Tietosuoja 2/2010 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

TIEToTuRVan ja TIETosuojan ERIkoIslEhTI 2/2010 | 14 e KATTAVA SOPIMUS varmistaa tietoturvallisuuden s. 10 CERT-FI VäEsTöREkIsTERI sosIaalInEn mEdIa VERkkokauppa TunnIsTauTumInEn
pääkirjoitus Lex NOKIA 4 ....... osta ja myy harkiten 12 ...... Tiedot yhdeltä tililtä VerKKOKAUPAN TIeTOSUOjA 28 ..... kolumni 34 ..... sosiaalisen median pelisäännöt selviksi työpaikoilla TeeMA: LIIKeTOIMINTASOPIMUKSeT luovutetaan yrityksille henkilötietoja yhä useammin muihin kuin suoramarkkinoinnin tarkoituksiin. s. ulkoistus tuo haasteita tietosuojan toteutukseen 16 ...... Tietoturva tiukasti johdon käsiin 38 ..... s. 22 Väestötietojärjestelmästä 10 ...... järjestelmätoimitusten tietoturva alkaa hankinnasta 20 ..... 28 Asiakastietoja 2 TIETOSUOjA 2/2010. s. sosiaalipalvelujen tarpeen kartoitusta ja ennakollista lastensuojeluilmoitusta koskevien henkilötietojen käsittely Tutustu verkkolehteen! www.tietosuoja-lehti.fi kannEn kuVa: ERIC lERaIllEz kannattaa käsitellä hyvän tietojenkäsittelytavan mukaan. uusi ohje neuvoo yhteisötilaajia 6 ....... Tietosuoja mukaan sopimusehtoihin HeNKILöreKISTerIT 22 ...... 210 Sisällys 3 ........ osa 2: asiakastiedot hallintaan 33 ...... Verkosto vie verkkouhan jäljille 40 ..... lyhyesti TIeTOSUOjAVALTUUTeTUN KANNANOTTOjA pitää saada alusta asti mukaan järjestelmähankkeeseen. 4 36 ..... sToRk vie kohti yhteistä sähköistä tunnistautumista TIeTOTUrVA Lex Nokiasta on tehty uudet ohjeet. Ei vain mainospostia varten 26...... 16 Tietoturvaasiat 44 ..... s
Taloussanomat taas siteerasi äskettäin verkkoyrittäjä Dan Yoderia, joka väittää Facebookin jopa julistaneen "sodan yksityisyyttä vastaan". mikäli peruutus ei saavu määräaikaan mennessä, laskutetaan tilaajan saamat lehdet. Facebook ei liene ainoa syntinen verkkomaailmassa, vaan useimmilla yhteisöpalvelujen toteuttajilla on yksityisyyden kunnioittamisessa parantamisen varaa. 09 682 0400, Faksi 09 682 1515 TIlaushInnaT suomEssa 2010 kestotilaus 48 euroa (laskutusväli 12 kuukautta). 22. Tämä siksi, että meillä aikuisilla pitäisi olla nuoria paremmat eväät ymmärtää sosiaalisen median olevan ihmisten media eli ihan oikeiden elävien olentojen välinen vuorovaikutuskanava. peruutus on tehtävä vähintään kaksi viikkoa ennen uuden tilausjakson alkamista. Tilauksen voi keskeyttää ennen tilausjakson loppua. vuosikerta | Issn 0786-5767 paInopaIkka hämeen kirjapaino oy sähköInEn lEhTI www.tietosuoja-lehti.fi asIakasREkIsTERI Rekisterikuvaus ja -seloste ovat nähtävissä stellatum oy:n tiloissa purotie 1 B, 00380 helsinki. Tilausehdot ovat lehden joka numerossa. Tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. Hype hälvenee? eUrOOPAN UNIONIN tietosuojaviranomaiset ja useat mediat ovat viime aikoina älähtäneet internetin yhteisöpalveluiden piittaamattomuudesta yksityisyydensuojaa kohtaan. Tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. Tutkimuspäällikkö Janne Matikainen kirjoitti edellisessä Tietosuojassa aikuisten sosiaalisen median käytöstä, jonka hän toivoi tekevän yhteisöpalveluista entistä vastuullisempia. määräaikaistilaus 51 euroa (kesto 12 kuukautta). | jukka Ihanus, toimitusjohtaja, stellatum oy | Eija kara, ylitarkastaja, Tietosuojavaltuutetun toimisto | anna lauttamuskauppila, viestintäjohtaja, Viestintävirasto | Timo lehtimäki, johtaja, Viestintävirasto | nora Elers, viestintäjohtaja, FiCom ry | anu Talus, Eu-asiantuntija, tietosuojalautakunta | Eila Ratasvuori, hallintojohtaja, helsingin kaupunki | ahti saarenpää, professori, lapin yliopisto ToImITuskunTa Eija kara, ylitarkastaja, Tietosuojavaltuutetun toimisto | lauri karppinen, IT-erityisasiantuntija, Tietosuojavaltuutetun toimisto | ari husa, tietoturvaasiantuntija, Viestintävirasto | anne lappalainen, tiedotuspäällikkö, Viestintävirasto | anna lauttamuskauppila, viestintäjohtaja, Viestintävirasto | päivi männikkö, toimitussihteeri, stellatum oy kusTanTaja stellatum oy, purotie 1 B, 00380 helsinki TIlauksET ja osoITTEEnmuuToksET osoitteenmuutosta tehdessäsi muista ilmoittaa lehden nimi. Jotain toivottavasti kuitenkin opin. Toivoa todella sopii. Yhteydenotot tulee tehdä kirjallisina ja allekirjoitettuina em. Tietosuojaviranomaiset kritisoivat ennen kaikkea sitä, että muutosten jälkeen hakukoneet löytävät käyttäjien profiilit ja kaverilistat ja että statuspäivitykset ovat oletusarvoisesti julkisia, jollei niiden näkymistä ymmärrä erikseen rajoittaa. 0440 235 939 Bouser oy, jukka Tiainen, jukka.tiainen@bouser.fi puh. Yhtä lailla meidän käyttäjien on syytä kohentaa huolellisuuttamme. Jospa niin käyttäjät kuin palveluntarjoajat tämän sisäistäisivät. Toimittaja Nick Bolton hämmästeli toukokuun puolivälissä New York Timesin jutussa Facebookin yksityisyysasetusten ohjeistusta ohjeet ovat toimittajan laskujen mukaan nimittäin pidemmät kuin Yhdysvaltain perustuslaki. Tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon. Nyt hampaisiin on joutunut erityisesti 400 miljoonan käyttäjän Facebook, joka keneltäkään kysymättä muutti yksityisyysasetuksiaan viime vuoden lopulla. Yksityisyysasetusten oletusarvot oli tässäkin palvelussa jossain vaiheessa muutettu ilman sen suurempaa käyttäjien informointia. Mutta, myöntää täytyy, en itsekään ollut tietojeni julkisuusasteeseen kovin suurta huomiota kiinnittänyt. Toki Facebookissakin on edelleen mahdollista suojata omia tietojaan, jos vain osaa ja jaksaa siihen ryhtyä. kestotilauksena tilattu lehti tulee tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai lopettaa tilauksen. Vielä pari vuotta sitten virtuaaliyhteisöihin hullaantuneet toimittajat kuvailivat laajasti yhteisöjen positiivisia puolia, eikä yksityisyydensuojasta tuntunut kukaan olevan kiinnostunut, saati huolissaan. Sen sijaan tietoja alun perin antaessani olin ollut tarkkana kuin porkkana, joten varsinaista vahinkoa profiilini julkisuudesta tuskin on minulle koitunut. seuraava numero ilmestyy 29.9.2010. Irtonumero 14 euroa. Tilaajapalvelu/Tietosuoja,pl 115, 30101 Forssa puhelin 03 4246 5301, Faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi IlmoITusmaRkkInoInTI ja -VaRauksET ds & m marketing oy, deeli kentala deeli.kentala@dsm.fi, puh. Totta tai ei, Yoder joka tapauksessa lataa pistämättömiä syitä luopua Facebookin käytöstä, joista merkittävin on nimenomaan Facebookin pyrkimys julkisen tiedon ja siten mainostulojen maksimointiin yksityisyyden kustannuksella. Kuka siis viitsii tai ehtii paneutua moiseen viidakkoon. osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. 