Hankinta, vapaaehtoistoiminnan toiminnanohjausjärjestelmä, kulttuurin ja vapaa-ajan toimiala
Helsingin kaupungin vapaaehtoisten toiminnanohjausjärjestelmän käyttöönotto
Päätös
Toimialajohtaja päätti hyväksyä Helsingin kaupungin vapaaehtoisten toiminnanohjausjärjestelmän käyttöönotettavaksi 22.4.2024 alkaen.
Päätöksen perustelut
Vapaaehtoisten toiminnanohjausjärjestelmää käyttävät mm. kulttuurin ja vapaa-ajan toimialan sekä sosiaali-, terveys- ja pelastustoimialan työntekijät. Kyseessä on Helsingin kaupungin yhteinen vapaaehtoistyönrekisteri, jota hallinnoi kulttuurin ja vapaa-ajan toimiala. Kulttuuri- ja vapaa-aika lautakunta on delegoinut rekisterinpitäjän tehtävät 27.3.2018, § 71, toimialajohtajalle.
Vs. toimialajohtaja päätti 12.12.2022 § 65 hankkia vapaaehtoistoiminnan alustan Rescomms Oy:ltä. Vapaaehtoistoiminnan alustan arvonlisäveroton arvo sopimuskaudelta on 486 800 euroa, joka sisältää käyttöönottoprojektin, erikseen tilattavan kehitys- ja migraatiotyön sekä palvelun käytön neljän vuoden ajalle. Järjestelmän avulla pidetään rekisteriä vapaaehtoisista ja jaetaan näille tehtäviä.
Helsingin kaupungin neljä toimialaa ja kaupunginkanslia voivat halutessaan ottaa rekisterin käyttöönsä oman vapaaehtoistoiminnan organisoinnin ja asiakkuudenhallinnan tueksi.
Toiminnanohjausjärjestelmän yleiskuvaus
Hankinnan kohteena on ollut kaupunkitasoinen toiminnanohjausjärjestelmäHelsingin kaupungin vapaaehtoistoiminnan organisointiin ja asiakkuudenhallintaan sekä siihen liittyvät asiantuntijapalvelut. Hankintaan on sisältynyt järjestelmän hankinta, käyttöönotto sekä niihin liittyvät asiantuntijapalvelut.
Toiminnanohjausjärjestelmää kohtaan tunnistettuja tarpeita ovat vapaaehtoistoiminnan henkilörekisterin ylläpidon sekä vapaaehtoistoiminnan päivittäisen koordinoinnin toimenpiteet.
Ratkaisun hankinnalla on pyritty tehostamaan vapaaehtoistoiminnan koordinointia ja vapaaehtoisten hallintaa Helsingin kaupungilla ja vastaamaan kaupunkistrategian asettamiin osallisuuteen, yhdenvertaisuuteen ja osallistumiseen liittyviin tavoitteisiin.
Helsingin kaupungin vapaaehtoistoiminnan kehittämisessä ja koordinoinnissa on tunnistettu tarve yhtenäistää koordinointikäytäntöjä, tukea eri toimialojen vapaaehtoistoiminnan koordinointia, ohjausta ja kehittämistä sekä uudistaa ja päivittää vapaaehtoistoiminnan prosesseja.
Helsingin kaupungilla ei ole ollut aiemmin käytössä kaupunkitasoista vapaaehtoistoiminnan rekisteriä ja/tai toiminnanohjausjärjestelmää. Eri toimialoilla on ollut erillisiä pistemäisiä vapaaehtoistoiminnan rekisteri- ja/tai toiminnanohjausratkaisuja, joiden käytettävyys on ollut heikkoa ja skaalattavuus kaupunkitasoisesti ei ole ollut mahdollista.
Osa toimintakäytänteistä ei ole vastannut käyttäjien tarpeisiin eikä täyttänyt EU:n yleisen tietosuoja-asetuksen vaatimuksia. Vapaaehtoistoiminnan digitaalisen alustan seuraava kehitysaskel on vapaaehtoistoiminnan rekisteri- ja toiminnanohjausjärjestelmän käyttöönotto.
Vapaaehtoistoiminnan nykyinen käyttöjärjestelmä on Clara Finland Oy:n toimittama. Vuonna 2022 toteutetussa kilpailutuksessa Rescomms Oy esitti kokonaistaloudellisesti edullisimman tarjouksen. Rescommsin kanssa on solmittu sopimus kolmeksi vuodeksi, jonka jälkeen sopimus jatkuu voimassa toistaiseksi.
Tietosuojan oikeudellinen perusta
Tietosuojaa koskevat oikeudelliset säädökset ovat EU:n yleinen tietosuoja-asetus (679/2016) ja kansallinen tietosuojalaki (1050/2018), joita sovelletaan rinnakkain.
Apulaistietosuojavaltuutettu antoi pääkaupunkiseudun kaupungeille joulukuussa 2022 huomautuksen Google Analyticsin käytöstä kirjastojärjestelmä Helmetin kävijäseurannassa. Vuoden 2023 alussa tietosuojavaltuutettu pyysi vielä lisäselvityksen Helmetin käyttämistä evästeistä. Lisäselvityksen etenemisestä ei ole tämän jälkeen kuulunut mitään.
