Kerroimme aiemmin merkittävästi uudistuneesta Digiturvamallista, jossa mukaan tulivat vaatimuskehikoilla työn ohjaaminen, tehtävät avainhenkilöille sekä henkilöstön ohjeistus.
Nyt päivitimme osin myös dokumentaatiopuolen sisältöjä. Tavoitteena oli suoraviivaistaa dokumentaatiota, korostaa enemmän tärkeimpiä asioita ja merkittävästi vähentää erillisten dokumentoitavien kokonaisuuksien määrää. Tulkinnat vaaditun dokumentaation tasosta ovat mm. GDPR:n kahden ensimmäisen vuoden ja muiden liitänneisten lakien kautta tarkentuneet, ja tätä tietoa olemme päivityksessä hyödyntäneet.
Tässä lyhyt yhteenveto tehdystä sisältöpäivityksestä. Asia ei vaadi nykyisiltä asiakkailta toimenpiteitä ja kaikki aiemmin täytetyt sisällöt ovat hyödynnettävissä.
Tietoaineistot helpottavat tietoryhmien dokumentointia
Tietoaineisto liittää tietovarannot (ent. rekisterit) ja tietojärjestelmät yhteen. Sen tavoitteena on selkeyttää tietoryhmien kirjaamista ja vähentää tuplakirjaamista. Tietoryhmät kirjataan jatkossa vain kertaalleen ja nimenomaan tietoaineistoihin.
Tietoaineistolla tarkoitetaan yhteen tiettyyn tehtävään käytettyjä tietoa. Tietovaranto (esim. rekisteri) voi koostua useista tietoaineistoista, ja tietoaineistoja käsitellään järjestelmillä (tai manuaalisesti).
Usein tietoryhmätason dokumentaatio riittää kuvattaessa tietoaineiston sisältämiä tietoja. Tämän jälkeen aineisto linkitetään esim. käyttötarkoitukseen tai tietojärjestelmään. Tällöin saamme tarpeeksi tarkan ymmärryksen siitä, mitä tietoja mihinkin asiaan käytetään.
Vähemmän erillisiä, dokumentoitavia elementtejä
Pääosa Digiturvamallin dokumentaatiosta käsitellään nykyään kolmen pääelementin, eli tietovarantojen (ent. henkilötietorekisterit), tietoaineistojen sekä tietojärjestelmien kautta. Olemme samalla poistaneet joitain erillisiä listoja, jotta käyttäjän katse kohdistuisi näihin oleellisimpiin sisältöihin helpommin.
Esimerkiksi käyttöoikeudet tai varmuuskopiointi käsitellään tietojärjestelmän alla, kun se on tarpeen. Myös asioita, joita aiemmin käsiteltiin kunkin käyttötarkoituksen alla erikseen (esim. automatisoitu päätöksenteko, tietojen siirto), on nyt tuotu tietovarantotasolle, jotta työ helpottuu ja päällekkäisiä tietojen tuplakirjausta ei tarvitse tehdä.
Valittu vaatimuskehikko vaikuttaa suoraan dokumentoitavien kohteiden ja kysymysten määriin. Pienempi kehikko -> vähemmän dokumentoitavaa.
Muita muutoksia
Uusi vaatimuskehikko julkaistu: Tiedonhallintalaki
Tiedonhallintalain tarkoituksena on edistää julkisen hallinnon tiedonhallintaa, tietoturvallisuutta sekä digitalisointia.
Voit lukea tarkemmin Digiturvamallin hyödyntämisestä tiedonhallintalain vaatimusten täyttämisessä toisesta kirjoituksestamme.
Henkilötietorekisterit nimetty uudelleen Tietovarannoiksi
Jokainen tietovaranto ei sisällä henkilötietoja. Tämän takia olemme ottaneet käyttöön tietovaranto-termin, jota myös suomalaisessa lainsäädännössä käytetään. Kun tietovaranto sisältää henkilötietoja, puhutaan esimerkiksi rekisterinpitäjästä.
On tärkeää muistaa, että tietovarantojen määrittelytason voi itse valita oman toiminnan kannalta sopivaksi. Tietovarantoon voi liittyä isokin määrä järjestelmiä ja aineistoja, mikäli muodostuva kokonaisuus on hallittavissa omassa organisaatiossa ja mahdollisen rekisteröidyn näkökulmasta selkeä.
Integraatioiden käsittely kuvataan nyt Liittyminä muihin järjestelmiin
Järjestelmät eivät aina liity toisiinsa teknisten rajapintojen avulla, vaan tietoja voidaan vaikkapa ottaa pihalle tulosteena ja viedä sitä kautta toiseen järjestelmään. Katseluyhteys tai tiedostosiirto ovat muita liittymämuotoja.
Näiden liittymien kuvaaminen on oleellista mm. tiedonhallintalain sekä ISO27-kehikon näkökulmista.
Haluatko apua uudistuneiden sisältöjen kanssa?
Jos haluatte perehdytyksen päivitettyihin sisältöihin tai kaipaatte muuten apua, autamme mielellään.