15.8.2007
Stakesin lausunto ohjeluonnoksesta: "Tärkein tekijä on ihminen
- henkilöstöturvallisuus osana tietoturvallisuutta"
Yleistä
Henkilöstöturvallisuus osana tietoturvallisuutta -ohjeluonnoksen
näkökulma on luonnoksen mukaan henkilöstöriskien hallinta rikos- ja
käytettävyysriskien suhteen. Henkilöstöturvallisuudella
tarkoitetaan ohjeessa henkilöstöstä aiheutuvien riskien hallintaa.
Ohje on suunnattu viraston johdolle, jolla on vastuu viraston
operatiivisesta toiminnasta. Ohjeluonnoksessa yhdistetään
henkilöstöpolitiikka ja tietoturvallisuus. Ohje käsittelee
pääasiassa tietoja, joiden oikeudeton paljastuminen aiheuttaisi
yleiselle edulle, kansainvälisille suhteille tai valtion
turvallisuudelle suurta tai merkittävää vahinkoa. Ohje ei
sellaisena kohdennu Sosiaali- ja terveysalan tutkimus- ja
kehittämiskeskuksen Stakesin toiminnan kannalta keskeisille
tehtäväalueille ja suuntautuu ennen muuta ulkoministeriön,
poliisin, rajavartiolaitoksen, tullin jne. toimintaan.
Ohjeen perusteella on epäselvää, onko se tarkoitettu
sovellettavaksi koko valtionhallinnon toimintaan. Suuressa osassa
valtionhallinnon laitoksia tai toimintoja ei käsitellä ohjeessa
fokusoituihin luokitteluihin kuuluvia tietoturvariskejä sisältäviä
tietoja. Kun viranomaistoiminnan lähtökohta tulisi lainsäädännön
mukaan olla avoimuus ja julkisuus, ohje antaa vaikutelman tietojen
salaamisesta koko viranomaistoiminnan lähtökohtana. Ohjeessa
korostuu työntekijöitä koskeva selvittämisvelvollisuus, joka rikos-
ja käytettävyysriskien ollessa kyseessä on ymmärrettävää. Jos
ohjetta luetaan koko valtionhallinnon toimintaan sovellettavana,
työnantajan ja viranhaltijan/työntekijän välinen suhde näyttäytyy
vääristyneenä. Peruslähtökohta työnantaja/työntekijä suhteessa on
molemminpuolinen luottamus.
Esimerkiksi turvallisuusselvityksen hakemismenettelystä on
annettu säännökset lakitasolla. Selvityksen hakemiselle asetetut
edellytykset voivat esimerkiksi sosiaali- ja terveysministeriön
hallinnonalalla tulla sovellettaviksi äärimmäisen harvoin.
Erityisesti, jos ohje on tarkoitettu koko valtionhallinnon
toimintaan, ohjeesta tulisi nykyistä selkeämmin ilmetä, että
turvaamismenettelyt johtuvat tehtävän luonteesta ja mahdollisen
vahingon suuruudesta, ei työntekijöiden epäluotettavuudesta. Riskit
ovat yleensä sitä suurempia mitä korkeammassa asemassa henkilö on
myös silloin, kun viranomainen ei pääsääntöisesti käsittele
tietoturvariskien piiriin kuuluvaa tietoa.
Toisaalta kaikki valtion viranomaiset käsittelevät myös salassa
pidettävää tietoja. Useimmiten kyse on erityislainsäädännössä
määritellystä salassapitovelvoitteesta ja niihin liittyvistä
tehtävistä. Salassapitovelvoitteen peruste on usein
yksityishenkilön tietojen suojaaminen ja myös tietojen
paljastumisesta johtuva vahinko kohdistuisi näissä tapauksissa
yksityiseen henkilöön. Esimerkiksi Stakesin toiminnassa tällaisia
lakeja ovat Terveydenhuollon valtakunnallisia henkilörekistereitä
koskeva laki, jonka perusteella Stakes ylläpitää tiettyjä
rekistereitä ja Stakesin tilastolaki, jonka perusteella
ylläpidetään sosiaalihuollon rekistereitä.
