Tiedonhallinta on käytännössä näkökulma arkkitehtuuriin, jossa tarkastellaan nimensä mukaisesti tiedon hallintaa organisaation rakenteissa. – Lassi Ropponen
Laki julkisen hallinnon tiedonhallinnasta, eli tiedonhallintalaki, on uudistus, joka yhtenäistää aiemmin hajallaan ollutta julkisen hallinnon tiedonhallintaa koskevaa sääntelyä. Uusi laki asettaa julkishallinnon toimijoille esimerkiksi täsmennettyjä suunnittelu-, kuvaus- ja tietoturvavelvoitteita, tarkoituksenaan edistää julkishallinnon tietojärjestelmien ja tietovarantojen yhteentoimivuutta.
Tiedonhallintaa kokonaisarkkitehtuurin menetelmin
Termiä kokonaisarkkitehtuuri ei uudessa tiedonhallintalaissa enää näy, vaan lain piirissä olevia julkishallinnon organisaatioita vaaditaan toteuttamaan tietyt yhtenäiset tiedonhallinnan kuvaukset tiedonhallintamallin avulla. Toisaalta laissa määritellään valtakunnalliset periaatteet viranomaistahojen tietojen käsittelyyn ja tiedonhallinnan kuvaamiseen, jotta yhtenäiset menettelyt toiminnan tehostamiseen voidaan luoda. Käytännössä tämä tarkoittaa siis kokonaisarkkitehtuurityötä. Kokonaisarkkitehtuurin periaatteet ovatkin laissa edelleen määriteltynä, kuvaamisvelvoitteiden osalta jopa konkreettisempana kuin aiemmin.
Voidaanko siis sanoa, että tiedonhallintalaki on uusi julkishallinnon kokonaisarkkitehtuuri? Tiedonhallinnan ja kokonaisarkkitehtuurin asiantuntijan Lassi Ropposen mielestä kyllä.
Täytyy muistaa, että kokonaisarkkitehtuuri on menetelmä organisaation rakenteiden ja niiden välisten relaatioiden kuvaamiseen ja hallintaan. Menetelmän jalkauttaminen julkishallintoon on kuitenkin koettu epäonnistuneeksi aiemman lainsäädännön, ohjeistusten ja viitekehysten avulla. Menetelmänä arkkitehtuuri ei kuitenkaan poistu tiedonhallintalain myötä, vaan tiedonhallintamalli kuvataan arkkitehtuurin menetelmin.
Tarkemmat suunnittelu- ja kuvausvelvoitteet käytännön työssä
Lainsäädäntö on aiemmin määrittänyt kokonaisarkkitehtuurin kuvaamista hyvin karkealla tasolla, sillä tietohallintolaissa on määritelty ainoastaan se, että arkkitehtuuria tulee kuvata ja noudattaa, kun taas sisällölliset tarkennukset ovat syntyneet suositusten kautta. Nyt tiedonhallintalaki korvaa nykyisen lainsäädännön, mikä tarkoittaa muun muassa sitä, että julkisorganisaatioiden suunnittelu- ja kuvausvelvoitteet täsmentyvät ja tarkentuvat. Mitä tämä tarkoittaa käytännön tiedonhallintatyössä, Lassi Ropponen?
Uudessa tiedonhallintalaissa määritellään nyt tarkemmin arkkitehtuurista kuvattavat vähimmäisvaatimukset, jotka täydentyvät suositusten kautta. Arkkitehtuurikuvaukset yhdessä muiden tiedonhallintaan liittyvien kuvausten kanssa muodostavat tiedonhallintamallin, joka painottuu toiminnan, tiedon ja järjestelmien kuvauksiin. Teknologian ja strategian merkitys rajautuvat siis tiedonhallintamallin ulkopuolelle.
Arterin ARC-ohjelmisto mahdollistaa tiedonhallintamallin hallinnan yhdessä ohjelmistossa, jossa luotuja kuvauksia voidaan tarkastella visuaalisesti yhdestä ympäristöstä. Olennaista on myös se, että kuvaukset ovat käytössä tiedonhallinnan lisäksi muihin tarkoituksiin. Tavoitteena on siis tuottaa yhtä dokumentaatiota useaan tarkoitukseen, kuten johtamiseen, laadunhallintaan, kehitystyöhön ja operatiivisen tason ongelmanratkaisuun.
Lain tarkemmat vaatimukset tietoturvallisuudelle
Myös tietoturvallisuus on nostettu laissa esiin, ja aiempi valtionhallintoa koskenut tietoaineistojen ja tietojärjestelmien tietoturvallisuuden varmistaminen laajenee koskemaan myös esimerkiksi kuntia. Kaikkien lain piiriin kuuluvien tahojen on seurattava oman toimintaympäristönsä tietoturvallisuuden tilaa, sekä varmistettava tietoaineistojen turvallinen ja tehokas hyödyntäminen koko niiden elinkaaren ajan. Lisäksi säilytysaikojen määrittämisestä tulee lain myötä yhdenmukaisempaa, ja arkistoitavien tietoaineistojen tunnistaminen on jatkossa helpompaa. Jatkossa tietoturvallisuuteen liittyvät vaatimukset tulevat esiin tarkemman lainsäädännön ja suositusten avulla.
Tietoturvallisuudelle asetettuihin vaatimuksiin liittyy olennaisesti esimerkiksi julkisen hallinnon digiturvaa kehittävä JUDO-hanke. Selvää on kuitenkin se, että organisaation rakenteista on tunnistettava tietoturvattavat kohteet, joiden pohjalta on mahdollista toteuttaa riskiarviota. Riskiarvion pohjalta muodostetaan puolestaan tietoturvallisuustoimenpiteet, joilla riskejä pyritään hallitsemaan. Myös nämä kokonaisuudet on mahdollista sisällyttää ja kytkeä arkkitehtuurityöhön.
