Vantaan on otettava oppia perustietotekniikkapalveluiden hankinnan epäonnistumisesta

Sata miljoonaa euroa on lähes kaksi Elmon uimahallia

Vantaan kaupungin vuoden 2024 alussa käynnistämä perustietotekniikkapalveluiden hankinta on epäonnistunut surkeasti. Tapahtuneesta on otettava oppia paitsi Vantaalla, mutta tapaus osoittaa, kuinka tietotekniikkapalveluiden toteuttamista on pohdittava aivan uudelleen laajemmin myös muissa julkisorganisaatioista.

Tietotekniikkapalveluita ei voi nykyisessä toimintaympäristössä enää toteuttaa valtavina kokonaishankintoina. Hankintalaki [1] on jo tavoitepykälässään varsin selkeä:

Hankinnat on toteutettava tarkoituksenmukaisina kokonaisuuksina

Nykyisessä geopoliittisessa myllerryksessä kaupungilla on oltava myös omaa kykyä hallita tietoteknisia järjestelmiään. Jos kokonaisuus ulkoistetaan kokonaan yhden toimittajan käsiin, kaupungilla on hyvin vähän vaikutusvaltaa ja mahdollisuuksia toimia poikkeuksellisissa olosuhteissa, jotka ovat nykyisessä maailmantilanteessa muuttuneet yhä todennäköisemmiksi.

Asian ajankohtaisuus

Asia on nyt ajankohtainen, sillä asia oli jälleen esillä konsernijaostossa 14.4.2026 [2]. Kaupunginjohtajan oli jo toiseen kertaan tarkoitus esittää hankinnan keskeyttämistä ja uuden hankinnan valmistelun ja kilpailutuksen aloittamista. Edellisessä kokouksessa [3] kaupunginjohtaja veti esityksensä pois listalta.

Viimeisimmän kokouksen pöytäkirjaa ei vielä ole julkistettu, joten emme tiedä, mikä konsernijaoston päätös oli tai mitä pöytäkirjalausumia on jätetty.

Nyt, kun hankinta joudutaan aloittamaan alusta, on ilmeisen selvää, että se on toteutettava kokonaan toisella tavalla. Vaikka virallinen peruste hankinnan keskeyttämiselle oli “tarpeiden muutos” ja “hankinta-asiakirjojen päivitystarve”, taustalla on muitakin enemmän huolta nostavia piirteitä.

Hankinnan rakenne ja markkinaoikeuden päätös

Kaupunki niputti hankinnassa yhteen toisiinsa liittymättömiä osia. Erillisistä asiakokonaisuuksista koottiin järkälemäinen kilpailutus, johon vain muutamat riittävän suuret IT-palveluja tuottavat yritykset voivat osallistua.

Tällaisia näin suureen toimitukseen kykeneviä yrityksiä on Suomessa vain muutamia ja on kyseenalaista, mitkä niistä pystyvät laadukkaasti tuottamaan tällaisen näin valtavan kokonaisuuden kaikki yksittäiset osa-alueet.

Erilaisten osuuksien yhteen niputtaminen myös teki kilpailutuksesta epäselvän, kuten markkinaoikeuden asiassa tekemästä päätöksestä MA:663/2025 [4] käy ilmi. Varsinainen aihe ensimmäiselle valituksille oli epäselvät vertailukriteerit.

Markkinaooikeuden käsittelyssä kaupungin maksettavaksi tulevat oikeudenkäyntikulut ovat jo nyt nousseet 34 000 euroon. Tässä ei ole huomioitu kaupungin omia kuluja.

Jos hankinta olisi tehty itsenäisissä osissa, riskit sille, että suuret keskenään kilpailevat IT-palveluyhtiöt olisivat käyttäneet markkinaoikeutta kilpaillakseen jättihankkeesta keskenään, eivät ehkä olisi toteutuneet. Jättihankinta, joka tuo yrityksille valtavan taatun liikevaihdon puitesopimuksen voimassa ollessa, luo vahvat insentiivit kilpailla asiassa markkinaoikeuden kautta.

