LINJAUS: SUOMI.FI-PALVELUVÄYLÄN KÄYTTÖVELVOITTEESTA POIK- KEAMINEN

Samankaltaiset tiedostot
Suomi.fi-palvelut ja kirjastot. Matti Sarmela

KaPA-laki* ja sähköisen asioinnin tukipalvelut

Palveluhallinta Suomi.fi- palveluissa. KaPA- lain aamukahvit Säätytalolla Joonas Kankaanrinne, Väestörekisterikeskus

Asetus valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä

Suomi.fi-maksujen käyttöönotto valtionhallinnossa. VALTION TALOUSHALLINTOPÄIVÄ Finlandia-talo

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

KÄYTTÖLUPAHAKEMUS PALVELUTIETO- VARANTOON. Suomi.fi-palvelutietovaranto

Viestintäviraston NCSA-toiminnon hyväksymät salausratkaisut

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Laki. EDUSKUNNAN VASTAUS 59/2011 vp

Webinaarin sisällöt

TIETOHALLINTOLAKI (LUONNOS) Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen

laeiksi julkisen hallinnon tietohallinnon ohjauksesta

Kansallinen palveluarkkitehtuuri Tilanne ja lainsäädäntö

Suomi.fi-palveluväylä

NCSA-FI:n hyväksymät salausratkaisut

Julkaistu Helsingissä 15 päivänä kesäkuuta /2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

Auditoinnit ja sertifioinnit

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto

Kansallinen palveluarkkitehtuuri Tilanne ja lainsäädäntö

Ohje arviointikriteeristöjen tulkinnasta

Laki. EDUSKUNNAN VASTAUS 191/2013 vp

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot

Varmaa ja vaivatonta viestintää kaikille Suomessa

VRK yhteisenä tiedonhallintaa ja digitalisaatiota edistävänä toimijana. Juhta, Sami Kivivasara

Luonnos LIITE 1

Palveluhallinta Suomi.fi- palveluissa. KaPA- info Janne Viskari

Laki. julkisen hallinnon yhteispalvelusta annetun lain muuttamisesta

Toivo-ohjelmaan liittyvä keskeinen lainsäädäntö. Hallituksen esitysten mukaisesti Mikko Huovila / STM OHO DITI

1. Yleiset kommentit lakiehdotuksesta. Lausunto VRK/430/2018. Asia: VM003:00/2017 VM/155/ /2018

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

suomi.fi Suomi.fi-palveluväylä

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Ehdotus hallituksen esitykseksi laiksi hallinnon yhteisistä sähköisen asioinnin tukipalveluista (VM140:06/2013)

Laki. hallinnon yhteisistä sähköisen asioinnin tukipalveluista. 1 luku. Yleiset säännökset. Lain tarkoitus ja soveltamisala

Monikäyttöinen tiedon jakeluratkaisu Suomi.fi-palveluväylää hyödyntäen

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

SELVITYS TIETOJEN SUOJAUKSESTA

Kansallinen palveluväylä

Viestintäviraston NCSA-toiminnon hyväksymät salausratkaisut

Viestintäviraston tulkintamuistio vahvan ja heikon tunnistuspalvelun

Valtioneuvoston asetus

Julkaistu Helsingissä 31 päivänä joulukuuta /2013 Laki. valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä

Viestintäviraston NCSA-toiminnon hyväksymät salausratkaisut

Liikenne- ja viestintävirasto Traficomin suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Lausunto Julkisen hallinnon linjauksiin tiedon sijainnista ja hallinnasta pyydämme yleisesti huomioimaan seuraavaa:

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Viestintäviraston NCSA-toiminnon suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Suomi.fi-palveluväylä

Palvelukuvaus v Alkujaan digitaalisen aineiston vastaanoton ja säilyttämisen palvelu

Suomi.fi-palvelutietovaranto

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä

Päätös. Laki. sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Lintulahdenkuja 4, Helsinki / Teknologiakatu 7, Kokkola. Puhelin (vaihde) , sähköposti kirjaamo(a)vrk.fi

Valtioneuvoston asetus

Yhteentoimivuus ja tiedonhallintalaki

Valtioneuvoston asetus lausuntomenettelystä tietohallinnon hankintoja koskevissa asioissa

