Kysymyksiä ja vastauksia tiedonhallintalaista

Koneluettavalla muodolla tarkoitetaan tiedonhallintalaissa (906/2019, 2 §) tiedostomuotoa, jonka rakenne mahdollistaa sen, että ohjelmistot pystyvät helposti yksilöimään, tunnistamaan ja poimimaan siitä tietoaineistoja, yksittäisiä tietoja sekä niiden rakenteita.

Aineiston skannaaminen PDF-muotoiseksi kuvatiedostoksi ei täytä koneluettavuuden vaatimuksia, koska tällaista tiedostoa ei pysty koneellisesti tulkitsemaan.

Jos asiakirja saapuu viranomaiselle muussa kuin sähköisessä muodossa (kuten paperilla), on se muutettava sähköiseen muotoon, jos asiakirja on säädetty pysyvästi säilytettäväksi taikka lailla tai lain nojalla arkistoitavaksi. (Tiedonhallintalaki 906/2019, 19 §).

Sähköiseen muotoon muuttaminen tarkoittaa asiakirjan skannaamista manuaalisesti tai automaattisesti siten, että asiakirjoja ja niiden kuvailutietoja (metatietoja) voi tämän jälkeen käsitellä, siirtää ja tallentaa tietojärjestelmien avulla. Asiakirjan tulee säilyä eheänä ja luotettavana sähköiseen muotoon muuttamisen kaikissa vaiheissa. On suositeltavaa, että asiakirjasta saadaan skannauksen tuloksena myös tekstimuotoista sisältöä eikä vain kuva.

EU:n tietosuoja-asetuksen ja tiedonhallintalain mukainen pysyvä säilyttäminen tapahtuu alkuperäisiä käyttötarkoituksia varten, eikä tietoa missään vaiheessa siirretä arkistoon. Pysyvällä säilyttämisellä ei ole määräaikaa. 

Arkistoinnilla tarkoitetaan tässä yhteydessä EU:n tietosuoja-asetuksen ja tiedonhallintalain mukaista arkistointia. Arkistointi tapahtuu tutkimustarkoituksia sekä yleisen edun mukaista arkistointitarkoitusta varten.

• Tietojen pysyvä säilyttäminen tarkoittaa, että tiedot säilytetään alkuperäisessä käyttötarkoituksessa siten, ettei tietoja tuhota tai siirretä arkistoon. Tietojen säilyttämiselle pitää olla hyväksyttävä perusteensa, kuten asiakirjan pysyvä käyttötarve hallinnon asiakkaan etujen, oikeuksien tai velvollisuuksien todentamiseksi (Tiedonhallintalaki, HE 284/2018 vp, s. 98). Säilytysajan päättymisen jälkeen tietoaineistot on arkistoitava tai viipymättä tuhottava tietoturvallisella tavalla. (TiHL 906/2019, 21 §).

• Nykyisessä arkistolaissa (1994/831) pysyvä säilyttäminen ja arkistointi tarkoittavat samaa asiaa. Viranomaisen on huolehdittava asiakirjojen arkistoimisesta ja arkistokelpoisuuden varmistamisesta, jos Kansallisarkisto on päätöksellään määrännyt asiakirjat pysyvästi säilytettäväksi (arkistoitavaksi).

Tiedonhallintalautakunta laatii vuoden 2022 aikana suositukset (Suositus tietoaineistojen koneluettavasta muodosta ja Suositus tietoaineistojen muuttamisesta sähköiseen muotoon), joissa tiedonhallintayksikköjä ohjeistetaan tarkemmin aiheesta.

Asiakirjan sähköiseen muotoon muuttamisesta voidaan poiketa silloin, kun se on välttämätöntä turvallisuusluokiteltavien asiakirjojen käsittelyä koskevien vaatimusten, muiden tietoturvallisuusvaatimusten tai muun asiakirjan luonteeseen liittyvän syyn vuoksi.

Turvallisuusluokiteltujen asiakirjojen osalta, katso myös Suositus turvallisuusluokiteltavien asiakirjojen käsittelystä (http://urn.fi/URN:ISBN:978-952-367-500-1) ja Turvallisuusluokiteltavien asiakirjojen käsittely pilvipalveluissa (http://urn.fi/URN:ISBN:978-952-367-906-1).
 