Suhteessa yksityiseen etuun kaikissa valtion laitoksissa
käsitellään esimerkiksi liikesalaisuuden piiriin kuuluvaa tietoja
erilaisten hankintojen, erityisesti tietojärjestelmien, -ohjelmien
ja laitteiden hankintojen yhteydessä. Viranomaiskulttuureissa
korostetaan tällöin yleensä yksityisen sopimuksentekokumppanin
liikesalaisuuden suojaa avoimuusperiaatteenkin kustannuksella
samalla, kun valtionhallinnon viranhaltijoita ja työntekijöitä
koskevat julkisuuslain 24 §:n 1 momentin 17-kohdan mukaiset
salassapitoperusteet liittyen julkiseen taloudelliseen etuuteen
voivat jäädä huomiotta.
Esimerkiksi muutaman työntekijän yksityisen yrityksen
liikesalaisuuden ja valtionhallinnon laitosten julkisen edun
rinnastamista ei kuitenkaan voida pitää tarkoituksenmukaisena tai
lainsäätäjän tarkoittamana. Ohjeistus olisi tarpeen myös
vähäisemmän tietoturvariskin piiriin kuuluvissa asioissa.
Oikeusministeriö on valmistelemassa valtioneuvoston asetusta
tietoturvallisuudesta ja hyvästä tiedonhallintatavasta
valtionhallinnossa. Asetusluonnos samoin kuin Käyttäjän ohje
erityissuojattavien tietoaineistojen käsittelystä
valtionhallinnossa ovat lausuntokierroksella (määräpäivä
28.9.2007). Koska nyt lausuttavana oleva henkilöstöturvallisuutta
koskeva ohje ei voi olla ristiriidassa em. asetuksen ja ohjeen
kanssa, ja koska asetuksen säännökset menevät viranomaisten
antamien ohjeiden edelle, henkilöstöturvallisuutta koskeva ohje
voitaneen lopullisena antaa vasta asetuksen sisällön ollessa
lopullisesti selvillä.
Stakes katsoo, että lausuttavana olevasta ohjeesta tulisi käydä
ilmi, onko se tarkoitettu sovellettavaksi kaikkeen valtionhallinnon
toimintaan mahdollisten tietojen luonteesta tai niiden
paljastumisen aiheuttaman vahingon suuruudesta riippumatta.
Ohjeesta tulisi nykyistä selkeämmin ilmetä se, että
työntekijän/viranhaltijan vastuu ja asema ovat sidoksissa
toisiinsa. Tietoturvan piiriin kuuluvan tiedon sisältö perustuu
kullakin hallinnonalalla sitä koskevaan erityislainsäädäntöön,
minkä vuoksi tarvitaan työnantajakohtaisia ohjeita. Käsillä
olevassa ohjeessa tulisi korostaa työnantajan ja sen johdon
vastuuta tietoturvaa koskevien ohjeiden antamisessa samoin kuin
ohjeiden noudattamisen valvontaa.
Suureen osaan tehtäviä ei liity erityisiä tietoturvariskejä,
eikä lainsäädäntö myöskään edellytä erityisiä henkilöstöön
liittyviä turvaamistoimenpiteitä. Ottaen huomioon valmisteltavana
olevat valtioneuvoston asetus tietoturvallisuudesta ja hyvästä
tiedonhallintatavasta valtionhallinnossa sekä sen perusteella
annettavat ohjeet erityissuojattavien tietoaineistojen käsittelystä
valtionhallinnossa, ei Stakesin näkemyksen mukaan ole selvää, että
erityistä henkilöstöturvallisuuteen liittyvää ohjeistusta tarvitaan
koko valtionhallinnon henkilöstön suhteen.
