body and mind constitute an "essential unity," it follows that all injury to the person results in some harm to the mind (psychic trauma) even though this may be so fleeting or insignificant that it will not be noted. Psychic trauma, whether incident to physical impact or not, may have further pathological mental consequences beyond those of the immediate injury." The Principles for the Protection of Persons with Mental Illness and for the Improvement of Mental Health Care, adopted by the UN General Assembly in 1991, make it clear that every person with a mental illness has the same basic rights as every other person.3 Kansainvälisten rikosten tekeminen vaikuttaa siis kaikkien valtioiden etuihin. Se muodostaa loukkaantumisen ihmiskunnalle. - jus cogens Lojaalisuusristiriitan lopettamisvaatimus On tärkeää erottaa kyvyttömyys haluttomuudesta STATUS NEGATIVUS