Tiedonhallintalain 19 §:n 1 momentin mukaan sähköiseen muotoon muutetun asiakirjan luotettavuus ja eheys on varmistettava. 

Kun alkuperäinen paperimuodossa oleva asiakirja muutetaan sähköiseen muotoon, näin muodostuva sähköinen asiakirja on kopio, jonka vastaavuus alkuperäisen asiakirjan kanssa pitää pystyä todentamaan myös jälkikäteen. Siksi asiakirjan sähköisen kopion kuvailutietoihin (metatietoihin) tulisi lisätä tieto siitä, kuka ja milloin on tarkastanut ja varmistanut näin tuotetun sähköisen asiakirjan vastaavuuden alkuperäisen paperiasiakirjan kanssa.

•  Luotettavimmin tällainen vastaavuuden todennus voidaan tehdä allekirjoittamalla sähköisen asiakirjan kopio varmenteen avulla. Esimerkiksi eheyden varmistaminen voidaan toteuttaa siten, että asiakirjan luotettavuuden ja eheyden tarkastanut henkilö toteaa, että sähköiseen muotoon muutettu asiakirja on käyttökelpoisessa muodossa ja vastaa sisällöltään alkuperäistä asiakirjaa. Tämä tulisi ilmetä muutetun asiakirjan metatiedoista.

• Sähköisen allekirjoittamisen (tai vastaavan tasoisen tietoturvallisuustoimen) avulla voidaan myöhemmin havaita, jos sähköiseen muotoon muutettuun asiakirjaan (kopioon) on jälkikäteen tehty muutoksia.

• Sähköiseen muotoon muutetun asiakirjan tuhoamisesta ohjeistusta antaa Kansallisarkisto.

Julkisen hallinnon tiedonhallinnasta annetun lain (906/2019, tiedonhallintalaki) 2 §:n 1 kohdassa säädetty viranomaisen käsite viittaa viranomaisten toiminnan julkisuudesta annetun lain (621/1999, julkisuuslaki) 4 §:n 1 momentin luetteloon viranomaisista. Tiedonhallintalakia sovelletaan organisatorisesti niihin viranomaisiin, jotka on määritelty julkisuuslaissa. Asiallista soveltamisalaa määrittää puolestaan tiedonhallintalain 3 §:n 1 momentti, jonka mukaan lakia sovelletaan tiedonhallintaan ja tietojärjestelmien käyttöön, kun viranomaiset käsittelevät tietoaineistoja, jollei muualla laissa toisin säädetä. Koska tiedonhallintalain 2 §:n 5 kohdan mukaan tietoaineistolla tarkoitetaan asiakirjoista ja muista vastaavista tiedoista muodostuvaa tiettyyn viranomaisen tehtävään tai palveluun liittyvää tietokokonaisuutta, sovelletaan tiedonhallintalaki niihin tietojärjestelmiin, joissa käsitellään julkisuuslain 5 §:n 2 momentissa tarkoitettuja viranomaisen asiakirjoja.

Julkisuuslain 5 §:n 2 momentin mukaan viranomaisen asiakirjalla tarkoitetaan viranomaisen hallussa olevaa asiakirjaa, jonka viranomainen tai sen palveluksessa oleva on laatinut taikka joka on toimitettu viranomaiselle asian käsittelyä varten tai muuten sen toimialaan tai tehtäviin kuuluvassa asiassa. Viranomaisen laatimana pidetään myös asiakirjaa, joka on laadittu viranomaisen antaman toimeksiannon johdosta, ja viranomaiselle toimitettuna asiakirjana asiakirjaa, joka on annettu viranomaisen toimeksiannosta tai muuten sen lukuun toimivalle toimeksiantotehtävän suorittamista varten. Viranomaistoiminnassa henkilöstö- ja taloushallinnon asiakirjat ovat viranomaisen asiakirjoja. Ne ovat joko viranomaisen tai sen palveluksessa olevan laatimia taikka ne on toimitettu viranomaiselle joko asiankäsittelyä varten taikka muuten sen tehtävään tai toimialaan kuuluvassa asiassa. Myös oikeuskäytännön mukaan esimerkiksi ostolaskut ovat viranomaisen asiakirjoja (esimerkiksi KHO 25.5.2016 t. 2314, KHO 22.1.2001 t. 88). 

