Kaupunginhallitus, kokous 17.8.2020

Pöytäkirja on tarkastettu

§ 269 Luottamushenkilöiden tietoturvasitoumus

JARDno-2020-791

Aikaisempi käsittely

Valmistelija

Iiris Laukkanen, hallintojohtaja, iiris.laukkanen@jarvenpaa.fi

Perustelut

Valmistelijat: hallintojohtaja Iiris Laukkanen, tietohallintojohtaja Toni Pallaspuro

Sähköinen kokous ja sähköinen päätöksentekomenettely / Säädöspohja

Kuntalain 98 §:n mukaan toimielimelle kuuluvista asioista voidaan päättää varsinaisessa kokouksessa, sähköisessä toimintaympäristössä tapahtuvassa kokouksessa (sähköinen kokous) tai sähköisesti ennen kokousta (sähköinen päätöksentekomenettely). Sähköisessä kokouksessa ja sähköisessä päätöksentekomenettelyssä kunnan tulee huolehtia tietoturvallisuudesta ja siitä, etteivät salassa pidettävät tiedot ole ulkopuolisen saatavissa.

Kuntalain 99 §:n asettaa sähköisen kokouksen edellytykseksi, että läsnä oleviksi todetut ovat keskenään yhdenvertaisessa näkö- ja ääniyhteydessä.

Kuntalain 100 §:n mukaan julkisia kokouksia lukuun ottamatta toimielimen päätöksenteko voi tapahtua myös suljetussa sähköisessä päätöksentekomenettelyssä. Asia on käsitelty, kun kaikki toimielimen jäsenet ovat ilmaisseet kantansa asiaan ja käsittelyn määräaika on päättynyt. Asia siirtyy kokouksen käsiteltäväksi, jos yksikin jäsen sitä vaatii tai on jättänyt kantansa ilmaisematta. Sähköinen päätöksentekomenettely soveltuu erinomaisesti selkeiden rutiiniluontoisten päätösasioiden päätösmenettelyksi ja vapauttaa parhaimmillaan aikaa strategisten kysymysten pohdintaan.

Kuntalain 90 §:ssä säädetään kunnan hallintosäännön sisältövaatimuksista. Hallintosäännössä on annettava tarpeelliset määräykset "toimielinten päätöksentekotavoista sekä siitä, miten kunta huolehtii, että sähköiseen kokoukseen ja sähköiseen päätöksentekomenettelyyn osallistumiseen tarvittavat tekniset välineet ja yhteydet ovat käytettävissä”.

Järvenpään kaupungin hallintosäännön 106 §:n mukaan

1) "Sähköisen kokouksen pitäminen edellyttää sitä, että kaupunginhallitus tai sen nimeämä viran- tai toimenhaltija on päätöksellään todennut, että sähköisiin kokouksiin tarvittavat tekniset laitteet, järjestelmät ja tietoliikenneyhteydet ovat ajantasaisia ja tietoturvallisia lakien edellyttämällä tavalla."

2) "Suljettuun sähköiseen kokoukseen voi osallistua vain sellaisesta paikasta, jossa salassa pidettävät tiedot ja kokouksessa käydyt keskustelut eivät ole ulkopuolisen kuultavissa tai nähtävissä."

Sähköisen päätöksentekomenettelyn osalta hallintosäännön 107 §:ssä edellytetään myös kaupunginhallituksen tai sen nimeämän viran- tai toimenhaltijan päätöstä teknisten laitteiden, järjestelmien ja tietoliikenneyhteyksien ajantasaisuudesta ja tietoturvallisuudesta.

Tekniset edellytykset

Sähköinen kokous edellyttää yhdenvertaista näkö- ja ääniyhteyttä. Kuntalain esitöissä yhdenvertaista näkö- ja ääniyhteyttä kuvataan: " - - . Yhdenvertaista näkö- ja ääniyhteyttä voidaan pitää kunnallisen toimielimen päätöksenteon kannalta tarpeellisena ja se turvaisi osaltaan toimielimen päätöksenteon toimintaedellytyksi, sillä kokoukseen osallistuvat henkilöt voisivat näin keskustella päätettävänä olevista asioista "kasvokkain"."

