Hallitus
Pöytäkirja 31.01.2024/Pykälä 9

Hallitus 31.01.2024 § 9   

367/00.03.01/2022  

Valmistelija hallinto- ja talousjohtaja, vararehtori Tallinen Tero

Esittelijä hallinto- ja talousjohtaja, vararehtori Tallinen Tero

 Xamkin sisäinen tarkastus toteutettiin vuonna 2023 ostopalveluna, jonka toteutti BDO Oy. Tarkastukset toteutettiin vuoden 2023 alkupuoliskolla ja tarkastuskohteina olivat:

1. Tietosuojalainsäädännön ja määräysten noudattaminen käsiteltäessä erityisiä henkilötietoryhmiä
2. Hankinnan aloittaminen
3. Varhaisen tuen toimintamalli

Tarkastukset toteutettiin avainhenkilöiden haastatteluin sekä perehtymällä Xamkin ohjeistuksiin ja määräyksiin tarkastuksen kohteena olevista kokonaisuuksista.

Tarkastuskohteita arvioitiin yleisesti neliportaisella asteikolla riittämätön / kehitettävä / toimiva / hyvä.

Keskeisimmät havainnot ja toimenpidesuositukset:

1. Tietosuojalainsäädännön ja määräysten noudattaminen käsiteltäessä erityisiä henkilötietoryhmiä

Yleisarvosana: kehitettävä

Positiiviset huomiot:

-          Organisaatio on laatinut kattavat dokumentaatiot tiedonhallintamallista, tiedon ohjaussuunnitelmasta sekä arkistonmuodostussuunnitelmasta.

-          Yleisistä tietosuojaprosesseista on laadittu asianmukaiset ja selkeät prosessikuvaukset ja vaikutusten arvioimiseksi on laadittu kattava kartoitus sekä vaikutustenarviointilomake. Tietosuojan organisointi yleisellä tasolla on järjestetty asianmukaisesti ja roolit sekä vastuut ovat selkeät.

Merkittävimmät kehittämiskohteet:

-          Tarkastuksen perusteella arkaluonteisen henkilötiedon käsite ja määrittely ei ole selkeä yksiköissä. Tietosuojaa käsittelevässä ohjeistuksessa arkaluonteisia tietoja ei ole määritetty, jolloin riskinä on, että arkaluonteista henkilötietoa ei tunnisteta eikä asianmukaisia menettelytapoja määritetä.

• Suositus: tietosuojaa käsittelevässä ohjeistuksessa määritellään yleisellä tasolla, mitkä Xamkin käsittelemät henkilötiedot luokitellaan arkaluonteisiksi ja mitä arkaluonteisella tiedolla tarkoitetaan.

-          Arkaluonteisten henkilötietojen käsittelytapoja ei ole kuvattu eikä yksiköille ole laadittu omia kirjallisia käsittelytapoja, joten käsittelykäytänteet vaihtelevat yksiköittäin esimerkiksi sähköpostiin toimitettujen arkaluonteisten henkilötietojen tai paperisten muistiinpanojen osalta.  Riskinä on, että arkaluonteisia henkilötietoja käsitellään lainvastaisesti.

• Suositus: määritetään ja dokumentoidaan yhtenäiset käytännöt arkaluonteisten henkilötietojen käsittelystä. Laaditaan ohjeistukset erilaisia tilanteita varten ja varmistamaan, että ohjeistukset ovat jokaisessa yksikössä henkilöstön tiedossa.

-          E-lomakkeella ei tällä hetkellä jää lokitietoa arkaluonteisten henkilötietojen katselusta, muutoksista sekä poistamisesta, jolloin riskinä on henkilötietojen tarpeeton katselu, mikäli henkilötietojen käsittelyä ei seurata käyttäjätasoisesti.

• Suositus: järjestelmässä lokitetaan henkilötietojen muutokset, poistot ja katselu käyttäjätasolla.