Tiedonhallintalautakunta toteaa, että tiedonhallintalakia sovelletaan henkilöstö- ja taloushallinnon tietojärjestelmiin silloin, kun niissä käsitellään viranomaisen asiakirjoja. Pääosin viranomaisten henkilöstö- ja taloushallinnon tietojärjestelmät sisältävät viranomaisen asiakirjoja.
 

Tiedonhallintalain 17 §:n mukaan viranomaisen on huolehdittava, että sen tietojärjestelmien käy-töstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen.

Tiedonhallintalain mainitun lainkohdan perustelujen mukaan lokitietojen keräämisen tarkoitukse-na ja perusteena on toteuttaa viranomaisten tietojärjestelmien tietoturvallisuutta siten, että lokitie-tojen perusteella voidaan selvittää virhetilanteita ja valvoa tietojärjestelmien käyttöä muun muassa oikeusturvan toteuttamiseksi ja virkavastuun todentamiseksi. Katselulokitietojen keräämisen tar-koituksena on virkavastuun todentaminen tilanteissa, joissa esimerkiksi selvitetään salassa pidettä-vien tietojen antamista sivulliselle tai perusteetonta henkilötietojen katselua. Lokitietojen kerää-misen tarkoituksena voi olla myös tietosuojaan liittyvät syyt muun muassa rekisterinpitäjän osoi-tusvelvollisuuden toteuttamiseksi. Muun kuin tiedonhallintalaissa säädetyn tietosuojalainsäädän-nön neuvonnasta vastaa toimivaltaisena viranomaisena tietosuojavaltuutettu, joten tiedonhallinta-lautakunta ei anna muuhun tietosuojalainsäädäntöön perustuvaa lokitietojen keräämisen perusteita koskevaa ohjausta ja neuvontaa. 

Tiedonhallintalautakunta viittaa tiedonhallintalain mainitun lainkohdan perusteluihin katselulo-kien (käyttölokien) keräämisestä, jossa todetaan seuraavaa: ”käyttölokitietojen keräämisen tarve tulisi arvioida puolestaan sillä perusteella, tarvitaanko niitä virheselvittelyjä varten tai yksilön etu-jen, oikeuksien ja velvollisuuksien sekä oikeusturvan toteuttamiseksi taikka virkavastuun todenta-miseksi. Erityisesti näistä näkökulmista tulisi arvioida käyttölokitietojen tarpeellisuutta, kun tieto-järjestelmässä käsitellään muita kuin salassa pidettäviä tietoja taikka tietoja, joilla voisi olla mer-kitystä yksilön oikeusturvan toteuttamisen näkökulmasta. Tarpeellisuusarviointiin vaikuttaa myös yleisessä tietosuoja-asetuksessa säädetyt vaatimukset teknisten ja organisatoristen toimenpiteiden toteuttamiseksi henkilötietojen suojaamiseksi. Lokitietoja ei tämän lain perusteella erikseen tarvit-si kerätä yleisesti tietoverkosta, esimerkiksi verkkosivustoilta, saatavista avoimista tietoaineistois-ta.” 

Tiedonhallintalain perustelujen mukaan se, missä laajuudessa ja mitä lokitietoja kerätään, perustuu tarpeellisuusarviointiin. Lokitiedot voidaan jättää keräämättä, jos niiden keräämiselle ei ole tässä tai muussa säädöksessä tarkoitettua perustetta. Tarpeellisuusarvioinnin tekee se viranomainen (tai tietosuoja-asetuksessa tarkoitettu rekisterinpitäjä), jonka tietoaineistoja käsitellään tietojärjestel-mässä. Jos tietojärjestelmä on useamman viranomaisen yhteisesti käytettävä, voi tarpeellisuusarvi-oinnin tehdä se viranomainen, jonka vastuulle tietojärjestelmän tekninen ylläpito on säädetty yh-dessä tietojärjestelmää käyttävien viranomaisten kanssa. Tarpeellisuusarviointia ei voi tehdä tieto-järjestelmän toimittaja.