Yhdenvertaista näkö- ja ääniyhteyttä ei ole määritelty täsmällisesti. Valmiustilalain voimassaolessa kuntia on siirtynyt sähköiseen kokousmenettelyyn esimerkiksi Teams- tai Skype-järjestelmää hyödyntäen. Näissä järjestelmissä yhtäaikainen näköyhteys kaikkiin kokoukseen osallistujiin ei ole kaikissa olosuhteissa toteutetettavissa. Kulloinkin puhuvaan henkilöön näköyhteys kuitenkin on olemassa. 

Kuntaliitto on ohjeistanut 20.3.2020 päivitetyllä ohjeellaan, että kunnan tulee huolehtia käytettävien välineiden "tietoturvasta ja tietosuojasta". Yleisesti käytössä olevien järjestelmien osalta tämä merkitsee sitä, että kunnan on huolehdittava siitä, että esimerkiksi päivitykset ovat ajan tasalla. Kunnan velvollisuutena on myös huolehtia kokoustekniikan toimivuudesta. Toimielimen jäsenellä tulee olla tosiasiallinen mahdollisuus osallistua keskusteluun ja päätöksentekoon. Jos yhteydet ovat heikot tai osallistujan yhteys kokoukseen katkeaa, on kokous keskeytettävä ja kokousta jatkettava kun yhteydet jälleen toimivat. 

Järvenpään kaupungilla sähköinen kokous voitaisiin toteuttaa hyödyntäen kokoushallintajärjestelmä CaseM:n ohella joko Teams- että Skype -sovellusta. Sähköisen kokouksen osalta jää vielä arvioitavaksi tietoturvan ja tietosuojan riittävä varmistaminen. Riskiarviona on otettava kantaa siihen, voivatko luottamushenkilöt edelleen hyödyntää kokouksissa omia laitteitaan vai edellyttääkö tämä sitä, että luottamushenkilöiden käyttöön on hankittava laitteet, jotka ovat etähallinnassa ja joiden päivittämisestä ja toimivuudesta kaupunki voi tosiasiallisesti vastata.

Sähköisen päätöksentekomenettelyn käyttöönotto valmistellaan sähköisen kokouksen käyttöönotosta erillisenä asiana, sillä sähköinen päätöksentekomenettely todennäköisesti edellyttää tunnistautumiseen liittyvän osion hankintaa CaseM-järjestelmään. 

Harkinta

Sähköisten kokousten yhteydessä tarvittavien teknisten laitteiden, järjestelmien ja tietoliikenneyhteyksien ajantasaisuutta ja tietoturvallisuutta koskeva asia tuodaan kaupunginhallituksen päätöksentekoon erikseen tietohallinnon valmistelusta. 

Kaupunginhallituksen on lisäksi arvioitava, millaisesta paikasta sähköiseen kokoukseen voi osallistua, mitä konkreettisesti merkitsee hallintosäännön määräys "suljettuun sähköiseen kokoukseen voi osallistua vain sellaisesta paikasta, jossa salassa pidettävät tiedot ja kokouksessa käydyt keskustelut eivät ole ulkopuolisen kuultavissa tai nähtävissä". Tässä arviossa ääripäinä voidaan pitää yhtäältä luottamushenkilön omaa vakuutusta asiantilasta ja toisena ääripäänä kaupungin osoittamaa etäosallistumiseen tarkoitettua yleisöltä suljettua tilaa. 

Arvioinnissa on merkitystä myös käsiteltävien asioiden laadulla: käsiteltäessä julkisia asioita on kohdistuu intressi luottamuksellisten keskustelujen suojaamiseen, käsiteltäessä ei-julkisia asioita (esim. yksilöasiat, liikesalaisuudet), on huolehdittava tietosuojasta myös asianosaisen intressien turvaamiseksi ja kaupungin maine- ja vahinkoriskien hallitsemiseksi.

Sähköiseen kokoukseen osallistumista koskevat ohjeet ovat valmistelussa hallintopalveluiden ja tietosuojavastaavan yhteistyönä. Sähköisen päätöksentekomenettelyn osalta laaditaan erilliset menettelyohjeet. Tyypillisesti sähköiseen päätöksentekomenettelyyn ohjautuvat asiat ovat julkisia tai sellaiseksi päätöksenteon jälkeen tulevia, eikä sähköisen päätöksentekomenettelyn yhteydessä käydä keskustelua. 

IL

  

Ehdotus

Esittelijä

Olli Naukkarinen, kaupunginjohtaja, olli.naukkarinen@jarvenpaa.fi

Kaupunginhallitus merkitsee valmistelutilanteen tiedoksi. 

Päätös

Hyväksyttiin päätösehdotuksen mukaisesti.

