Tietosuoja 2/2012 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

tietoturvan ja tietosuojan erikoislehti 2/2012 | 15 Tietojärjestelmät ja tietojen käsittely Laadulla vai tuurilla? Paikantaminen \ muistitikut \ sähköPosti \ kyberturvallisuus \ tietosuojaloukkaukset \ iPv6
30 30 toisen kirjettä ei saa avata luvatta työpaikallakaan 33 tietosuojaloukkaukset valokeilassa 36 iPv6 on täällä 40 suuret yritykset valikoituvat tietoturvaloukkausten kohteiksi 42 yhdessä verkkovihollista vastaan 44 miten on. 45 lyhyesti tutustu verkkolehteen! www.tietosuoja-lehti.fi kannen kuva: eric leraillez verottaja on hyvin riippuvainen tietojärjestelmistä. olli häkämies s. 26 2 TieTosuoja 2/2012. 36 Pitääkö paikantamista pelätä? Teema: LaaTua TieTojärjesTeLmiin 6 laadulla, ei tuurilla 8 tietosuojastandardi kulkee direktiivin linjoilla 12 arviointi lisää tietojärjestelmien turvallisuutta 16 tietotilinpäätös: ei taakaksi vaan tueksi 18 "ei raporttia raportoinnin vuoksi" 19 tietohallintolaki: yhteentoimivuus parantaa laatua 20 odotettu uudistus lisää yhteistyötä leena kumPulainen 22 onko työpaikkasi tietoturvassa usb:n mentävä aukko? ProfiiLi 26 verohallinto: verokarhu elää tietojärjestelmistä GaLLuP tikusta asiaa s. sisällys 3 Pääkirjoitus 4 2/2012 joko teillä käytetään internetin uutta osoitejärjestelmää? s. 22 29 työtoverin sähköpostiin ei kosketa TyöeLämän TieTosuoja kuka saa lukea työsähköpostiasi? s
NCSA-FI:n alkutaival on kuitenkin edennyt odotettua ripeämmin. Arviointilaitosten hyväksyntä antaa yrityksille mahdollisuuden osoittaa toimintansa tietoturvallisuuden taso ulkopuolisen ja luotettavan arvioinnin avulla. Sen tehtävänä on nyt hyväksyä tietoturvallisuuden arviointilaitoksia. osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. jos tilaaja irtisanoo kestotilauksensa tilausjakson alkamisen jälkeen, on hän velvollinen maksamaan irtisanomisen voimaantuloon saakka lähetetyt lehdet. Numeron 4/2009 pääkirjoituksessa kirjoitin Viestintävirastoon perustettavasta uudesta NCSA-FI-yksiköstä. Lakiuudistusten yleisenä tavoitteena on edistää yritysturvallisuutta ja kehittää tietoturvallisuutta. vuosikerta | issn 0786-5767 PainoPaikka hämeen kirjapaino oy sähköinen lehti www.tietosuoja-lehti.fi 2/2012 anna huovinen Taruista tavaksi? T ietosuojan 2/2008 pääkirjoituksessa "Suuntaa voi vielä muuttaa" kirjoitin mahdollisesta paradigman muutoksesta, jonka mukaan tietoturva nähtäisiin mahdollistajana eikä esteenä järkevälle toiminnalle. Olisiko näistä hankkeista vientivalteiksi. Olisiko maa saatu möyhityksi ja olisiko aika kypsä sadon kasvamiselle. jos laskutusjakso tai maksueriä on maksettu ennen irtisanomisen voimaantuloa, tilaus päätetään maksetun jakson loppuun. Kesäkuun alussa voimaan tulleet lakimuutokset laajensivat NCSA-FI-yksikön toimintakenttää kahdella alueella. Yksikön tehtäviä koskeva lainsäädäntö tuli voimaan marraskuussa 2010. tilaajapalvelu/tietosuoja,Pl 115, 30101 Forssa Puhelin 03 4246 5301, Faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi ilmoitusmarkkinointi ja -varaukset Ds & m marketing oy, Deeli kentala deeli.kentala@dsm.fi, puh. tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 2/2012 TieTosuoja 3. Kyseessä on tietoturvan siementen kylväminen. 09 682 0400, Faksi 09 682 1515 tilaushinnat suomessa 2012 kestotilaus 54,50 euroa (laskutusväli 12 kuukautta). Pääkirjoitus tietoturvan ja tietosuojan erikoislehti kesäkuu 2012 julkaisijat Patentti- ja rekisterihallitus tietosuojavaltuutetun toimisto tietosuojalautakunta viestintävirasto Päätoimittaja hanna tamminen, viestintävirasto hanna.tamminen@ficora.fi toimitusPäällikkö eija kara, tietosuojavaltuutetun toimisto eija.kara@om.fi toimitussihteeri Päivi männikkö, stellatum oy paivi.mannikko@stellatum.fi ulkoasu tarja salonen, sininen arkki oy tarja.salonen@sininenarkki.fi toimitusneuvosto reijo aarnio, tietosuojavaltuutettu, pj. 0440 235 939 bouser oy, jukka tiainen, jukka.tiainen@bouser.fi puh. Olisiko tietoturvallisuus vihdoin siirtymässä taruista tavaksi. määräaikaistilaus 57,77 euroa (kesto 12 kuukautta). NCSA-FI-yksikön tehtäväkenttänä ovat kansainvälisen turvaluokitellun tiedon tietoturvavaatimukset. Uusilla viranomaistehtävillä on merkitystä myös suomalaisille yrityksille sekä meillä että muualla. Onnea ja menestystä matkaan TYKKI ja KYBER! Timo Lehtimäki Viestintäviraston Verkot ja turvallisuus -tulosalueen johtaja asiakasrekisteri rekisterikuvaus ja -seloste ovat nähtävissä stellatum oy:n tiloissa Purotie 1 b, 00380 helsinki. Olisiko Suomesta mahdollista tehdä tietoturvan ja yksityisyydensuojan keinoin kiinnostava pelikenttä tietoyhteiskunnan toimijoille. Mitä muuta tässä tietoturvan myötätuulessa on mukana. tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. Näen muutokset ja mahdollisuudet laajempina kuin vain Viestintäviraston tekeminä tarkastuksina tai hyväksyntöinä. 