Uusi tiedonhallintalaki pyrkii parantamaan erityisesti viranomaisten yhteistoimintaa. Laki edellyttää muun muassa tiedonhallintamallin kuvaamista, muutosten vaikutusten arviointia, tietojen vaihtoa viranomaisten välillä sekä riskilähtöistä tietoturvallisuutta.
Julkishallinnon tehostaminen ja joustava asiakkaiden palvelu edellyttävät yhteistyötä viranomaisilta. Tietojen, järjestelmien ja toimintaketjujen muodostamat kokonaisuudet kasvavat ja monimutkaistuvat jatkuvasti. Kokonaisuuden hallinta on ollut haasteellista.
Lain edellyttämä tiedonhallintamalli on kuvaus toimintaympäristön tiedonhallinnan kokonaisuudesta. Uusi laki ei edellytä yksityiskohtaisia ja monimutkaisia kuvauksia vaan perustiedot prosesseista, tietovarannoista ja tietojärjestelmistä sekä niiden välisistä yhteyksistä.
Aiemmin suurena haasteena on ollut yhteentoimivuutta tukevien arkkitehtuurikuvausten monimutkaisuus, hajanaisuus ja ylläpito. Osittain tämä on johtunut lainsäädännön epätäsmällisyydestä ja osittain tavasta tehdä liian yksityiskohtaisia kuvauksia.
Muuttuvassa toimintaympäristössä on tärkeä suunnitella, miten lain vaatimus käytännössä toteutetaan. Selkeät ohjeet ja vastuut kuvausten ylläpidosta sekä kuvausten päivittämisen liittäminen muutosprosesseihin onkin jatkossa onnistumisen edellytys.
Tiedonhallintalaki edellyttää muutosten vaikutusten arviointia suunniteltaessa olennaisia hallinnollisia uudistuksia ja tietojärjestelmien käyttöönottoja. Muutosten vaikutusten arvioinnissa on otettava huomioon tietovarantojen yhteentoimivuus ja hyödynnettävyys.
Muutosten vaikutusten arvioinnilla pyritään ennakoimaan muutoksiin liittyviä taloudellisia ja toiminnallisia riskejä myös sidosryhmien kannalta ja saattamaan suunnitelmat realistiselle pohjalle. Arvioinnissa voidaan esimerkiksi selvittää, kuinka paljon muutoksella on vaikutuksia sidosryhmien tietojärjestelmiin ja kuinka paljon kustannuksia niihin tarvittavista muutoksista seuraa.
Tiedonhallintamalli luo edellytykset muutosten vaikutusten laajuuden hahmottamiselle ja siten malli on hyvä tuki vaikutusten arvioinnille. Muutosten vaikutusten arviointi edellyttää myös aiempaa tiiviimpää yhteistyötä eri viranomaisten sekä tiedonhallintaan osallistuvien yritysten välillä.
Jatkossa viranomaisten on säilytettävä asiakirjat sähköisessä muodossa ja hyödynnettävä toisten viranomaisten tietoaineistoja. Asiakkailta ei saa vaatia sellaisia tietoja, jotka ovat saatavissa toisilta viranomaisilta.
Tämä edellyttää teknisten rajapintojen tai katseluyhteyksien avaamista. Näiden yhteyksien avaaminen on suuritöisin laista seuraava muutos, joka tulee vaikuttamaan moniin tietojärjestelmiin.
Uusi tiedonhallintalaki edellyttää tietojen käsittelyyn kohdistuvien riskien selvittämistä ja niiden mukaisia turvallisuustoimenpiteitä. Laki edellyttää tietoaineistojen koko elinkaaren aikaista hallintaa ja nostaa erikseen esiin käyttöoikeuksien hallinnan ja lokitietojen keräämisen.
Käytännössä tietoturvallisuuden rima on nostettu sellaiselle tasolle, että ilman suunnitelmallista tietoturvallisuuden hallintaa, asetettujen vaatimusten täyttäminen on hyvin haasteellista. Toiminnan painopisteen tuleekin siirtyä reagoivasta tietoturvasta riskilähtöiseen tietoturvauhkien ennakointiin.
Kirjoittaja DI Olli Pitkänen on tietoturvakonsultti, jolla on laaja kokemus tietoturvallisuuden hallinnan kehittämisestä.