Valmistelija

Iiris Laukkanen, hallintojohtaja, iiris.laukkanen@jarvenpaa.fi

Perustelut

Valmistelija: hallintojohtaja Iiris Laukkanen, tietohallintojohtaja Toni Pallaspuro

Aiempi käsittely kh 31.3.2020 § 99

Asian valmistelua on jatkettu sähköiseen kokousmenettelyyn siirtymiseksi.

Järvenpään kaupungin hallintosäännön 106 §:n mukaan sähköisen kokouksen pitäminen edellyttää, että kaupunginhallitus tai sen nimeämä viran- tai toimenhaltija on päätöksellään todennut, että sähköisiin kokouksiin tarvittavat tekniset laitteet,​ järjestelmät ja tietoliikenneyhteydet ovat ajantasaisia ja tietoturvallisia lakien edellyttämällä tavalla.

Tekniset laitteet

Teknisten laitteiden riittävästä tietoturvasta ja ajantasaisuudesta voidaan huolehtia hyödyntämällä etähallinnassa olevia laitteita. Tällaisia laitteita ovat tällä hetkellä kaupungin tablettitietokoneet ja kannettavat tietokoneet. Kokouksiin ei siten voida osallistua älypuhelimin tai muun organisaation tai henkilön omistamin laittein. Luottamushenkilön tulee huolehtia siitä, että laitteet käytetään säännöllisesti verkossa ja että niihin etänä tuotettavat päivitykset ladataan ja asennetaan säännöllisesti. Laitetta ei myöskään saa tilapäisestikään luovuttaa toisen henkilön käyttöön.

Tietohallinnon arvion mukaan järjestelmät ja laitteet edellä kuvatulla tavalla toteutettuina ovat riskiarviona tyydyttävällä tasolla käyttöönotettavissa. Tietohallinto jatkaa kehitystyötä tavoitteena nykyistä tietoturvallisempi ratkaisu. Tietoliikenneyhteyksien osalta siirrytään hyödyntämään VPN-yhteyttä viipymättä sen jälkeen, kun kuormitustilanne sen sallii. 

Järjestelmät

Sähköinen kokous edellyttää yhdenvertaista näkö- ja ääniyhteyttä. Kuntaliiton ohjeistuksen mukaan tämä voidaan toteuttaa Teams-järjestelmällä siten, että vähintään kulloinkin puheenvuorossa olevan henkilön tulee näkyä ja kuulua yhdenvertaisesti kaikille. Näkö- ja ääniyhteyden keskeytymisestä tai sen laadun heikentymisestä kokoukseen osallistujan on ilmoitettava viipymättä puheenjohtajalle, jotta tämä voi laillisuusongelmien välttämiseksi keskeyttää kokouksen kunnes yhteydet on jälleen palautettu. 

Kokouksen hallinta tapahtuu muutoin CaseM-järjestelmää hyödyntäen. Kokoukseen osallistuja ilmoittautuu kokoukseen läsnäolevaksi ja ilmoittaa poistumisestaan ja mahdollisesta esteellisyydestään järjestelmää hyödyntäen. Myös äänestäminen tapahtuu CaseM-järjestelmässä.

Tietosuoja

Järvenpään kaupungin hallintosäännön 106 §:n mukaan suljettuun sähköiseen kokoukseen voi osallistua vain sellaisesta paikasta, jossa salassa pidettävät tiedot ja kokouksessa käydyt keskustelut eivät ole ulkopuolisen kuultavissa tai nähtävissä. Tietosuojavastaava on antanut asiassa tarkentavaa ohjeistusta, ks liite.

Kokouksiin osallistumiseen etänä sovelletaan soveltuvin osin kaupungin etätyöohjetta ja kulloinkin voimassaolevaa tietosuojaohjeistusta. Tietosuojaan liittyvän osoitusvelvollisuuden täyttämiseksi kokoukseen osallistuvia suositellaan huolehtimaan tietosuojakoulutusten suorittamisesta Navisec-järjestelmässä.

Eteneminen

Sähköisten kokousten pitäminen aloitetaan kaupunginhallituksen kokouksilla. Sähköistä kokousmenettelyä suunnitellaan laajennettavaksi laitehankintojen myötä ensin tarkastuslautakuntaan.

Tarkentavat ohjeet

Tarkentavia tietosuojaan, tietoturvaan ja kokousmenettelyyn liittyviä määräyksiä ja ohjeita on koottu liitteeseen. 