Jos ohjeiden antamiseen kuitenkin päädytään, tulee selkeästi
erottaa yleiset koko henkilöstön rekrytoinnissa ja hallinnoimisessa
noudatettavat menettelyt ja käytännöt ja erikseen kuvata
menettelyjä, jotka koskevan tiedon käsittelyyn osallistuvaa
henkilöstöä ja tulevat kysymykseen eri turvallisuus- tai
käyttöluokissa.
Lausunnolla oleva ohje sitoo menettelyt pitkälle asiakirjatiedon
turvaluokituksiin. Kuitenkin tietopalveluja tuottava henkilöstö on
erityisessä asemassa julkisen edun ja viranomaisen toiminnan
turvaajana silloinkin, kun asianomainen laitos tai organisaatio ei
käsittele nimenomaisesti turvaluokiteltua tietoa tai se on
vähäistä. Tietopalveluja tuottavaa henkilöstöä tulisi käsitellä
ohjeessa erikseen. Ohjeessa tulisi huomioida, että olemassa oleva
henkilöstö on useimmiten erittäin kuormitettua. Esimerkiksi
ohjeluonnoksessa tehtävien jakamista ja avainhenkilöriskien
pienentämistä koskevat ohjeet voisivat olla hyvin hankalia
toteuttaa ja saattaisivat tuottaa uudenlaisia riskejä.
Ohjeen liitteessä on määritelty henkilöstöturvallisuusluokat.
Tämä luokitus ei ole yhtenevä esimerkiksi turvallisuusselvityksistä
annetun lain, erityissuojattavan tietoaineiston
turvallisuusluokittelun tai tietojen käsittelyluokkien kanssa, eikä
sitä perustella ohjeessa. Luokitus ei ota huomioon, että
viranomaisen toiminta on pääosin julkista. Pääosan henkilöstöstä
katsotaan voivan vaarantaa ministeriön tai viraston
toimintaedellytyksiä ja kuuluvan luokkaan III, mikä vaikuttaa
jossakin määrin liioitellulta ja koskee lähinnä tietopalveluja
tuottavaa henkilöstöä.
Stakesin käsityksen mukaan sekä henkilöstöturvallisuusluokat
että niihin perustuva sääntömatriisi ovat sinänsä hyviä välineitä
tietoturvallisuuden toteuttamiseen. Stakes viittaa kuitenkin
aikaisemmin esitettyyn ja toteaa, että ohje kaipaa täsmentämistä
koskien sen soveltamista eri henkilöstöryhmiin.
Henkilöturvallisuusluokkien irrottaminen tietoaineiston
turvallisuusluokittelusta ja/tai käsittelyluokituksesta sitä
perustelematta ei vaikuta tarkoituksenmukaiselta. Koskivatpa
turvallisuusluokitukset tietoa, niiden käsittelyä tai henkilöstöä,
ohjeella ei tulisi luoda ilmapiiriä, jossa tavanomainen
viranomaistoiminta tarpeettomasti ja julkisuuslain vastaisesti
muuttuu salailun kohteeksi ja pääosin virkavastuulla toimiva
henkilöstö riskitekijäksi.
Yksittäisiä kysymyksiä
Ohjeluonnoksen omistajuuden käsite jää epämääräiseksi
esimerkiksi siten, että omistaminen ja hallinta rinnastetaan
toisiinsa (2.7.1 1. kappale). Toisaalta todetaan, että tietoa on
suojattava riippumatta siitä, kenen hallussa tai missä muodossa se
on. Tiedon omistajuus ei myöskään ole sidoksissa valtioneuvostosta
annettuun lakiin tai ohjesääntöön, kuten tekstissä väitetään.
Kysymys tiedon omistamisesta on oikeudellisesti merkittävästi
monisyisempi kuin irtaimen tai kiinteän omaisuuden yhteydessä ja
siihen liittyvät immateriaaliset oikeudet kuten tekijänoikeus.