Tiedon hallinnan ajankohtaispäivä 11.4 Ylitarkastaja, Tomi Kytölä

Suomi.fi -viestit palvelun käyttöönotto Marjut Siintola Digikuntakokeilun verkostotapaaminen

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Valtioneuvoston asetus

Muutos. Nopea, jatkuva, kiihtyvä ja pysähtymätön

Tiedote yleisen tietosuoja-asetuksen mukaisista tiedonsiirroista sopimuksettoman brexitin tapauksessa

Ehdotus hallituksen esitykseksi laiksi hallinnon yhteisistä sähköisen asioinnin tukipalveluista

Verohallinnon KaPA-tilanne. Jukka Kyhäräinen, Verohallinto Ohjelmistotalopäivä

1. Dokumentin tarkoitus Aikataulu ja projektin läpivienti Aikataulu Työmäärä ja kustannukset... 4

LAUSUNTO. LAUSUNTO VRK/5246/ (6) Saavutettavuus KEH/EL

Sähköisen asioinnin ensisijaisuus

FI Moninaisuudessaan yhtenäinen FI A8-0305/4. Tarkistus. Mireille D'Ornano ENF-ryhmän puolesta

Varda varhaiskasvatuksen tietovaranto

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Kysely- ja välityspalvelu

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet. Lausunto

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

Varmaa ja vaivatonta viestintää

7 Poliisin henkilötietolaki 50

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Julkisen hallinnon ICT:n kehittäminen. Kuntien paikkatietoseminaari Tommi Oikarinen, valtiovarainministeriö

Suomi.fi-palveluväylä. Palvelulupaus ja tiekartta

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

LIITE: OHJEITA OPETUKSEN JA KOULUTUKSEN JÄRJESTÄJILLE

JUHTA asetus ja asettaminen. JUHTA Sami Kivivasara, VM JulkICT

Tiedonhallintalaki HE-luonnos Julkisen hallinnon tiedonhallinnan ohjaus ja yhteistyö , Juhta Sami Kivivasara

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

LUKIOKOULUTUS JA SEN JÄRJESTÄMINEN. Johtaja Jorma Kauppinen Helsinki/Utsjoki

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT

EDUSKUNNAN VASTAUS 95/2004 vp. Hallituksen esitys Euroopan Avaruusjärjestöä koskevan yleissopimuksen sopimuspuolten ja

Salassapitosopimus 2018

Transkriptio:

LINJAUS VRK/1338/2019 1 (7) Väestörekisterikeskuksen linjaus liittyen poikkeamiseen LINJAUS: SUOMI.FI-PALVELUVÄYLÄN KÄYTTÖVELVOITTEESTA POIK- KEAMINEN Linjattava toimiala tai toimija Suomi.fi-palveluväylän käyttövelvoitetut organisaatiot Linjauspäätös Tämä linjauspäätös on hallinnollinen päätös linjauspäätöksessä mainitulle toimialalle tai toimijalle. Väestörekisterikeskus on arvioinut hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain (571/2016) soveltuvuutta ja linjattavan toimialan tai toimijan mahdollisuutta poiketa laissa mainitusta käyttövelvoitteesta koskien Suomi.fi-palveluväylän käyttöä. Jäljempänä mainittujen perusteiden nojalla Väestörekisterikeskus linjaa seuraavaa. Väestörekisterikeskus katsoo Suomi.fi-palveluväylän käyttövelvoitettujen organisaatioiden voivan poiketa käyttövelvoitteessa seuraavissa tilanteissa: Tietojen vastaanottajana organisaatio, jolla ei käyttövelvoitetta Eräajo-tyyppiset siirrot, joihin on olemassa ratkaisu Liittymät työasemaohjelmistoihin ja mobiililaitteisiin ST III tason tiedonsiirto Mikäli organisaatio katsoo asiointipalvelunsa täyttävän jonkun Väestörekisterikeskuksen edellä linjaamista poikkeusperusteista, voi se lähtökohtaisesti suoraan VRK:n kirjaamiin perusteisiin nojaten poiketa. Väestörekisterikeskus kuitenkin edellyttää tällöin organisaation ilmoittavan kirjallisesti Väestörekisterikeskukselle, mihin edellä mainittuihin perusteisiin nojaten palvelun käytöstä poiketaan ja millä perusteilla. Kirjalliseen ilmoitukseen organisaation tulee kirjata: Mikä palvelu on kyseessä Mihin poikkeusperusteeseen nojaten poiketaan Perustelut poikkeamiselle

