Julkisen hallinnon tiedonhallinnasta annetun lain (906/2019, tiedonhallintalaki) tarkoituksena on varmistaa tiedon laadukas hallinta ja tietoturvallinen käsittely julkisuusperiaatteen toteuttamiseksi. Tarkoituksena on myös mahdollistaa viranomaisten tietoaineistojen turvallinen ja tehokas hyödyntäminen sekä edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta. Tiedonhallintayksikkönä toimivien viranomaisten lisäksi tiedonhallintalakia sovelletaan joiltain osin yksityisiin henkilöihin sekä yhteisöihin. Mitä velvollisuuksia tiedonhallintalaki asettaa näille toimijoille?
Tiedonhallintalain mukaan tiedonhallintayksikön johdon vastuulla on huolehtia, että tiedonhallintayksikössä on ajantasaiset ohjeet tietoaineistojen käsittelystä, tietojärjestelmien käytöstä, tiedonhallinnan vastuiden toteuttamisesta, tiedonsaantioikeuksien toteuttamisesta, tietoturvallisuustoimenpiteistä sekä poikkeusoloihin varautumisesta. Tiedonhallintayksikön johdon on myös huolehdittava, että tarjolla on koulutusta, jolla varmistetaan, että henkilöstöllä ja tiedonhallintayksikön lukuun toimivilla on riittävä tuntemus voimassa olevista tiedonhallintaa, tietojenkäsittelyä sekä asiakirjojen julkisuutta ja salassapitoa koskevista säädöksistä, määräyksistä ja tiedonhallintayksikön ohjeista.
Lisäksi tiedonhallintalaissa velvoitetaan huolehtimaan asianmukaisista työvälineistä turvallisen tiedonhallinnan toteuttamiseksi ja riittävästä valvonnasta tiedonhallintaan liittyvien määräysten, säädösten ja ohjeiden noudattamisesta. Tiedonhallintayksikön on julkisuusperiaatteen toteuttamista varten myös ylläpidettävä tiedonhallintalain mukaista kuvausta sen hallinnoimista tietovarannoista ja asiarekisteristä.
Tiedonhallintalain velvoittamat toimenpiteet, kuten ajantasaisten tietoturvakoulutusten järjestäminen ja turvallisuusohjeiden päivittäminen, ovat tärkeitä mm. tietomurtojen estämiseksi. Tietomurron saattaa mahdollistaa työntekijän virheellinen toiminta tai puutteet tietoturvaosaamisessa. Esimerkiksi tietojenkalastelun avulla rikolliset voivat pyrkiä saamaan käyttäjästä henkilötietoja tai kirjautumistietoja. Uhrilta voidaan huijata kirjautumistiedot käyttämällä esimerkiksi aidolta näyttävää kirjautumissivua, joka kerää käyttäjien tunnuksia rikollista toimintaa varten. Saatuja tietoja voidaan käyttää käyttäjätilien avaamiseen tai identiteettivarkauksiin. Tällaisista rikoksista voi koitua suuria taloudellisia menetyksiä. Huolehtimalla työntekijöiden tietoturvaosaamisesta suojataan samalla koko tiedonhankintayksikön turvallisuutta.
Onko organisaatiossanne varmistettu riittävät toimenpiteet tietoturvallisuuden toteuttamiseksi? Mietityttääkö tiedonhallintalain mukaiset velvoitteet tai niiden täyttäminen? Me Suomen Hankintajuristit autamme tarvittaessa tiedonhallintalain mukaisten tietoturvaohjeiden laatimisessa ja koulutusten järjestämisessä. Olettehan mielellään yhteydessä kaikissa kysymyksissä tiedonhallintalakiin liittyen!