1. Laki julkisen hallinon tiedonhallinnasta
[HE 284/2018] – Tiedonhallintalaki
Valtion tiedonhallintayksikön velvoitteet –
toimeenpano organisaatiossa
Mikael Vakkari
Tiedonhallintapäällikkö
01.10.2019
V 0.93
2. Tiedonhallintalaki – Tarkoitus (1 §)
1) Varmistaa viranomaisten tietoaineistojen yhdenmukainen ja
laadukas hallinta sekä tietoturvallinen käsittely julkisuusperiaatteen
toteuttamiseksi;
2) Mahdollistaa viranomaisten tietoaineistojen turvallinen ja tehokas
hyödyntäminen, jotta viranomainen voi hoitaa tehtävänsä ja tarjota
palvelunsa hallinnon asiakkaille hyvää hallintoa noudattaen
tuloksellisesti ja laadukkaasti;
3) Edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta.
30.9.2019Valtori – Mikael Vakkari
2
Tiedonhallinta:
Viranomaisen tehtävien hoidossa tai (viranomaisen) muussa toiminnassa syntyviin
tarpeisiin perustuvia toimia ja tietoturvallisuustoimenpiteitä viranomaisen
tietoaineistojen, niiden käsittelyvaiheiden ja tietoaineistoihin sisältyvien tietojen
hallinnoimiseksi riippumatta tietoaineistojen tallentamistavasta ja muista
käsittelytavoista;
3. Perusasioita
• Lakia sovelletaan tiedonhallintaan ja tietojärjestelmien käyttöön, kun
viranomaiset käsittelevät tietoaineistoja
• Viranomainen kuuluu tiedonhallintayksikköön jonka tehtävänä on
järjestää tiedonhallinta tämä lain mukaisesti
• Valtori on valtion virasto, eli Valtori on (valtion) tiedonhallintayksikkö
• Tiedonhallinta käsitteenä ja tiedonhallintalaissa EI kuvaa
organisaation rakenteita vaan toimintaa
• Laki ei sääntele miten tiedonhallintayksikkö organisoi tiedonhallintansa
• Tietohallintolaki (634/2011) kumotaan
30.9.2019Valtori – Mikael Vakkari
3
Tietoaineisto asiakirjoista ja muista vastaavista tiedoista muodostuva
tiettyyn viranomaisen tehtävään tai palveluun liittyvää tietokokonaisuus
4. Tiedonhallintalaki vartissa – huomioitavaa
• Seuraavissa taulukoissa on esitetty yksi mahdollinen tapa huolehtia
tiedonhallintalain velvoitteista valtion tiedonhallintayksikössä
• Taulukoissa kuvatut ”toimintatavat” ovat yksinkertaistettuja, suuntaa-antavia,
perustuvat tulkintaan ja täsmentyvät työn edetessä
• Osa velvoitteista edellyttää tarkempaa ohjeistusta VM:ltä
• Esim. tiedonhallintamallin kuvaukset (5 §), lausuntomenettely (9 §) ja lokitus
(17 §) edellyttävät tarkempia ohjeita
• Kuvauksissa suositeltavaa käyttää KA-menetelmää (JHS 179)
• Peruskuvaukset voidaan toteuttaa JHS 198:n mukaisesti
• Kuvausten tyhjentävyystaso tulee ohjeistaa (VM)
• Organisaation tehtävät ja niihin liittyvät vastuut kuvataan tyypillisesti
työjärjestyksessä (tai hallintosäännössä)
• Suositeltavaa pohtia onko tiedonhallintayksikön tiedonhallinta ”nykytilassa”
organisoitu tarkoituksenmukaisesti (erit. lain velvoitteiden näkökulmasta)
30.9.2019Valtori – Mikael Vakkari
4
5. 30.9.2019Valtori – Mikael Vakkari
5
Velvoite SA
(kk)
Sisältö / kuvaus Mitä / miten
4 § 3. mom
(Tiedonhallintayksik
ön johdon on
huolehdittava…)
Kuvattava vastuut:
- Ohjeistus
- Tietoturvallisuus
- Koulutus
- Työvälineet
- Valvonta jne.
Kirjaa relevantit (lain
määräämät) tehtävät /
vastuut työjärjestykseen
(ts. kuka organisaatiossa
vastaa ko. tehtävistä)
5 § 3. mom
Tiedonhallintamallin
muutosvaikutusten
arviointi (sekä 8 § 1.
mom)
12 Kuvataan (arvioidaan)
tiedonhallintamalliin
vaikuttavat ”olennaiset
hallinnolliset uudistukset”,
ml. taloudelliset vaikutukset
Kuvaukset voidaan laatia
esim. nykytilaan ja
tavoitetilaan, jolloin arviointi
kohdistuu mm. toimintaan
jolla pyritään tavoitetilaan.
VM:n asetuksen
[1294/2014] mukaisesti
(päivitys käynnissä; ks.
Lausuntopalvelu
1689/03.01.01/2019)
Jatkossa päivitetyn
asetuksen ja VM:n
ohjeistuksen mukaan.