24. Tehtäviä on jo tullut lisää, ja henkilöstökin on jo ylittänyt lain valmistelun aikaiset suunnitelmat. osoitetietoja käytetään ainoastaan stellatum oy:n omassa toiminnassa. kestotilauksen voi irtisanoa ennen uuden tilausjakson alkua. kestotilauksena tilattu lehti toimitetaan tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai irtisanoo tilauksen. yhteydenotot tulee tehdä kirjallisina ja allekirjoitettuina em. lehti ilmestyy neljästi vuodessa. Näiden hankkeiden yhteydessä on oiva tilaisuus pohtia mitä meiltä puuttuu, mihin ongelmiin haluamme vastauksia, ja millaista tulevaisuutta haluamme luoda. irtonumero 15 euroa. Osaamisellemme olisi oikein paketoituna myös kansainvälistä kysyntää, ja NCSA-FI:n tehtävien taustalla onkin nähtävissä voimakas vientiteollinen intressi. Tässä numerossa käsittelyssä ovat tuon uuden "Naksun" uudet tehtävät. tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon. Parhaillaan on käynnissä kansallisen kyberstrategian laadinta, ja toisena megahankkeena voisi mainita liikenne- ja viestintäministeriön tietoyhteiskuntakaaren (TYKKI-hanke). Suursäätila ja maaperä voisivat nyt olla otollisia! Korkean tietoturvaosaamisen maana Suomi on hyödyntänyt osaamistaan heikosti. hinnat ovat voimassa vuonna 2012 suomeen tehtyihin tilauksiin. seuraava numero ilmestyy 5.10.2012. Toisena uutena tehtävänään NCSA-FI arvioi viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuutta. Lue lisää NCSA-FI:stä sivuilta 1215. | jukka ihanus, toimitusjohtaja, stellatum oy | eija kara, ylitarkastaja, tietosuojavaltuutetun toimisto | anna lauttamus-kauppila, viestintäjohtaja, Prh | timo lehtimäki, johtaja, viestintävirasto | nora elers, viestintäjohtaja, Ficom ry | anu talus, eu-asiantuntija, tietosuojalautakunta | eila ratasvuori, hallintojohtaja, helsingin kaupunki | ahti saarenpää, professori, lapin yliopisto | hanna tamminen, viestintäjohtaja, viestintävirasto toimituskunta Prh: olli ilmarinen, viestintäasiantuntija | tietosuojavaltuutetun toimisto: eija kara, ylitarkastaja | lauri karppinen, it-erityisasiantuntija | viestintävirasto: ari-matti husa, tietoturva-asiantuntija | eeva lantto, lakimies | hanna tamminen, viestintäjohtaja | heli alanko, koordinaattori | stellatum oy: Päivi männikkö, toimitussihteeri kustantaja stellatum oy, Purotie 1 b, 00380 helsinki tilaukset ja osoitteenmuutokset osoitteenmuutosta tehdessäsi muista ilmoittaa lehden nimi. Lain valmistelun aikaan yksikön resurssitarpeeksi arvioitiin kymmenen henkilötyövuotta ja toiminnan oletettiin käynnistyvän asteittain neljän vuoden kuluessa
yöuniaan ei paikantamisen takia vielä tarvitse menettää, mutta valppaana on syytä olla. Teksti: Marianne Saine Kuva: Anton KAlland/Tekes e lämme jo Orwellin kuvaamassa maailmassa, jossa kansalaisen olinpaikka pystytään paikantamaan varsin tarkasti. Pitääkö paikantamista pelätä? kansalaisen yksityisyys on koetteilla uuden tekniikan myötä. Toisaalta mattimeikäläisen paikkatieto sekoittuu vielä raakadataan, jota Isoveli tai kaupalliset toimijat eivät yksilötasolla kattavasti valvo. 4 TieTosuoja 2/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Jännite tulee siitä, että palvelun takana on monia toimijoita. matkapuhelinta mukanaan. Tarvitaan myös mekanismi, joka havaitsee, missä kännykkä liikkuu ja osaa yhdistää tämän liikkeen johonkin koordinaatistoon, tietosuojavaltuutetun toimiston IT-erityisasiantuntija Lauri Karppinen kuvaa nykytilannetta. Jos nimittäin kantaa Paikannus sinänsä on hyödyllistä ja haluttua, esimerkkeinä vaikkapa karttapalvelut, liikenteen ohjaaminen tai uudet viihdepalvelut. "Mobiilin päätelaitteen paikannuspalvelussa, kuten navigointipalvelussa, tarvitaan monen toimijan yhteistyötä: Tarvitaan taho, joka tuottaa karttoja ja toinen, joka kehittelee kartalle reittejä
lautakunta vakuuttui siitä, ettei kerättyjä tietoja käytetä mainontaan, niitä ei tulla julkaisemaan sellaisenaan eikä käyttäjä pysty tällä palvelulla selvittämään liityntäpisteen mac-osoitetta tai sijaintia. "GPs-paikannus on tarkkaa, mutta palvelun käynnistäminen varsin hidasta. Puhelinta seuraamalla saa tietää - ei pelkästään paikkaa - vaan myös sen, milloin henkilö on kotona, milloin töissä, milloin syö ja missä käy. ota tai jätä Kansalaisen asema paikannustietojen käsittelyssä on samantapainen kuin Facebookin käyttäjillä tai kauppojen kanta-asiakkailla. Paikannusta voitaisiin käyttää yleishyödyllisesti esimerkiksi liikenneruuhkien välttämiseen. Bonuksista tai ilmaispalvelusta ei makseta rahalla vaan luovuttamalla omia tietoja pal- Paikkatiedoista on moneksi Yksittäisen ihmisen paikkatietoja käytetään sekä yleishyödyllisiin, valvonnallisiin että puhtaasti kaupallisiin tarkoituksiin. Ja tietysti siitä, miten sillä ansaitaan rahaa", Karppinen toteaa. "Palveluntarjoajat eivät oikein vielä tiedä, mitä kaikkea he haluaisivat paikkatiedolla tehdä. Puhelin on henkilökohtainen laite, jota pidetään yleensä aina mukana. \ 2/2012 TieTosuoja 5. yhtiöt ilmoittivat tarjoavansa käyttäjille helpon ja maksuttoman tavan poistaa laitteensa mac-osoitteen tietokannasta ja estää jatkossa sen palauttaminen. Paikannustietojen käsittelyä rajoitetaan lainsäädännöllä. Läpinäkyvyys onkin kansalaisen kannalta paikannustietojen hyödyntämisen a ja o. Paikantamiseen liittyvät palvelut alkoivat kasvaa räjähdysmäisesti, kun älypuhelimet tulivat laajaan käyttöön. tukiaseman kautta tehty paikannus on nopeampaa, mutta harvaan asutussa suomessa puolestaan summittaisempaa", tietosuojavaltuutetun toimiston it-asiantuntija lauri karppinen kertoo. Esimerkiksi liikennepaikannuksen hyöty on jo kaikkien tiedossa. Toisaalta