Vs. toimialajohtaja ei ole keväällä 2023 katsonut mahdolliseksi hyväksyä vapaaehtoistoiminnan ohjausjärjestelmän käyttöönottoa. Tämä johtui siitä, että pilvipalvelujen tietosuojan riittävyydestä EU/ETA-valtioista Yhdysvaltoihin siirtyvien henkilötietojen osalta esiintyi epätietoisuutta.
Tietosuojavaltuutettu on keväällä 2023 käynnistänyt selvityksen, jolla tutkitaan Helsingin kaupungin kansliapäällikön tekemien M365 -päätösten lainmukaisuutta.
Kaupunki toimitti tietosuojavaltuutetulle toukokuussa 2023 Microsoftin kanssa valmistelemansa vastineen, jota tietosuojavaltuutetun toimisto tutkii edelleenkin, lähes vuosi myöhemmin.
Euroopan komissio on antanut 10.7.2023 tietosuojan tason riittävyydestä tietosuoja-asetuksen 45 artiklan mukaisen vastaavuuspäätöksen tiettyjen valtioiden osalta (mm. USA). Näiden valtioiden osalta EU/ETA-alueen ulkopuolista käsittelyä koskevat rajoitukset tai velvoite käyttää Euroopan komission vakiolausekkeita ja täydentäviä suojatoimia eivät tule sovellettaviksi. Toimittaja saa käsitellä Tilaajan henkilötietoja kyseisissä valtioissa vastaavasti kuin EU/ETA-alueella.
EU komission vastaavuuspäätös on osoittautunut henkilötietojen tietosuojan kannalta merkittäväksi erityisesti pilvipalveluissa. Vastaavuuspäätöksellä EU/ETA-valtioiden ja Yhdysvaltojen tietosuojaa koskevat säädökset tunnustetaan toisiaan vastaaviksi. EU:n ylläpitämälle listalle validoidaan yritykset, joiden tietosuojan ja tietoturvan tason katsotaan olevan riittäviä tullakseen hyväksytyksi vastaavuuspäätöksen soveltamisen piiriin.
Henkilötietojen käsittelijänä Rescomms Oy voi siirtää henkilötietoja vain sellaisille EU/ETA-alueen ulkopuolisille alueille, jotka komissio on tietosuoja-asetuksen 45 artiklan mukaisesti todennut takaavan riittävän tietosuojan tason. Käsittelijänä Rescomms Oy vastaa siitä, että siirrot tehdään tietosuoja-asetuksen 5 luvun mukaisia suojakeinoja noudattaen.
Toimittaja Rescomms Oy käyttää alihankkijanaan yhdysvaltalaisen Amazonin AWS-pilvipalvelua. Amazon on validoitu yllä mainitulle EU-komission yrityslistalle.
Henkilötietojen käsittelyn riskitason selvittäminen
Vapaaehtoisten toiminnanohjausjärjestelmän riskitasoa on selvitetty kattavasti sekä tietosuojan vaikutustenarvioinnin 28.2.2024 että kaupunginkanslian teettämän yleisen AWS-riskianalyysitaulukon avulla. Lisäksi Rescommsin kanssa solmitun sopimuksen liitteenä on Helsingin kaupungin tietosuoja- ja salassapitoliite.
Järjestelmää käyttöönotettaessa otetaan huomioon riskianalyysissä esille nousseet riskit. Erityistä huomiota kiinnitetään järjestelmän pääsyn- ja käyttäjähallintaan, hallintamallin kehittämiseen sekä käyttäjien koulutukseen ja valvontaan. Näillä toimilla pystytään turvaamaan mahdollisimman korkea tietoturva ja –suoja. Suunnitellut riskienhallinnan toimenpiteet toteuttamalla merkittäviä jäännösriskejä ei vapaaehtoisten toiminnanohjausjärjestelmän käyttöönottoon enää jää.
Rescomms Oy:n tarjoama järjestelmä noudattaa teknisiltä ratkaisuiltaan alan vakiintuneita, hyväksyttyjä ja testattuja tietoturvakäytänteitä.
Yllä esitetyin perustein toimialajohtaja katsoo perustelluksi hyväksyä kaupungin vapaaehtoisten toiminnanohjausjärjestelmän käyttöönotettavaksi 22.4.2024 alkaen.
Päätös tullut nähtäväksi 29.04.2024
MUUTOKSENHAKUKIELTO
Tähän päätökseen ei saa hakea muutosta, koska päätös koskee asian valmistelua tai täytäntöönpanoa.
Sovellettava lainkohta: Kuntalaki 136 §
Lisätietojen antaja
Eliisa Saarinen, kehittämisasiantuntija, puhelin: 09 31064884
Marko Luukkanen, lakimies, puhelin: 09 31089130
Petri Välkki, tietoturvapäällikkö, puhelin: 09 31035755