9 § Lausunto
muutosten
arvioinnista
(5 § 3. mom
mukainen arviointi
toimitetaan VM:lle,
mikäli kriteerit
täyttyvät – VM
täsmentää kriteerit
asetukseen)
Toimitettava VM:lle, kun ”…
arvioidulla muutoksella on
merkittäviä taloudellisia tai
toiminnallisia vaikutuksia
tiedonhallintaan tai
toimintaan taikka muutos
koskee julkisen hallinnon
yhteisten tietovarantojen
rajapintojen tietorakenteiden
olennaisia muutoksia”
6. 30.9.2019Valtori – Mikael Vakkari
6
Velvoite SA
(kk)
Sisältö / kuvaus*
(ks. 5 § 2. mom)
Mitä / miten
5 §
Tiedonhallintamallin
laadinta ja ylläpito
(kuvausmenetelmän
ä suositeltavaa
käyttää JHS 179)
12 Prosessit
- Kuvataan mm. nimikkeet,
vastaavat tahot, tarkoitus
- Kuvattava myös sidokset
muihin prosesseihin (ml.
ulkoiset toimijat)
Kuvaus esim. JHS 152:n
mukaisesti
Edellyttää ohjeistusta/
linjausta kuvaustasosta
(ks. alla)
Laki määrittää
tiedonhallintamallin
kuvausten
minimitason
Jos VM ei ohjeista
kuvauksia tarkemmin
tiedonhallintayksikön
tulee linjata
tarkoituksenmukaine
n tyhjentävyystaso
kuvauksille
Tietovarannot
(”tietovarantokartta”)
Ks. KA -peruskuvaukset
(JHS 198)
Tietojärjestelmät
(”tietojärjestelmäkartta”)
Ks. KA -peruskuvaukset
(JHS 198)
Säilytyskäytännöt
(ks. myös 21 § ja AMS)
Määritelty mm.
organisaation TOS:iin (ja
AMS:iin)
Tietoturvallisuustoimen-
piteet, mm. lain 4. luvun (12
– 16 §) mukaiset asiat
Esim. VAHTI-ohjeiden
mukaisesti (ks. TOS,
AMS)
HUOM! Suositeltavaa hyödyntää organisaation olemassa olevia
(arkkitehtuuri)kuvauksia ja päivittää niitä tarpeen mukaan.
7. 1.10.2019Valtori – Mikael Vakkari
7
Velvoite SA
(kk)
Sisältö / kuvaus Mitä / miten
17 § Lokitietojen
kerääminen*
Siirtymäaika
huomioitava
hankinnoissa!
24 Kerättävä ”…jos
järjestelmän käyttö
edellyttää tunnistautumista
tai muuta kirjausta.”
Erityisesti, jos
järjestelmässä käsitellään
tai sieltä luovutetaan
salassapidettäviä tietoja.
”Ainakin” luovutuslokitiedot
ja käyttölokitiedot
Edellyttää VM:n ohjeistusta
18 § Viranomaisen
asiakirjan
turvallisuusluokittelu
Luokiteltava, jos asiakirja
salassapidettävä [JulkL 24 §
1. mom kohtien 2, 5 ja 7 –
11 mukaan]
Turvallisuusluokkaa
koskeva merkitä asiakirjaan.
Merkintää ei käytetä
muissa, kuin 18 § 1. mom
tapauksissa, ellei se ole
tarpeen esim. KV-
tietoturvallisuusvelvoitteen
toteuttamiseksi
*HUOM! Jos hankintailmoitus Hilmassa 31.12.2019 mennessä sovelletaan hankittavaan
järjestelmään siirtymäaikaa lokituksen osalta (24 kk).
Muussa tapauksessa lakia sovelletaan uusiin järjestelmiin välittömästi sen voimaantullessa.
8. 30.9.2019Valtori – Mikael Vakkari
8
Velvoite SA
(kk)
Sisältö / kuvaus Mitä / miten
19 § 1. mom
Asiakirjan
muuttaminen
sähköiseksi
18 Muutettava sähköiseksi
mikäli asiakirja säädetty
pysyvästi säilytettäväksi tai
arkistoivaksi.
Viranomaisen laatimat
asiakirjat ja viranomaiselle
saapuvat asiakirjat
muutetaan sähköiseen
muotoon.
19 § 2. mom
Tietoaineistot
saatavilla ja
hyödynnettävissä
koneluettavasti
24 Tietoaineistojen tulee olla
hyödynnettävissä mikäli
”tietoaineisto voidaan
saattaa alkuperäisestä
muodosta suoraan
koneluettavaan muotoon.”
Tietoaineistot tulee tarjota
yleisesti käytettävässä
koneluettavassa muodossa
kuvailutietoineen.
20 § Tietoaineistojen
kerääminen
viranomaisen
tehtäviä varten
12 ”…jos viranomaisella oikeus
saada tarvittavat tiedot
toiselta viranomaiselta
teknisen rajapinnan tai
käyttöyhteyden avulla.”
Pyrittävä hyödyntämään
toisten viranomaisten
tietoaineistoja. Jos
hyödyntäminen mahdollista,
tietoa ei tulisi pyytää
asiakkaalta.
9. 1.10.2019Valtori – Mikael Vakkari
9
Velvoite SA
(kk)
Sisältö / kuvaus Mitä / miten
22 – 24 § Tietojen
luovuttaminen
teknisen rajapinnan
avulla (viranomaisille
/ ei viranomaisille) ja
katseluyhteyden
avaaminen*
(lokitus, ks. 17 §)
Siirtymäaika
huomioitava
hankinnoissa!
48 Mikäli vastaanottavalla /
katseluoikeuden saavalla
taholla / viranomaisella on
tiedonsaantioikeus.
