Terveyden ja hyvinvoinnin laitos THL Lausunto 04.07.2017 Asia: VM/711/00.01.00.01/2015 Julkisen hallinnon ICTlinjauksia Linjausten tarkoitus Linjausten tavoitteet Linjausten tavoitteet on esitetty selvästi. Tavoitteiden kautta on mahdollista arvioida linjauksia ja niiden vaikutuksia luontevasti. Linjausten valmistelussa on yleisesti hyvä käydä asetetut tavoitteet huolella läpi ja varmistaa, että esitettyjä periaatteita noudatetaan johdonmukaisesti. Erityisesti tulisi kiinnittää huomiota siihen, että linjaukset, niiden kieli ja perustelut ovat asiakas ja toimintalähtöisiä. Nykytilassa linjauksissa korostuu hyvin tekninen näkökulma verrattuna linjausten perusteeseen ja aikaväliin. Keitä nämä linjaukset koskevat Linjausten kohderyhmä on esitetty melko selkeästi ja kiitettävän kattavasti. Väärinkäsitysten välttämiseksi voi olla tarpeen määritellä ICTpalvelut ja palvelutuotanto yksikäsitteisesti. Linjausten painopiste on ilmeisesti perustietotekniikan palveluissa, mutta muotoilu antaa mahdollisuuden laajempaan tulkintaan. Visio 2025 Syytä olisi siis tarkentaa, onko kohderyhmä julkisen hallinnon ICTpalvelut julkisen hallinnon käyttämät vai tarjoamat palvelut vai molemmat. Lausuntopalvelu.fi 1/6
Visio on muotoiltu hyvin ja sen perusviesti yhteentoimivuudesta ja hallinnasta toistuu kiitettävästi läpi linjausten. Visiossa puhutaan tehokkaista mittareissa ja kustannustehokkaista ratkaisuista; nämä voisi yhtenäistää, jotta visio ja linjaukset olisivat keskenään yhteentoimivia. Mittareiden osalta on esitetty hyviä ja tavoiteltavia laadullisia väitteitä. Mittareiden määrittelyssä tulisi pyrkiä määrittelyihin, joiden mittaustapa on myös määritelty. Esimerkiksi paikkaan ja aikaan sitomatonta työskentelyä voisi mitata etäyhteyksien määrällä ja kestolla suhteessa raportoituun työaikaan tai niiden palvelujen osuudella, jotka eivät vielä ole etäyhteyksin saavutettavissa. Mittarit eivät myöskään täysin vastaa visiossa esitettyä tulevaisuuden kuvaa. Näitä mittareita on ilmeisesti työstetty myös pidemmälle tekstin perusteella, mutta tarkempi tieto puuttuu vielä. ovat hyviä ja kohtuullisen selkeitä. Ymmärrettävyyden parantamiseksi olisi hyvä tarkentaa, minkä tason arkkitehtuurista puhutaan. Kohta 4 ei välttämättä onnistu julkishallinnon ICTlinjauksilla, vaan edellyttänee aiheeseen liittyvän lainsäädännön tarkentamista ja asian huomioimista valmiuslain uudistamisessa. Tarkoitetut tietoliikennepalvelut olisi syytä avata tässä. Edelliseen viitaten tässä puhutaan hyvinkin infrastruktuuritason asioita eikä niinkään viestintäpalveluista. Esim. VYVIpalveluita (valtion yhteiset viestintäpalvelut) ei mainita. Lausuntopalvelu.fi 2/6
Miten maakuntauudistus huomioidaan? Tukeutuminen VY vai KYverkkoihin? Verkkojen lisäksi oleellista ovat niiden kautta tarjottavat palvelut, joiden järjestämisen arkkitehtuurimallista ei tässä puhuta. Suuri haaste on mahdollisimman avoimen ja dynaamisen (vrt. BYOD myöhemmin) käytön mahdollistamisen ja tietoturvavaatimusten välillä. Nykytilaan verrattuna oikean suuntainen, mutta haasteellinen tavoite, jota olisi tässä hyvä vähän avata. Mitä ovat viranomaisten itse hallinnoimat tietoliiikennepalvelut? Viranomaisten itse hallinnoimia verkkoja lienee vain pv:lla? Esimerkki avaisi rajanvetoa. Voiko pelkillä sopimuksilla priorisoida kilpailluilta markkinoilta hankittuja palveluja? Vrt. ed. kommentti lainsäädännön muutostarpeista. Kriittisten yhteyksin määrittely on erittäin haastavaa ja sen jälkeen niiden erottaminen omaksi kokonaisuudeksi, jota voidaan erikseen suojata, on vielä haastavampaa. Pitäisikö kiinnittää enemmän huomiota tietoliikenteen kokonaisuuden turvaamiseen? Vierailijaverkon erottamisen linjaaminen on banaali yksityiskohta ja menee linjauksena liian tarkalle tasolle ottaen huomioon mm. tulevaisuuden tavat toimia yhä enemmän toimitilariippumattomasti. Visio vastaa pitkään toivottuun ja esitettyyn tarpeeseen. Hallittavuuden lisäksi voi harkita myös tarkoituksenmukaisuuden nostamista esille vähintään perusteluissa. Kohta 5 on ristiriidassa sen kanssa, että virkatehtävissä tarvittaville palveluille asetetaan ja joudutaan asettamaan tiukat tietoturvallisuusvaatimukset. Vaatimusten täyttymisen edellyttäminen saattaa törmätä organisaation oikeuteen määrätä BYODlaitteen ominaisuuksista. Sinänsä hyvän tavoitteen saavuttamiseksi tätä olisi syytä avata, ettei määritellä mahdotonta linjausta. Lausuntopalvelu.fi 3/6