Sähköinen päätöksentekomenettely

Sähköisen päätöksentekomenettelyn käyttöönotosta päätetään erikseen.

Ehdotus

Esittelijä

Olli Naukkarinen, kaupunginjohtaja, olli.naukkarinen@jarvenpaa.fi

Kaupunginhallitus päättää

  1. todeta, että sähköisiin kokouksiin selostustekstissä esitetyllä tavalla käytettävät tekniset laitteet, järjestelmät ja tietoliikenneyhteydet  ovat Järvenpään kaupungin hallintosäännön 106 §:n ja lainsäädännön tarkoittamalla tavalla ajantasaisia ja tietoturvallisia
  2. oikeuttaa puheenjohtajan kutsumaan koolle kokoukset a) sähköisenä kokouksena, b) kokouksena johon voidaan osallistua osallistujan valinnan mukaan joko sähköisesti tai läsnä ollen tai c) vain nimetyssä kokouspaikassa läsnä ollen
  3. velvoittaa kokouksen osallistujat noudattamaan edellä selostustekstissä ja liitteessä todettuja kokousmenettelyä, järjestelmiä ja laitteita koskevia ohjeita sekä kaupungin yleistä ohjeistusta. 

Päätös

Hyväksyttiin päätösehdotuksen mukaisesti.

Valmistelija

Pekka Kääriäinen, lakimies, pekka.kaariainen@jarvenpaa.fi

Perustelut

Valmistelijat: kaupunginlakimies Laura Kattelmäki ja lakimies Pekka Kääriäinen

Tausta

Kaupunginhallitus on kokouksessaan 7.4.2020 § 119 tehnyt päätöksen sähköisen kokouksen ja sähköisen päätöksentekomenettelyn käyttöönotosta kaupunginhallituksen osalta.

Eduskunta on tiistaina 28.4.2020 hyväksynyt hallituksen esityksen laiksi kuntalain väliaikaisesta muuttamisesta (HE 47/2020 vp). Eduskunnan päätöksen mukaisesti lakiin lisätään väliaikaisesti kaksi uutta pykälää (90 a ja 99 a §). Laki tulee voimaan 1.5.2020 ja on voimassa 90 a §:n osalta 31.7.2020 ja 99 a §:n osalta 31.5.2021 saakka.

Lakimuutoksen 90 a §:n mukaan kunnanhallitus voi hallintosäännön määräysten estämättä väliaikaisesti päättää eräiden kunnan hallintosäännön määräysten soveltamisesta, jotka koskevat sähköisen kokouksen pitämistä, sähköistä päätöksentekomenettelyä sekä toimielimen julkisen kokouksen yleisöjulkisuutta.

Eteneminen

Sähköiset kokoukset otetaan käyttöön toimielimissä porrastetusti, jotta kokousten sujuvuus pystytään varmistamaan. 

Tarkentavat ohjeet

Kaupunginhallitus on ottanut päätöksessään 7.4.2020 § 119 tarkemmin kantaa kokousmenettelyä koskeviin periaatteisiin. Tarkentavia tietosuojaan, tietoturvaan ja kokousmenettelyyn liittyviä määräyksiä ja ohjeita on tämän pykälän liitteenä.

IL

Ehdotus

Esittelijä

Olli Naukkarinen, kaupunginjohtaja, olli.naukkarinen@jarvenpaa.fi

Kaupunginhallitus päättää että:

  1. toimielimelle kuuluvista asioista voidaan päättää sähköisessä toimintaympäristössä tapahtuvassa kokouksessa (sähköinen kokous) kuntalain väliaikaisen muuttamisen (HE 47/2020 vp) voimassaolon ajan.
  2. toimielimet voivat fyysistä kokousta järjestämättä siirtyä pitämään sähköisiä kokouksia siinä vaiheessa, kun kokousten pitäminen hallintosäännön § 133 mukaan on taas mahdollista.
  3. toimielinten on sähköisten kokousten osalta noudatettava kaupunginhallituksen päätöksen 7.4.2020 § 119 tekniset laitteita, järjestelmiä ja tietoliikenneyhteyksiä koskevia määräyksiä sekä muita kaupungin yleistä ohjeistusta. 
  4. sähköisten kokousten osalta noudatetaan täydentävin osin hallintosäännön määräyksiä muun muassa kokouskutsun lähettämisen ja pöytäkirjan tarkastamisen osalta.
  5. valtuuston tai muun julkisen kokouksen seuraamiselle ei järjestetä fyysistä yleisötilaa, vaan julkista kokousta on mahdollista seurata etäyhteyden välityksellä verkossa.