uusien palvelujen suunnittelijoiden luovaa hulluutta ei Karppisen mukaan pidä kahlita liikaa. "Nettikansalaiset odottavat, että palvelut ovat maksuttomia. Samaa paikkatietoa voitaisiin käyttää myös henkilövalvonnan välineenä tai ohjaamaan käyttäjiä tietyille reiteille kaupallisista syistä, esimerkiksi kohti ostoskeskuksia. "On syytä muistaa Henry Fordin kuuluisa lausahdus: Jos olisimme autoa suunnitellessamme kysyneet mitä ihmiset haluavat, he olisivat toivoneet nopeampia hevosia." \ "Jokaisella niistä on omia näkemyksiä siitä, miten paikannusta pitäisi käyttää. Hyöty voi muuttua riskiksi väärissä käsissä. Ja siksi käyttäjäkään ei saa sel- Lautakunnalta lupa langattomien verkkojen kartoitukseen Nokia ja Microsoft ovat saaneet tietosuojalautakunnalta luvan kartoittaa langattomien verkkojen tukiasemia. Siksi toimijoilla on ongelmia määritellä etukäteen, mihin paikkatietoa käytetään. tukiasemia halutaan käyttää paikannuksessa älypuhelinten yleistymisen takia. sisätiloissa GPs-paikannus ei toimi. tietosuojalautakunta antoi toukokuun lopussa nokialle ja microsoftille luvan kartoittaa myös langattomien verkkojen liityntäpisteet, kun autot kulkevat kuvaamassa katunäkymiä uutta streetside-karttapalvelua varten. Palvelujen luominen ja niiden ylläpitäminen ei sitä kuitenkaan ole", Karppinen muistuttaa. " Paikannuspalveluiden määrä alkoi kasvaa, kun älypuhelimet yleistyivät. keästi tietoonsa, mihin hän on suostumassa. Yleinen suostumus tietojen antoon esimerkiksi yrityksen palvelujen kehittämiseksi ei kerro kuluttajalle yhtään mitään", Karppinen sanoo. veluntuottajien käyttöön. Valppaana pitää kuitenkin olla, niin palvelujen käyttäjien, tietosuojan valvojien kuin mediankin. siksi tuloillaan on palveluita, joissa paikallistaminen tukiasemien avulla yhdistetään esimerkiksi rakennusten pohjapiirustuksiin. yhtiöiden on lautakunnan mukaan huolehdittava siitä, että käyttäjiltä pyydettävä suostumus on lainmukainen, raakadataa säilytetään rajatun ajan ja sitä ei luovuteta kolmansille osapuolille. lupa myönnettiin kolmeksi vuodeksi. Kuluttajat ovat vielä tilanteessa, jossa tietosuojariskejä voi pitävästi hallita vain klikkaamalla itsensä irti Facebookista tai sammuttamalla paikannuspalvelut kokonaan. Nykyisin puhelinten käyttösopimusten tieto on kuitenkin varsin ylimalkaista. Henkilöön yhdistettävissä olevia paikkatietoja pitää käsitellä niin vähän kuin mahdollista, käsittelystä pitää kertoa avoimesti ja yleensä antaa henkilölle mahdollisuus vaikuttaa asiaan tai kieltäytyä siitä. mac-osoite on tunniste, jolla yksilöidään verkkoon liitetty laite. GPS joko autossa tai matkapuhelimessa on hyvä apu
laatua tietojärjestelmiin
Tietotilinpäätös auttaa organisaatiota osoittamaan asiakkailleen ja sidosryhmilleen, että se noudattaa lainsäädäntöä ja hyvää tietojenkäsittelytapaa. Tietosuojavaltuutetun toimisto on julkaissut tietotilinpäätöksen teko-ohjeen, josta kerrotaan sivuilla 1617. Uuden tietosuojastandardin sisältöä käydään läpi sivuilla 810. Kesäkuun alussa voimaan tuli lakeja, jotka lisäävät tietojärjestelmien tarkastuksia. Valtion ja kuntien tietojärjestelmät toimivat paremmin yhdessä, kunhan tietohallintolain vaikutukset alkavat näkyä käytännössä. Väestörekisterikeskuksessa tietotilinpäätös on helpottanut toiminnan kehittämistä, todetaan sivulla 18. Mitä hyötyä tietohallintolaista on kunnille ja yrityksille. Sivuilla 1215 kerrotaan, mitä hyötyä uusista laeista on yrityksille ja viranomaisille. Tietohallintolain etenemisestä kerrotaan sivulla 19. Sitä pohditaan sivuilla 2021. 2/2012 TieTosuoja 7. LaaduLLa, ei tuurilla e chris sattleberGer/cultura/corbis/skoy huonot tietojärjestelmät haittaavat toimintaa ja vaarantavat tietoturvallisuuden. Perusteiltaan huolella rakennettu tietojärjestelmä puolestaan tuo kilpailuetua. laadukkaiden tietojärjestelmien rakentamiseen on useita työkaluja. nsimmäinen pelkkään tietosuojaan keskittyvä standardi antaa ICT-alalle kansainvälisen mallin yksityisyyden toteuttamisesta tietojärjestelmissä
laatua tietojärjestelmiin Tietosuojastandardi kulkee direktiivin linjoilla ensimmäinen pelkkään tietosuojaan keskittyvä standardi heijastelee eu-direktiivien linjauksia. Teksti: Frank Dawson ja Antti Saari 8 TieTosuoja 2/2012 t ietot urvan j a t ietosuoj an erikoisl ehti
Tunnistettavien henkilötietojen hallinnoija määrittelee, millaista henkilötietoa kuluttajasta kerätään, käytetään, annetaan kolmansille osapuolille tai muuten käsitellään. Arkaluontoinen tunnistettava henkilötieto on erityisen intiimiä tai muuten erityisen tärkeää henkilölle, jota se koskee, eli tunnistettavien henkilötietojen lähteelle. Vastuu kuluttajaa koskevista henkilötiedoista on tunnistettavien henkilötietojen hallinnoijalla, esimerkiksi sosiaalisen median palvelun ylläpitäjällä. Yksityisyyttä ei määritellä suoraan, vaan asiaa lähestytään standardissa käsittelemällä osa-alueita, jotka ovat tärkeitä käsiteltäessä henkilötietoja tietojärjestelmissä. Muihin tahoihin kuuluvat esimerkiksi kuluttajien mielipiteet omien henkilötietojensa käytöstä. 