Viime vuosina olen osallistunut moniin identiteetinhallintajärjestelmien (IAM) tarjouspyyntöihin. Näissä on yleensä mietitty tekniset yksityiskohdat huolellisesti – joskus jopa liiankin tarkasti. Parhaimmillaan kokonaisarkkitehtuuri saa ansaitsemansa huomion, ja IAM-järjestelmä kytkeytyy luontevasti osaksi laajempaa kokonaisuutta.
Mutta sitten on se toinen puoli. Monessa tarjouspyynnössä unohtuu keskeinen näkökulma: lainsäädäntö. Erityisesti julkisen hallinnon tiedonhallintalaki (906/2019) jää usein taka-alalle, vaikka se vaikuttaa IAM-järjestelmän suunnitteluun ja toteutukseen merkittävästi.
Tiedonhallintamalli on IAM-järjestelmän näkymätön selkäranka
Tiedonhallintalaki edellyttää, että jokaisella tiedonhallintayksiköllä on tiedonhallintamalli. Tämä ei ole pelkkä muodollisuus, vaan konkreettinen kuvaus siitä, miten tieto organisaatiossa elää ja liikkuu.
IAM-järjestelmän on kyettävä toimimaan tämän mallin mukaisesti. Käyttöoikeudet on pystyttävä dokumentoimaan ja hallitsemaan järjestelmä- ja tietovarantotasolla, eikä siis vain teknisesti, vaan myös hallinnollisesti ja läpinäkyvästi.
Pienimmän oikeuden periaate käyttöoikeuksissa
Vaikka laki ei mainitse IAM-järjestelmiä nimeltä, se linjaa käyttöoikeuksista hyvin selkeästi. Käyttöoikeudet määritellään käyttäjän tehtävien mukaan, ja niiden täytyy pysyä ajantasaisina. Tämä kiteyttää pienimmän käyttöoikeuden periaatteen: käyttäjä saa vain sen, mitä tarvitsee. Ei enempää eikä vähempää.
Jotta tämä toteutuu, IAM-järjestelmän on tuettava rooli- ja tehtäväpohjaista käyttöoikeuksien hallintaa. Lisäksi tarvitaan hyväksymisprosessit, audit trail -toiminnot ja kyky linkittää käyttöoikeudet tiedonhallintamallin mukaisiin tietovarantoihin. Ilman tätä kokonaisuutta laki jää helposti pelkästään paperille.
Tietoturva vaatii enemmän kuin teknisiä ratkaisuja
Tiedonhallintalaki korostaa tietoaineistojen saatavuutta, eheyttä ja luottamuksellisuutta. IAM-järjestelmä tukee näitä tavoitteita tarjoamalla tunnistamisen, autentikoinnin ja käyttöoikeuksien hallinnan työkalut. Laadukas lokitus ja valvonta kuuluvat järjestelmän ydintoimintoihin, eivät lisävarusteisiin.
Yhteentoimivuus on järjestelmien yhteinen kieli
Laki edellyttää, että tietovarantojen yhteentoimivuus varmistetaan. IAM-järjestelmän täytyy tukea standardoituja rajapintoja (kuten SAML, OAuth, OpenID Connect) ja mahdollistaa käyttäjätietojen jakaminen eri järjestelmien välillä. Kyse ei ole pelkästä teknisestä yksityiskohdasta, vaan toimivan kokonaisuuden edellytyksestä.
Yhteistyö yli organisaatiorajojen
Tiedonhallintalaki painottaa viranomaisten välistä yhteistyötä. IAM-järjestelmän täytyy siksi mahdollistaa moniorganisaatiotunnistautuminen ja käyttöoikeuksien hallinta yli organisaatiorajojen. Tämä ei ole tulevaisuuden visio, vaan tämän päivän vaatimus.
Yhteenveto
Tiedonhallintalaki ei mainitse IAM-järjestelmiä suoraan, mutta niiden merkitys lain toteuttamisessa on kiistaton. Ilman lakia tukevaa IAM-ratkaisua vaatimusten täyttäminen muuttuu sekä raskaaksi että riskialttiiksi. Tarjouspyyntöä laatiessa kannattaa nostaa tämä näkökulma esiin. Ei pelkästään lain vuoksi, vaan myös sujuvan ja turvallisen tiedonhallinnan takia.
(Alunperin julkaistu Trivore blogissa 20.8.2025 https://www.trivore.com/iam-jarjestelmat-ja-tiedonhallintalaki-mita-tarjouspyynnoissa-usein-jaa-huomaamatta/)