<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1525762147722832&amp;ev=PageView&amp;noscript=1">
Valtteri Koivunen

Asianhallinta muuttuvassa maailmassa, Osa 2: Datasuvereniteetti ei tarkoita vain tiedon sijaintia

Tiedon sijainti on tärkeä osa julkishallinnon suvereniteettia, mutta se ei yksin ratkaise, kenen hallinnassa tieto todella on. Asianhallinnan näkökulmasta olennaista on myös se, kuka tietoon pääsee, kuka hallitsee salausavaimia, miten tieto pysyy käytettävissä häiriötilanteissa ja millaisten sopimusten sekä sääntelyn varassa asianhallinnan kokonaisuus toimii. Datan suvereniteettia tulee lähestyä laajemmasta näkökulmasta kuin pelkästään konesalin sijaintina.

Sijainti on vasta ensimmäinen kysymys

Keskustelu alkaa usein tiedon sijainnista, kun julkishallinnossa puhutaan datasuvereniteetista. Missä konesalissa tieto on? Minkä maan rajojen sisällä sitä käsitellään? Onhan tieto EU- tai ETA-alueella?

Nämä ovat välttämättömiä kysymyksiä, mutta niihin vastaaminen ei enää yksin riitä. Asianhallinnassa käsiteltävä tieto ei ole mitä tahansa tietoaineistoa. Se liittyy julkisiin päätöksiin, eri tahojen oikeuksiin ja velvollisuuksiin, viranomaisten vastuuseen sekä yhteiskunnan muistiin. Siksi on kysyttävä myös, kuka tietoon voi ylipäätään päästä, kuka hallitsee teknisiä salausavaimia, miten pääsyoikeudet tietoon määräytyvät ja miten tieto pysyy saatavilla myös häiriötilanteissa.

Muuttunut geopoliittinen tilanne on tehnyt kysymyksistä aiempaa strategisemman aiheen. Perinteinen tekninen tietoturva on edelleen välttämätöntä. Käyttöympäristöt pitää suojata, ratkaisut suunnitella ja toteuttaa huolellisesti ja käyttöönotot sekä järjestelmien konfiguraatiot tehdä oikein. Sen rinnalle on noussut kysymys todellisesta määräysvallasta: onko tieto organisaation hallinnassa myös silloin, kun olosuhteet muuttuvat radikaalisti?

Suvereniteetti ei ole yksi asia, vaan kokonaisuus

Datasuvereniteetti kannattaa nähdä usean toisiinsa liittyvän kysymyksen kokonaisuutena esimerkiksi seuraavasti.

  1. Tiedon sijainti ja saatavuus: missä tieto on, kuka sen näkee ja onko se käytettävissä myös häiriötilanteissa.
  2. Salaus ja tekninen määräysvalta. Tällöin kysymys ei ole vain siitä, onko tieto suojattu, vaan myös siitä, kestääkö salaus kvanttiaikakaudella, kuka hallitsee salausavaimia ja kenellä on todellinen mahdollisuus purkaa salaus ja käyttää tietoa.
  3. Pääsynhallinta ja jatkuvuus: miten käyttäjät tunnistetaan, miten käyttöoikeuksia hallitaan, miten tiedot varmistetaan ja miten toiminta palautuu häiriöstä. Tähän kuuluu myös kysymys siitä, miten organisaatio voi tarvittaessa siirtyä toiseen ohjelmistoratkaisuun tai irrottautua riippuvuudesta, joka ei enää vastaa sen tarpeita.
  4. Sääntely ja sopimukset. Julkishallinnon toimijoiden tulee luonnollisesti tunnistaa, minkä lainsäädännön, sopimusehtojen ja tulkintojen piirissä sen ohjelmistoratkaisut toimivat.
  5. Kyberturva ja palautumiskyky: miten uhat havaitaan, miten niihin reagoidaan ja miten varmistetaan, että yhteiskunnan kannalta tärkeä tieto pysyy käytettävissä myös hyvin poikkeuksellisissa tilanteissa.