Toteutettava säännöllisesti
toistuva ja vakiosisältöinen
sähköinen tietojen
luovuttaminen
tietojärjestelmien välillä
teknisen rajapinnan avulla.
Varmistettava teknisesti
luovutettavien tietojen
tarpeellisuus /
välttämättömyys tietoja
saavan viranomaisen
tehtävien hoitamiseksi, jos
luovutettavat tiedot
henkilötietoja tai salassa
pidettäviä.
*HUOM! Jos hankintailmoitus Hilmassa 31.12.2019 mennessä sovelletaan
hankittavaan järjestelmään siirtymäaikaa 22 – 24 §:n velvoitteiden osalta (48 kk).
Muussa tapauksessa lakia sovelletaan uusiin järjestelmiin välittömästi sen voimaantullessa.
10. 30.9.2019Valtori – Mikael Vakkari
10
Velvoite SA
(kk)
Sisältö / kuvaus Mitä / miten
26 § Asiarekisteriin
rekisteröitävät tiedot
(”…rekisterissä olisi
asian metatiedot,
asiankäsittelyn
metatiedot sekä
asiakirjojen
perusmetatiedot.”)
12 Rekisteröitävä pakolliset
yksilöintitiedot asioille ja
asiakirjoille (ks. myös 25 §).
HUOM! ”Asiarekisteriin
kuuluisivat myös
operatiivisissa
tietojärjestelmissä syntyvät
metatiedot asiankäsittelyn
kulkua kuvaavina tietoina.”
Kirjataan asian / asiakirjan
kuvailutietoihin SÄHKE2 –
metatietomallin (ja TOS:n)
mukaisesti.
Yksilöivä asiatunnus =
diaari
Käsittelyvaiheet
määritellään tavanomaisesti
organisaation
tiedonohjaussuunnitelmassa
27 § Tietoaineiston
hallinta palveluja
tuotettaessa
12 ”Järjestettävä muussa kuin
asiankäsittelyn yhteydessä
muodostuvan tietoaineiston
hallinta.” Miten?
”…muodostettavat asiakirjat
haettavissa
tietokokonaisuudet
yksilöivällä tunnuksella.”
28 § Kuvaus
asiakirjajulkisuuden
toteuttamiseksi
12 Viranomaisen ylläpidettävä
kuvausta sen hallinnoimista
tietovarannoista ja
asiarekistereistä. Kuvaus
julkaistava verkossa (pl.
salassapidettävät osat)
Sisällettävä tiedot:
- Tietojärjestelmistä ja
tietoaineistoista
”tietoryhmittäin” (?)
- Viranomaisesta
- Hakuperusteet ja
saatavuus rajapinnan
kautta
11. Tiedonhallintalaki – Yksityiskohtainen
tarkastelu
• Kyseessä yksinkertaistettu tulkinta valtion tiedonhallintayksikön näkökulmasta
• Tulkinta ja toteutustapa (mm. kuvaukset ja niiden taso) täsmentyvät työn edetessä
• Toimeenpano organisaatiossa kannattaa kytkeä muuhun tiedonhallinnan
kehittämiseen ja tarkastella organisaation tiedonhallintaa kokonaisuutena, ei
pelkästään lain näkökulmasta
• Mikä on tarkoituksenmukaista suhteessa organisaation toimintaan?
• Riittääkö esim. tiedonhallintamallin kuvausten minimitaso organisaation näkökulmasta,
vai tuotetaanko kuvaukset sille tasolle vain, koska laki velvoittaa?
• Oletus: (kun) tiedonhallintayksikkö järjestää tiedonhallintansa asianmukaisesti
(ts. noudattaa lakia) ja huolehtii myös organisaation ulkopuolelle kytkeytyvistä
tietoprosesseista tiedonvälitys tiedonhallintayksiköiden välillä tehostuu
• Tiedonhallinnan järjestämisen edellyttämät konkreettiset tehtävät ja vastuut
määritellään organisaation työjärjestykseen
• Tiedonhallinnan kokoaminen organisaatiossa ja organisoiminen lain tehtävien mukaan?
• Muutosvaikutusten arviointi osaksi projektien / kehittämishankkeiden
käynnistysmenettelyä (arkkitehtuuritarkastelun rinnalla)?
1.10.2019Valtori – Mikael Vakkari
11
12. 2 luku – tiedonhallinnan järjestäminen
tiedonhallintayksikössä
• Tiedonhallintayksikön johdon on huolehdittava, että
tiedonhallintayksikössä on [4 §, 3. mom]:
1) Määritelty tässä ja muussa laissa säädettyjen tiedonhallinnan toteuttamiseen
liittyvien tehtävien vastuut
2) Ajantasaiset ohjeet tietoaineistojen käsittelystä, tietojärjestelmien käytöstä,
tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta,
tiedonsaantioikeuksien toteuttamisesta, tietoturvallisuustoimenpiteistä sekä
poikkeusoloihin varautumisesta
3) Tarjolla koulutusta, jolla varmistetaan, että henkilöstöllä ja
tiedonhallintayksikön lukuun toimivilla on riittävä tuntemus voimassa olevista
tiedonhallintaa, tietojenkäsittelyä sekä asiakirjojen julkisuutta ja salassapitoa
koskevista säädöksistä, määräyksistä ja tiedonhallintayksikön ohjeista
4) Asianmukaiset työvälineet tiedonhallintaa koskevien velvollisuuksien
toteuttamiseksi
5) Järjestetty riittävä valvonta tiedonhallintaan liittyvien säädösten, määräysten
ja ohjeiden noudattamisesta
30.9.2019Valtori – Mikael Vakkari
12
13. Tiedonhallinnan järjestäminen
tiedonhallintayksikössä
• Tiedonhallintayksikön johdolla tarkoitetaan virastojen ja laitosten
työjärjestyksissä sekä eri toimijoiden hallintosäännöissä määriteltyä
virastopäällikköä tai johtavaa toimielintä.