Hankintatapa ohjaa keskittämiseen

Hankinnan tavoitteena oli löytää yksi toimittaja kaikille niputetuille osa-alueille. Osa-alueita oli mm. käyttäjätukipalvelut, työasemien elinkaaripalvelu ja laitehallinta. Tällaisten kokonaisuuksien niputtaminen yhteen muiden hankinnan kohteiden kanssa johtaa siihen, että toteutuksessa suuntaudutaan tiettyihin valmistajiin.

On olemassa laitehallintapalveluja, joilla voi hallinoida laitteita useilla eri käyttöjärjestelmäalustoilla. Nämä ovat kuitenkin aina kompromisseja, kun verrataan laitehallintaan, joka on kehittynyt tietyn käyttöjärjestelmän laitteiden hallintaan.

valittu hankintamalli ohjaa kaupungin Microsoftin ja sen kumppanien syliin

Vantaan kaupunki on nyt hyvin vahvasti, ellei käytännössä kokonaisuudessaan Microsoft-palveluiden käyttäjä. Työasemissa on Microsoft Windows käyttöjärjestelmä ja toimisto-ohjelmina käytetään Microsoftin tuotteita. Kun Microsoft on siirtynyt palveuissaan pilvimalliin, myös kaupungin käyttäjät ovat siirtyneet voimallisesti pilvipalveluna tuotettaviin M365-palveluihin.

Tämä kokonaisuus johtaa herkästi siihen, että laitehallintatuotteeksi valikoituu Microsoftin valmistama tuote. Keskittämisestä Microsoftin palveuihin tulee väkisinkin keskittämisetua, joka vahvistuu entisestään yhden toimittajan hankintamallin toteutuksessa.

Vaikka sitä ei selvin sanoin kaupungin tarjouspyynnössä kaiketi ole ilmaistu, valittu hankintamalli ohjaa kaupungin Microsoftin ja sen kumppanien syliin. Tilannetta julkisten dokumenttien perusteella tarkasteleva pystyy tunnistamaan tämän varsin ilmeisenä seikkana. Näin voi siten olettaa olevan ollut myös hankinnan varsinainen tarkoitus.

Identiteetinhallinta lienee unohtunut uudistaa ajoissa

Vantaalla etsitään myös korvaajaa vanhalle Microsoft Identity Manager (MIM) -järjestelmälle [5], joka on ollut elinkaarensa päässä jo pitkään. Herää huoli, miten nykyinen jo vanhentunut järjestelmä korvataan, kun sen uudistamiseen tavoiteltu hanke on nyt markkinaoikeuden päätökseen perustuen keskeytetty.

Ei ole mitenkään poikkeuksellista, että organisaatioissa unohtuu tarkkailla järjestelmien ikääntymistä. MIM oli aikanaan hyvä tai ainakin erittäin suosittu tuote identiteettien hallintaan.

Siirtyessään aina enemmän pilveen, Microsoft päätti lakkauttaa tuotteen, kun asiakkaatkin alkoivat siirtää vanhoja Active Directory [6] hakemistojaan pilvipohjaiseen Microsoft Entra [7] -tuotteeseen.

Kun järjestelmien elinkaaren hallinnasta ei huolehdita, on hyvin tyypillistä, että vanhat järjestelmät unohdetaan uusia ajoissa. Kun näin käy, ollaan pakoetettuja jatkamaan järjestelmällä, jonka käyttöä järjestelmätoimittaja ei enää tue.

Unohtaminen voi tulla erittäin kalliiksi, kun järjestelmätoimittaja nostaa tukipalvelun tai jopa ohjelmasta maksettavan lisenssin hinnan moninkertaiseksi sen jälkeen, kun järjestelmän tavanomainen tukipalvelu on päättynyt.

Hintaa nostamalla järjestelmätoimittajat yrittävät herättää käyttäjät väkisin ymmärtämään, että vanhasta järjestelmästä on siirryttävä eteenpäin.