Datasuvereniteetti ei ole yksittäinen tekninen ominaisuus eikä vain karttapiste, johon tieto on sijoitettu. Se on organisaation kykyä päättää ja osoittaa, miten sen vastuulla olevaa tietoa hallitaan.

Kaikkia mainittuja osa-alueita ei tarvitse maksimoida kaikissa järjestelmissä. Olennaista on, että jokaiseen osa-alueeseen otetaan tietoisesti kantaa, jotta ajatukset eivät jää pyörimään vain konesalin sijaintiin.

Sama sijainti voi tarkoittaa eri hallinnan tasoa

Tieto voi sijaita Suomessa tai muualla Euroopassa, mutta organisaation datasuvereniteetti riippuu myös siitä, kuka voi käyttää järjestelmää, kuka voi hallita salausavaimia ja miten palvelu toimii poikkeustilanteessa. Toisaalta tieto voi olla maantieteellisesti hajautettua ja silti hallittua, jos arkkitehtuuri, avaintenhallinta ja käyttöoikeudet on suunniteltu oikein.

Keskustelua ei kannata yksinkertaistaa vastakkainasetteluksi pilven ja oman konesalin välillä. Pilvipalvelu voi useimmiten parantaa jatkuvuutta ja poikkeustilanteisiin varautumista. Toisissa tilanteissa tarvitaan paikallisempaa hallintaa, asiakkaan omia avaimia tai irtikytkettäviä varmuuskopioita. Kyse ei ole yhdestä oikeasta mallista, vaan siitä, mihin riskeihin organisaation on järkevää varautua.

Mitä tapahtuu, jos jokin perinteinen oletus turvallisesta tietojen käsittelystä muuttuu?

Avaimet tekevät hallinnasta konkreettista

Salaus on yksi käytännöllisimmistä keinoista vahvistaa datasuvereniteettia. Pelkkä liikkuvan ja lepäävän tiedon salaus ei kuitenkaan riitä. Keskeistä on salausmenetelmät sekä avaintenhallinta: missä avaimet sijaitsevat, kuka niitä hallitsee ja voiko tiedon omistaja itse vaikuttaa niiden käyttöön.

Jos tieto on salauksella lukittu, pitää kysyä, kenellä on avain hallussaan. Julkishallinnon näkökulmasta tämä ei ole vain tekninen yksityiskohta. Kuka lopulta voi avata ja käyttää tietoa tai estää pääsyn yhteiskunnan kannalta tärkeään tietoon? Ideaalitilanteessa organisaatiolla on halu ja kyky itse hallinnoida omia salausavaimiaan.

Jatkuvuus on osa suvereniteettia

Datasuvereniteetti tarkoittaa myös kykyä jatkaa toimintaa häiriöiden ilmetessä. Koska asianhallinnassa käsiteltävä tieto on yhteiskunnan toiminnan kannalta erittäin tärkeää, sen pitää olla käytettävissä myös häiriötilanteissa.

Palvelujen sijainti, tietoliikenneyhteydet, varmistukset, maantieteellinen hajautus ja palautumiskyky eivät ole vain teknisiä yksityiskohtia. Ne ovat osa hallinnon toimintakykyä. Joissakin tilanteissa paikallisuus vähentää riippuvuuksia. Toisissa tilanteissa maantieteellinen hajautus voi olla se, mikä turvaa toiminnan jatkumisen.

Tärkeää on välttää liian yksinkertaistettua ajattelua. Tiedon keskittäminen yhteen paikkaan voi tuntua hallitulta, mutta se voi samalla lisätä fyysistä riskiä. Tiedon hajauttaminen voi parantaa jatkuvuutta, mutta se voi lisätä riippuvuutta erilaisiin alustapalveluihin. Organisaation tulee arvioida riskit erilaisissa skenaarioissa ja löytää niistä kuhunkin riskiä vastaavat suojautumismenetelmät jostain hernepyssyn ja norsutykin välimaastosta.

