Valtiokonttorin ja Palkeiden lakisääteiseksi tehtäväksi tuli 1.9.2020 alkaen tuottaa analysointi- ja raportointipalveluita valtionhallinnolle. Tähän liittyen teimme syksyn aikana sekä tietoturva-arvioinnin että tietosuojan vaikutustenarvioinnin. Arvioinneissa ei tullut esiin merkittäviä puutteita, mutta molemmissa edellytettiin lisäksi tiedonsiirron vaikutustenarviointia. Tiedonsiirron vaikutustenarviointi on tekeillä ja valmistuu tammikuussa.
Henkilötietojen suoja huomioitu hyvin
Tietokiri-hankkeessa on kuluvan vuoden aikana määritelty ja kuvattu seitsemän tietoaluetta, joita halutaan hyödyntää lakisääteisessä analysointi- ja raportointitoiminnassa. Koska lähestymme vaihetta, jossa henkilötietojen laaja käsittely alkaa olla käsillä, teimme toiminnalle uuden tietosuojan vaikutustenarvioinnin. Työ tilatiin PrivacyAnt Oy:ltä ja se valmistui 10.10.2021.
Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Vaikutustenarvioinnissa kuvataan henkilötietojen käsittelyä, arvioidaan käsittelyn tarpeellisuutta, oikeasuhteisuutta ja henkilötietojen käsittelystä aiheutuvia riskejä sekä tarvittavia toimenpiteitä, joilla riskeihin puututaan.
Vaikutustenarvioinnin mukaan henkilötietojen suoja lakisääteisessä analysointi- ja raportointitoiminnassa on huomioitu hyvin. Kuitenkin arviossa todettiin, että pilviympäristön käyttöön liittyvä dokumentaatio on puutteellista. Tietosuoja-asetuksen nykyisen tulkinnan mukaan pilvipalvelua käytettäessä tulee tehdä tiedonsiirron vaikutustenarviointi (Transfer Impact Assesment).
Tietokiri-alustalla ei merkittäviä puutteita tietoturvassa
Valtiokonttori tilasi Tietokiri-alustalle tietoturva-arvioinnin kesällä 2021. Arviointi aloitettiin elokuussa ja se valmistui 30.9. Arvioinnin toteutti Nixu Oyj.
Arviointi koostuu kolmesta osiosta:
- pilviturvallisuuskriteeristöä vasten tehdystä arvioinnista
- Microsoft Azure -pilvipalveluun tehdyn tietoalustan teknisestä arvioinnista
- alustaan liittyvien prosessien arvioinnista
Tietoturva-arvioinnin pohjalta olemme todenneet, ettei Tietokiri-alustan arkkitehtuurissa, toteutuksessa tai prosesseissa ole sellaisia puutteita tai havaintoja, jotka estäisivät etenemisen. Pilviturvallisuuskriteeristö-osiossa on kuitenkin kaksi havaintoa, joiden riskiä ei voida arvioida. Ensimmäinen havainto nostaa esiin pilvipalveluista tehdyt sopimukset, joita Valtiokonttori ei ole saanut tarkastettavaksi. Toisessa havainnossa puolestaan todetaan, että Valtiokonttorin tulisi tehdä tietojen siirron vaikutustenarviointi. Muita tietoturva-arvioinnin esille tuomia havaintoja ja suosituksia toteutamme ennen vuodenvaihdetta.
Henkilöstötietoja ei tuoda alustalle ennen tiedonsiirron vaikutustenarvioinnin valmistumista
Molemmissa arvioinneissa edellytettiin tiedonsiirron vaikutustenarvioinnin tekemistä. Arviointi on nyt tilattu ja se valmistuu tammikuussa 2022.
Valtion henkilöstötietoja ei tuoda Tietokiri-alustalle ennen tietojen siirron vaikutustenarvioinnin valmistumista. Tämänhetkisiä toteutuksia talouden seurannan, tilahallinnan ja Hankesalkku-palvelun tietojen osalta edistetään suunnitellusti.
Ota yhteyttä:
Tehtyihin arviointeihin tai analysointi- ja raportointipalveluihin liittyvissä kysymyksissä voit ottaa yhteyttä osoitteeseen tietojohtaminen@valtiokonttori.fi.