LINJAUS VRK/1338/2019 2 (7) Väestörekisterikeskus voi hylätä tai hyväksyä organisaation tekemän ilmoituksen. Mikäli Väestörekisterikeskus katsoo ilmoituksen olevan linjauksen perusteiden mukainen, ilmoitus hyväksytään ja organisaatio voi käyttää Suomi.fi-palveluväylän tilalla jotain muuta ratkaisua. Väestörekisterikeskus voi kuitenkin organisaation ilmoituksen johdosta tehdä päätöksen, ettei ilmoitus riitä kyseessä olevaan käyttövelvoitteesta poikkeamiseen. Tällöin Väestörekisterikeskus voi hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain 7 :n nojalla pyytää organisaatiolta lain mukaista poikkeuslupahakemusta tukipalvelun käyttövelvoitteesta poikkeamiseksi. Ilmoitusmenettelyn perusteluiden kautta organisaation edellytetään harkitsevan sitä, onko kyseessä jo määritelty poikkeamisperuste, vai tuleeko organisaation todellisuudessa hakea poikkeuslupaa. Tämän linjauksen sisältö ei ole tyhjentävä, vaan mahdolliset muut esiin tulevat poikkeusperusteet arvioidaan erikseen. Perustelut Hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain (571/2016) 5.1 :ssä todettujen käyttövelvoitettujen organisaatioiden tulee ottaa Suomi.fi-palveluväylä käyttöön. Lisäksi lain 8 :ssä säädetään yksityisten toimijoiden oikeudesta käyttää palveluväylää. Lain 5.1 :ssä todetaan mahdollisista poikkeusperusteista jollei viranomaisen ole teknisistä tai toiminnallisista tai kustannustehokkuuteen taikka tietoturvallisuuteen liittyvistä syistä välttämätöntä käyttää toiminnassaan tai sen osassa muuta palvelua. Hallituksen esityksessä on todettu, että näitä poikkeusperusteita on tulkittava suppeasti. Poikkeusperusteina tulevat arvioitavaksi siis tekniset, toiminnalliset, kustannustehokkuuteen tai tietoturvallisuuteen liittyvät syyt. Tekniset ja toiminnalliset syyt voivat tarkoittaa esimerkiksi sitä, ettei tukipalvelu täytä sellaisia olennaisia palvelun laadun taikka muun toiminnallisuuden vaatimuksia, joita käyttäjäorganisaatio tehtävänsä suorittamiseksi tarvitsee Tietoturvallisuuteen liittyvät syyt tarkoittavat esimerkiksi arkaluontoisten henkilötietojen erityistä suojaamistarvetta tai turvaluokitellun tietoaineiston käsittelyvaatimusten täyttämistä sekä sen arvioimista, voidaanko tukipalveluissa käsitellä tällaisia tietoja ja millaisilla mahdollisilla erityisjärjestelyillä Kustannustehokkuus voi yhdessä toiminnallisuusperusteen kanssa tulla kyseeseen käyttövelvollisuudesta poikkeamisen perusteena esimerkiksi kun arvioidaan käyttövelvollisuutta suhteessa jo tehtyjen valtakunnallisten ja alueellisten investointien hyödyntämiseen. Kustannustehokkuus- ja toiminnallisuussyyt voivat puoltaa järjestelmien yhteensovittamista aiempien ratkaisujen korvaamisen sijaan. Lain 7 :ssä säädetään käyttövelvollisuuden poikkeusprosessista. Lainkohdan mukaisesti tukipalvelun käyttöön velvoitetun on käyttövelvollisuudesta poiketakseen haettava velvollisuudesta poikkeamista kyseistä tukipalvelua tuottavalta palvelutuottajalta. Palvelutuottajan on ennen kielteisen päätöksen antamista annettava hakijalle mahdollisuus saattaa asia valtiovarainministeriön