Tiedonhallintalautakunta pitää selvänä, että tietojen katselusta on kerättävä käyttölokitiedot, kun käsittelyn kohteena on salassa pidettävät tiedot. Niin ikään katseluista on syytä kerätä lokitiedot myös tilanteista, joissa on korkea riski siihen, että tietoja katsellaan vastoin tietojärjestelmään an-nettuja käyttöoikeuksia ja hyväksyttäviä käyttötarkoituksia. Henkilöstö- ja taloushallinnon tietojär-jestelmiin sisältyy tietoja, jotka ovat salassa pidettäviä tai niihin muuten voi liittyä riskejä lainvas-taisesta tietojenkäsittelystä.
 

Tiedonhallintalaissa (3 § Lain soveltamisala ja sen rajoitukset) säädetään, että tiedonhallintalakia ei sovelleta Ahvenanmaan maakunnassa toimiviin maakunnan, valtion ja kunnallisiin viranomaisiin. Ahvenanmaan viranomaisten rajaaminen soveltamisalan ulkopuolelle 3 §:n 5 momentissa vastaa aiemmassa tietohallintolaissa (634/2011) tehtyä soveltamisalan rajausta.

I informationshanteringslagen (3 § Lagens tillämpningsområde och begränsningar i det) föreskrivs att lagen inte tillämpas på landskapsmyndigheterna eller de statliga eller kommunala myndigheterna i landskapet Åland. Avgränsningsbestämmelsen i 3 § 5 mom. motsvarar bestämmelserna om myndigheterna på Åland i den tidigare informationsförvaltningslagen (634/2011).

Viranomaisen käsitettä ei ole mahdollista määritellä tyhjentävästi. 
Viranomaisella tarkoitetaan tiedonhallintalaissa ainakin
 
1) valtion hallintoviranomaista
2) tuomioistuinta ja muuta valitusasioiden käsittelyä varten perustettua lautakuntaa
3) valtion liikelaitosta
4) kunnallista viranomaista (kunnanhallitus, lautakunnat, kunnalliset liikelaitokset ja joissakin tilanteissa yksittäiset viranhaltijat) 
5) itsenäistä julkisoikeudellista laitosta
6) eduskunnan virastoa
 
Lisäksi viranomaiseen rinnastuvat yliopistot, ammattikorkeakoulut sekä julkista hallintotehtävää hoitavat toimijat. 

Tiedonhallintalaki on yleislaki ja sitä sovelletaan organisatorisen ja asiallisen soveltamisalan perusteella laajasti viranomaisten toimintaan ja viranomaisten asiakirjoihin, ellei muualla ole toisin säädetty. Lakia sovelletaan potilasasiakirjoja ja asiakasasiakirjoja käsitteleviin julkisuuslaissa (621/1999) tarkoitettuihin viranomaisiin tai niiden lukuun toimiviin, ellei potilasasiakirjan tai asiakasasiakirjan käsittelystä ole säädetty erityislaissa tosin. Sääntelyä ei ole rajattu tiettyihin asiakirjaryhmiin.

Terveydenhuollon puolella tiedonhallintalakia sovellettaessa on syytä kiinnittää huomiota siihen, että potilasasiakirjojen käsittelystä on olemassa huomattava määrä täsmällistä sääntelyä erityislainsäädännössä. Samoin on syytä kiinnittää huomiota pääsääntöisesti palvelujen tuottamisen yhteydessä muodostuviin potilasasiakirjoihin, joiden osalta sovellettavaksi tulevat ainoastaan palvelujen tiedonhallintaa koskevat vaatimukset sekä erityislainsäädännössä säädetyt vaatimukset tiedonhallintalaissa säädettyjen asianhallintaa koskevien säännösten sijaan.

Sosiaalihuollon asiakasasiakirjojen tilanne on palvelujen tuottamisen osalta potilasasiakirjoja vastaava, mutta sosiaalihuollossa on myös asiankäsittelyprosesseja enemmän. Sovellettavaksi tulevat siis sekä palveluiden tiedonhallintaa että asianhallintaa koskevat vaatimukset. Sosiaalihuollossa on asiakasasiakirjalain lisäksi otettava huomioon, mitä asianhallinnan metatietojen rekisteröinnistä on säädetty tiedonhallintalaissa. Asiakasasiakirjalakia sovelletaan kuitenkin ensisijaisesti sosiaalihuollossa.