• Säännöksellä tarkoitetaan konkreettisten vastuiden määrittämistä siitä, miten ja kenen
vastuulla toteutetaan tämän lain mukaiset velvoitteet ja palvelut.
• Vastuut on määritettävä tiedonhallintamallin ylläpidon ja tietoaineistojen muodostamisen
toteuttamiselle, tietoturvallisuuden ja asianhallinnan järjestämiselle, tietojärjestelmien
yhteentoimivuuden turvaamiselle sekä tietoaineistojen säilyttämisen järjestämiselle.
• Tiedonhallintayksikön johdon tulisi ts. määrittää ja käytännössä määrätä
työjärjestyksissä tai hallintosäännöissä, miten tiedonhallinnan vastuut ja niihin liittyvät
tehtävät jakautuvat tiedonhallintayksikössä
• Tehtävien järjestäminen tarkoittaa asiakirjahallinnon ja tietohallinnon sekä muiden
toimintojen vastuiden määrittämistä tiedonhallinnan velvollisuuksien ja palvelujen
toteuttamiseksi.
• Laissa ei säädetä siitä, mitkä tehtävät kuuluvat tietohallinnolle tai tiedonhallinnalle, vaan
tämä järjestäminen kuuluu kunkin tiedonhallintayksikön johdon vastuulle. Laissa ei
säädetä organisaatioiden sisäisistä hallinnollisista rakenteista.
30.9.2019Valtori – Mikael Vakkari
13
14. 5 § Tiedonhallintamalli ja muutosvaikutusten
arviointi
• Tiedonhallintayksikössä on ylläpidettävä sen toimintaympäristön tiedonhallintaa
määrittelevää ja kuvaavaa tiedonhallintamallia.
• Tiedonhallintamallia ylläpidetään palvelujen, asiankäsittelyn ja tietoaineistojen
hallinnan suunnittelemiseksi ja toteuttamiseksi, tiedonsaantia koskevien
oikeuksien ja rajoitusten toteuttamiseksi, moninkertaisen tietojen keruun
vähentämiseksi, tietojärjestelmien ja tietovarantojen yhteentoimivuuden
toteuttamiseksi sekä tietoturvallisuuden ylläpitämiseksi.
• Suunniteltaessa tiedonhallintamallin sisältöön vaikuttavia olennaisia hallinnollisia
uudistuksia ja tietojärjestelmien käyttöönottoa, tiedonhallintayksikössä on
arvioitava näihin kohdistuvat muutokset ja niiden vaikutukset suhteessa
tiedonhallinnan vastuisiin
• Tiedonhallintayksikön on tiedonhallinnan muutosten arvioinnissaan otettava
huomioon tietovarantojen yhteentoimivuus sekä niiden hyödynnettävyys
tietoaineistoja muodostettaessa ja käytettäessä
• Arvioinnin perusteella tiedonhallintayksikön on ryhdyttävä tarpeellisiin
toimenpiteisiin tiedonhallintamallin muuttamiseksi ja muutosten
toimeenpanemiseksi.
30.9.2019Valtori – Mikael Vakkari
14
15. Tiedonhallintamallin on sisällettävä vähintään
tiedot
1) Toimintaprosesseja kuvaavista nimikkeistä, prosessista vastaavasta
viranomaisesta, prosessin tarkoituksesta sekä prosessin sidoksista muihin
prosesseihin
2) Tietovarantojen nimikkeistä, kuvaukset tietovarantojen sidoksista
toimintaprosesseihin ja tietojärjestelmiin sekä luonnollisten henkilöiden
suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta
liikkuvuudesta
3) Tieto tietoaineiston arkistoon siirtämisestä, arkistointitavasta ja arkistopaikasta
tai tuhoamisesta;
4) Tietojärjestelmien nimikkeistä, tietojärjestelmästä vastaavasta viranomaisesta,
tietojärjestelmän käyttötarkoituksesta, tietojärjestelmän liittymistä muihin
tietojärjestelmiin ja liittymissä käytettävistä tiedonsiirtotavoista;
5) Tietoturvallisuustoimenpiteistä.
• Laki ei säädä, millä menettelyllä tai muodossa kuvaukset tuotetaan; tämä jää
tiedonhallintayksikön omaan harkintaan. Tiedonhallintamallin voisi kuvata
soveltuvin osin esimerkiksi kokonaisarkkitehtuurimenetelmää (JHS 179) tai jotain
muuta vastaavaa kuvausmenetelmää käyttäen.