LINJAUS VRK/1338/2019 3 (7) ratkaistavaksi. Valtiovarainministeriö voi myös omasta aloitteestaan tai palvelutuottajan pyynnöstä ottaa asian ratkaistavakseen, jos kyse on tässä laissa tarkoitetun yleisen ohjauksen tai julkisen hallinnon tietohallinnon ohjauksen kannalta merkittävästä asiasta. Väestörekisterikeskus on tehnyt linjauspäätöksen siitä, missä tilanteissa organisaation ei edellytetä käyttävän Suomi.fi-palveluväylää perustuen lainsäädännöstä johdettaviin poikkeusperusteihin. Seuraavissa tapauksissa organisaation ei tarvitse hakea poikkeuslupaa Suomi.fi-palveluväylän käyttöön, vaan se voi suoraan ilmoitusmenettelyllä poiketa käyttövelvoitteesta. Tiedon saajana organisaatio, jolla ei ole käyttövelvoitetta Organisaatiot, joilla on käyttövelvoite Palveluväylän käyttöön, on mainittu laissa hallinnon yhteisistä sähköisen asioinnin tukipalveluista (5.1 ). Laissa luetellut organisaatiot ovat: valtion hallintoviranomaiset, virastot, laitokset ja liikelaitokset; kunnalliset viranomaiset niiden hoitaessa laissa niille säädettyjä tehtäviä; tuomioistuimet ja muut lainkäyttöelimet. Laki edellyttää, että käyttövelvoitetut organisaatiot ovat velvollisia käyttämään Palveluväylää, kun tukipalvelu on käytettävissä ja kyseistä tukipalvelua vastaavan itsenäisesti hankitun palvelun palvelusopimus on päättynyt. Yksityisillä taas on käyttöoikeus Palveluväylän käyttöön. Lain 8 :n mukaan yksityiset yhteisöt, säätiöt ja elinkeinonharjoittajat saavat käyttää kansallista palveluväylää tietojen siirtoon. Viranomaiset välittävät ja vastaanottavat paljon tietoa organisaatioilta, joilla ei ole käyttövelvoitetta Palveluväylän käyttöön. Laissa ei määritellä sitä, tuleeko viranomaisen välittää tietoa Palveluväylän kautta myös silloin, kun vastapuolella ei lähtökohtaisesti ole käyttövelvoitetta palvelun käyttöön. Palveluväylään liityttäessä organisaatioiden tulee tehdä palvelun edellyttämät infrastruktuuriin liittymät investoinnit sekä huolehtia palvelun operointiin liittyvistä jatkuvista kustannuksista. Mikäli organisaatiolla ei ole käyttövelvoitetta Palveluväylän käyttöön, palvelun vaatimat investoinnit sekä hallinta yleensä edellyttävät sitä, että organisaatiolla on intressejä käyttää palvelua. Mikäli kyseessä on organisaatio, joka ei katso Palveluväylän olevan tarpeellinen organisaaton käyttöön, on viranomaisen lähtökohtaisesti mahdotonta siirtää tietoja Palveluväylän kautta kyseiselle organisaatiolle. Laissa on lueteltu poikkeamisperusteet, joiden toteutuessa organisaatio voi poiketa Palveluväylän käytöstä. Yksi poikkeamisperuste on tekniset ja toiminnalliset syyt. Mikäli palvelu ei teknisistä taikka toiminnallisista syistä ole mahdollista, voi organisaatio poiketa käyttövelvoitteestaan. Väestörekisterikeskus katsoo, että viranomaisen välittäessä tietoja organisaatiolle, jolla ei ole Palveluväylän käyttövelvoitetta, voi viranomainen itse poiketa Palveluväylän käyttövelvoitteesta ja välittää tietoja muulla tarpeelliseksi katsomallaan tavalla. Poikkeamisperusteen katsotaan olevan toiminnallinen, jonka myötä Palveluväylän käyttö ei käytännössä ole mahdollista vastaanottajatahon käyttäessä jotain muuta tiedonsiirtokanavaa, kuin Palveluväylää. Väestörekisterikeskus edelleen katsoo, että tilanteessa, jossa lainsäädäntö ei edellytä vastaanottavaa organisaatiota käyttämään Palveluväylää, ei lain mukaan voida vastaanottajaa velvoittaa palvelun käyttäjäksi ja sen myötä palvelun käyttö kyseisissä tilanteissa on teknisesti mahdotonta. Käyttäessään mainittua poikkeamisperustetta käyttövelvoitetun organisaation on kuitenkin kuvattava Palveluväylän toteutuksen rinnalle tehdyn ratkaisun varmenteet, katalogit sekä rajapintakuvaukset.