Kaupungin lakisääteinen tehtävä on arvioida riskejä

Kyberturvallisuuslaki [8] toimeenpanee Suomessa NIS2-direktiivin ja määrittelee tarkasti, mitkä julkishallinnon yksiköt ovat velvollisia noudattamaan sen vaatimuksia. Lain soveltamisala kattaa ne toimijat, jotka luokitellaan tärkeiksi tai keskeisiksi toimijoiksi. Suurkaupungit, kuten Vantaa, kuuluvat lähes poikkeuksetta tähän ryhmään, koska ne ylläpitävät kriittistä infrastruktuuria. Tällaisia ovat vesihuolto, energianjakelu ja myös hallinnolliset tietojärjestelmät. Näiden häiriintyminen vaikuttaisi merkittävästi yhteiskunnan toimivuuteen ja kansalaisten turvallisuuteen.

Lain 12 §:n mukaan kyberturvallisuudesta vastaavan toimijan on toteutettava asianmukaiset ja suhteelliset tekniset ja organisatoriset toimenpiteet kyberuhkien hallitsemiseksi. Näiden toimenpiteiden perustana on säännöllinen riskinarviointi, jossa kaupungin on tunnistettava mahdolliset uhat, arvioitava niiden todennäköisyyttä ja vaikutuksia, sekä laadittava suunnitelma riskien lieventämiseksi. Riskienhallinnan tulee kattaa koko organisaation, mukaan lukien alihankkijat ja yhteistyökumppanit, jotka käsittelevät kriittisiä tietoja tai palveluita.

onko lain asettamat vaatimukset täytetty, jos järjestelmä unohtuu uudistaa ajoissa

Kybertuvallisuuslaki korostaa ylimmän johdon vastuuta. Kaupungin päättäjien ja hallinnon johdon on hyväksyttävä kyberturvallisuuspolitiikat ja oltava henkilökohtaisesti vastuussa niiden toteuttamisesta. Laiminlyönnistä voi seurata jopa hallinnollisia sakkoja, mikä tekee riskinarvioinnista ei vain teknisen tehtävän, vaan strategisen johtamisen prioriteetin. Lisäksi kaupungin on pystyttävä raportoimaan merkittävät tietoturvatapahtumat viranomaisille tietyssä aikarajassa, mikä edellyttää vankkaa valmiutta ja havaintojärjestelmiä.

Huomioiden kyberturvallisuuslain vaatimukset ja vaikka se olisikin yleistä, edellisessä kappaleessa mainittu keskeisen tietojärjestelmän elinkaaren hallinta ei saa unohtua. On aiheenmukaista kysyä, onko lain asettamat vaatimukset täytetty, jos järjestelmä unohtuu uudistaa ajoissa.

Onko poliittinen päätöksenteko sivuutettu

Vantaan kaupungin päätöksiä on mahdollista hakea verkossa. Täytyy myös ymmärtää, että hakupalvelut eivät ole aukottomia. Jos jotakin ei hakemalla löydä, se ei silti ole todiste, etteikö asiaa olisi tapahtunut ja/tai julkaistu.

Käytin kohtalaisen määrän aikaa löytääkseni Vantaan kaupungin hankinnan taustoja ja miten asia on alun perin käynnistetty.

Hakuyrityksistäni huolimatta vaikuttaa siltä että kaupungin jättimäinen hankinta ei ole valmisteluvaiheessa ollut poliittisessa arvioinnissa. Hakupalvelujen perusteella ensimmäinen löydös asiassa on viranhaltijapäätös [9].

Asia on ollut ottomenettelyssä kaupunginhallituksessa 10.2.2025 [10]. Kaupunginhallitus ei ottanut asiaa käsittelyyn, mutta jätti asiassa pöytäkirjalausuman:

Kaupunginhallitus kehottaa virkakuntaa käynnistämään valmistelun hallintosäännön muutoksista, joiden myötä yksittäisen viranhaltijan mahdollisuuksia tehdä hyvin merkittäviä taloudellisia hankintoja ilman kaupunginhallituksen tai muun toimielimen käsittelyä rajataan.

On aivan ymmärrettävää, että kaupunginhallitus on kokouksessaan ollut tuohtunut asiassa. Elmon uimahallin rakentamista on puitu Vantaan kaupungin poliittisissa elimissä paljon. Asiasta on ollut julkisuudessa valtavasti keskustelua.