210 Pääkirjoitus TIEToTuRVan ja TIETosuojan ERIkoIslEhTI julkaIsIjaT Tietosuojavaltuutetun toimisto tietosuojalautakunta Viestintävirasto pääToImITTaja anna lauttamus-kauppila, Viestintävirasto anna.lauttamus-kauppila@ficora.fi ToImITuspäällIkkö Eija kara, Tietosuojavaltuutetun toimisto eija.kara@om.fi ToImITussIhTEERI päivi männikkö, stellatum oy paivi.mannikko@stellatum.fi TaITTo aino puttonen, Business to Business mediat oy aino.puttonen@bbm.fi ToImITusnEuVosTo Reijo aarnio, tietosuojavaltuutettu, pj. Asiaintilan kun pitäisi olla juuri toisin päin. lehti ilmestyy neljästi vuodessa. Anna Lauttamus-Kauppila päätoimittaja kaapo kamu TIE TOTu rva n ja TI E TOSuOja n E r I kO I S lE h T I 2/2010 TIETOSUOjA 3. Itse tulin yllätetyksi, kun googlaamalla oman nimeni löysin hakukoneen kautta LinkedIn-palvelun linkistä lähes kaikki palveluun antamani tiedot, vaikka toisin olin kuvitellut. osoitetietoja ei käytetä muussa kuin stellatum oy:n omassa toiminnassa. Lisäksi yksityisyysasetusten tekemiseksi käyttäjän tulee klikata noin 50 painiketta ja tehdä 170 valintaa
Uudistettu laki edellyttää yhteisötilaajalta ennakkotoimenpiteitä ennen tunnistamistietojen käsittelyyn ryhtymistä. lex nokia Uusi ohje neuvoo yHTeISöTILAAjIA Tietosuojavaltuutetun toimisto on julkaissut uuden ohjeen niin sanotun Lex Nokian soveltamisesta. Teksti: Lauri Karppinen Kuva: ScanStockPhoto UUdeSSA OHjeeSSA Asiaa tietosuojasta: Tunnistamistietojen käsittely väärinkäytöstapauksissa käydään läpi sähköisen viestinnän tietosuojalain 13 a-k § mukaisen tunnistamistietojen käsittelyoikeuden käyttöönottoa väärinkäytösten selvittämiseen. Yhteisötilaajan on myös ilmoitettava T I ETOT u rvan ja T I ETOS u Ojan Er IkO ISlEhTI KIrjOITTAjA LAUrI KArPPINeN toimii ITerityisasiantuntijana Tietosuojavaltuutetun toimistossa. Ohje julkaistiin toukokuun lopussa ja se on tarkoitettu yhteisötilaajien tietohallinnolle ja tietoverkkojen ylläpitäjille. Ohjeessa on pyritty luomaan selkeitä ratkaisuja tunnistamistietojen käsittelyn ongelmiin. 4 TIETOSUOjA 2/2010. Se täydentää lain voimaantulon yhteydessä viime kesänä julkaistua opasta Asiaa tietosuojasta: Yhteisötilaajan oikeus käsitellä tunnistamistietoja väärinkäytöstapauksissa. Laki edellyttää ennakkotoimia Sähköisen viestinnän tietosuojalain muutos tuli voimaan kesäkuussa 2009. Lainmuutos täsmensi yhteisötilaajan oikeutta käsitellä viestinnän tunnistamistietoja yrityssalaisuuksien suojaamiseksi ja luvattoman käytön selvittämiseksi
Uuden ohjeen tarkoituksena on käydä läpi toimenpiteet, joita yhteisötilaajan tietohallinnon tulee toteuttaa ennen kuin se voi ryhtyä käsittelemään viestinnän tunnistamistietoja torjuakseen yrityssalaisuuksien oikeudetonta paljastamista tai ohjeiden vastaista organisaation tietoverkkojen väärinkäyttöä. Tämän vuoden toukokuuhun mennessä Tietosuojavaltuutetun toimistolle ei ole tehty yhtäkään ilmoitusta tunnistamistietojen käsittelyoikeuden käyttöönotosta. käsittelyoikeuden käyttöönotosta tietosuojavaltuutetulle ja raportoitava vuosittain sen käytöstä. TIE TOTu rva n ja TI E TOSuOja n E r I kO I S lE h T I AIHeeSTA eNeMMäN TIeTOSUOjAVALTUUTeTUN toimiston ohje: asiaa tietosuojasta: Tunnistamistietojen käsittely väärinkäytöstapauksissa on saatavissa toimiston verkkosivuilla: www.tietosuoja.fi 2/2010 TIETOSUOjA 5. Ohjeessa myös vastataan yleisimpiin Tietosuojavaltuutetun toimistolle aiheesta esitettyihin kysymyksiin. Ohje valmisteltu yhteistyössä Ohjetta on ollut laatimassa laaja-alainen yhteisötilaajista ja etujärjestöistä koostunut työryhmä. Se on yhdessä tietosuojavaltuutetun ja Viestintäviraston kanssa käynyt läpi tietohallinnon ylläpitäjien työssään kohtaamia haasteita tunnistamistietojen käsittelyssä ja pyrkinyt löytämään niihin selkeän ratkaisumallin. Laki on ollut nyt voimassa vajaan vuoden