 

Käsittely

Päätösehdotusta on täydennetty ennen kokouksen alkua.

Päätös

Hyväksyttiin päätösehdotuksen mukaisesti.

Valmistelija

Toni Pallaspuro, tietohallintojohtaja, toni.pallaspuro@jarvenpaa.fi

Perustelut

Valmistelijat: tietohallintojohtaja Toni Pallaspuro, hallintojohtaja Iiris Laukkanen

 

Taustaa

Järvenpään kaupungilla siirryttiin Korona-epidemian myötä toimistotyön osalta etätyöskentelyyn 16.3.2020. Tällöin toimielinten kokousten ajateltiin hoituvan lähikokouksina aiempaan tapaan. Epidemian nopean eskaloitumisen myötä toimielinten etäkokousten tarve nousi esille maaliskuun lopussa. Tällöin todettiin, että kaupungin hallintosääntö edellyttää, että kaupunginhallitus tai sen nimeämä viran- tai toimenhaltija on päätöksellään todennut, että sähköisiin kokouksiin tarvittavat tekniset laitteet,​ järjestelmät ja tietoliikenneyhteydet ovat ajantasaisia ja tietoturvallisia lakien edellyttämällä tavalla.

Maaliskuun lopussa tarve etäkokoontumiselle todettiin olevan ensimmäisenä kaupunginhallituksella, koska hallintosääntömuutoksen jälkeen lautakunnat ja jaostot eivät kokoontuneet ja kaupunginhallitus toimi lautakuntina. Tässä vaiheessa ei vielä nähty tarpeelliseksi järjestää valtuuston kokouksia etäkokouksina.

Kaupungin Tietohallinto teki nykyisestä ympäristöstä nopean tietoturva-arvion hallintosäännön edellyttämällä tavalla. Tällöin tietohallinnon asiantuntijat nostivat esiin mahdollisen tietoturvariskin liittyen omien laitteiden käyttöön toimielimissä. Riskin todettiin kohdentuvan myös lähikokouksiin. Kaupunginhallitus käsitteli asiaa kokouksessaan 31.3 ja merkitsi asian valmistelun tiedoksi. Tuolloin valmistelussa todettiin, että ”Järvenpään kaupungilla sähköinen kokous voitaisiin toteuttaa hyödyntäen kokoushallintajärjestelmä CaseM:n ohella joko Teams- että Skype -sovellusta. Sähköisen kokouksen osalta jää vielä arvioitavaksi tietoturvan ja tietosuojan riittävä varmistaminen. Riskiarviona on otettava kantaa siihen, voivatko luottamushenkilöt edelleen hyödyntää kokouksissa omia laitteitaan vai edellyttääkö tämä sitä, että luottamushenkilöiden käyttöön on hankittava laitteet, jotka ovat etähallinnassa ja joiden päivittämisestä ja toimivuudesta kaupunki voi tosiasiallisesti vastata.”

Tämän pohjalta Tietohallinnon toimesta selvitettiin, kuinka tunnistettu riski voitaisiin minimoida. Laitteiden toimittamisessa oli helmi-maaliskuussa todettu olevan hitautta, ja sen vuoksi vaihtoehdoksi nousivat laitteiden ja sovellusten virtualisointiratkaisut. Markkinoilta pyydettiin esittelyitä ja tarjouksia eri vaihtoehdoista. Tarjous saatiin lopulta Citrix-virtualisointiratkaisusta ja Tietohallinto esitti tätä ratkaisuksi huhtikuun alussa. Tämän yhden teknologian varaan rakentamista ei kannatettu ja asian jatkoselvittely lopetettiin. Kaupunginhallituksen etäkokoontuminen tuli kuitenkin ratkaista nopeasti, minkä vuoksi Tietohallinto esitti kaupungin etähallinnassa olevien vakioitujen työasemien luovuttamista kaupunginhallituksen jäsenille. Tämä ratkaisu katsottiin soveltuvaksi ja Tietohallinto järjesti pika-aikataululla muihin palveluihin varatut tietokoneet hallituksen jäsenille. Hallitus hyväksyi asian 7.4 ja piti ensimmäisen etäkokouksensa 14.4.