Vakiintuneen oikeuskäytännön ja laillisuusvalvojien ratkaisukäytännönkin perusteella julkisuuslaki tulee toissijaisesti sovellettavaksi potilas-ja asiakasasiakirjojen käsittelyssä, jos viranomaisen asiakirjan määritelmä täyttyy. Vastaavalla tavalla soveltaminen tapahtuu tiedonhallintalain osalta.

Tiedonhallintalain soveltamisalasta on säädetty lain 3 §:ssä, jonka mukaisesti lakia sovelletaan yliopistoihin organisaatioina ja siten myös yliopistojen kirjastoihin. Yliopisto on tiedonhallintayksikkö ja kirjasto osa yliopistoa.

Yliopiston ja yliopiston kirjaston käsittelemät asiat vaikuttavat lain asiallisen soveltamisalan määräytymiseen: Tiedonhallintalaki tulee sovellettavaksi, kun kirjasto käsittelee julkisuuslain (621/1999) mukaisia viranomaisen asiakirjoja. Kun kirjasto käsittelee muuta aineistoa ja asiakirjoja, ei tiedonhallintalaki tule sovellettavaksi. Esimerkiksi kirjaston asiakastietojärjestelmässä olevat tiedot ovat yliopiston hallussa olevia tallenteita ja niiden käsittelyyn sovelletaan tiedonhallintalakia.

Tiedonhallintalain 3 §:n mukaisesti tiedonhallintalakia sovelletaan kunnallisiin viranomaisiin ja kuntaan. Tiedonhallintalaissa viranomaisella tarkoitetaan kunnallista viranomaista, joita ovat valtuusto, kunnanhallitus sekä muut kunnalliset toimielimet, kuten lautakunnat.

Tiedonhallintalakia sovelletaan myös yksityisoikeudellisiin organisaatioihin, kuten kunnallisiin osakeyhtiöihin silloin, kun ne hoitavat julkisia hallintotehtäviä. Tällöin sovellettavaksi tulevat tiedonhallintalain 4 luvun tietoturvallisuussäännökset sekä 22-27 §:n rajapintojen ja katseluyhteyksien käytöstä sekä asian ja palvelujen tiedonhallinnan toteuttamisesta. Jos kunnan omistamaan osakeyhtiöön sovelletaan julkisuuslakia muussa laissa erikseen säädetyn perusteella, tulee tiedonhallintalaista sovellettavaksi myös 4 § ja 28 §.

Kunnan omistama osakeyhtiö joutuu soveltamaan tiedonhallintalakia myös tilanteissa, joissa se toimii kunnan viranomaisen lukuun palveluja tuotettaessa, koska kunnan on huolehdittava, että sille säädetyt velvoitteet toteutetaan myös sen palvelujen tuottamisessa. Se, sovelletaanko tiedonhallintalakia kunnan omistaman yrityksen toimintaan, ratkaistaan yhtiön tehtävien kautta. Pelkkä kunnan omistus ei ole peruste tiedonhallintalain soveltamiselle, vaan se ratkaisee, mitä yhtiö tekee ja missä roolissa.

Ammatillisesta koulutuksesta annetun lain (531/2017) 108 §:n mukaan julkisuuslaki tulee sovellettavaksi laissa tarkoitettuun toimintaan. Siten tiedonhallintalaki tulee sovellettavaksi tiedonhallintalain 3 §:n 4 momentin perusteella, jolloin tiedonhallintalaista tulee ammatillisen koulutuksen järjestämisen yhteydessä sovellettavaksi 4 §, 4 luku 22-24 ja 25-28 §:t. Lisäksi tiedonhallintalain 19 §:n 2 momentti sekä 24 a ja 24 b § tulevat sovellettavaksi, sikäli kun toimija käyttää julkista valtaa viranomaisten toiminnan julkisuudesta annetun lain 4 §:n 2 momentissa tarkoitetulla tavalla.

Valtion liikelaitokset eivät ole valtion virastoja tai laitoksia, joten niitä ei koske tiedonhallinnan muutosten arvioinnin lausuntomenettely. Muuten tiedonhallintalaki tulee kyllä sovellettavaksi ja muutosvaikutusarviointi on tehtävä laissa tarkoitetuissa tilanteissa.

