Tiedonhallintayksikössä on ylläpidettävä sen toimintaympäristön tiedonhallintaa määrittelevää ja kuvaavaa tiedonhallintamallia. Tiedonhallintamallia ylläpidetään palvelujen, asiankäsittelyn ja tietoaineistojen hallinnan suunnittelemiseksi ja toteuttamiseksi, tiedonsaantia koskevien oikeuksien ja rajoitusten toteuttamiseksi, moninkertaisen tietojen keruun vähentämiseksi, tietojärjestelmien ja tietovarantojen yhteentoimivuuden toteuttamiseksi sekä tietoturvallisuuden ylläpitämiseksi.
Tiedonhallintamallin on sisällettävä vähintään tiedot:
1) toimintaprosesseja kuvaavista nimikkeistä, prosessista vastaavasta viranomaisesta, prosessin tarkoituksesta sekä prosessin sidoksista muihin prosesseihin;
2) tietovarantojen nimikkeistä, kuvaukset tietovarantojen sidoksista toimintaprosesseihin ja tietojärjestelmiin sekä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679, jäljempänä tietosuoja-asetus, 30 artiklan 1 kohdassa tarkoitetun selosteen sisällöstä tai, jos selostetta ei tarvitse tietosuoja-asetuksen mukaan laatia, tietovarannosta vastaavasta viranomaisesta, tietovarannon käyttötarkoituksesta, keskeisistä tietoryhmistä tietoaineistoissa, tietojen luovutuskohteista ja tietojen säilytysajoista;
3) tietoaineiston arkistoon siirtämisestä, arkistointitavasta ja arkistopaikasta tai tuhoamisesta;
4) tietojärjestelmien nimikkeistä, tietojärjestelmästä vastaavasta viranomaisesta, tietojärjestelmän käyttötarkoituksesta, tietojärjestelmän liittymistä muihin tietojärjestelmiin ja liittymissä käytettävistä tiedonsiirtotavoista;
5) tietoturvallisuustoimenpiteistä.
Suunniteltaessa tiedonhallintamallin sisältöön vaikuttavia olennaisia hallinnollisia uudistuksia ja tietojärjestelmien käyttöönottoa tiedonhallintayksikössä on arvioitava näihin kohdistuvat muutokset ja niiden vaikutukset suhteessa tiedonhallinnan vastuisiin, 4 luvussa säädettyihin tietoturvallisuusvaatimuksiin ja -toimenpiteisiin, 5 luvussa säädettyihin tietoaineistojen muodostamista ja luovutustapaa koskeviin vaatimuksiin, 6 luvussa säädettyihin asianhallinnan ja palvelujen tiedonhallinnan vaatimuksiin sekä muualla laissa säädettyihin asiakirjojen julkisuuteen, salassapitoon, suojaan ja tiedonsaantioikeuksiin. Tiedonhallintayksikön on tiedonhallinnan muutosten arvioinnissaan otettava huomioon tietovarantojen yhteentoimivuus sekä niiden hyödynnettävyys tietoaineistoja muodostettaessa ja käytettäessä. Arvioinnin perusteella tiedonhallintayksikön on ryhdyttävä tarpeellisiin toimenpiteisiin tiedonhallintamallin muuttamiseksi ja muutosten toimeenpanemiseksi. Tietosuojaa koskevasta vaikutustenarvioinnista ja siihen liittyvästä ennakkokuulemisesta säädetään erikseen.
Tiedonhallintamallin on sisällettävä kuvaus organisaation toimintaprosesseista. Toimintaprosesseille on myös hyödyllistä määritellä omistaja, joka vastaa prosessin tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti prosessiin.
Dokumentaation on sisällettävä vähintään:
Tiedonhallintayksikössä on ylläpidettävä sen toimintaympäristön tiedonhallintaa määrittelevää ja kuvaavaa tiedonhallintamallia.
Pyydettävät tarpeelliset tiedot tiedonhallintamallista on pyydettäessä toimitettava valvontaa toteuttavalle viranomaiselle.
Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.
Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:
Suunniteltaessa tiedonhallintamallin sisältöön vaikuttavia olennaisia muutoksia (esim. hallinnollinen uudistus, uuden tietojärjestelmän käyttöönottoa) on muutoksia arvioitava määrämuotoisesti suhteessa tiedonhallintalain määrittämiin vaatimuksiin.
Muutosvaikutusten arvioinnilla pyritään vahvistamaan muutostilanteiden taloudellisten ja toiminnallisten riskien ennakointia, muutosten ohjauksen tehokkuutta sekä edistämään yhteentoimivuuden ja tietoturvallisuuden toteutumista.
Tiedonhallintamallin tulee sisältää kuvaus tietoaineiston säilytysajasta sekä arkistoon siirtämisestä, arkistointitavasta ja arkistopaikasta tai tuhoamisesta. Tietoaineiston säilytysajan päättymisen jälkeen tietoaineistot on arkistoitava tai tuhottava viipymättä tietoturvallisella tavalla.
Tietoaineiston arkistointi- tai tuhoamisprosessi määritellään dokumentaation yhteydessä ja tietoaineiston omistaja vastaa sen toteutuksesta.
Tiedonhallintayksikön on seurattava toimintaympäristönsä tilaa. Siihen vaikuttavat muutokset voivat olla seurausta tiedonhallintayksikön tai sen viranomaisten omasta toiminnasta ja päätöksistä tai ne voivat tulla ulkoisina syötteinä esimerkiksi EU- tai kansallisen lainsäädännön muutoksina tai hallitusohjelmasta nousevina tavoitteina.
Muutosvaikutusten arviointi tulee tehdä suunniteltaessa sellaisia hallinnollisia (esim. uudet tehtävät, organisaatioliitos, palvelutuotannon ulkoistaminen) ja teknisiä uudistuksia (esim. uuden tietojärjestelmän hankinta, rajapintoihin tehtävät merkittävät muutokset, uudet tietoturvaratkaisut), joiden toteuttaminen vaikuttaa olennaisesti tiedonhallintayksikön ylläpitämän tiedonhallintamallin sisältöön.
Jokaiselle tietovarannolle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.
Omistajan tehtäviin kuuluu mm.:
Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