Kuitenkin viranhaltijapäätöksen perusteella on tässä asiassa käynnistetty sadan miljoonan euron arvoinen hankinta vastaa lähes kahden Elmon uimahallin rakentamisen kustannuksia [11].

Sanotaan asia vielä toisin, jotta sen merkitys varmasti ymmärretään: sata miljoonaa euroa on lähes kaksi Elmon uimahallia. Viranhaltija vaikuttaa siis yksin päättäneen asiassa, jota huomattavasti pienemmissä kokonaisuuksissa demokraattisesti valitut kaupungin ylimmän johdon vastuuta kantavat päättäjät ovat käyneet vilkasta debattia.

Vuoden 2025 voimassa olevassa hallintosäännössä on säädetty:

Kaupunginhallitus päättää …

EU:n kynnysarvon ylittävistä tavara- ja palveluhankinnoista, jollei hallintosäännössä ole toisin määrätty.

Jos nykyistä hallintosääntöä [12] noudatetaan, vastaavaa hankintaa ei enää voi tehdä pelkästään viranhaltijapäätöksenä.

Kansainväliset opit: Ranskan siirtymä avoimeen lähdekoodiin

Vantaan on siis otettava oppia tehdyistä virheistä. Onneksi uutta suuntaa ei tarvitse keksiä itse, vaan voi ottaa mallia muista. Samalla Vantaan on mahdollista parantaa digitaalista itsenäisyyttään siitä, minkälaiseksi sen olisi ollut uhkana ajautua, jollei markkinaoikeus olisi keskeyttänyt Vantaan hankintaa.

Ranskassa on käynnistetty hanke [13], joka tarjoaa konkreettisen mallin digitaalisen itsenäisyyden edistämiseksi. Maassa on siirretty 2,5 miljoonaa laitetta Windows-käyttöjärjestelmästä Linux-pohjaisiin ratkaisuihin. Tämä siirtymä on osa laajempaa strategista pyrkimystä vähentää riippuvuutta yhdysvaltalaisista teknologiayhtiöistä ja vahvistaa Euroopan digitaalista itsemääräämisoikeutta.

Ranskan kokemus osoittaa, että suurten julkisten organisaatioiden on mahdollista siirtyä suljetuista ekosysteemeistä avoimiin standardeihin, kunhan siirtymä suunnitellaan pitkäjänteisesti ja panostetaan osaamiseen.

Kyseessä ei ole pelkästään tekninen muutos, vaan strateginen päätös, joka vähentää pitkän aikavälin kustannuksia ja parantaa kaupungin joustokykyä poikkeuksellisissa olosuhteissa.

Sen lisäksi, että Vantaan tulisi tutkia mahdollisuuksia irtautua nykyisestä vahvasta kytköksestä yhdysvaltalaisen Microsoft-yhtiön tuotteisiin, uudenlainen tietotekniikkapalvelujen tarkastelu mahdollistaa myös esimerkiksi kiertotaloudesta hyötymisen.

Vantaalla toimii jo valmiiksi yritys, joka myy kierrätyslaitteita

Vantaan jättimäiseen perustietotekniikkapalveluiden hankinnan yritykseen ei kaiketi sisältyneet päätelaitteet, eli tietokoneet ja mobiililaitteet. Niiden hankinnasta aiheutuvat kulut täytyy laskea vielä tämän sadan miljoonan järkälehankinnan päälle. Suurella todennäköisyydellä nykyisin laitteet vuokrataan tällaista palvelua tarjoavalta yritykseltä.

Sen sijaan, että vuokrataan kalliita uusia laitteita, Vantaan olisi mahdollista käyttää myös kierrätyslaitteita. Jos kierrätyslaitteissa käytettäisiin Linux-pohjaisia käyttöjärjestelmiä, jokaisesta laitteesta ei tarvitsisi erikseen maksaa lisenssimaksua Microsoftille, kuten nykyään tapahtuu.

Vantaalla toimii jo valmiiksi Inrego-yritys [14], joka myy kierrätyslaitteita.

Digitaalinen itsenäisyys ja kansalaisaloite

Vantaa ei ole tilanteessa aivan yksin.