Tietosuojavastaavan valvontatehtävästä on säädetty tietosuoja-asetuksen (EU) 2016/679 39 (1) artiklan b alakohdassa ja rikosasioiden tietosuojalain (1054/2018) 40.1 §:n 2 kohdassa. Tietosuojavastaavat valvovat suoraan näissä säädöksissä säädetyn nojalla myös tiedonhallintalaissa säädettyjen vaatimusten toteuttamista, siltä osin kuin käsittelyn kohteena ovat henkilötiedot.

Valtion talousarvioasetuksessa (1243/1992) säädetään sisäisestä valvonnasta, johon sääntelyyn sisältyy myös ja sisäisen tarkastuksen tehtävät niissä organisaatioissa, joita asetus koskee. Tiedonhallintalain soveltamisalan piirissä olevien organisaatioiden joukko on tätä huomattavasti laajempi. Tiedonhallintalain soveltamisalan piiriin kuuluvia itsenäisiä julkisoikeudellisia laitoksia, yliopistoja, ammattikorkeakouluja, kuntia tai kuntayhtymiä koskevia sisäisen tarkastuksen tehtäviä määrittäviä säännöksiä ei ole olemassa. 

Sisäisen tarkastuksen rooliin voi esimerkiksi kuulua tarkastuksin varmistaa, että sisäisen valvonnan kontrollit toimivat. Sisäinen tarkastus toimii organisaation johdon toimeksiantojen pohjalta ja tuottaa tietoa johdolle sen järjestämän sisäisen valvonnan toimivuudesta, jonka perusteella johto voi käytännössä arvioida valvonnan tehokkuutta sekä toteuttaa omalta osaltaan valvontavastuutaan. Vastaavalla tavalla tietosuojavastaavat raportoivat tiedonhallintayksikössä tekemistään valvontamenettelyihin liittyvistä havainnoista.

Tiedonhallintalaissa ei ole säädetty tietojärjestelmäsalkun kuvaamisesta. Tietokone ja matkapuhelin ovat päätelaitteita, joilla muun muassa voidaan käyttää tietojärjestelmää. Päätelaitteiden kuvaamisesta ei tiedonhallintalaissa ole säädetty mitään.

Tiedonhallintalautakunnalla ei tiedonhallintalain (906/2019) mukaan ole tiedonsaantioikeutta turvallisuusluokiteltaviin tietoihin. 
Jos viranomaisella on tarve toimittaa tiedonhallintalautakunnalle turvallisuusluokiteltavaa tietoa, esimerkiksi kysymyksen kysymistä varten, viranomaisen tulee itse harkita mitä turvallisuusluokiteltavia tietoja on kysymyksen yhteydessä tarpeellista esittää. Kysymykset käsittelee tiedonhallintalautakunnan sihteeristö, joka koostuu valtiovarainministeriön virkamiehistä. Tiedonhallintalautakunta ei käsittele kokouksissaan turvallisuusluokiteltavia tietoja.

Tiedonhallintalautakunnan antamassa suosituksessa  turvallisuusluokiteltavien asiakirjojen käsittelystä (VM 2021:5) http://urn.fi/URN:ISBN:978-952-367-328-1 on suosituksia edellä esitettyihin kysymyksiin liittyen. Se sisältää myös suosituksia turvallisuusluokiteltujen asiakirjojen luovuttamisesta ja vastaanottamisesta turvallisuusluokitusasetuksen velvoitteiden ulkopuolisten tahojen kanssa.

Tiedonhallintalautakunta ei arvioi tietoturvallisuustoimenpiteiden toteutumista tiedonhallintayksiköissä. Lautakunnalle ei siis tule ilmoittaa havaittuja puutteita tietoturvallisuusmenettelyissä. Tietosuojavaltuutettu on toimivaltainen viranomainen valvomaan ja arvioimaan henkilötietojen käsittelyä koskevien tietoturvallisuustoimenpiteiden riittävyyttä.

Tiedonhallintalautakunta on antanut aiheeseen liittyen suosituksen: Suositus turvallisuusluokiteltavien asiakirjojen käsittelystä, Valtiovarainministeriön julkaisuja 2020:19, http://urn.fi/URN:ISBN:978-952-367-292-5,  ruotsiksi Rekommendation om behandling av säkerhetsklassificerade handlingar, Finansministeriets publikationer 2020:34, http://urn.fi/URN:ISBN:978-952-367-293-2. Suositus sisältää ohjeet turvallisuusluokan merkitsemisestä.