29100. Liiketoiminnan intressit voivat olla peräisin esimerkiksi toimialan käytännöistä ja standardeista tai liittyä suoraan liiketoimintamallin. Kuluttaja on mallissa tunnistettavien henkilötietojen lähde. Nykyisten tietoturvastandardien tukena toimiva tietosuojastandardi antaa tieto- ja viestintäteknologian toimijoille kansainvälisen standardimallin yksityisyydestä. Standardi onkin laadittu ajatellen erityisesti tekniikan ammattilaisia. Tunnistettava henkilötieto voidaan yhdistää yksilöön Uusi standardi määrittelee yksityisyydensuojan yleisen terminologian, mallin ja periaatteet. privacy) keskittyvän standardinsa ISO/IEC " Standardissa on käytetty tekniikkaväen ymmärtämää kieltä. Kuluttaja, hallinnoija ja käsittelijä Yksityisyydensuojan malli kuvataan standardissa henkilötietojen käsittelyn eri toimijoiden näkökulmista. Ajatuksena on myös rohkaista organisaatioita kehittämään tietojärjestelmiinsä uusia yksityisyyttä suojaavia ratkaisuja. Arkaluontoisiksi henkilötiedoiksi lasketaan esimerkiksi terveyteen, etniseen alkuperään, uskontoon, poliittisiin näkemyksiin tai seksuaaliseen suuntautumiseen liittyvät tiedot. Tekniikkaneutraali standardi Tietosuojastandardin periaatteet pohjautuvat viimeisten 30 vuoden aikana kehitettyihin yksityisyydensuojan malleihin, esimerkiksi OECD:n ohjeisiin, Yhdysvaltain liittovaltion kauppakomission FTC:n sääntöihin (Fair Information Practice Principles) sekä EU:n henkilötietodirektiiviin. Silloinkin vastuu henkilötiedoista säilyy hallinnoijalla. Vaatimuksia asettavat lait ja säädökset, sopimukset, liiketoiminnan intressit sekä muut tahot. Standardi määrittelee yleisellä tasolla, millaisia vaatimuksia eri tahoilla voi olla tunnistettavien henkilötietojen käsittelystä. Hallinnoija voi käyttää apunaan tunnistettavien henkilötietojen käsittelijää, joka kuvataan mallissa erillisenä toimijana. Se on tarkoitettu tukemaan henkilötietoja sisältävien tietojärjestelmien suunnittelua, toteutusta, käyttöä ja ylläpitoa yksityisyyttä suojaavalla tavalla. scanstockPhoto K ansainvälinen standardisoimisjärjestö ISO julkaisi viime vuoden lopulla ensimmäisen pelkkään yksityisyydensuojaan (engl. Siinä on myös yleiskatsaus yksityisyyden suojaamisen vaatimuksiin. Henkilötiedolla tarkoitetaan mitä tahansa ihmistä kuvaavaa tietoa. EU-maiden tietosuojavaltuutetut olivat standardin luoneen työryhmän asiantuntijoiden joukossa ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 2/2012 TieTosuoja 9. Kun tämä tieto voidaan yhdistää tiettyyn yksilöön, puhutaan tunnistettavasta henkilötiedosta
niitä luovutetaan vain järjestelmän tarkoituksen tai henkilötietojen lähteen edellyttämällä tavalla. \ 10 TieTosuoja 2/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. tietoja käsitellään vain ilmoituksen mukaisesti. \ sFs nokia tasolla eikä määrittele tai vaadi mitään tiettyä tek- tarvitsematta sotkeentua EU-lainsäädännön tai mui- fraNk DawsoN on nokian yksityisyydensuojan standardeista vastaavan yksikön johtaja. aNtti saari on it-standardisoinnin asiantuntija suomen standardisoimisliitossa. niitä säilytetään vain niin kauan kuin tarkoitus tai laki vaatii. laatua tietojärjestelmiin Yksityisyyden periaatteet standardin ISO/IEC 29100 mukaan suostumus ja valinnanvapaus kuluttajan tietoinen päätös antaa lupa tunnistettavien henkilötietojensa käsittelyyn ja oikeus kieltäytyä siitä tunnistettavia henkilötietoja käsitellään vain henkilötietojen hallinnoijan avoimesti kertomalla tavalla. tiedon luottamuksellisuuden, eheyden ja saatavuuden säilyttäminen henkilötietojen hallinnoija ja käsittelijä noudattavat lainsäädäntöä. Tarkoituksen laillisuus ja määrittely Tiedonkeruun rajoittaminen Tiedonkäsittelyn minimointi Käytön, säilytyksen ja luovuttamisen rajoittaminen oikeellisuus ja laatu avoimuus, läpinäkyvyys ja ilmoittaminen omien tietojen tarkistamismahdollisuus Vastuullisuus Tietoturvallisuus yksityisyydensuojan vaatimustenmukaisuus kirjoittajat vahvasti edustettuina. tunnistettavien henkilötietojen mahdollisimman vähäinen käsittely tunnistettavia henkilötietoja käsitellään vain järjestelmän tarkoituksen mukaisesti, ja ne pysyvät luottamuksellisina. henkilötietojen lähteellä on oikeus tarkistaa, korjata ja poistaa omat henkilötietonsa. Ehkä juuri siksi standardi myös pysyttelee käsitteellisellä nistä toteutusta. EU kuuluu näkyvimpiin tietosuojatoimijoihin, ja EU:n henkilötietodirektiiviä käytetään myös latinalaisessa Amerikassa, Aasiassa ja Afrikassa. Standardin yhtenä tarkoituksena on tarjota EU:n ulkopuolisille toimijoille kansainvälinen standardi, johon tukeutua den alueellisten säädösten kiemuroihin. tiedon eheyden säilyttäminen tunnistettavien henkilötietojen keräämistarkoitus ilmoitetaan avoimesti ja rehellisesti. Täten standardi heijastelee samanlaisia näkemyksiä kuin EU-direktiivitkin. tunnistettavien henkilötietojen hallinnoija ja käsittelijä todentavat täyttäneensä vastuunsa yksityisyydensuojasta parhaiden käytäntöjen mukaisesti ja heidän organisaationsa pyrkivät paitsi lain kirjaimen täyttämiseen, myös todentamaan käytäntönsä. tietoa saa kerätä vain siihen tarkoitukseen, johon henkilötietojen lähde on antanut luvan ja johon henkilötietojen hallinnoija on ilmoittanut tietoa keräävänsä
