Helsingin kaupungin tilintarkastus 2024

Päätös on ehdotuksen mukainen.

Tarkastuslautakunta pyytää 27.5.2025 mennessä kaupunginhallitukselta kuntalain 125.3 §:ssä tarkoitettua lausuntoa tilintarkastuskertomuksessa esitetyn muistutuksen johdosta.

Kuntalain (410/2015) 125 §:n mukaan tilintarkastajan on annettava valtuustolle kultakin tilikaudelta kertomus, jossa esitetään tarkastuksen tulokset. Kertomuksessa on myös esitettävä, onko tilinpäätös hyväksyttävä ja voidaanko toimielimen jäsenelle ja asianomaisen toimielimen tehtäväalueen johtavalle viranhaltijalle (tilivelvollinen) myöntää vastuuvapaus.

Jos tilintarkastaja havaitsee, että kunnan hallintoa ja taloutta on hoidettu vastoin lakia tai valtuuston päätöksiä eikä virhe tai aiheutunut vahinko ole vähäinen, tilintarkastuskertomuksessa on tehtävä asiasta tilivelvolliseen kohdistuva muistutus.

Tarkastuslautakunnan on hankittava tilintarkastuskertomuksessa tehdystä muistutuksesta asianomaisen selitys sekä kunnanhallituksen lausunto. Valtuusto päättää toimenpiteistä, joihin tarkastuslautakunnan valmistelu, tilintarkastuskertomus ja siinä tehty muistutus antavat aihetta. Hyväksyessään tilinpäätöksen valtuusto päättää vastuuvapaudesta tilivelvollisille.

Kaupungin tilintarkastaja on 29.4.2025 päivätyssä Helsingin kaupunginvaltuustolle osoitetussa tilintarkastuskertomuksessa 2024 lausunut tarkastuksen tuloksista seuraavaa:

”Toimintakertomuksessa on todettu, että kasvatuksen ja koulutuksen (myöhemmin Kasko) toimialaan kohdistui huhtikuussa 2024 vakava tietomurto, ja että tietomurto ja datan varastaminen mahdollistui tietoturvakontrollin puutteesta, jotka liittyivät etäyhteyspalvelimen asetuksiin, verkon eriyttämiseen ja tietoturvamonitorointiin. Toimintakertomuksen mukaan asian selvittämisen yhteydessä ilmeni useita kehittämiskohteita, jotka kuvastavat kaupungin IT-kehitysvelkaa. Kaupungin omien selvitysten mukaan on epäselvyyttä siitä, minkä tahon valvonnassa kyseinen etäyhteyspalvelin on ollut.

Onnettomuustutkintakeskus Otkesin yhteydessä toimiva riippumaton tutkimusryhmä on aloittanut Valtioneuvoston asettaman tutkinnan asiasta tarkoituksena selvittää, miten yleistä turvallisuutta voidaan lisätä vastaisuudessa. Työn odotetaan valmistuvan kesällä 2025. Keskusrikospoliisi on aloittanut esitutkinnan Helsingin kaupungin toiminnasta liittyen tietomurtoon. Esitutkinnassa selvitetään, onko kaupunki suojannut tietoja asianmukaisesti. Epäilty rikosnimike on tietosuojarikos.

Helsingin kaupungin hallintosäännön mukaan kaupunginhallitus vastaa siitä, että kaupunki täyttää tietosuojalainsäädännön mukaiset velvoitteet ja valvoo velvoitteiden toteutumista. Hallintosäännön mukaan kaupunginkanslian strategiaosasto huolehtii digitalisaation ja tietohallinnon ohjauksesta. Kaupunginkanslian toimintasäännön mukaan strategiaosaston digitalisaatioyksikkö vastaa digitalisaation ja tietohallinnon kaupunkitasoisesta ohjauksesta, kaupunkiyhteisistä sovelluspalveluista, digitaalisista palveluista, niihin liittyvistä teknisistä alustoista ja ratkaisuista, digitaalisesta palvelumuotoilusta sekä kaupunkiyhteisistä data- ja analytiikkaratkaisuista. Kaupunginhallitus on tekemällään päätöksellä delegoinut henkilörekistereitä koskevia tehtäviä viranhaltijoille. Käyttäjätunnusten hallinnan rekisteriselosteen mukaan kaupunginhallitus on delegoinut rekisterinpitäjän tehtävät kaupunginkanslian strategiajohtajalle ja rekisterin vastuuhenkilö on rekisteriselosteen mukaan kaupunginkanslian digitalisaatiojohtaja, jonka esihenkilö on strategiajohtaja. Kansliapäällikkö on päätöksellään hyväksynyt tietoturvalinjaukset, joissa ohjeistetaan tietoturvasta toimialoja, virastoja ja liikelaitoksia sekä kehottanut kanslian strategiaosastoa valmistelemaan, koordinoimaan sekä ohjeistamaan linjausten toimeenpanoa.

Kaskon toimintasäännön mukaan toimialan tietohallintopalveluista vastaa tietohallintopäällikkö (nykyisin tietohallintojohtaja). Kaskon toimintasäännön mukaan Kaskon tietohallintopalvelut huolehtivat tietoturvan edistämisestä ja koordinoinnista toimialalla. Kaskon tietohallintojohtajan esihenkilö on Kaskon yhteisten palvelujen johtaja, jonka esihenkilö on Kaskon toimialajohtaja.

Kuntalain 125 §:n mukaisena muistutuksena esitämme, että hallinnon lainmukaiseen hoitamiseen sekä sisäisen valvonnan ja riskienhallinnan riittävään järjestämiseen sisältyy merkittävä epävarmuus, jota Keskusrikospoliisin esitutkinnassa osaltaan selvitetään.”

Tilintarkastuskertomukseen sisältyvä tilintarkastajan lausunto on tilinpäätöksen hyväksymisen ja vastuuvapauden myöntämisen osalta seuraavan sisältöinen:

”Esitämme tilinpäätöksen hyväksymistä. Hallinnon lainmukaisuuteen sekä sisäiseen valvontaan ja riskienhallintaan liittyvän muistutuksen vuoksi emme puolla vastuuvapauden myöntämistä strategiajohtajalle, digitalisaatiojohtajalle, kasvatuksen ja koulutuksen toimialajohtajalle, kasvatuksen ja koulutuksen yhteisten palvelujen johtajalle sekä kasvatuksen ja koulutuksen tietohallintojohtajalle, koska Keskusrikospoliisin esitutkinta mahdollisesta tietosuojarikoksesta kaupungin toiminnassa on kesken. Tilivelvollisten joukko, jolle emme puolla vastuuvapautta, on laaja sen vuoksi, että asiaan liittyvä vastuunjako ei ole selvä. Esitämme vastuuvapauden myöntämistä muille tilivelvollisille tarkastamaltamme tilikaudelta.”

Tarkastuslautakunta 13.05.2025 § 43

Päätös

25.02.2025 Ehdotuksen mukaan

05.11.2024 Ehdotuksen mukaan

04.06.2024 Ehdotuksen mukaan

Esittelijä

Lisätiedot

Arto Ahlqvist, tarkastuspäällikkö, puhelin: +358931036580

This decision was published on 03.06.2025

MUUTOKSENHAKUKIELTO

Tähän päätökseen ei saa hakea muutosta, koska päätös koskee asian valmistelua tai täytäntöönpanoa.

Sovellettava lainkohta: Kuntalaki 136 §