Esimerkiksi viranomaisten rekistereissä oleva yksityishenkilöitä
koskeva tieto on lähinnä viranomaisten lainsäädännön antamin
valtuuksin hallinnoimaa tietoa, jonka käyttömahdollisuudet
perustuvat asianomaisiin säännöksiin.
Myös kysymys "tiedoille annettavasta arvosta" (2.7.1 1. kappale)
on epämääräinen ilmaisu, jolla ei ole vastinetta yleisessä
hallinnon kielen käytössä. Tiedon luokittelukysymys ei edellytä
erityistä omistajuuden pohdintaa. Perusteet luokittelulle ovat
kutakin viranomaista velvoittavassa lainsäädännössä. Luokittelu
kuuluu niille viranomaisille, joiden tehtäväksi asianomaisten
tietojen käsittely sääntelyn perusteella kuuluu. Tältä osin koko
ohjeluonnoksen kohta 2.7 tulee saattaa vastaamaan voimassa olevaa
lainsäädäntöä.
Luokittelukysymykseen liittyy, ettei ohjeluonnoksessa huomioida
lainkaan viranomaisia velvoittavaa erityislainsäädäntöä, johon
salassapitovelvoitteet yleislainsäädännön lisäksi ja pääosin
perustuvat. Esimerkiksi kohdan 3.2.1 viimeiseen ja 3.9.4
kappaleisiin tulisi lisätä julkisuuslain lisäksi ainakin viittaus
erityislainsäädäntöön. Erityislainsäädännöstä tulisi olla maininta
myös liitteenä olevassa lakiluettelossa.
Henkilön arviointia koskevan kohdan 3.12 mukaan voidaan arvioida
myös henkilön lojaaliutta suhteessa työyhteisön yhteisen edun
asettamiseen oman edun edelle. Julkishallinnon palveluksessa
olevien osalta viranomaisen edustaman julkisen edun tulisi
kuitenkin asettua myös työyhteisön edun edelle. Kyse saattaa olla
yksinomaan ilmaisutavasta. Ilmaisu kuten ohjekin johtaa kuitenkin
useissa kohdin rinnastamaan valtion organisaation yksityiseen
toimijaan. Julkishallinnon ja viranomaisen velvoitteet ja
toimintatavat ovat kuitenkin toiset. Myös tässä suhteessa ohje
edellyttää tarkentamista.
Ohjeen puute on sen epätasaisuus. Jotkut osa-alueet korostuvat
(3.13 Turvallisuusselvitykset) tai niissä mennään turhan syvälle
detaljitasolle 3.17.6 (Passi-esimerkki). Koska tulevaisuudessa
ostopalveluja käytetään nykyistä enemmän, niiden käsitteleminen ja
selkeät ohjeet niihin liittyvistä toimenpiteistä ovat todella
tarpeellisia. Henkilöstöturvallisuuden kehittämisen keskeisin
haaste liittyy resursseihin, koska myös muut tietoturvallisuuden
osa-alueet vaativat panostusta samaan aikaan entistä enemmän.
Valmiit ohjeet, mallit, lomakkeet ja tarkistuslistat säästävät
resursseja tuottavampaan kehitystyöhön.
Ohjeen kohdassa 3.1.5 käsitellään ostopalvelujen turvallisuutta.
Ohjeen liitteenä tulisi olla turvallisuus- ja salassapitosopimusta
koskeva malli, jota organisaatio voisi mukauttaa omien käytäntöjen
mukaisesti. Myös kohdassa 3.16.3 henkilörekisteriin mahdollisesti
talletettavaksi tarkoitetuista ja työntekijän suostumusta
edellyttävistä asioista tulisi esittää luettelo.
Helsingissä, 15.8.2007
pääjohtaja
Vappu Taipale
Marja Pajukoski
lakimies
Kimmo Rousku
tietohallinto- ja tietoturvapäällikkö
|