Rakennustietosäätiö
28.8.2019
lausunnot@rakennustieto.fi
Suomen Arkkitehtiliiton lausunto ohje-ehdotuksesta Rakennuksen digitaalinen turvallisuus. Tilaajan ohje. RTS 19:40
Viite: Lausuntopyyntö 5.7.2019
Rakennustietosäätiö RTS sr on pyytänyt lausuntoa rakennuksendigitaalista turvallisuutta käsittelevästä ohje-ehdotuksesta. Ohjekortissa esitetään talotekniikan tieto- ja kyberturvallisuuteen liittyviä tekijöitä, jotka tilaajan on huomioitava rakennuksen elinkaaren aikana. Siinä esitetään myös keinoja talotekniikan tieto- ja kyberturvallisuuden hallintaan. Suomen Arkkitehtiliitto on perehtynyt ohje-ehdotukseen ja toteaa, että ohje-ehdotus on sisällöltään osittain liian suppea ja toisaalta liian laaja.
Tietosuoja on tärkeä mutta monimutkainen asia, jonka esittäminen kokonaisuudessaan on vaikeaa. Siksi sen osuus ohjeessa kasvaa kohtuuttoman laajaksi. Asian käsittelyyn riittäisi ensimmäinen kappale, jossa kerrotaan kuinka talotekniikan tieto- ja kyberturvallisuusriskit liittyvät tietosuojalainsäädännön vaatimuksiin henkilötietorekisteristä. Keskeistä on todeta, että kiinteistöstä kerättävä tieto kannattaa pitää mahdollisimman pitkään erillään henkilötiedoista. Pelkkä nimiluettelo ei ole vielä henkilötietorekisteri, mutta heti kun henkilön nimeen yhdistyy muuta tietoa, siitä tulee sellainen. Ohje-ehdotuksen ensimmäisessä tietosuojaa käsittelevässä luvussa on riittävästi perustietoa aiheesta. Tärkeintä on esittää lyhyesti ja selkeästi, mistä tietosuojan kannalta rakennuksen tilaaja vastaa ja mistä ei. Liika tieto ei selkeytä tätä asiaa. Lukujen 6.2 -. 6.4 osalta riittäisi maininta, mistä tietoa on saatavissa lisää. Ohje-ehdotuksen keskiössä on otsikon mukaan rakennuksen turvallisuus. Tietosuojassa on kyse henkilötiedoista ja niiden suojasta eikä kiinteistötiedosta. Tietosuoja-asetuksesta tulee vaatimus henkilötietojen käsittelystä, josta on vastuussa henkilötietojen kerääjä ja käsittelijä. Rakennushankkeeseen ryhtyvän/ tilaajan tulee olla tietoinen tietosuojalaista ja siitä, millaista tietoa talotekniikan kautta kiinteistöstä/rakennuksesta kerätään ja ettei sitä saa liittää suoraan henkilöihin, jolloin siitä muodostuu henkilörekisteri. Vastuuta kantaa myös talotekniikkaa varten softaa tuottava yritys, jonka on osattava ratkaista, kuinka kiinteistönpidossa tarpeellista tietoa kerätään ilman linkkiä henkilötietoihin.
Rakennuksen suunnitteluvaiheen tieto- ja kyberturvallisuuskysymyksiä on käsitelty ohjeluonnoksessa varsin suppeasti. Vaikka luonnostekstin alussa todetaan, että ohjekorttisarjaan sisältyvät vastaavat ohjeet myös suunnittelijoille ja kiinteistönpidosta vastaaville tahoille, toivoisimme suunnittelua käsiteltävän laajemmin myös tässä yhteydessä. Tilaajatkin tarvitsevat konkreettisia esimerkkejä ja hyväksi havaittujen toimintatapojen esittelyä. Suunnitteluvaihetta tulee taustoittaa vastaavasti kuin ohjetekstin muita osioita.
Helsingissä 29.8.2019
Suomen Arkkitehtiliitto SAFA ry
Heini Korpelainen,
rakennussuunnittelutoimikunnan sihteeri