Realismi on hyvää varautumista

Datasuvereniteetista puhuessa on helppo ajautua ääripäihin. Toisessa päässä kaikki riskit sivuutetaan kustannusten tai käyttömukavuuden vuoksi. Toisessa päässä jokaiseen uhkaan varaudutaan kalleimmalla mahdollisella tavalla. Kumpikaan ei ole hyvä lähtökohta.

Ylivarautuminen voi olla yhtä kallista kuin alivarautuminen. Siksi organisaation kannattaa tunnistaa ensin, mitkä tiedot ja palvelut ovat kriittisimpiä, millaisiin häiriöihin niiden pitää varautua ja millainen riskitaso on hyväksyttävä. Vasta sen jälkeen on mielekästä päättää, missä tarvitaan paikallista kapasiteettia, missä riittää alueellinen palvelu, missä tarvitaan maantieteellistä kahdennusta ja missä organisaation itse hallinnoimat avaimet ovat välttämättömiä.

Tämä on myös johtamisen kysymys. Datasuvereniteetti ei saa jäädä yksin tietohallinnon tekniseksi huoleksi. Se liittyy palvelujen jatkuvuuteen, kansalaisten oikeuksiin, viranomaisen vastuisiin sekä siihen, miten yhteiskunnan kannalta tärkeä tieto säilyy käytettävänä.

Asianhallinnan sisältämä tieto vaatii vastuullista hallintaa

Tieto asianhallinnassa kertoo, millaisia asioita yhteiskunnassa on käsitelty, päätetty ja dokumentoitu. Kyse ei ole vain tiedosta, vaan yhteiskunnan muistista, päätöksenteon luotettavuudesta ja organisaatioiden toimintakyvystä. Julkishallinnon on pystyttävä vastaamaan paitsi siihen, missä tieto sijaitsee, myös siihen, kuka sitä hallitsee, miten se pysyy käytettävissä ja miten sen suojaus kestää muuttuvassa maailmassa.

Julkishallinnon asianhallinnassa datasuvereniteetti ei ole yksittäinen tekninen valinta. Se on kykyä osoittaa, missä tieto sijaitsee, kuka siihen pääsee, miten sitä suojataan, millä ehdoilla sitä käsitellään ja miten toiminta jatkuu häiriötilanteissa. Kun nämä kysymykset on käsitelty, dokumentoitu ja toimeenpantu, organisaatio ei vain säilytä tietoa, vaan hallitsee sitä vastuullisesti. 
Kaikki blogit
4.6.2026
Valtteri Koivunen

Principal Architect Valtteri Koivunen työskentelee Innofactor Dynastylla Advisory & Presales -tiimissä.

Suomi
Innofactor Plc
Keilaranta 9
FI-02150 Espoo
+358 10 272 9000
Ruotsi
Innofactor AB
Mäster Samuelsgatan 42
SE-111 57 Stockholm
+46 8 20 97 30
Tanska
Innofactor A/S
Parken, Øster Allé 48
DK-2100 København Ø
+45 70 26 36 70
Norja
Innofactor AS
Schweigaards gate 14
NO-0185 Oslo
+47 22 44 33 23
© Innofactor Oyj 2026
  • Gold Application Development
  • Gold Application Integration
  • Gold Cloud Customer Relationship Management
  • Gold Cloud Platform
  • Gold Cloud Productivity
  • Gold Collaboration and Content
  • Gold Customer Relationship Management
  • Gold Data Analytics
  • Gold Data Platform
  • Gold Datacenter
  • Gold Enterprise Mobility Management
  • Gold Enterprise Resource Planning
  • Gold Identity and Access
  • Gold Project and Portfolio Management
  • Gold Windows and Devices
Microsoft 2023 designations landscape
Microsoft 2023 designations portrait