LINJAUS VRK/1338/2019 4 (7) Eräajo-tyyppiset siirrot, joihin on olemassa ratkaisu Organisaatioiden väliseen tiedon vaihtoon käytetään edelleen perinteisiä tiedonsiirtotapoja, esimerkiksi SFTP-siirtoja. Organisaatiot välittävät tietoja keskenään eräajo-tyyppisillä siirroilla, jolloin tiedonsiirtojen yhteydessä ajetaan tyypillisesti tarvittavat eräajot, joilla päivitetään tietokannat uusilla tiedoilla. Usein tiedon siirto ei tapahdu reaaliaikaisesti, vaan tiettynä määriteltynä hetkenä esimerkiksi kerran päivässä. Tiedonsiirtotavat ovat kehittyneet ja toteutettu ennen Palveluväylää ja organisaatioiden siihen määriteltyä käyttövelvoitetta. Olemassa olevat organisaatioiden väliset eräajo-tyyppiset toteutukset ovat hyvin kustannustehokkaita, jonka myötä uusien liittymien toteuttaminen tapahtuu pääsääntöisesti alle yhden henkilötyöpäivän työllä. Palveluväylän käyttövelvoitteesta voidaan poiketa kustannustehokkuuteen perustuvilla syillä. Hallituksen esityksen (HE 59/2016) mukaan kustannustehokkuus voi yhdessä toiminnallisuusperusteen kanssa tulla kyseeseen käyttövelvollisuudesta poikkeamisen perusteena esimerkiksi, kun arvioidaan käyttövelvollisuutta suhteessa jo tehtyjen valtakunnallisten ja alueellisten investointien hyödyntämiseen. Kustannustehokkuus- ja toiminnallisuussyyt voivat puoltaa järjestelmien yhteensovittamista aiempien ratkaisujen korvaamisen sijaan. Arvio tulee tehdä ottaen huomioon toisaalta asiointipalvelun ja toisaalta kunkin yhteisten sähköisen asioinnin palvelun erityispiirteet Suomi.fi-palveluväylän erityispiirteenä on se, että palveluun liittyminen aiheuttaa organisaatioille kustannuksia sekä käyttöönottovaiheessa että operatiivisen toiminnan osalta. Kustannusperusteisiin vedoten poikkeamisperustetta on tulkittava suppeasti, joten Palveluväylän käytön poikkeamisesta johtuvat kustannussäästöt tulee olla merkittäviä, jotta kyseistä poikkeusperustetta voidaan soveltaa. Organisaatioiden käytössä olevat eräajo-tyyppisiin siirtoihin toteutetut tiedonsiirtotavat ovat hyvin kustannustehokkaita verrattuna siihen, että organisaatio siirtyisi käyttämään Palveluväylää nykyisen toteutuksen sijaan. Väestörekisterikeskus katsoo, mikäli organisaatiolla on jo olemassa kustannustehokas ratkaisu eräajo-tyyppisiin siirtoihin organisaatioiden välillä, organisaatio voi poiketa Palveluväylän käyttövelvoitteesta kustannustehokkuuden perusteella. Linjauspäätös koskee vain jo käytössä olevia tiedonsiirtomenetelmiä, eikä sitä voida soveltaa uusien ratkaisujen toteuttamiseen. Mikäli organisaatio siirtyy käyttämään jotain muuta ratkaisua nykyisen sijasta, tulee sen lähtökohtaisesti käyttää Palveluväylää myös eräajo-tyyppisten tietojen siirtoon. Väestörekisterikeskus edelleen huomauttaa, että linjaus perustuu Palveluväylän linjauksen antamishetkellä tarjoamaan toiminnalliseen kokonaisuuteen, joten palvelun kehittyessä VRK voi muuttaa linjausta siten, että palvelua tulisi käyttää riippumatta siitä, mikä ratkaisu organisaatiolla on jo käytössä eräajo-tyyppisiin siirtoihin. Liittymät työasemaohjelmistoihin ja mobiililaitteisiin Organisaatioiden käytössä on sovelluksia, joissa on tarve tarjota rajapintoja myös ohjelmistoihin, jotka toimivat työasemilla tai mobiililaitteissa. Työasemaohjelmistoihin ja mobiililaitteisiin ei ole mahdollista tai teknisesti tarkoituksenmukaista asentaa Palveluväyläliitynnän edellyttämiä komponentteja, kuten esimerkiksi liityntäpalvelimia. Myös liityntäpalvelimien operointiin liittyvä asiakasjärjestelmien pääsyn hallinta sekä käyttövaltuuksien hallinta on työasemaohjelmistojen ja mobiililaitteiden osalta teknisesti haastavaa. Hallituksen esityksessä tukipalvelun käyttövelvoitteesta voidaan poiketa teknisiin ja toiminnallisiin syihin vedoten tilanteessa, jossa tukipalvelu ei täytä sellaisia olennaisia palvelun laadun taikka