ValtioNhalliNNoN tietoturVaVaatiMukset koskeVat luokiteltua tietoa. Arvioinnin avulla viranomaiset voivat todistaa oman tietoturvansa tason esimerkiksi kansainvälistä yhteistyötä Viestintäviraston NCSA-FI-yksikkö toteuttaa molempien lakien tuomia uusia tehtäviä. Lainsäädännöllä on nyt luotu järjestelmä, jonka avulla yritykset voivat saada tietoturvallisuutensa tasosta riippumattoman arvioinnin ja valmistautua yritysturvallisuusselvityksiin. Tuolloin koko hallinnossa siirryttiin tiedon neliportaiseen luokitteluun. Tämä johtaa siihen, että myös tekniset suojaukset mitoitetaan oikein ja hukkainvestointeja tai suojauksen ylilyöntejä tapahtuu vähemmän. Tätä tarvitaan esimerkiksi kansainvälisissä hankintakilpailuissa. "Luokiteltu tieto on suojattava riittävällä tavalla, ja siksi tehdään järjestelmätarkastuksia." Mikä Ncsa-fi:N työssä Muuttuu ja Mikä pysyy. "Yksikkömme tekee edelleen esimerkiksi kansainvälisiin tarjouskilpailuihin osallistuvien suomalaisyritysten tietojärjestelmien arviointia. Ennen vanhaan puhuttiin esimerkiksi salaisesta tai ei-julkisesta tiedosta. "Valtionhallinnon tietoturvallisuusasetus on ollut voimassa noin puolitoista vuotta. Asetuksen tavoitteena kuitenkin oli, että hallinnon tieto luokitellaan samalla tavalla joka paikassa." Yhteismitallinen luokittelu luo tieto- järjestelmille yhteismitallisen suojausjärjestelmän. Tietosuoja-lehti kysyi NCSA-FI:n päälliköltä Rauli Paanaselta, mitä hyötyä 12 TieTosuoja 2/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Kyse on sellaisista tarjouskilpailuista, joihin osallistuvilta yrityksiltä vaaditaan yhteisöturvallisuusselvitystä ja siihen liittyvää kansallisen turvallisuusviranomaisen todistusta. "Usein viranomainen katsoo luokittelua vain omasta näkökulmastaan. Lisäksi tulevat arviointilaitosten ja valtionhallinnon tietojärjestelmien arviointi ja hyväksyntä." ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista. Nykyään tiedot on luokiteltu asetuksen mukaisesti eri suojaustasoihin." Paanasen mukaan viranomaisten on ollut vaikea omaksua muutosta, ja koulutusta tarvitaan vielä. laatua tietojärjestelmiin arviointi lisää tietojärjestelmien turvallisuutta uudet lait kehittävät yritysten ja viranomaisten tietoturvallisuuden arviointijärjestelmiä. Teksti: Marianne Saine | Kuvat: Kaapo Kamu ja shutterstock K varten. esäkuun alussa astuvat voimaan laki yritysten tietoturvallisuusvaatimusten arviointilaitoksista ja laki viranomaisten tietojärjestelmien uusista laeista on yrityksille ja viranomaisille. Näihin selvityksiin teemme tarkastukset. Mitä se oN. Viranomaisten tietojärjestelmien arviointi puolestaan parantaa hallinnon tietoturvaa ylipäätään
"ncsa-Fi on edelleen riippumaton tarkastusyksikkö eikä konsulttiorganisaatio. kaikilla eu-mailla on vastaava toimielin", ncsa-Fi-yksikön päällikkö rauli Paananen sanoo.
Uusien lakien jälkeen niitä tulee tehtäväksi yhteensä satoja. Asiakas päättää myös, mitä arvioidaan. Arviointi tehdään yhteistyössä kansallisen akkreditointielimen FINASin kanssa. Uutta henkilöstöä on rekrytoitu, pelisäännöt ja hyväksymisprosessit ovat kunnossa." "NCSA-FI on luonnollisesti edelleenkin riippumaton tarkastusyksikkö, emme ole konsulttiorganisaatio. Yksikkömme on tehnyt kymmenen hengen voimin kaikkiaan noin 6070 tarkastusta. "Arviointilaitoksia ei siis hyväksytä kumi- 14 TieTosuoja 2/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Sitten tarkistetaan tietojärjestelmän vaatimustaso suhteessa siihen, minkä tason tietoja järjestelmässä on." löytyykö yritystarkastuksissa tyypillisiä Virheitä. "Uudessa laissa on tosin myös pykälä, jonka mukaan valtiovarainministeriö voi pyytää meiltä selvityksiä tietoturvallisuudesta annettujen säännösten toteutumisesta nimeämässään kohteessa. Kaikilla EU-mailla on vastaava toimielin." lisääNtyykö tietojärjestelMieN auDitoiNti. Arviointilaitoksen pitää myös noudattaa hallinto- ja julkisuuslakeja. "Aina yrityksestä ei myöskään löydy henkilöstöä, jonka tehtäviin kuuluu omistaa tämä tieto ja sen suojaamisjärjestelmät." oNko ViraNoMaisteN tietojärjestelMieN arVioiNti pakollista. "Yritys voi tehdä tarkastuspyynnön joko meille tai hyväksytylle arviointilaitokselle." "Ensimmäinen selvitettävä asia on se, minkälaisia tietoja yrityksessä on, miten ne on luokiteltu, ja ovatko ne ylipäätään luokiteltu. "Yleisin korjattava asia on se, ettei tietoja ole osattu luokitella oikein - ei ole tunnistettu kohteita, joita pitää suojata. laatua tietojärjestelmiin "Suomessa ei ole aiemmin ollut viranomaisen hyväksymiä tietoturvallisuuden arviointilaitoksia", Paananen sanoo. Arviointilaitoslaki säädettiin, koska nähtiin, ettei viranomaisten määrää ole järkevää jatkuvasti kasvattaa." Lain myötä auditointeja tekevät NCSAFI:n lisäksi sen hyväksymät arviointilaitokset. NCSA-FI:n tekemään arviointiin liittyy myös yritysturvallisuusselvitys ja arviointityötä tekevien henkilöiden taustojen selvittäminen yhteistyössä Suojelupoliisin kanssa. Viranomaisella pitää olla jo etukäteen varmuus siitä, että yritys suojaa luokiteltuja tietoja oikein." MiteN yritykseN tarkastus tehDääN. Tämän korjaaminen voi tarkoittaa merkittäviäkin kustannuksia, jos suojaustaso on liian matala." Rahaa menee hukkaan myös silloin, jos on tehty turhia investointeja tietojen ylisuojaamisen vuoksi. "Uusi toiminto vaikuttaa merkittävästi yksikön toimintaan, mutta valmiina ollaan. "Vaatimukset arviointilaitoksen hyväksymiselle ovat varsin mittavat. Mitä hyötyä