2. Hankinnan aloittaminen

 Yleisarvosana: toimiva

 Positiiviset huomiot

-          Xamkissa on laadittu kattavat ohjeistukset sekä prosessikuvaukset koko hankintaprosessille. Toimintaa on kehitetty ja etenkin ohjelmistojen hankintaan on laadittu määrämuotoinen prosessi. Otostarkastuksen perusteella 11 / 16 hankintaa perustui suunnitelmallisuuteen ja oli arkistoitu asianmukaisesti.

-          Hankintayksikkö antaa neuvontaa ja koulutusta, koordinoi hankintatoimea sekä toteuttaa koko organisaation tasoiset hankinnat ja osallistuu tarpeen mukaan yksiköiden hankintojen toteutukseen. 

 Merkittävimmät kehittämiskohteet:

-          Xamk on laatinut hankintaohjeen ja pienhankintaohjeen sekä koonnut intraan ohjeistusta hankinnan etenemisestä. Hankintaohjeessa ei ole huomioitu sopimuksenaikaista valvontaa. Intran ohjeistuksessa hankintojen suunnittelua ei ole huomioitu. Hankinnan asianmukaista hyväksymistä ennen tarjouspyyntöä ei ole sisällytetty ohjeistukseen. Ohjeistuksissa on viitattu Xamkin tiedonohjaus- ja arkistonmuodostussuunnitelmiin, mutta asianmukaista arkistointia ei ole kuvattu ohjeissa

• Suositus: täydennetään ohjeistusta hankinnan suunnittelun ja hyväksymisen, arkistointikäytäntöjen sekä sopimuksen valvonnan osalta

-          Yksiköiden toimintatavat hankintojen suunnittelussa, valvonnassa ja arkistoinnissa poikkeavat toisistaan hankintojen luonteen sekä hankintatarpeen vuoksi. Otostarkastuksen perusteella etenkin kulttuurin koulutusyksikössä arkisointikäytännöt olivat puutteelliset.

• Suositus: varmistetaan asianmukainen arkistointi ajantasaisen sopimusrekisterin muodostamiseksi

-          Hankintojen hyväksymismenettelyt poikkeavat toisistaan eikä yhtenäistä menettelyä hankinnan hyväksymiselle ole määritetty.

• Suositus: hankinnan aloittaminen hyväksytään yhtenäisen käytännön mukaisesti sekä kirjallisesti.

3. Varhaisen tuen toimintamalli

Yleisarvosana: toimiva

Positiiviset huomiot:

-          Varhaisen tuen malliin liittyvät keskustelut järjestetään asianmukaisella tavalla rauhallisissa tiloissa ja keskusteluihin varataan tarpeeksi aikaa.

-          Yhteydenpito työntekijään pitkien sairauspoissaolojen aikana on suunnitelmallista ja se on nostettu myös keskeiseksi osaksi varhaisen tuen mallia.

-          Työntekijän hyvinvointia mitataan säännöllisesti työyhteisön kehityskyselyllä ja työhyvinvointi on linkitetty muun muassa kehityskeskustelulomakkeille. Työtyytyväisyyden tueksi on olemassa myös lisäpalveluita, kuten Auntie-palvelu, josta saa esimerkiksi tukea mielen hyvinvoinnin haasteisiin kahdenkeskisten keskustelujen avulla mielen ammattilaisten kanssa.

Merkittävimmät kehittämiskohteet:

-          Varhaisen tuen mallin ohjeessa (myöhemmin varhaisen tuen malli) ei ole määritelty varhaisen tuen toimintamalliin osallistuvien keskeisten tahojen vastuita ja velvoitteita. Osa haastateltavista nosti esiin, että varhaisen tuen eri toimijoiden roolit ovat osittain epäselvät. Riskinä on, että varhaisen tuen mallin tehtävänmäärittely ja vastuunjako ovat epäselviä, mikä voi heikentää varhaisen tuen sujuvuutta sekä tilanteiden tehokasta ratkaisemista.

• Suositus: määritellään selkeästi varhaisen tuen keskeisten toimijoiden (erityisesti henkilöstöhallinnon, työterveyshuollon, työhyvinvointikoordinaattorin sekä työsuojeluhenkilöstön) tehtävät ja vastuut varhaisen tuen mallissa.