Helmikuussa 2026 käynnistynyt kansalaisaloite Digitaalinen itsenäisyys [15] on kerännyt jo yli 41 000 kannattajaa. Aloitteessa vaaditaan, että Suomen kriittiset digipalvelut pidetään eurooppalaisessa hallinnassa ja rakennetaan avoimille standardeille. Taustalla on huoli siitä, että tietojen fyysinen sijainti Euroopassa ei takaa niiden suojelua, jos toisen valtion tai valtioliiton sääntelyn velvoitteet voivat ohittaa EU:n paikalliset säännökset.

Kun Vantaalla perustietotekniikkapalveluiden hankinta nyt joudutaan miettimään uudestaan, sen voi tehdä myös digitaalista itsenäisyyttä parantaen.

Hankinta on suunniteltava siten, että suomalaisilla yrityksillä on mahdollisuus osallistua, vaikkapa hankintayhteenliittymien kautta.

Kuten ylempänä kierrätyslaitteiden osalta todettiin, Vantaalla ja sen ympäristössä on runsaasti osaamista, joka pystyy tarjoamaan joustavampia, turvallisempia ja taloudellisesti kestävämpiä ratkaisuja kuin valmiit, suljetut pakettiratkaisut.

Osaaminen ja henkilöstöresurssit

Digitaalinen turvallisuus ja itsenäisyys vaativat osaavia ihmisiä, ei vain teknologiaa.

On hienoa nähdä, että Vantaa juuri äskettäin etsi työpaikkailmoituksella tietosuojan asiantuntijaa. Aiheesta oli äskettäin ilmoitus kaupungin rekrytointisivuilla, mutta ilmoitus on jo ehtinyt poistua. Toivottavasti tämä on merkki, että rekrytoinnissa on onnistuttu.

Henkilöstön rekrytointi tietotekniikkapalvelujen tuottamiseen on oikea suunta. Vantaan on jatkossakin investoitava henkilöstöresursseihin, vaikka taloudellinen tilanne onkin haastava.

Lopuksi

Keskeytettävä hankinta on tilaisuus aloittaa uudelleen – mutta tällä kertaa paremmin.

Vantaan tulee johtaa muutosta kohti digitaalista valmiutta, jossa päätökset tehdään kuntalaisten etujen ehdoilla, ei globaalien teknologiayhtiöiden liiketoimintastrategioiden mukaan.

Hankintoja on suunniteltava järjestelmä kerrallaan, jotta pienemmät, erikoistuneet yritykset voivat osallistua kilpailuun. Tämä luo tilaa paikalliselle innovaatiolle ja pitää verovarat Vantaalla.

Ranskan esimerkki osoittaa, että siirtymä avoimiin ratkaisuihin on mahdollista ja välttämätöntä digitaalisen itsemääräämisoikeuden kannalta.

Viittaukset

Viittaukset linkkeihin on tehty samana päivänä artikkelin julkaisun kanssa. Linkkien takaa julkaistava sisältö voi ajan kuluessa muuttua tai kadota.

  1. Hankintalaki, 1. osa, 1. luku, 2 §
  2. Konsernijaosto, Esityslista 14.4.2026
  3. Konsernijaosto, Pöytäkirja 16.3.2026
  4. MA:663/2025
  5. Microsoft Identity Manager 2016
  6. Active Directory Domain Services overview
  7. What is Microsoft Entra?
  8. Kyberturvallisuuslaki
  9. Päätös neuvotteluun valittavista tarjoajista perustietotekniikkapalveluiden hankinnassa
  10. Vantaan kaupunginhallituksen pöytäkirja (10.2.2025), Kuntalain 92 §:n mukaista ottomenettelyä varten saapuneet pöytäkirjat ja päätökset
  11. Helsingin Sanomat (Urheilu): “Vantaa: Elmon uimahallin rakentaminen maksaa jo 50 miljoonaa euroa”
  12. Hallintosääntö
  13. Tech Insider: “France ditches Windows for Linux: 2.5 million devices shift for digital sovereignty”
  14. Inrego verkkosivut
  15. Kansalaisaloite - Digitaalinen itsenäisyys
Takaisin