LINJAUS VRK/1338/2019 5 (7) muun toiminnallisuuden vaatimuksia, joita käyttäjäorganisaatio tehtävänsä suorittamiseksi tarvitsee. Väestörekisterikeskus katsoo, että Palveluväylän liityntä työasemaohjelmistoihin ja mobiililaitteisiin ei palvelun teknisistä toiminnallisuuksista johtuen täytä työasemaohjelmistojen ja mobiililaitteiden edellyttämiä toiminnallisuuden vaatimuksia. Väestörekisterikeskuksen linjauksen mukaan käyttövelvoitettu organisaatio voi poiketa Palveluväylän käyttövelvoitteesta tilanteessa, jossa merkittävä osa tiedon välityksen vastapuolista käyttää työasemaohjelmistoja tai mobiilisovelluksia. Väestörekisterikeskus edellyttää kuitenkin, että tilanteessa, jossa käyttövelvoitettu organisaatio käyttää muuta integraatioteknologiaa kuin Palveluväylää, tulee sen kuvata rajapinnat liityntäkatalogille, jotta muut organisaatiot voivat löytää rajapinnat. Suojaustason III (ST III) tiedonvälitys Viranomaisilla on ajoittain tarve välittää ST III -tason tietoa toisilleen. Suomi.fi-palveluväylän kautta voidaan välittää alimman suojaustason aineistoa (ST IV) ilman erityisjärjestelyjä. ST IV suojaustason tiedon siirtämiseen tietoverkoissa liittyvät Viestintäviraston vaatimukset on toteutettu ja otettu huomioon Suomi.fi-palveluväylän käytössä. Väestörekisterikeskus määrittää tähän liittyen esimerkiksi sen, minkä pituisia salausavaimia ja varmenteita käytetään liityntäpalvelimissa. ST III tason tietoa on mahdollista välittää Palveluväylän kautta erityisin järjestelyin. Mikäli organisaatiot haluavat välittää ST III tason tietoa, tulee heidän keskenään huolehtia sopimuksellisesti ja teknisesti mahdollisten tiukempien tietoturvavaatimusten täyttämisestä. Välitettäessä ST III tason tietoa erityisin järjestelyin, ovat tiedon välitykseen osallistuvat organisaatiot vastuussa suojaustason asettamien vaatimusten täyttymisestä Palveluväylän osalta. Viestintäviraston Kyberturvallisuuskeskuksen kansainvälisiin tietoturvavelvoitteisiin liittyviin tehtäviin kuuluu salaustuotteiden hyväksyntä kansainvälisen turvallisuusluokitellun tiedon suojaamiseksi Suomessa. Salaustuotteiden hyväksyntäviranomaisesta käytetään EU:ssa lyhennettä CAA (Crypto Approval Authority). Viestintäviraston Kyberturvallisuuskeskuksen dokumentissa Viestintäviraston NCSA-toiminnon hyväksymät salausratkaisut (dnro 1240/651/2017) luetellaan organisaatiot, joiden salaustuotteiden suojaustaso on hyväksytty ST III tasolle. Dokumentin mukaan salaustuotteiden hyväksyntäviranomaisen hyväksyntää edellytetään salaustuotteelta, kun haetaan hyväksyntää tietojärjestelmälle tai tietoliikennejärjestelyille, perustuen kansainvälisten tietoturvavelvoitteiden täyttämiseen (L 588/2004). Hyväksyntää voidaan edellyttää myös silloin, kun hyväksyntäprosessin perustana on laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (L 1406/2011). Viestintäviraston NCSA-toiminnon kansallisen hyväksynnän perusteena on salaustuotteen tietoturva-arviointi, jonka toimivaltainen salaustuotteiden hyväksyntäviranomainen on tehnyt tai valvonut. Arviointiin perustuen Viestintävirasto pitää yllä listaa organisaatioista, joiden salausratkaisut on hyväksytty ST III tasolle. Väestörekisterikeskus ei katso Suomi.fi-palveluväylän olevan soveltuvan sellaiseen tarkoitukseen, jossa organisaatiot, joiden suojaustaso on Viestintäviraston päätöksellä hyväksytty ST III tasolle, välittävät keskenään ST III tason tietoa ilman erityisin järjestelyin. Tähän liittyen Väestörekisterikeskus katsoo, että organisaatioilla tulee olla Viestintäviraston hyväksymät ST III tason ympäristöt (tietojärjestelmä ja siirtoon käytettävä tietoverkko), jotta Palveluväylän käyttövelvoitteesta voidaan poiketa perustuen laissa mainittuun poikkeamisperusteeseen tietoturvallisuudesta. Tällöin molempien osapuolien ympäristöt tulee olla Viestintäviraston ST III tason hyväksymiä. Mikäli organisaation tietojärjestelmää tai tietoliikennejärjestelyä ei ole Viestintäviranomaisen päätöksellä hyväksytty ST III tasolle, tulee organisaation lähtökohtaisesti käyttää myös ST III