Miksi julkisen hallinnon palveluihin pitää edellyttää pääsyä viraston tietoverkkoon? Eikö paremminkin viraston verkko ole yksi palveluista muiden rinnalla? Muilta osin linjaus vaikuttaa hyvältä. Se, että päätelaite ei ole ensisijainen vaan korkeintaan väliaikainen datan säilytyspaikka, on periaatteessa hyvä linjaus, mutta väliaikaisenakin tiedon säilyttäminen päätelaitteella saattaa olla sen ainoa kopio. Varmistusvaatimuksen kategorista poistamista kannattaa vielä harkita. Oleellista ei suinkaan ole, mitä järjestelmää laitteessa käytetään, vaan mitä dataa sillä käsitellään! Tämä vuoksi seuraava kappale tulisi kirjoittaa kokonaan uudelleen: Omien päätelaitteiden käyttö (BYOD, Bring Your Own Device) virkatehtävien suorittamisessa on mahdollista organisaation päättämällä tavalla. Kysymys ei kai ole sopimisesta vaan käyttäjäorganisaation yksipuolisesta oikeudesta linjata asia kohdassa: 2. Palvelun tuottaja ja käyttäjäorganisaatio sopivat työntekijän kanssa mitä palveluja tämä voi käyttää itse omistamallaan ja hallinnoimallaan päätelaitteella Eli käyttäjäorganisaatio asettaa vaatimukset (jotka voivat tulla myös palvelun tuottajalta), jotka laitteen omistajan tulee hyväksyä ja sitoutua niihin. Tavoite vastaa tarpeita. Tavoitteen selkeyttämiseksi syytä tarkentaa, mitä viestintäratkaisuja erityisesti visiossa tarkoitetaan. Perusteluissa tämä tulee esille, mutta linjauksista tulee myös huomioida niiden mahdollinen käyttökonteksti, jossa perustelut eivät välttämättä ole aina käytettävissä. Linjauksen sisältö on erittäin kannatettava. Toisaalta onko tämä asia, joka tarvitsee erikseen linjata vai seuraako se laajemmasta kokonaisuudesta. Lausuntopalvelu.fi 4/6
Sosiaalisen median käyttö ja tuki ovat kannatettavaa. Linjauksessa esitetään sosiaalisen median käyttöä asioiden käsittelyprosessien tehostamisessa, mikä voidaan ymmärtää vääriin asianhallinnan osana. Lisäksi perusteluissa sosiaalisen median käyttö muuntuu vahvemmin viestinnälliseksi ratkaisuksi verrattuna viestintäratkaisuun. Tästä näkökulmasta on syytä pohtia, onko tämä linjauksen oikea paikka vai onko kyse hallinnon viestinnän linjauksesta, jossa sosiaalisen median rooli ja osallistumista voitaisiin korostaa. Tavoite on jälleen hyvin kannatettava. Tavoitteessa on myös hienosti nostettu esiin organisaatioiden eroavaisuudet, joita voitaisiin nostaa laajemmin esiin. ovat erittäin kannatettavia. Osa linjauksista voitaisiin selkeyttää yksinkertaistamalla kieltä esimerkiksi ICTpalveluiden valvonta ja hallinta voidaan toteuttaa mistä tahansa maailmasta käsin siten, että ICTpalveluiden jatkuvuus varmistetaan kaikissa tilanteissa Linjauksissa tulee huomioida kansallinen ja EUtason lainsäädäntö liittyen luokiteltujen tietojen käsittelyyn ja säilytykseen EU/ETAalueiden ulkopuolella. Pilvipalveluita koskevat linjaukset eivät poikkea vaatimuksista joita muissa kapasiteettipalveluissa tulee noudattaa. Linjauksia voisi tältä osin tiivistää selkeyden parantamiseksi. Yleiset kommentit Mistä muista aihealueista linjauksia pitäisi tehtä? sisältävät paljon tärkeää ohjeistusta ja hyviä tavoitteita. ICTpalveluiden tuotannossa on tarve myös hallintotason linjauksille siitä, miten varmistetaan toiminnan riittävä kypsyys ja kyvykkyys sekä palveluiden SLAtaso. Linjauksissa voisi myös kiinnittää laajemmin huomiota siihen, miten ICTpalveluiden tuotannossa asiakkaat ja heidän tarpeet ja tavoitteet otetaan huomioon. Lausuntopalvelu.fi 5/6
Linjauksista korostuu markkinalähtöisyys, mikä on hyvä asia. Markkinalähtöisyyden osalta voisi harkita, löytyykö linjauksia, joiden avulla ICTpalvelutuotannossa voidaan tukea suomalaisten yritysten osaamisen ja kilpailukyvyn kehittämistä. ohjaavat osin hakemaan kustannustehokkuutta tuottamalla ICTpalveluita edullisempien tuotantokustannusten maissa. Kustannustehokkuuslinjauksissa olisi hyvä huomioida vahvasta ICTpalveluiden asiakkaan tuottavuus ja tehokkuus ICTpalveluiden osaoptimoinnin välttämiseksi. Mäki Riku Terveyden ja hyvinvoinnin laitos THL Lausuntopalvelu.fi 6/6