30.9.2019Valtori – Mikael Vakkari
15
16. Tiedonhallinnan muutosten arviointi
tiedonhallintayksikössä ja lausuntomenettely
• Tiedonhallintayksikön on arvioitava myös tiedonhallintaan
vaikuttavien muutosten taloudelliset vaikutukset tehdessään 5 §:n 3
momentin mukaista arviointia
• Valtion tiedonhallintayksikön on toimitettava valtiovarainministeriölle
5 §:n 3 momentin ja 8 §:n 1 momentin perusteella tehty arviointi
tietovarantojen ja tietojärjestelmien hyödyntämistä, yhteentoimivuutta
ja tietoturvallisuutta koskevaa lausuntoa varten, kun
• Arvioidulla muutoksella on merkittäviä taloudellisia tai toiminnallisia
vaikutuksia tiedonhallintaan tai toimintaan taikka muutos koskee julkisen
hallinnon yhteisten tietovarantojen rajapintojen tietorakenteiden
olennaisia muutoksia.
• VM:n asetus lausuntomenettelystä on parhaillaan lausuntokierroksella
1.10.2019Valtori – Mikael Vakkari
16
17. 4 luku – Tietoturvallisuus
• Tiedonhallintayksikön on tunnistettava ne tehtävät, joiden suorittaminen
edellyttää sen palveluksessa olevilta tai sen lukuun toimivilta henkilöiltä erityistä
luotettavuutta (12 §).
• Tiedonhallintayksikön on seurattava toimintaympäristönsä tietoturvallisuuden
tilaa ja varmistettava tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko
niiden elinkaaren ajan (13 §)
• Tiedonhallintayksikön on selvitettävä olennaiset tietojenkäsittelyyn kohdistuvat
riskit ja mitoitettava tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti.
• Viranomaisen tehtävien hoitamisen kannalta olennaisten tietojärjestelmien
vikasietoisuus ja toiminnallinen käytettävyys on varmistettava riittävällä testauksella
säännöllisesti.
• Viranomaisen on suunniteltava tietojärjestelmät, tietovarantojen tietorakenteet ja niihin
liittyvä tietojenkäsittely siten, että asiakirjojen julkisuus voidaan vaivatta toteuttaa.
• Viranomaisen on varmistettava hankinnoissaan, että hankittavaan tietojärjestelmään on
toteutettu asianmukaiset tietoturvallisuustoimenpiteet.
30.9.2019Valtori – Mikael Vakkari
17
18. Tietoturvallisuus
• Viranomaisen on toteutettava tietojensiirto tietoverkossa salattua tai muuten
suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä, jos siirrettävät tiedot ovat
salassa pidettäviä. (14 §)
• Viranomaisen harkintaan jää, minkälaista yhteyttä tai tiedonsiirtotapaa käyttäen salassa
pidettävien tietojen suojaaminen tietoverkossa toteutetaan.
• Tietojensiirto järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän
tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä
salassa pidettäviä tietoja
• Viranomaisen on varmistettava tarpeellisin toimenpitein, että sen:
1) tietoaineistojen muuttumattomuus on riittävästi varmistettu;
2) tietoaineistot on suojattu teknisiltä ja fyysisiltä vahingoilta;
3) tietoaineistojen alkuperäisyys, ajantasaisuus ja virheettömyys on varmistettu;
4) tietoaineistojen saatavuus ja käyttökelpoisuus on varmistettu;
5) tietoaineistojen saatavuutta rajoitetaan tarvittaessa;
6) tietoaineistot voidaan tarvittavilta osin arkistoida.
1.10.2019Valtori – Mikael Vakkari
18
19. Tietoturvallisuus
• Tietojärjestelmästä vastuussa olevan viranomaisen on määriteltävä
tietojärjestelmän käyttöoikeudet. Käyttöoikeudet on määriteltävä
käyttäjän tehtäviin liittyvien käyttötarpeiden mukaan ja ne on pidettävä
ajantasaisina (16 §)
• Käyttöoikeudet on määriteltävä ennalta kullekin tietojärjestelmän käyttäjälle.
Tietojärjestelmien ylläpito ja siihen liittyvät vastuut määritellään
tiedonhallintamallissa.
• Palvelukeskus määrittelisi käyttöoikeudet tietojärjestelmän
vastuuviranomaisena, mutta tietojärjestelmää käyttävä viranomainen
ylläpitäisi käyttöoikeuksia ajantasaisina.
• Viranomaisen on huolehdittava, että sen tietojärjestelmien käytöstä ja
niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos
tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta
kirjautumista. (17 §)
• Käyttölokitietojen keräämisen tarve tulisi arvioida sillä perusteella, tarvitaanko
niitä virheselvittelyjä varten tai yksilön etujen, oikeuksien ja velvollisuuksien
sekä oikeusturvan toteuttamiseksi taikka virkavastuun todentamiseksi.
1.10.2019Valtori – Mikael Vakkari
19
20. Turvallisuusluokiteltavat asiakirjat valtionhallinnossa
• Asiakirjat on turvallisuusluokiteltava ja niihin on tehtävä turvallisuusluokkaa
koskeva merkintä (18 §), jos…
• Asiakirja tai siihen sisältyvä tieto on salassa pidettävä viranomaisten toiminnan
julkisuudesta annetun lain 24 §:n 1 momentin 2, 5 tai 7—11 kohdan perusteella ja…
• Asiakirjaan sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi
aiheuttaa vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle, kansainvälisille
suhteille, rikosten torjunnalle, yleiselle turvallisuudelle tai valtion- ja kansantalouden
toimivuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle.
• Turvallisuusluokkaa koskevaa merkintää ei saa käyttää muissa kuin 1
momentissa (ks. yllä) tarkoitetuissa tapauksissa, ellei merkinnän tekeminen ole
tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi tai asiakirja
muutoin liity kansainväliseen yhteistyöhön.
• Kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004) tarkoitettuihin
asiakirjoihin on tehtävä turvallisuusluokituksesta merkintä siten kuin mainitussa laissa
säädetään.
• Asiakirjoihin tehtävistä salassapitoa ja käyttörajoituksia koskevista merkinnöistä
säädetään viranomaisten toiminnan julkisuudesta annetun lain 25 §:ssä.
30.9.2019Valtori – Mikael Vakkari
20
21. 5 luku – Tietoaineistojen muodostaminen ja sähköinen
luovutustapa
• Jos asiakirja saapuu viranomaiselle muussa kuin sähköisessä muodossa, on se
muutettava sähköiseen muotoon, jos asiakirja on säädetty pysyvästi
säilytettäväksi taikka lailla tai lain nojalla arkistoitavaksi. (19 §)
• Viranomainen vastaa siitä, että sähköiseen muotoon muutetun asiakirjan luotettavuus ja
eheys varmistetaan.
• Viranomaisen laatimat asiakirjat säilytetään sähköisesti. Sähköiseen muotoon
muuttamisesta ja säilyttämisestä voidaan poiketa, jos se on välttämätöntä
turvallisuusluokiteltavien asiakirjojen käsittelyä koskevien vaatimusten, muiden
tietoturvallisuusvaatimusten tai ”muun asiakirjan luonteeseen liittyvän välttämättömän
syyn” vuoksi.
• Viranomaisen on huolehdittava, että tietoaineisto on saatavilla ja hyödynnettävissä
yleisesti käytettävässä koneluettavassa muodossa kuvailutietoineen, jos tietoaineisto
voidaan saattaa alkuperäisestä muodosta suoraan koneluettavaan muotoon.
• Viranomainen voi käyttää asiakirjojen sähköiseen muotoon muuttamisessa yksityistä
toimijaa, jolla on riittävät tekniset edellytykset sekä riittävä osaaminen tällaisen tehtävän
hoitamiseksi.
30.9.2019Valtori – Mikael Vakkari
21
Koneluettavalla muodolla tarkoitetaan tiedostomuotoa, jonka rakenne mahdollistaa
sen, että ohjelmistot pystyvät helposti yksilöimään, tunnistamaan ja poimimaan siitä
tietoaineistoja, yksittäisiä tietoja sekä niiden rakenteita.
22. Tietoaineistojen kerääminen viranomaisen
tehtäviä varten ja säilytys
• Viranomaisen on pyrittävä hyödyntämään toisen viranomaisen tietoaineistoja, jos
viranomaisella on oikeus saada tarvittavat tiedot toiselta viranomaiselta teknisen
rajapinnan tai katseluyhteyden avulla. (20 §)
• Jos viranomaisella on oikeus saada toisen viranomaisen tietovarannosta tehtäviensä
hoitamista varten tietoja luotettavasti ja ajantasaisesti teknisen rajapinnan tai
katseluyhteyden avulla, se ei saa vaatia asiakastaan esittämään tai toimittamaan
tällaista todistusta tai otetta, ellei se ole välttämätöntä asian selvittämiseksi.
• Jos tietoaineistojen tai asiakirjojen säilytysajasta ei ole säädetty laissa,
säilytysaikoja määritettäessä on otettava huomioon: (21 §)
1) tietoaineiston alkuperäisen käyttötarkoituksen mukainen tarpeellisuus viranomaisen
toiminnassa; sekä
2) luonnollisen henkilön tai oikeushenkilön etujen, oikeuksien, velvollisuuksien ja
oikeusturvan toteuttaminen ja todentaminen;
3) sopimuksen tai muun yksityisoikeudellisen oikeustoimen oikeusvaikutus;
4) vahingonkorvausoikeudelliset vanhentumisajat; ja
5) rikosoikeudelliset vanhentumisajat.
• Säilytysajan päättymisen jälkeen tietoaineistot on arkistoitava tai tuhottava
viipymättä tietoturvallisella tavalla.
30.9.2019Valtori – Mikael Vakkari
22
23. Tietojen luovuttaminen viranomaiselle
• Viranomaisten on toteutettava säännöllisesti toistuva ja vakiosisältöinen
sähköinen tietojen luovuttaminen tietojärjestelmien välillä teknisten
rajapintojen avulla, jos vastaanottavalla viranomaisella on tietoihin laissa
säädetty tiedonsaantioikeus (22 §)
• Säännöllisesti toistuva ja vakiosisältöinen tietojen sähköinen luovuttaminen
voidaan toteuttaa muulla tavalla, jos teknisen rajapinnan toteuttaminen tai
käyttö ei ole teknisesti tai taloudellisesti tarkoituksenmukaista
• Jos luovutettavat tiedot ovat henkilötietoja tai salassa pidettäviä tietoja niiden
luovuttaminen teknisten rajapintojen avulla on toteutettava tietojärjestelmien
välillä siten, että teknisesti varmistetaan luovutettavien tietojen
tapauskohtainen tarpeellisuus tai välttämättömyys tietoja saavan
viranomaisen tehtävien hoitamiseksi.
• Teknisen rajapinnan avulla luovutettavien tietojen tietorakenteen kuvauksen
määrittelee ja sitä ylläpitää tiedot luovuttava viranomainen.