Jatkoselvitykset ja tilanteen laajentuminen 

Huhtikuun lopussa nostettiin esiin tarve järjestää valtuuston kokous etäkokouksena. Tietohallinto arvioi, että kaupungilla ei ole kaupunginhallituksen 7.4. tekemän päätöksen mukaisesti tarpeeksi varalaitteita luovutettavaksi valtuutettujen tai myöhemmin muiden toimielimien käyttöön. Tässä vaiheessa arvioitiin uusien laitteiden hankkimista, mutta niiden hankkimista tässä laajuudessa pidettiin liian suurena kustannuksena tässä taloustilanteessa. Tietohallinto hankki kiireesti edullisen tietoturvallisen Citrix-perusratkaisun. Testauksessa ratkaisu osoittautui ei-soveltuvaksi tähän toimintaympäristöön. Palattiin selvittämään vaihtoehtoja kaupungin laitteiden hankkimiseksi, laajemman virtualisointiratkaisun hankkimiseksi ja omien laitteiden käytön tietoturvallisuuden varmistamiseksi. Valtuuston ensimmäinen sähköinen kokous järjestettiin 25.5. poikkeusjärjestelyin hyödyntäen Teams-sovellusta ja tarkastellen kokousmateriaaleja julkisilta verkkosivuilta niiden valtuutettujen osalta, joilla ei ollut käytössään kaupungin laitetta.

28.5 Tietohallinto laati luottamushenkilöitä varten tietosuojasitoumuksen ja tilasi kiireellisenä ulkopuolisen suppean tietoturva-auditoinnin Järvenpään kaupungin toimielinten toimintaympäristöstä käytettäviin sovelluksiin ja laitteisiin liittyen Consultor Oy:ltä, joka oli aiemmin arvioinut kaupungin muun toiminnan tietoturvaa. Selvitys (liitteenä) saatiin 1.6 ja sen yhteenvetona Consultor arvioi riskin olevan muuten alhainen, mutta koska kokousjärjestelmästä avattavat liitedokumentit jäävät käyttäjän koneelle kokouksen jälkeen, nousee riski keskitasolle. Tietohallinto oli nostanut esille saman havainnon ja yhdessä kokousjärjestelmän toimittajan Fujitsun kanssa selvitettiin 1-2.6 miten tätä riskiä voitaisiin minimoida. Kokousjärjestelmän asetuksia muuttamalla todettiin voitavan estää tiedostojen latautuminen laitteelle. Tietohallinto ohjeistaa näiden asetusten päivittämisen erikseen luottamushenkilöille.  

Tehtyjen selvitysten nojalla toimielinten kokousten järjestäminen etäkokouksina käyttäen Microsoft Teams -sovellusta kuva- ja ääniyhteyden muodostamiseen ja Fujitsun CaseM -tietojärjestelmää kokoushallintaan voidaan katsoa olevan hallintosäännön mukaisesti kokonaisuutena tietoturvallisia lakien edellyttämällä tavalla edellyttäen, että luottamushenkilöt noudattavat tietojärjestelmiin ja laitteisiin liittyvää kaupungin ohjeistusta. Vastuu tästä on luottamushenkilön. 

TP

Ehdotus

Esittelijä

Olli Naukkarinen, kaupunginjohtaja, olli.naukkarinen@jarvenpaa.fi

Kaupunginhallitus päättää

  1. todeta, että sähköisiin kokouksiin selostustekstissä esitetyllä tavalla käytettävät tekniset laitteet, järjestelmät ja tietoliikenneyhteydet ovat Järvenpään kaupungin hallintosäännön 106 §:n ja lainsäädännön tarkoittamalla tavalla ajantasaisia ja tietoturvallisia
  2. oikeuttaa kaupungin toimielimet kutsumaan koolle kokoukset a) sähköisenä kokouksena, b) kokouksena, johon voidaan osallistua osallistujan valinnan mukaan joko sähköisesti tai läsnä ollen tai c) vain nimetyssä kokouspaikassa läsnä ollen
  3. velvoittaa kokouksen osallistujat allekirjoittamaan liitteenä olevan tietoturva- ja tietosuojasitoumuksen
  4. velvoittaa toimielimiä ja niiden jäseniä noudattamaan kokousmenettelyä, järjestelmiä ja laitteita koskevia kaupungin ohjeita.  

 

Käsittely

Tämä asia käsiteltiin § 227 jälkeen.

Tietohallintojohtaja Toni Pallaspuro selosti asiaa.