tarkastuksesta oN yritykselle. "Arviointi perustuu aina pyyntöön, eli se on vapaaehtoista. Silloin niiden välillä " Yleisin virhe on, että yritys on luokitellut tietonsa väärin. liikkuu luokiteltua tietoa, johon kohdistuu turvallisuusvaatimuksia. Jos ministeriö katsoo, ettei viranomaisilta tule tarpeeksi tarkastuspyyntöjä, se voi teettää lisäselvityksiä säännösten täytäntöönpanon tasosta." Millaisia VaatiMuksia arVioiNtilaitoksille asetetaaN. Sellaisia järjestelmiä, joissa liikkuu vain julkista tietoa, ei tarvitse tarkastaa. FINAS tutkii muun muassa yrityksen toiminnallista ja taloudellista riippumattomuutta." Laitokselle asetettavat vaatimukset on annettu arviointilaitoslaissa. Arviointia tehdään siellä, missä suojaustasoihin kuuluva tieto sijaitsee." Valtionhallinnossa pyritään nykyisin keskittämään järjestelmiä, joten jokaisella viranomaisella ei tarvitse olla omia. "Lisääntyy ehdottomasti. "Yrityksen on paljon helpompaa tehdä bisnestä viranomaisen kanssa, kun viranomainen voi luottaa yrityksen tietojen suojaukseen ja siihen, että suojauksissa toimitaan lainsäädännön mukaan." "Ajatellaan vaikka yritystä, joka haluaa tehdä bisnestä kotimaisen tai ulkomaisen viranomaisen kanssa
Jos yritys haluaa arviointilaitokseksi, sen on yleensä palkattava lisähenkilöstöä ja sen myötä laajentaa toimitilojakin. ncsa-Fi hyödyntää keräysjärjestelmien tarkastuksessa samaa kansallista turvallisuusauditointikriteeristöä kuin muissakin tarkastuksissaan. Arviointiin kuuluu myös laitoksen toiminnan jatkuva seuranta. " syNtyykö suoMeeN Nyt arVioiNtilaitosteN suMa. Joitakin hyväksytyn laitoksen arviointeja tullaan myös seuraamaan, jotta varmistutaan niiden tasosta. 3 ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 2/2012 TieTosuoja 15. Pieni yritys ei tähän hevin pysty." \ NCSA-FI tarkastaa myös kansalaisaloitteen keräysjärjestelmät VähiNtääN 50 000 äänioikeutetulla suomen kansalaisella on maaliskuusta lähtien ollut oikeus tehdä eduskunnalle aloite jonkin lain säätämiseksi. aloitetta tukevat kannatusilmoitukset voidaan kerätä myös verkossa, ja silloin viestintäviraston ncsa-Fi-yksikön vastuulla on tarkastaa ja hyväksyä tietojärjestelmä, jossa aloitteet laaditaan ja johon kannatusilmoitukset kerätään. leimasimena. \ Lue lisää NCSA-FI:stä pääkirjoituksesta s. Joissakin tapauksissa yrityksen sisälle pitäisi perustaa toinen yritys, joka olisi puhtaasti riippumaton arviointilaitos. "Niitä ei tulle kovin monta, lakivalmistelussa lukumääräksi arvioitiin viisi." Paanasen mukaan tietoturvayritysten tekemä konsultointityö sotii arviointilaitoksilta edellytettävää riippumattomuutta vastaan: "Samat ihmiset eivät voi yhtäältä konsultoida ja toisaalta tehdä tarkastusta
Nykyisin onkin olemassa selkeä tarve tietovarantojen hallinnan kokonaisvaltaiseen tarkasteluun. Organisaatiot voivat kuitenkin oma-aloitteisesti ottaa tietotilinpäätöksen käyttöönsä jo nyt. Taloudellista tilinpäätöstä täyden- tällä hetkellä henkilötietolain periaatteisiin. Tietosuojaa koskeva lainsäädäntö saattaa tulevaisuudessa edellyttää tilintekovelvollisuusperiaatteen mukaisten menettelyjen käyttöön ottamista. Tälle kehitykselle luonteva jatkumo on tilinpäätösluonteisen tarkastelun ulottaminen tietovarantoihin, tietojohtamiseen, tietojenkäsittelyyn ja tietoturvallisuuteen. Tietotilinpäätöksen avulla voidaan arvioida ja edistää myös tietohallintolaissa veluiden ostaminen ja hyödyntäminen niin sanottujen pilvipalvelujen avulla luo uusia haasteita tietojen turvalliselle ja vastuulliselle käsittelylle. Näiden tavoitteiden edistämiseksi ja kilpailuetuja saadakseen vastuulliset täviä raportoinnin muotoja ovat yhteiskunta- ja ympäristövastuuraportit sekä henkilöstötilinpäätös. Tietotilinpäätös toteuttaa myös niin sanottua tilintekovelvollisuuden (engl. Sen mukaan organisaatio itse näyttää, että se noudattaa lakia sekä hyviä tietojenkäsittely- ja tiedonhallintatapoja. Julkishallinnon virastoissa ja laitoksissa tietotilinpäätös kuvaa viranomaisen toiminnan julkisuudesta annetussa laissa tarkoitetun hyvän tiedonhallintatavan noudattamista. Riskien minimointi, hyvän maineen rakentaminen sekä kansalaisten ja kuluttajien luottamuksen säilyttäminen ovat asioita, joista on tulossa ratkaisevan tärkeitä kaikkien sektoreiden toiminnan menestymiselle. Vääriin käsiin joutuneet henkilötiedot ovat uhka tietojen kohteen eli rekisteröidyn oikeuksille ja tietojen suojauksen laiminlyönnistä vastuullisen organisaation toiminnalle. Näin syntyvä raportti, tietotilinpäätös, antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta ja kehittämistarpeista. Tietotilinpäätös kuvaa myös henkilötietolain mukaisen hyvän tietojenkäsittelytavan noudattamista. Varmistaa lainmukaisen toiminnan Useiden tietotilinpäätöksessä käsiteltävien asioiden huomioon ottaminen sisältyy jo 16 TieTosuoja 2/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. accountability) periaatetta. Erityisesti verkkoympäristössä tietosuojaan liittyvät puutteet koetaan ongelmana asioinnin luotettavuuden ja käytettävyyden kannalta. laatua tietojärjestelmiin Tietotilinpäätös ei taakaksi vaan tueksi tietotilinpäätös auttaa organisaatiota osoittamaan asiakkailleen ja sidosryhmilleen, että se noudattaa hyvää tietojenkäsittelytapaa. Teksti: Heikki Huhtiniemi tarkoitettua tietojärjestelmien yhteentoimivuutta. Lisää luottamusta Erilaisten tietovarantojen ympärille kehittyy jatkuvasti uusia palveluja, jotka ovat tärkeitä koko tietoyhteiskunnan menestymiselle. Esimerkiksi tietokonekapasiteetin ja -pal- T ilinpäätöksellä on pitkä historia yritysten ja yhteisöjen taloudellisen aseman raportoinnin muotona. Näitä asioita ovat esimerkiksi suunnittelu-, huolellisuus- ja suojaamisvelvoitteet