• Suunniteltaessa usean viranomaisen välistä tietojen luovuttamista
teknisten rajapintojen avulla, on tietorakenteen kuvaus määriteltävä ja
ylläpidettävä toimialasta vastaavan ministeriön johdolla.
30.9.2019Valtori – Mikael Vakkari
23
24. Katseluyhteys ja tietojen luovuttaminen muille,
kuin viranomaisille
• Viranomainen voi avata katseluyhteyden toiselle viranomaiselle
tietovarannon sellaisiin tietoihin, joihin katseluoikeuden saavalla
viranomaisella on tiedonsaantioikeus. (23 §)
1) katselumahdollisuus tulee rajata vain tiedonsaantioikeuden mukaisiin
tarpeellisiin tai välttämättömiin tietoihin
2) tietojen hakemisen yhteydessä selvitetään tietojen käyttötarkoitus
• Viranomaisen on toteutettava katseluyhteys siten, että katseluyhteyden
mahdollistava tietojärjestelmä tunnistaa automaattisesti poikkeavan tietojen
hakemisen.
• Viranomainen voi luovuttaa teknisten rajapintojen avulla tietoja muulle
kuin toiselle viranomaiselle, jos tiedot saavalla toimijalla on erikseen
laissa säädetty tiedonsaantioikeus ja oikeus käsitellä näitä tietoja. (24 §)
• Tiedot luovuttavan viranomaisen on tarvittaessa varmistettava, että tietoja
saava toimija noudattaa tietojen käsittelyssä tässä laissa säädettyjä
velvollisuuksia.
30.9.2019Valtori – Mikael Vakkari
24
25. 6 Luku – asianhallinta ja palvelujen tiedonhallinta
”hyvä tiedonhallintatapa”
• Tiedonhallintayksikön on ylläpidettävä viranomaisen käsittelyssä
olevista ja olleista asioista asiarekisteriä, johon rekisteröidään asiaa,
asiankäsittelyä ja asiakirjoja koskevat tiedot (25 §)
• Asia: viranomaisen käsiteltäväksi saama tai ottama kokonaisuus, jonka
tuloksena viranomaisen toimintaprosessissa (asiankäsittelyprosessissa)
tehdään toimenpiteitä, jonka lopputuloksena syntyy viranomaisen tekemä
ratkaisu
• Viranomaisen on rekisteröitävä viipymättä sille saapunut tai sen laatima
asiakirja asiarekisteriin.
• Tiedonhallintayksikön on huolehdittava siitä, että asiarekisterin tai sen osan
julkisista merkinnöistä on mahdollista tuottaa tiedot tiedonsaantia koskevien
pyyntöjen yksilöimiseksi.
• Tiedonhallintayksikön on muodostettava viranomaisen käsiteltäväksi
otetun tai annetun asian yksilöivä asiatunnus, jonka avulla asiaan
liittyvät tiedot yksilöidään. (26 §)
• 26 § 2. mom kuvaa asialle ja asiakirjalle rekisteröitävät perusmetatiedot
1.10.2019Valtori – Mikael Vakkari
25
26. Tietoaineistojen hallinta palveluja tuotettaessa
• Tiedonhallintayksikön on järjestettävä muun kuin asiankäsittelyn yhteydessä
muodostuvan tietoaineiston hallinta siten, että tietoaineistosta muodostettavat
asiakirjat ovat haettavissa jollakin tietokokonaisuudet yksilöivällä tunnuksella,
jotta tiedot voidaan antaa siihen oikeutetulle vaivattomasti. (27 §)
• ”Palvelujen tuottamisessa kertyvien metatietojen muodostaminen jäisi
erityislainsäädännön ja tiedonhallintayksikköjen omien määritysten varaan.”
• Palveluja tuotettaessa muodostuvat asiakirjat ja muut tiedot rekisteröitävä viipymättä
siten, että niiden muodostuminen palvelua tuotettaessa voidaan jälkikäteen todentaa.
• Asiakirjajulkisuuden toteuttaminen myös sellaisiin viranomaisen tietoaineistoihin, jotka
eivät ole muodostuneet asiankäsittelyn yhteydessä
• Yksilöivä tunnus (diaari / vastaava) myös ei-asiakirjallisille dokumenteille
• Tunnus voi olla asiakasnumero, henkilötunnus, Y-tunnus, kiinteistötunnus,
oppijanumero, palvelutunnus tai muu vastaava yksilöintitieto…
• Tietoaineistosta on pystyttävä yksilöimään missä palvelun toimintaprosessissa
tietoaineistoon on syntynyt asiakirjoja tai niitä vastaavia muita tietoja (TOS?)
1.10.2019Valtori – Mikael Vakkari
26
27. Kuvaus asiakirjajulkisuuden toteuttamiseksi
• Tiedonhallintayksikön on julkisuusperiaatteen toteuttamista varten
ylläpidettävä kuvausta sen hallinnoimista tietovarannoista ja
asiarekisteristä. (28 §) Kuvauksen on sisällettävä tiedot:
1) tietojärjestelmistä, jotka sisältävät asiarekisteriin kuuluvia tai palvelujen
tiedonhallintaan kuuluvia tietoja;
2) asiarekisterin tai tietojärjestelmän sisältämien tietojen antamisesta
päättävästä viranomaisesta ja sen yhteystiedoista tiedonsaantia koskevan
pyynnön esittämiseksi;
3) tietojärjestelmien sisältämistä tietoaineistoista tietoryhmittäin
4) hakuperusteista, joilla julkisia asiakirjoja tai muita tietoja voidaan hakea
asiarekisteristä tai tietojärjestelmästä;
5) tietoaineistojen saatavuudesta avoimesti teknisen rajapinnan avulla.