Siksi yksityisen ja julkisen minän erottaminen saattaa käytännössä olla hankalaa. INTerNeTIN yHTeISöPALVeLUT OVAT viime aikoina olleet paljon esillä julkisuudessa. Työnantajan tehtävänä on luoda sosiaalisen median pelisäännöt työpaikalle. Tämä velvollisuus ei ulotu pelkästään työaikaan vaan on voimassa myös vapaa-aikana. Toisaalta taas tiedon leviämisen ja todistelun kannalta tilanne on kokonaan uusi. Verkon avulla tieto saadaan leviämään maailmanlaajuisesti hyvin nopeasti, eikä verkkoon laitettu tietoa saa poistettua ehkä koskaan. Työpaikalle yhdet ohjeet Asianajajat Anu Kaisko ja Janne Lauha puhuivat tilaisuuksissa työnteki6 TIETOSUOjA 2/2010 Lainvalinta ja sopimusehdot haasteina Henkilötietolain näkökulmasta sekä rekisteröidyn että rekisterinpitäT I ETOT u rvan ja T I ETOS u Ojan Er IkO ISlEhTI. SOSIAALINeN MedIA Teksti: Eija Warma | Kuva: Images.com/Corbis/SKOY kaipaa pelisääntöjä Sosiaaliseksi mediaksikin kutsutut internetin yhteisöpalvelut tuovat haasteita työpaikoille. Toimintaympäristö on vain muuttunut entistä epämuodollisemmaksi ja riskialttiimmaksi. Työntekijän moitittava käyttäytyminen sosiaalisessa mediassa voi joissakin tilanteissa oikeuttaa työnantajan päättämään työsuhteen tai olla ainakin varoituksen antamisen peruste. Janne Lauhan mukaan sisäpiiritiedon sääntelyn kannalta sosiaalinen media ei muuta mitään: Se, mikä on kiellettyä lehdessä painettuna tai puhelimeen puhuttuna, on kiellettyä myös verkkoon laitettuna. Tilaisuuksissa käydyn keskustelun perusteella sosiaalisesta mediasta keskustellaan työpaikoilla paljon, mutta käytännön toimenpiteitä, esimerkiksi ohjeita, vasta suunnitellaan. Hyvä renki, huono isäntä Hill & Knowltonin syksyllä 2009 teettämä selvitys paljasti, että 73 prosenttia organisaatioista ei ollut mitenkään ohjeistanut työntekijöitään sosiaalisen median käyttämisestä. Siksi yksityisen ja julkisen minän erottaminen voi olla hankalaa. jöille laadittavan ohjeistuksen tärkeydestä ja sisäpiiritiedon sääntelystä. Tämä on herättänyt yksityisten ihmisten kiinnostuksen yhteisöpalveluja kohtaan ja saanut työnantajat näkemään niitä koskevien pelisääntöjen tärkeyden työpaikoilla. Työsopimuslain mukaan työntekijällä on uskollisuusvelvoite työnantajaansa kohtaan. Myös yksityishenkilöinä palveluita käyttävillä on päänvaivaa sopimusehdoista. Työntekijän uskollisuusvelvoite koskee myös vapaa-aikaa. Vielä työpaikoilla ei ole yleisesti julkaistu sosiaalisen median käyttöohjeita mutta kiinnostus niiden laatimiseen näyttää kasvavan. Asianajotoimisto Castrén & Snellman Oy järjesti yhdessä Viestintätoimisto Hill & Knowlton Finlandin kanssa keväällä kaksi tilaisuutta, joissa sosiaalista mediaa käsiteltiin viestinnän ja juridiikan näkökulmista. Tärkeää on myös, että ohjeistusta sovelletaan yhdenmukaisesti. Saman selvityksen mukaan 74 prosenttia työntekijöistä kuitenkin ottaa huomioon sen, että nykyinen tai tuleva työnantaja voi nähdä työntekijän yhteisöpalveluun kirjoittaman tekstin. Työelämän lainsäädännön kannalta lähtökohtana on, että sosiaalinen media ei sinällään tuo mukanaan uutta sääntelyä tai varsinaisesti uusia ongelmia. Sosiaalista mediaa voisikin hyvin kuvata vanhalla sanonnalla "hyvä renki, huono isäntä". Verkossa tieto ei jää sisäpiiriin Sisäpiiritiedon ilmaiseminen henkilölle, jolla ei ole siihen oikeutta esimerkiksi työtehtävien puolesta, on kielletty. Siksi keskeistä on, että työntekijöitä informoidaan ja ohjeet ovat selkeät. Ohjeistuksessa on keskeistä kertoa työntekijöille, mitä työpaikalla saa ja mitä siellä ei saa tehdä