Tilinpäätöstä voidaan käyttää myös tarkemmin tietojohtamisen sekä siihen kuuluvien riskienhallinnan ja valvonnan välineenä. Se antaa johdolle välttämättömän kokonaiskuvan informaatioarkkitehtuurista sekä organisaation toiminnassaan tarvitsemista tiedoista ja niiden välisistä suhteista. Yritys voi itse harkita, missä laajuudessa se teettää tietotilinpäätöksen. \ johdon apuväline Tietotilinpäätös voi palvella organisaation johtamista monin eri tavoin. Tietotilinpäätös voi olla luonteeltaan dynaaminen asiakirja, jonka sisältöä muokataan kohderyhmäkohtaisesti. lisää netissä: haltik on tietotilinpäätösten edelläkävijä www.tietosuoja-lehti.fi scanstockPhoto organisaatiot käyttävät toimintaansa tukevia menettelytapoja ja tekevät enemmänkin kuin lainsäädäntöön sisältyvät vähimmäisvaatimukset edellyttävät. Tietotilinpäätöksessä vaadittava dokumentointi ohjaa käymään asioita läpi systemaattisesti ja siten myös tunnistamaan tietojenkäsittelyn kehittämistarpeita. tyhjentävää kaavaa tietotilinpäätökseen sisällytettävistä tiedoista vaan neuvoa siinä, kuinka laaditaan organisaation toiminnan kannalta tarkoituksenmukainen tietotilinpäätös. Tarkoituksena ei ole tarpeettomasti lisätä organisaation hallinnollista taakkaa vaan tukea sen tehokkuutta ja kilpailukykyä. Tietotilinpäätös voidaan nivoa osaksi organisaation yleistä tilinpäätös- tai toimintakertomusmenettelyä, tulosohjausta tai tulosraportointia. Esimerkiksi tietojen suojauksesta ja valvonnasta voidaan raportoida johdolle yksityiskohtaisesti, kun taas muille sidosryhmille kohdistetussa tietotilinpäätöksessä voidaan samoja asioita kuvata yhteenvetona tai kokonaisarviona. \ Lue Väestörekisterikeskuksen kokemuksista tietotilinpäätöksen tekemisestä seuraavalla sivulla ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 2/2012 TieTosuoja 17. Sen tarkoituksena ei ole esittää aiheesta enemmän tietosuojaValtuutetuN toimiston opas tietotilinpäätöksen tekemisestä: www.tietosuoja.fi \ kirjoittaja ylitarkastaja heikki huhtiNieMi on valmistellut tietotilinpäätöstä koskevan oppaan tietosuojavaltuutetun toimistossa. Tietotilinpäätöstä voidaan käyttää sekä organisaation sisäisen valvonnan apuvälineenä että täyttämään lainvalvontaviranomaisten tiedonsaantitarpeita. Toimiala ja toiminta vaikuttavat sisältöön Tietotilinpäätöksen sisältö voi vaihdella organisaation toimialasta ja toiminnan laadusta riippuen. Tietosuojavaltuutetun toimisto on julkaissut tietotilinpäätöksen tekemisestä oppaan. Tietojohtamiseen sisältyy myös tietoturvan ja tietosuojan säännöllinen arviointi ja raportointi
Esimerkiksi äestörekisterikeskuksessa (VRK) ajatus tietotilinpäätöksen tekemisestä sai alkusysäyksensä eduskunnasta, joka hyväksyi lain vuoden 2011 tilinpäätösluonnosta käsiteltäessä johtoryhmä käsitteli kaikki kehitysehdotukset kerralla nimeten niille toimenpiteet, vastuuyksikön ja aikataulun. Hautalan lisäksi työryhmään kuului tietoturvapäällikkö ja laaja joukko asiantuntijoita, joiden merkitystä tietotilinpäätöksessä esiteltävän tiedon valikoinnissa ja keräämisessä Hautala painottaa. Tärkeää on, että johto sitoutetaan hankkeeseen jo mietintävaiheessa. Olisiko hyvä, jos yhteistyökumppanitkin tekisivät tietotilinpäätöksiä. laatua tietojärjestelmiin jyrki vesa "Ei raporttia raportoinnin vuoksi" väestörekisterikeskuksessa tietotilinpäätös on helpottanut tietojen käsittelyn seurantaa ja voimavarojen kohdentamista. kokonaisuudessaan. Tietotilinpäätös on myös systematisoinut tietojen käsittelyn kehittämistä. "Juristin tai tietoturvapäällikön on turhaa miettiä yksinään raportoitavia tietoja ja nii- Tiedot yhteen pakettiin VRK:n tietotilinpäätös kattaa sen toiminnan ydinalueet; väestötietojärjestelmän ja varmennetietojärjestelmän tietojen käsittelyn 18 TieTosuoja 2/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. "Ainakin VRK:ssa on ollut tärkeää, että mitatusta tiedosta on meille hyötyä, ja että tietotilinpäätös ei ole raportointia raportoinnin vuoksi." Muita organisaatioita hän kehottaa miettimään, millainen tietotilinpäätös olisi niille hyödyllinen. "toiminnalle ja johdolle ei ole mitään hyötyä asioita kaunistelevasta raportista. Valmiin tietotilinpäätöksen tulokset kannattaa esitellä koko henkilöstölle. "Johdon ja muun henkilöstön työ helpottuu, kun tietoja ei tarvitse hakea monesta paikasta", Hautala sanoo. Hän ei kuitenkin haluaisi tietotilinpäätöksen tekemisestä kaikille pakollista. Vuoden 2011 tietotilinpäätös julkistetaan tänä kesänä. ensimmäinen kerta on työläin Kun VRK:n johto oli tehnyt päätöksen tietotilinpäätöksen tekemisestä, Hautalan johtama työryhmä alkoi koota tietoja. "Tärkeää on myös seurata, mitä havaituille asioille kuuluu, jotta ne eivät jää vain havainnoiksi paperille", Hautala muistuttaa. "Ei siitä missään nimessä haittaa olisi, koska se voisi kehittää heidän toimintaansa", Annina Hautala sanoo. Tietotilinpäätöksen etuna on Hautalan mukaan myös se, että sillä voidaan kertoa suurelle yleisölle, miten heidän tietojaan käsitellään ja miten tietojen käsittelyä valvotaan. Päädyimme siihen, että tietotilinpäätös olisi hyvä tehdä raportointivelvollisuuden täyttämiseksi sekä tietojen käsittelyn seurannan ja valvonnan kehittämiseksi", neuvontalakimies Annina Hautala Ensimmäisen tietotilinpäätöksensä VRK teki vuodesta 2010. Näin nähtiin, mihin voimavaroja kannattaa kohdentaa ja mihin ne riittävät. Mitatun tiedon kuten väestötietojärjestelmästä tehtyjen kyselyjen määrien esittelyn lisäksi tietotilinpäätös kokoaa tietojen käsittelyn tilan yhteen pakettiin. "Laki toi VRK:lle uuden velvollisuuden raportoida vuosittain tietosuojavaltuutetulle muun muassa väestötietojärjestelmän lokitietojen käsittelystä. "Toisella kerralla laatiminen oli jo paljon helpompaa, koska totesimme, että sama kokonaisuus oli edelleen relevantti." V kertoo. Teksti: Päivi Männikkö organisaation tarpeiden mukaan Väestörekisterikeskuksella on paljon alihankkijoita sekä viranomais- ja yritysasiakkaita, jotka tekevät muun muassa kyselyjä väestötietojärjestelmään. den merkitystä." väestörekisterikeskuksen neuvontalakimies annina hautala toivoo tietotilinpäätöksen tekijöiltä rehellisyyttä. mutta ei hyviä asioitakaan ole syytä pitää piilossa." Ensimmäisellä kerralla työläintä oli raportoitavan kokonaisuuden rakentaminen. \ väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista 2009
Valtionhallinnossa on käytettävä yhteisiä perustietotekniikka- ja tietojärjestelmäpalveluja, joiden käytöstä säädetään tarvittaessa valtioneuvoston asetuksella. Ohjeita on annettu esimerkiksi kokonaisarkkitehtuurista, julkishallinnon tietohallinnon suosituksia koskevasta JHS-järjestelmästä sekä tietojärjestelmähankintojen lausuntomenettelystä. it-hankkeiden toteuttamisessa on huomioitava vaatimukset hankkeiden arvioinnista ja olemassa olevien palveluiden hyödyntämisestä. "Johdon tehtävä on varmistaa, että organisaatiossa on riittävä osaaminen", Kiviniemi muistuttaa. kokonaisarkkitehtuurin kehittämistä ohjaa valtiovarainministeriö. "Avainhaaste on, miten jalkauttaa ja toimeenpanna tiukassa taloustilanteessa näin laaja, koko hallintoa koskeva kokonaisuus. Kokonaisarkkitehtuurille on niin vahva tilaus, että hallinto on lähtenyt mukaan kehittämiseen ja yhteistyöhön, vaikka laissa ei ole säädetty sanktioista. Valtion virastojen on hankittava valtiovarainministeriön lausunto merkittävistä tietojärjestelmähankkeistaan. linjauksista ja määrityksistä voidaan säätää asetuksilla, jotka sitovat niin valtion kuin kuntienkin viranomaisia. julkisen hallinnon viranomaisten on kuvattava toimintansa sen mukaisesti yhteentoimivuuden edistämiseksi. Keskeistä on johdon ja tietohallinnon yhteistyö." \ Parempia palveluita Lain mukaan viranomaisten tulee suunnitella ja kuvata tietohallintonsa julkisen hallinnon kokonaisarkkitehtuurin mukaisesti sekä rakentaa yhteisiä ICT-palveluja. Tärkeä näkökulma on toiminnan laatu. Lisäksi tätä edesauttaa koko elinkaarelle ulottuva auditointi ja akkreditointi," Kiviniemi sanoo. Yhteentoimivuus parantaa laatua tietohallintolaki lisää valtion ja kuntien tietojärjestelmien yhteentoimivuutta. Teksti: Markku Summa Tietohallintolain pääkohdat keskeiNeN osa lakia on viranomaisia yhdistävä kokonaisarkkitehtuuri. "Lain toimeenpanon vaikutuk- sitä mukaa kuin suunnitelmallisuus, vaatimusmääritykset ja lain mukainen lausuntomenettely lisääntyvät. "Laki myös selkeyttää vastuita ja rooleja", hän jatkaa. j ulkisen hallinnon tietohallinnon ohjausta koskeva laki tuli voimaan viime vuoden syyskuussa. se on kuvaus siitä, miten organisaation toimintaprosessit, yksiköt, tiedot ja järjestelmät toimivat kokonaisuutena. \ sesta kuntien ja valtionhallinnon tietojärjestelmien perusteet yhdenmukaistuvat niin, että järjestelmät toimivat paremmin yhteen ja päällekkäisyydet vähenevät", sanoo valtiovarainministeriön Julkisen hallinnon ICTtoimintoa johtava Mikael Kiviniemi. "Yhteisten palveluiden laatu paranee aiheesta enemmän ValtioVaraiNMiNisteriöN julkict-toiminnon ylläpitämä verkkosivusto www.yhteentoimivuus.fi \ Lue lisää tietohallintolaista ja sen vaikutuksista seuraavalta aukeamalta ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 2/2012 TieTosuoja 19. Koulutuksen merkityksestä ja tuen antamisesta on puhuttu eri yhteyksissä. "Tätä tukee olennaisesti myös Valtionhallinnon tietoturvallisuuden johtoryhmän VAHTIn jatkuva ja laaja tietoturvatyö." johdon ja tietohallinnon yhteinen asia Kiviniemen mukaan lakiin liittyviä ohjeita ryhdyttiin valmistelemaan jo hyvissä ajoin ennen lain voimaantuloa, ja niihin on kiinnitetty erityistä huomiota. laissa ja tulevissa asetuksissa on siirtymäajat, jonka aikana nykyiset järjestelmät on saatettava tietohallintolain mukaisiksi. Sen eteenpäin vieminen pitää saada nivotuksi osaksi päivittäistä johtamista
laatua tietojärjestelmiin odotettu uudistus lisää yhteistyötä tietohallintolain soveltamiseksi kuntien on tehtävä entistä enemmän yhteistyötä toistensa ja yritysten kanssa. Teksti: Markku Summa | Kuva: Ari Korkala 20 TieTosuoja 2/2012 t ietot urvan j a t ietosuoj an erikoisl ehti