-          ESS-järjestelmästä on mahdollista tarkistaa työntekijöiden sairaspoissaolojen määrä. ESS-järjestelmän sairaspoissaoloraportin tuottamiseksi pitää tehdä erillinen manuaalinen ajo järjestelmästä, jotta raportin saa muodostettua. Kaikille haastateltaville ei ollut tiedossa, kuinka raportti ajetaan järjestelmästä.

-          Saadun tiedon mukaan sairauspoissaolojen ilmoitukset työterveyshuoltoon tehdään työterveyshuoltolain mukaisesti 30 päivän sairauspoissaolojen jälkeen henkilöstöpalveluiden kautta. ESS-järjestelmässä ei ole kuitenkaan käytössä automaattisia hälytyksiä, jotka ilmoittaisivat, jos työntekijällä ylittyy tietty määrä sairauspoissaoloja. Haastattelussa nostettiin lisäksi esille, että sairauspoissaolojen kokonaismäärän seuranta voi olla haastavaa, jos esimiehellä on monta alaista. Riskinä on, että järjestelmät eivät mahdollista sairauspoissaolojen sujuvaa seurantaa, jolloin sairauspoissaolojen seuraaminen on haastavaa ja sairauspoissaoloja jää automaattisten hälytysten puuttuessa ilmoittamatta työterveyshuoltoon lain edellyttämällä tavalla.

• Suositus: selkeytetään esimiehille, kuinka työntekijöiden sairauspoissaoloja voi seurata järjestelmien tuottamista raporteista.                Suositus: selvitetään onko ESS-järjestelmään mahdollista lisätä automaattiset ilmoitukset sairauspoissaolojen seurantaan, joka hälyttää esimerkiksi silloin, kun sairauspoissaolo on jatkunut yli kuukauden ajan.

-          Varhaisen tuen keskustelujen kirjaamiseen ei ole yhtenäisiä toimintatapoja. Kaikille haastateltaville ei ollut täysin selkeää, mitä tietoja varhaisen tuen keskusteluista tulisi kirjata tai mitä tietoja dokumentteihin on sallittua kirjoittaa. Riskinä on, että varhaisen tuen keskusteluihin kirjataan arkaluontoisia tietoja, kuten työntekijän terveystietoja. Lisäksi riskinä on, että varhaisen tuen keskustelun kirjaaminen ei ole riittävän kattavaa esimerkiksi toimenpiteiden seurantaa ajatellen.

• Suositus: määritellään minimivaatimukset siitä, mitä varhaisen tuen mallista tulee kirjata lomakkeelle.
• Suositus: korostetaan varhaisen tuen malliin, että varhaisen tuen keskusteluista laadittaviin muistiinpanoihin ei saa kirjata työntekijän arkaluontoisia tietoja.

-          Xamkin varhaisen tuen mallissa ei ole mainintaa varhaisen tuen keskustelulomakkeiden arkistoinnista. Saadun tiedon mukaan arkistointi tapahtuu pääsääntöisesti niin, että keskustelulomake lähetetään työhyvinvointikoordinaattorille, joka arkistoi lomakkeen. Arkistointiin ei ole yhtenäistä tapaa eikä tästä syystä voida olla varmoja, että esimerkiksi kaikki esimiesten täyttämät keskustelulomakkeet päätyvät työhyvinvointikoordinaattorille. Riskinä on, että keskustelulomakkeiden arkistointi ei ole yhtenäistä, mikä voi tehdä tiedonhallinnasta tehotonta ja voi aiheuttaa tietojen häviämisen.

• Suositus: linjataan ja lisätään varhaisen tuen malliin ohjeeseen menettelytapa, miten varhaisen tuen kirjalliset keskustelumuistiinpanot tulisi arkistoida yhdenmukaisella tavalla.

Xamkin johtoryhmä on käsitellyt sisäisen tarkastuksen suositusten perusteella tehdyt toimenpiteet kokouksessaan 13.12.2023. Yhteenveto toimenpiteistä on liitteenä.

Päätösehdotus Merkitään tiedoksi raportti ja tehdyt toimenpiteet.

Päätös Merkittiin tiedoksi.

Tiedottamisvastuu

Ote