Kuvaus
Valmistelija: tietohallintojohtaja Harri Ihalainen
Rovaniemen kaupunginhallitus on hyväksynyt Rovaniemen kaupungin tieturva- ja tietosuojapolitiikan (kh 30.9.2024 § 252). Politiikassa kuvataan Rovaniemen kaupungin tietoturvallisuuden ja tietosuojan periaatteet, tavoitteet, vastuut, organisoinnin ja toteutuskeinot. Lisäksi kuvataan seurannan ja tiedottamisen yleisperiaatteet. Sen mukaan kaupunginhallitus vastaa siitä, että tiedonhallintalain 4.2 §:n vastuut, käytännöt ja valvonta on määritelty. Kaupunginjohtaja vastaa tietoturvallisuuden sekä tietosuojan toteuttamisesta kaupungin organisaatiossa ja henkilöstö- ja hallintojohtaja hyväksyy koko kaupunkia koskevat tietoturva- ja tietosuojaohjeet. Politiikka linjaa, että esihenkilö vastaa tietoturvallisuuden ja tietosuojan toteutumisesta omalla vastuualueellaan. Esihenkilön keskeisimmät tehtävät ovat huolehtia oman yksikkönsä henkilöstön perehdyttämisestä kaupungin tietoturva- ja tietosuojaohjeisiin sekä jokaisen työntekijän työtehtäviin liittyviin tietoturva- ja tietosuojavastuisiin. Esihenkilö vastaa oman yksikkönsä henkilöstön tietoturva- ja tietosuojakoulutusten suoritusten seurannasta sekä lainsäädännön mukaisesta tiedon käsittelystä.
Jokaisen kaupungin tietoja käsittelevän työntekijän sekä kaupungin tietoverkkojen ja järjestelmien käyttäjän on noudatettava hyväksyttyä tietoturva- ja tietosuojapolitiikkaa sekä siihen liittyviä periaatteita ja ohjeita. Henkilöstön on sitouduttava tietoturvalliseen toimintaan ja ymmärrettävä sen merkitys omissa työtehtävissään. Digitaalisuuden myötä kaupunkia kohtaavat uhkakuvat muuttuvat, mikä tekee työntekijöiden jatkuvasta koulutuksesta erityisen tärkeää. On yleisesti tiedossa, että kyberturvallisuuden uhkakuvat toteutuvat ennakoitavalla tavalla. Lisäksi kaupungin ICT-ympäristö on monimutkaisempi kuin koskaan. Tämä edellyttää johdolta ja työntekijöiltä ymmärrystä tietoturvauhkista ja niihin varautumisesta. Koulutus on tärkein keino uhkien estämiseksi, mutta se antaa myös osaamista uhkien toteutuessa.
Henkilötietojen käsittelyä ohjaa EU:n tietosuoja-asetus, ja onnistunut tietosuojan toteutus edellyttää, että henkilöstö on tietoinen tietosuojalainsäädännöstä. Tiedonhallintalain mukaan tiedonhallintayksikön johdon on huolehdittava siitä, että yksikössä on tarjolla koulutusta, jolla varmistetaan, että henkilöstöllä ja tiedonhallintayksikön lukuun toimivilla on riittävä tuntemus voimassa olevista tiedonhallintaa, tietojenkäsittelyä sekä asiakirjojen julkisuutta ja salassapitoa koskevista säädöksistä, määräyksistä ja tiedonhallintayksikön ohjeista.
Tekoäly tuo mukanaan täysin uudenlaisen tavan käsitellä tietoa ja kasvattaa tarvetta kehittää henkilöstön osaamista ja ymmärrystä. Kaupungin on varmistettava, että sen henkilöstöllä on riittävä osaaminen käyttää tekoälyratkaisuja turvallisesti ja vastuullisesti. Tästä syystä työnantajan tulee kiinnittää erityistä huomiota tekoälyä hyödyntävien järjestelmien ja sovellusten käytön ohjeistamiseen sekä koulutusten järjestämiseen.