LINJAUS VRK/1338/2019 6 (7) tason tiedonsiirrossa Palveluväylää käyttäen lähtökohtaisesti Viestintäviraston Kyberturvallisuuskeskuksen dokumentissa Viestintäviraston NCSA-toiminnon hyväksymät salausratkaisut tasolle ST III määriteltyä salaustuotetta ja salaamalla sen avulla Palveluväylän yli siirrettävä ST III suojaustason tieto. Kyseisen ST III suojaustason tiedon salaus on tehtävä ennen kuin tietoa siirretään Palveluväylään ja siirretään sitten sen avulla tietoverkon yli. Vastaavasti salauksen purku on vastaanottavassa päässä tehtävä vasta tietojen Palveluväylästä lukemisen jälkeen. Lisäksi tulee huomioida, että Palveluväylää ei voida käyttää tietojen salaamiseen käytettävien salausavainten vaihtoon. Tällä tavalla toimimalla ST III suojaustason tiedon siirto on tarvittavan tietoturvallista. Mikäli palvelun käytöstä poikkeamiselle on muita perusteita siirrettäessä ST III tason mukaista tietoa, tulee organisaation hakea poikkeuslupaa Väestörekisterikeskukselta poikkeuslupamenettelyn mukaisesti. Linjauksen voimassaolo ja edellytetyt toimet Tämä linjaus on voimassa toistaiseksi. Väestörekisterikeskuksella on oikeus perustellusta syystä muuttaa tekemäänsä linjausta. Suomi.fi-palveluväylän hyödyntämisestä tämän linjauksen perusteella edellyttää poikkeamisen johdosta tehtävää ilmoitusta Väestörekisterikeskukselle ilmoitusmenettelyn mukaisesti. Mikäli organisaatio poikkeaa muiden kuin tässä linjauspäätöksessä mainittujen perusteluiden vuoksi, tulee kyseisen organisaation hakea poikkeuslupaa Hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain 7 :n mukaisesti.

LINJAUS VRK/1338/2019 7 (7) Lisätietoja Lisätietoja tähän lupaan liittyen antavat Väestörekisterikeskuksen Asiakkaat-yksikön asiantuntijat, palveluvayla-kayttoonotot@vrk.fi. Päätöksen allekirjoitus Helsinki 11.3.2019 Johtaja Timo Salovaara Kehityspäällikkö Atte Pirttilä

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute