Tietotilinpäätös tietosuojan dokumentoinnissa 12.30 Parhaat käytännöt: tietotilinpäätösmalli Tuula Seppo @tuula_seppo
Sisältö Yleistä tietotilinpäätöksestä Tietotilinpäätösmallin läpikäynti 2
Yleisiä havaintoja tietotilinpäätöksestä Tietotilinpäätös ei ole vielä vakiintunut johdon työkaluna Vapaaehtoinen kerran vuodessa tehtävä sisäisen tietojohtamisen raportti Laadinta on usein tietosuojavastaavalla Eivät ole kuntasektorilla kovin yleisiä V. 2017 tietotilinpäätös oli vain 8 % kaikista kunnista (suurimmilla 17%) (PG Seppo 2017) Julkisuus/salassapito, ovatko vain organisaation sisäisiä dokumentteja On usein yleisluonteinen ja selostava Tarve saada yhteismitallisia ja todellisia tietosuojan ja tietoturvan tilaa koskevia mittaristoja Myös henkilötietojen käsittelijöiden huomiointi 3
Tietotilinpäätöksen tehtävä Tietotilinpäätöksellä tärkeä rooli osoitusvelvollisuuden toteuttajana sekä läpinäkyvyyden ja avoimuuden osoittajana Toteuttaa ns. accountability- eli tilintekovelvollisuus-periaatteetta Organisaation tulee itse näyttää, että se noudattaa lakia ja hyvää henkilötietojen käsittelytapaa Raportointia sekä omalle organisaatiolle että ulkoisille sidosryhmille 4
Tietotilinpäätöksen tehtävä Kokonaiskuva tietojenkäsittelyn tilasta ja henkilötietojen käsittelyn elinkaarta kuvaava arviointi Arvioi tietojenkäsittelyn nykytilaa, tietosuojaa, tietoturvaa Osa riskienhallintaa ja sisäistä valvontaa Hyvää hallintotapaa ja luottamuksen rakentamista Näyttää miten yksilön ja organisaation oikeudet ja velvollisuudet toteutuvat Tietosuojaperiaatteiden (5 art.) noudattaminen ja toteutuminen 5
Tietotilinpäätöksen merkitys 1.Tietojenkäsittelyllä on merkitystä kilpailukykyyn, vaikuttavuuteen, tehokkuuteen 2.Tärkeää tietoa myös sidosryhmille ja asiakkaille 3.Rekisterinpitäjien välinen yhteistyö 4.Apuväline kehittämistoimenpiteiden seurantaan 5.Lainsäädännön toteutuminen 6
TIETOTILINPÄÄTÖS DOKUMENTIN EI TULISI OLLA VAIN SELOSTAVA SAAVUTUSTEN LUETTELO!
Tietotilinpäätö s malli Malli pohjautuu Kati Suojasen ja Minna Järvisen raporttiin Tietotilinpäätös sen prosessit, toimijat ja rakenne, Raportti Kuntaliitolle valittujen dokumenttien ja haastattelujen pohjalta (2018) Löytyy https://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit työpaja nro 14 Mallia on työstetty eteenpäin Turun kaupungin, Suonenjoen kaupungin ja Kuntaliiton (Tuula Seppo) toimesta Tulemme lisäämään mallin vielä kuvitteellisen Tyrskylän kunnan tietotilinpäätöksen Valmis ennen juhannusta, tullaan julkaisemaan Kuntaliiton sivuilla Pelkkä päivitetty malli on saatavilla myös tämän koulutukseen osallistuville 8
Tietotilinpäätösmalli - mikä se on Tehdään vuosikellon mukaan Tarkoitus osoitusvelvollisuuden toteennäyttäminen, luottamuksen osoittamista henkilökunnalle, sidosryhmille, asiakkaille Tietotilinpäätös on organisaatiokohtainen dokumentti, joka muotoutuu kunkin organisaation omien tarpeiden ja merkitysten mukaan. Johdon työvälinen ja sisäisen valvonnan työkalu Määriteltävä onko erikseen julkinen ja salassapidettävä osio Esitettävän mallin rakenne ja sisältö ovat vain viitteellisiä Voi huomioida myös tiedolla johtamisen ja tiedon hyödyntämistä laajemmin 9
Salassa vai ei Julkisuus vs. salassapito Julkisuuslaki: Salassa pidettävät viranomaisen asiakirjat 24 (32 kohtaa) Julkisuuslaki: Asiakirjasalaisuus 22 : Viranomaisen asiakirja on pidettävä salassa, jos se tässä tai muussa laissa on säädetty salassa pidettäväksi tai jos viranomainen lain nojalla on määrännyt sen salassa pidettäväksi taikka jos se sisältää tietoja, joista on lailla säädetty vaitiolovelvollisuus Mm. 7) henkilöiden, rakennusten, laitosten, rakennelmien sekä tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevat ja niiden toteuttamiseen vaikuttavat asiakirjat, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna turvajärjestelyjen tarkoituksen toteutumista; 8) asiakirjat, jotka koskevat onnettomuuksiin tai poikkeusoloihin varautumista, väestönsuojelua taikka turvallisuustutkintalain (525/2011) mukaista tutkintaa, 17) asiakirjat, jotka sisältävät tietoja valtion, kunnan tai muun julkisyhteisön tai 4 :n 2 momentissa tarkoitetun yhteisön, laitoksen tai säätiön liikesalaisuudesta 10
