Henkilöstöjaosto
Esityslista 03.12.2025/Asianro 92

Tietoturva-arkkitehdin viran perustaminen - Konsernipalvelut - ICT- ja digipalvelut - ICT-palvelut

Henkilöstöjaosto 03.12.2025  

Lisätiedot Talousjohtaja, toimialuejohtaja Ismo Rouvinen

 ismo.rouvinen@siunsote.fi

 Puh. 013 330 4506

Päätösehdotus Henkilöstöjohtaja Manninen Pirjo:

 Päätetään perustaa konsernipalvelujen toimialueen ICT- ja digipalvelut -palvelualueelle ICT-palvelujen vastuualueelle tietoturva-arkkitehdin virka ja hyväksyä sen kelpoisuusehdot 1.1.2026 lukien.

Perustettavan tietoturva-arkkitehdin viran kelpoisuusehtona on ylempi korkeakoulututkinto.

Päätös  

Selostus Pohjois-Karjalan hyvinvointialueen konsernipalvelujen toimialueen ICT- ja digipalvelut -palvelualueen ICT-palvelujen vastuualueelle esitetään perustettavaksi tietoturva-arkkitehdin virka 1.1.2026 lukien.

 Pohjois-Karjalan hyvinvointialueella työskentelee tietoturva-arkkitehti-järjestelmäsuunnittelijan ja tietoturva-arkkitehdin yhdistelmävirassa.

 Kyseinen viranhaltija on tarkoituksenmukaista siirtää järjestelmäsuunnittelijan virasta nyt perustettavaan tietoturva-arkkitehdin virkaan. Hän täyttää viran kelpoisuusvaatimukset, ja virkaa voidaan pitää hänelle sopivana. Tietoturva-arkkitehdin virkanimike kuvaa paremmin viranhaltijan tehtävänkuvaa ja sen tosiasiallista sisältöä.

 Laki hyvinvointialueesta (611/2021) 92 § edellyttää, että tehtävässä, jossa käytetään julkista valtaa, on oltava virkasuhde. Tietoturva-arkkitehdin tehtäväkokonaisuus sisältää julkisen vallan käyttöä sekä itsenäistä päätösvaltaa, mikä edellyttää virkasuhdetta. Tehtävässä käytetään toimivaltaa, joka puuttuu yksilön oikeuksiin, organisaation toimintaedellytyksiin sekä julkisten varojen käyttöön seuraavalla tavalla:

 Viranhaltijalla on itsenäinen sisäinen auditointivalta sekä määräysvalta velvoittaa organisaatio korjaaviin toimenpiteisiin havaittujen vakavien tietoturvapuutteiden osalta. Lisäksi tehtävään kuuluu osallistuminen sisäisten lokitietojen käsittelyyn ja väärinkäytösepäilyjen selvittämiseen, mikä edellyttää puuttumista yksityisyydensuojaan ja henkilötietoihin (Laki yksityisyyden suojasta työelämässä 759/2004).

 Viranhaltijalla on valtuus määrätä asiakas- ja potilastietoa käsittelevä tietojärjestelmä tai verkkoyhteys alasajettavaksi toiminnan turvaamisen kannalta välttämättömissä tilanteissa, kuten vakavan tietoturvapoikkeaman aikana. Viranhaltijalla on myös oikeus antaa välittömiä, organisaatiota sitovia tietoturvallisuuteen liittyviä määräyksiä ilman erillistä esihenkilön hyväksyntää kiireellisissä tilanteissa (esim. käyttäjätilien lukitseminen tiedonhallintalain ja organisaation tietoturvapolitiikan nojalla). Lisäksi viranhaltijalla on tietoturvapolitiikan toimeenpanoon liittyvä päätösvalta teknisistä standardeista ja linjauksista, joita organisaation on noudatettava.

 Tietoturva-arkkitehdin tehtävään kuuluvat sitova viranomaisraportointi ja virallisten ilmoitusten tekeminen valvoville viranomaisille. Nämä sisältävät muun muassa kyberturvallisuuslain (800/2024) mukaiset NIS2-ilmoitukset Kyberturvallisuuskeskukselle ja Valviralle. Erityisen painava peruste virkasuhteelle on tehtävään sisältyvä julkisen hallinnon turvallisuusverkkotoiminnan (TUVE) kokonaisvaltainen hallinnointivastuu.

 Tehtävä vaatii laajaa viranomaisyhteistyötä ja hyvinvointialueen edustamista suhteessa valtiovarainministeriöön, sisäministeriöön sekä Suomen Erillisverkkoihin. TUVE-toiminnan hallinnointi edellyttää itsenäistä budjettivastuuta ja julkisten varojen käyttöä merkittävissä hankintapäätöksissä (mm. TUVE-laitteet, lisenssit, asiantuntijatyö ja tietoliikenne) alueen hallintosäännön puitteissa. TUVE-kokonaisvastuu sisältää ratkaisuvallan siitä, kenelle myönnetään pääsy korkean turvaluokan tietoihin ja ympäristöön. Vastaavasti viranhaltijalla on valta evätä pääsy tai katkaista yhteydet turvallisuussyistä, mikä on suoraa puuttumista työnteon edellytyksiin ja palvelun toimintaan. Koska TUVE-toiminta kytkeytyy suoraan kansalliseen turvallisuuteen ja ihmishenkien turvaamiseen (esim. ensihoito ja pelastustoimi), virheellisestä toiminnasta aiheutuvat seuraukset voivat olla vakavia.

 Kunnan ja hyvinvointialueen viranhaltijasta annetun lain (304/2003) 4 §:n 3 momentissa säädetään, että virkasuhteeseen voidaan ottaa 1 momentista poiketen ilman hakumenettelyä tuotannollisten ja taloudellisten syiden perusteella, jotka johtuvat organisaation uudelleenjärjestelyyn liittyvistä ratkaisuista.

 Viran perustamisella on vähäinen vaikutus henkilöstökustannuksiin. Viran perustamisen yhteydessä esitetään lakkautettavaksi järjestelmäsuunnittelijan (687) virka. Vuositasolla viran henkilöstökustannukset nousevat noin 3.000 euroa.Vuosikustannuksissa ei ole huomioitu työkokemuslisiä tai muita mahdollisia palkanlisiä. Viran kustannukset on huomioitu  vuoden 2026 talousarvioesityksessä.

 Hallintosäännön 2. luvun 15 §:n mukaan henkilöstöjaosto päättää virkojen perustamisesta ja lakkauttamisesta lukuun ottamatta hyvinvointialuejohtajan virkaa.