• Tiedonhallintayksikön on julkaistava 1 momentissa tarkoitettu kuvaus
yleisessä tietoverkossa siltä osin kuin kuvauksen tiedot eivät ole salassa
pidettäviä.
30.9.2019Valtori – Mikael Vakkari
27
28. Siirtymäajat lain voimaantullessa
(1.1.2020 lähtien)
• Tiedonhallintamalli (5 §) 12 kk kuluessa lain voimaantulosta
• Viranomaisen laatimat ja vastaanottamat asiakirjat sähköisiksi (19 §) 18 kk
• Saatavilla ja hyödynnettävissä koneluettavassa muodossa kuvailutietoineen (1. mom)
24 kk
• Ennen lain voimaantuloa muodostuneita tietoaineistoja säilytetään siten kuin ne ovat
muodostuneet ennen siirtymäajan päättymistä.
• Toisten viranomaisten tietoaineistojen hyödyntäminen teknisen rajapinnan tai
katseluyhteyden avulla (20 §) 12 kk
• Tietojärjestelmiin sovelletaan 17, ja 22 – 24 § säännöksiä välittömästi mikäli
järjestelmä hankitaan lain voimaantulon jälkeen
• Ennen lain voimaantuloa hankittuihin järjestelmiin sovelletaan 22 – 24 § säännöksiä
mikäli tietojärjestelmän rajapintoja tai katseluyhteyksiä päivitetään, kuitenkin viimeistään
48 kk:n kuluttua
• Lokitietojen kerääminen (17 §) 24 kk
• Järjestettävä asianhallinta ja palvelujen tiedonhallinta säädettyjen vaatimusten
mukaisesti (26 – 28 §) 12 kk
30.9.2019Valtori – Mikael Vakkari
28
29. Tulkintaa – tiedonhallintamalli (5 §)
• Laki säätää tiedonhallintamallin sisällön minimivaatimuksista
• ”Tiedonhallintayksiköllä on selkeä kuvaus toimintaympäristön tiedonhallinnasta, jolla
palvellaan tietojärjestelmien yhteentoimivuutta, tietovarantojen käsittelyn avoimuutta ja
julkisuutta sekä tietoaineistojen hallinnan ennakollista suunnittelua viranomaisten
tehtävien hoitamista varten.”
• ”Se, millä tasolla ja miten (tiedonhallintamalli) mahdollisesti kuvataan tarkemmin, jää
tiedonhallintayksikköjen tarkoituksenmukaisuusarvioinnin varaan.”
• Kuvasten sisällöllisten vaatimusten osalta suositeltavaa toimia JHS 198:n
mukaisesti ja kuvausmenetelmäksi suositeltavaa valita JHS 179, siltä osin, kun
ne soveltuvat tiedonhallintamallin elementtien kuvaukseen
• Hyödynnetään organisaation olemassa olevia kuvauksia. Esim. organisaation AMS on
osa tiedonhallintamallia (mm. säilytysajat / -tavat)
• Jotta kuvaukset olisivat yhdenmukaisia ja hyödyllisiä mm. kokonaisuuden
ohjauksen näkökulmasta tulisi kuvausmenettely ohjeistaa tarkemmin (VM)
• Mille ”tasolle” esim. prosessikuvaukset tulee tehdä? Mikä on tarkoituksenmukaista?
• Kokonaisarkkitehtuurimenetelmän mukaisesti tuotetut kuvaukset olisivat yhtenäisiä ja
yhdenmukaisia, lisäksi menetelmä on tuttu jo tietohallintolain ajoilta…
1.10.2019Valtori – Mikael Vakkari
29
30. Tulkintaa – rekisteröinti asiarekisteriin ja asian
yksilöintitietojen rekisteröinti (25 – 26 §)
• Velvoite toteutunee mikäli asialle / asiakirjalle annetaan yksilöivä
tunniste (diaari)
• Lain 26 §:n mukaiset yksilöintitiedot asianhallintajärjestelmään (esim.
SÄHKE2 metatietomallin mukaisesti)
• Mitä on ”(säännöllisesti toistuva ja) vakiosisältöinen tietojenvaihto”?
• ”Säännös koskisi tilanteita, jolloin viranomainen luovuttaisi toiselle
viranomaiselle säännöllisesti tietovarannostaan tietoja toisen viranomaisen
tietotarpeita varten.” – Palvelutietojen kk-raportointi / koonti asiakkaille?
• Miten luovutettavien tietojen tapauskohtainen tarpeellisuus / välttämättömyys
varmistetaan teknisesti – Lokitus (17 §)?
• Miten toteutetaan tietoaineistojen hallinta ”palveluja tuotettaessa”?
• ”Muussa, kuin asiankäsittelyn yhteydessä” syntyvä tietoaineisto (vrt. Valtorin
palvelutiedot?), josta organisaatio muodostaa asiakirjoja (palveluraportointi?)
• Tarvitaan yksilöintitieto – diaari / vastaava myös ei-asiakirjalliselle aineistolle?
• Tiedot tulee olla haettavissa – kuvailutietojen käyttö suositeltavaa…
1.10.2019Valtori – Mikael Vakkari
30