Mallin rakenne - yhteistyössä eri toimijoiden kanssa Jokainen luku sisältää selitysosuuden ja kysymysosuuden Pääosissa tietosuojatietoturvariskinhallinta, myös tiedolla johtamista Lopussa mittareita Sitä saat mitä mittaat 11
Sisällysluettel o TIIVISTELMÄ TIIVISTELMÄ JOHDOLLE 1. JOHDANTO 2. TIETOSUOJAN JA TIETOTURVALLISUUDEN TOTEUTTAMINEN 3. TIEDONHALLINTA, TIETOVARANNOT JA TIETOVIRRAT 4. LAINSÄÄDÄNTÖ JA MUU OHJEISTUS 5. REKISTERÖIDYN OIKEUKSIEN TOTEUTUMINEN 6. ARVIOINTI, KEHITTÄMINEN JA TIEDON HYÖDYNTÄMINEN 7. SEURANTA JA MITTARIT 12
Tietotilinpäätös - malli TIIVISTÄ KUVILLA JA KAAVIOILLA VÄÄNNÄ RAUTALANGASTA Julkinen tiivistelmä Tiivistelmä tietosuojaan, tietoturvaan, riskienhallintaan ja yleiseen tiedonhallintaan liittyvistä havainnoista ja tärkeimmistä tapahtumista sekä kehittämistarpeista Hyödynnetäänkö esim. tekoälyä, tietoa, onko avointa dataa Onko tehty tiedolla johtamista Tiivistelmä johdolle Keskeiset havainnot ja mittarit ja ehdotukset toimenpiteistä Johdon tulee saada kokonaiskuva henkilötietojen käsittelyn nykytilasta ja kehittämistarpeista Miten kunta hyödyntää tietopääomaansa ja miten tiedolla johtaminen toteutuu 13
Tietotilinpäätös - malli Johdattele asiaa Käytä selkeää kieltä Kirjoita omin sanoin, vältä kapulakieltä Käytä kuvia, kaavioita, diagrammeja 1. Johdanto Keskeiset havainnot Miten tiedot kerätty Onko osa strategiaa Salassapito vs. julkisuus Julkaisemistieto Kuka työstä vastaa 14
Tietotilinpäätös - malli 2. Tietosuojan ja turvallisuuden toteuttaminen Hallintamalli ja vastuut Seloste käsittelytoimista Tietosuojavastaavan rooli Koulutukset, toimintapolitiikat, ohjeistukset Tekniset ja organisatoriset toimenpiteet Laatustandardit Saatavuus Luottamuksellisuus 3. Tiedonhallinta, tietovarannot ja tietovirrat Keskeiset tietovarannot ja tietojärjestelmät Elinkaaren hallinta Kokonaisarkkitehtuurikuvaukset, tiedonohjaussuunnitelmat, prosessikuvaukset Tietovirrat Pilvipalvelut Tiedonsaanti, tietojen luovuttaminen Sähköinen asiointi, rajapinnat, katseluyhteydet, avoin data 4. Lainsäädäntö ja muu ohjeistus Keskeinen lainsäädäntö ja muu ohjeistus Sote omavalvontasuunnitelma Sertifikaatit Auditoinnit 15
Tietotilinpäätös - malli 5. Rekisteröidyn oikeuksien toteutuminen Rekisteröidyn oikeuksien toteutuminen Mistä löytyy esim. tietosuojaselosteet ja muu informointimateriaali Tietopyyntö-virheenkorjauslokitietopyyntöprosessit Henkilötietojen tietoturvaloukkausprosessit Harjoittelu 6. Arviointi, kehittäminen ja tiedon hyödyntäminen Nykytilanne Kehittämistavoitteiden toteutuminen Suositukset Tiedolla johtaminen ja tiedon hyödyntämisnäkökulma Kokonaisarvio asiakastyytyväisyydestä, henkilökunnan tyytyväisyydestä ja tiedonhallintaan liittyvien prosessien toimivuus 7. Seuranta ja mittarit Mittareiden valinta ja seuraaminen Apuna mm. VRK digiturvakysely Mittareiden ryhmittely 1. Tietohallinto, riskien arviointi ja tarkastukset 2. Tietovarannot 3. Osaaminen ja ohjeistus 4. Rekisteröidyn oikeudet 16
Esimerkkejä mittareista Tunnus Mittari Sote Muut Vuosi 2017 Vuosi 2018 Tietohallinto Työasemat Riskien arviointi ja tarkastukset Tehdyt riskianalyysit Tietovarannot kpl kpl KA kuvaus valmius % TOS valmius % Osaaminen ja ohjeistus Koulutukset % Rekisteröidyn oikeudet Tietosuojaselosteet ja informointi % 17
HAASTE Keksi mitä Tyrskylän kunnassa on tapahtunut vuonna 2018 ja miten he ovat siitä selvinneet? 18
Kuntaliitto tiedottaa ja auttaa Kuntaliitto https://www.kuntaliitto.fi/ Ajankohtaista https://www.kuntaliitto.fi/uutishuone/ajankohtaista Tiedotteet https://www.kuntaliitto.fi/uutishuone/tiedotteet Uutiskirjeet https://www.kuntaliitto.fi/kuntaliitto/uutiskirjeet Tiedonhallinta https://www.kuntaliitto.fi/asiantuntijapalvelut/osallistuminen-javuorovaikutus/tietoyhteiskunta/tiedonhallinta Palvelusähköpostiin kysymykset Tietoyhteiskunta@kuntaliitto.fi 19
Tietotilinpäätös nykytilakartoituksesta kohti kehittämistavoitteita Tuula Seppo, erityisasiantuntija, KTM, YTM tuula.seppo@kuntaliitto.fi @tuula_seppo Kommunforbundet.fi PB 200, 00101 Helsingfors Kommunernas hus, Andra linjen 14 00530 Helsingfors