Mikko Taavitsainen ehdotti Katja Revon kannattamana asian palauttamista uudelleen valmisteluun.

Ulla-Mari Karhu ehdotti Katja Revon ja Jarno Hautamäen kannattamana tietosuojasitoumuksen palauttamista uudelleen valmisteluun.

Keskustelun kuluessa esittelijä muutti päätösehdotustaan siten, että kohta 3 palautetaan valmisteluun. Tämän johdosta Taavitsainen ja Karhu peruuttivat muutosehdotuksensa. 

Keskustelun kuluessa esittelijä muutti päätösehdotustaan kuulumaan kohdan 2 osalta seuraavasti: "todeta, että kaupungin toimielimet voivat kokoontua a) sähköisenä kokouksena,​ b) kokouksena johon voidaan osallistua osallistujan valinnan mukaan joko sähköisesti tai läsnä ollen tai c) vain nimetyssä kokouspaikassa läsnä ollen".

Esittelijän muutettu päätösehdotus kuului kokonaisuudessaan seuraavasti:

Kaupunginhallitus päättää

  1. todeta,​ että sähköisiin kokouksiin selostustekstissä esitetyllä tavalla käytettävät tekniset laitteet,​ järjestelmät ja tietoliikenneyhteydet  ovat Järvenpään kaupungin hallintosäännön 106 §:n ja lainsäädännön tarkoittamalla tavalla ajantasaisia ja tietoturvallisia
  2. todeta, että kaupungin toimielimet voivat kokoontua a) sähköisenä kokouksena,​ b) kokouksena johon voidaan osallistua osallistujan valinnan mukaan joko sähköisesti tai läsnä ollen tai c) vain nimetyssä kokouspaikassa läsnä ollen
  3. palauttaa päätöskohdan valmisteluun.
  4. velvoittaa toimielimiä ja niiden jäseniä noudattamaan kokousmenettelyä, järjestelmiä ja laitteita koskevia kaupungin ohjeita.  

 

 

Päätös

Hyväksyttiin muutetun päätösehdotuksen mukaisesti.

 

Valmistelija

Toni Pallaspuro, tietohallintojohtaja, toni.pallaspuro@jarvenpaa.fi

Perustelut

Kaupunginhallitus on käsitellyt kokousmenettelyyn liittyviä kysymyksiä 8.6.2020 § 227. Asia on tietoturvasitoumuksen osalta palautettu uudelleen valmisteluun.

Järvenpään kaupungissa on vuonna 2017 siirrytty käyttämään CaseM-kokousjärjestelmää. Samassa yhteydessä on hyväksytty omien IT-laitteiden käyttö luottamustehtävissä. Järjestelyn voimaan tullessa ei ole huomioitu riittävällä tasolla omien laitteiden käytön tuomaa riskiä tietoturvalle. Tämä asia on noussut esille kuluvana keväänä osana toimielinten etäkokouksiin siirtymistä. 

Tietoturvaan liittyvien asioiden tunnistaminen ja niihin varautuminen on erittäin tärkeää nykyisessä digitaalisessa toimintaympäristössä. Mahdollisen tietosuojaloukkauksen osalta organisaation on kyettävä jälkikäteen osoittamaan, että se on ottanut asianmukaisesti huomioon lainsäädännön vaatimukset ja tietoturvaan ja tietosuojaan liittyvät riskit. Tietoturvasitoumuksen pyytäminen on osa osoitusvelvollisuuden täyttämiseksi tarpeellisia toimenpiteitä. 

Käsittelyyn palautettua tietoturvasitoumusta on päivitetty vastaamaan paremmin luottamushenkilöiden toimintaympäristöön ja siihen liittyviin tietoturvahaasteisiin. Tietoturvasitoumus sisältää sekä tietoturvaan että tietosuojaan liittyviä kohtia. Tietoturvasitoumuksessa todetut velvoitteet sitovat riippumatta tietoturvasitoumuksen allekirjoittamisesta.

 

/TP

Ehdotus

Esittelijä

Olli Naukkarinen, kaupunginjohtaja, olli.naukkarinen@jarvenpaa.fi

Kaupunginhallitus hyväksyy liitteenä olevan tietoturvasitoumuksen ja velvoittaa luottamushenkilöt hyväksymään tietoturvasitoumuksen sähköisesti Navisec-järjestelmässä (https://luotsi.navisec.fi/jarvenpaa) kunkin toimielimen seuraavaan kokoukseen mennessä sekä noudattamaan sitoumuksen sisältämiä ohjeita. 