Tietoturva- ja tietosuojakoulutus auttaa työntekijöitä tunnistamaan tietoturvariskejä ja toimimaan niiden ehkäisemiseksi. Tämä vähentää inhimillisten virheiden aiheuttamia riskejä. Koulutuksen avulla työntekijät ymmärtävät tietoturvaan ja tietosuojaan liittyvät lait ja velvoitteet, kuten GDPR:n vaatimukset. Koulutus edistää tietoturvakulttuuria, jossa työntekijät ovat tietoisia roolistaan ja vastuustaan kaupungin tietovarantojen suojelemisessa. Koko henkilöstölle järjestettävät verkkokoulutukset ja testit, jotka suoritetaan itseopiskeluna, on aiemmin nähty kustannustehokkaana, joustavana ja ketteränä tapana kouluttaa suuri henkilöstömäärä.
Rovaniemen kaupunki on ottanut käyttöön uuden tietoturva- ja tietosuoja-verkkokoulutuspalvelun (tietohallintojohtaja 6.3.2025 § 1). Kyseessä on uudenlainen konsepti osaamisen kehittämiseen. Koulutusympäristö mahdollistaa monipuolisten oppimisvälineiden hyödyntämisen, joka tukee erilaisia oppimistyylejä ja tarpeita oman osaamisen kehittämiseen. Koulutusympäristössä henkilöstö voi ajasta ja paikasta riippumatta suorittaa tietoturvan ja tietosuojan peruskoulutuksen. Koulutus käsittää tärkeimmät tietoturvan ja tietosuojan perusasiat, jotka jokaisen työntekijän täytyy tietää ja hallita. Koulutuksen tavoitteena on kehittää osaamista, asenteita ja toimintatapoja. Nyt käyttöön otettavan verkkokoulutuspalvelun avulla kartoitetaan myös koulutuksen kehittämistarpeita ja henkilöstön mahdollisia lisäkoulutustarpeita. Koulutusympäristön käyttö on kustannustehokasta kaupungille, koska koulutusympäristön avulla saadaan koulutettua koko henkilöstö hankkimatta erillisiä koulutuspäiviä. Koska koulutusympäristö on ajasta ja paikasta riippumaton, koulutuksen suorittaminen voidaan jaksottaa, eli kaikki eivät ole koulutuksessa yhtä aikaa.
Tietohallintojohtaja esittää, että tietoturva- ja tietosuojatietoisuuden lisäämiseksi ja osaamisen kehittämiseksi nyt uudistetun tietoturva- ja tietosuojakoulutuksen suorittaminen on velvoittavaa. Koulutuksen kohderyhmä on kaupungin henkilöstö sekä luottamushenkilöt, joilla on tietoverkon käyttäjätunnus ja jotka käyttävät kaupungin osoittamia työvälineitä ja tietojärjestelmiä. Tämän lisäksi koulutus suunnataan Rovaniemen kaupungin palvelusetelillä varhaiskasvatuspalvelua tuottavien päiväkotien henkilöstölle. Luottamushenkilöiden osalta koulutuksen suorittamisen velvoitteesta päättää kaupunginhallitus.
Henkilöstön tulee suorittaa uusi koulutus 31.3.2026 mennessä ja tietoturva- ja tietosuojakoulutusten uusimisväli muutetaan siten, että henkilöstön tulee uusia kulloinkin käytössä oleva tietoturva- ja tietosuojakoulutus yhden (1) vuoden välein. Koulutuksen suorittaminen uusille työntekijöille on edellytyksenä käyttäjätunnuksia tilattaessa.
Tietoturva- ja tietosuojatyöryhmässä on laadittu verkkokoulutuspalveluun liittyen periaatteet, joita sovelletaan koulutuksen yhteydessä. Koulutusympäristö avataan 2.6.2025 ja käyttöönotosta viestitään ja ohjeistetaan erikseen kaupungin intranetissä sekä luottamushenkilöille järjestettävissä koulutustilaisuuksissa. Tietohallintoasiantuntija ja tietosuojavastaava vastaavat käyttöönoton tiedottamisesta, organisoinnista ja ohjeistuksesta yhdessä palveluntoimittajan kanssa.
Koulutuksesta tehdään koulutusanomus Personec ESS:iin. Esihenkilöt antavat tarvittaessa tukea koulutuksen suorittamiseen.