Päätös

Hallitus päätti yksimielisesti palauttaa asian valmisteluun.

Valmistelija

  • Iiris Laukkanen, hallintojohtaja, iiris.laukkanen@jarvenpaa.fi

Perustelut

Valmistelijat: Tietohallintojohtaja Toni Pallaspuro, hallintojohtaja Iiris Laukkanen

Aiemmat käsittelyt KH 8.6.2020 § 234 ja KH 17.6.2020 § 245

Tietosuoja-asetuksen artiklan 5 mukaan henkilötietoja on "käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”).".

Organisaatiolla on paitsi velvollisuus käsitellä tietoja asianmukaisesti myös velvollisuus kyetä osoitttamaan, että henkilötietojen käsittelyä koskevia periaatteita on noudatettu. Tässä tarkoituksessa Järvenpään kaupunki muun ohella ylläpitää Navisec-tietosuojakoulutusjärjestelmää, kannustaa toteuttamaan koulutukset sekä edellyttää palvelussuhteessa olevilta henkilöiltä tietosuojasitoumuksen allekirjoittamista. Henkilötietojen lisäksi kaupungin toiminnassa käsitellään myös muulla perusteella suojattavia tietoja, kuten liikesalaisuuden piiriin kuuluvia tietoja, joiden luovuttamisesta kolmannelle voi aiheutua korvattavaa vahinkoa.

Edellä todetuista syistä on tärkeää, että myös luottamustoimessaan kaupungin tietoja käsittelevät henkilöt allekirjoittaisivat tietoturvallisuussitoumuksen ja suorittaisivat tietosuojakoulutukset.

Liitteenä olevan tietoturvallisuussitoumuksen sanamuotoja on täsmennetty korvaamalla "keskeneräiset asiat" termillä "ei vielä julkiset asiat", jolloin tulkinnassa voidaan tukeutua viranomaisten toiminnan julkisuudesta annetun lain 9 §:n soveltamiskäytäntöön. Mainitun lainkohdan mukaan jokaisella on oikeus saada tieto julkisesta asiakirjasta. Tiedon antaminen asiakirjasta, joka ei ole vielä julkinen, on viranomaisen harkinnassa. Harkintavalta ei ole vapaata, vaan harkinnassa tulee ottaa huomioon muun ohella se, ettei tietojen saamista rajoiteta ilman asiallista ja säädettyä perustetta eikä enempää kuin suojattavan edun vuoksi on tarpeellista. Käytännössä on yleensä suotavaa ja hyödyllistä käydä valmistelussa olevista asioista avointa yhteiskunnallista keskustelua. Toisinaan kuitenkin valmistelu voi edellyttää luottamuksellisuutta esimerkiksi liikesalaisuuden suojaamiseksi. Tällöin on perusteltua ja tarpeellista sopia ja määrittää asian julkiseksi tulon hetki yhteisesti.   

Järvenpään kaupungissa luottamushenkilöillä on mahdollisuus hyödyntää työssään myös muita kuin kaupungin ylläpidossa olevia laitteita. Tietoturvallisuussitoumuksen merkitys korostuu tämänkaltaisessa tilanteessa, jossa organisaatiolla yhtäältä on osoitusvelvollisuus tietojen käsittelyn periaatteiden noudattamisesta mutta ei mahdollisuutta itse pitää yllä laitetta, jolla tietoja käsitellään. Tämän vuoksi tietoturvallisuussitoumuksessa on erillinen kohta "kun käytän omaa laitetta", jossa on todettu laitteelle ja sen ohjelmistoille asetettavista laadullisista edellytyksistä. 

Toimivalta: Hallintosäännön 36 §:n mukaan kaupungin tietoturvasta ja tietosuojasta vastaa kaupunginhallitus.

IL

Ehdotus

Esittelijä

  • Olli Naukkarinen, kaupunginjohtaja, olli.naukkarinen@jarvenpaa.fi

Kaupunginhallitus hyväksyy liitteenä olevan tietoturvasitoumuksen ja velvoittaa luottamushenkilöt hyväksymään tietoturvasitoumuksen kunkin toimielimen seuraavaan kokoukseen mennessä sekä noudattamaan sitoumuksen sisältämiä ohjeita. 

Päätös

Hyväksyttiin päätösehdotuksen mukaisesti.

Tiedoksi

Luottamushenkilöt, listatiimi