Vasta sitten immateriaalioikeuksia voi ryhtyä käyttämään myös yhteisöpalveluissa. käyttäjän tuleekin olla tarkkana, minkälaisia oikeuksia ja missä laajuudessa hän palvelulle luovuttaa. TeKIjäNOIKeUdeT Käyttöoikeudet selvitettävä tarkasti SOSIAALISeSSA MedIASSA immateriaalioikeuksien, esimerkiksi tekijänoikeuksien, merkitys voi hämärtyä, kun tekstiä, ääntä ja kuvaa on helppo viedä palveluun tai ladata sieltä omalle koneelle. TIE TOTu rva n ja TI E TOSuOja n E r I kO I S lE h T I 2/2010 TIETOSUOjA 7. Yritysten puolestaan tulisi määritellä teollis- ja tekijänoikeuksien strategioissaan, miten immateriaalioikeuksia käytetään ja miten niiden loukkauksiin puututaan sosiaalisessa mediassa. Tekijänoikeuksien lisäksi patentit ja tavaramerkit ovat keskeisimpiä yhteisöpalvelujen käytössä esiin tulevia immateriaalioikeuksia. jokaisella yhteisöpalvelulla on käytännössä omat sopimusehtonsa, joissa määritellään käyttäjän ja palveluntarjoajan oikeudet. Tilaisuuksissa puhuneen asianajaja Petri Rinkisen mukaan käyttäjän on tärkeää ymmärtää immateriaalioikeuksien sisältö ja merkitys sekä se, mitkä säännöt ovat milloinkin relevantteja
T I ETOT u rvan ja T I ETOS u Ojan Er IkO ISlEhTI. Samoin vanhat profiilitiedot tulisi poistaa, kun käyttäjä päivittää profiiliaan. Yhteisöpalvelut paljastavat viestinnän puutteet Sosiaalinen media tuo erilaiset tapahtumat meidän jokaisen nähtäville ja luettavaksi reaaliajassa. Tällöin se kerää ja käsittelee profiilissaan yksityishenkilöitä koskevia 8 TIETOSUOjA 2/2010 KIrjOITTAjA asianajaja eIjA WArMA työskentelee asianajotoimisto Castrén & snellman oy:ssä, jossa hän toimii erityisesti henkilötietojen käsittelyyn ja yksityisyydensuojaan liittyvien asioiden parissa. Tietosuojan ja yksityisyyden haasteista puhuneen asianajaja Eija Warman mukaan haasteita tuovat yhteisöpalveluihin sovellettavan lain valinta ja käyttäjän suostumus sopimusehtoihin. Toisaalta on hyvä huomioida, että mikäli työntekijöitä koskevia tietoja ei kerätä ja tallenneta mihinkään eikä niitä käytetä työntekijää koskevaan päätöksentekoon, jää tällainen henkilötietojen käsittely henkilötietolain ja työelämän tietosuojalain soveltamisalan ulkopuolelle. Direktiivi rajaa palvelujen tietojen käyttöä Direktiivin soveltuminen palveluntarjoajiin velvoittaa heidät myös toimimaan direktiivin periaatteiden mukaisesti. Näin se voi paljastaa yrityksen kriisivalmiuden tai sen puutteen. Käytännössä näitä tilanteita on kaksi: palveluntarjoajalla on toimipaikka jossakin jäsenvaltiossa, tai palveluntarjoaja käyttää jäsenvaltion alueella sijaitsevia välineitä. Tietosuojatyöryhmä arvostelee myös sitä, että palveluntarjoajat ovat luovuttaneet käyttäjien henkilötietoja eteenpäin. Tilaisuudessa puhunut digitaalisen viestinnän strategiajohtaja Kati Sulin muistutti strategian tärkeydestä. Lausunnon mukaan palveluntarjoajan tulisi poistaa käyttäjän tiedot, mikäli käyttäjä poistaa tilinsä palvelusta. Tietosuojavaltuutettu totesi kannanotossaan, että työntekijöitä ja -hakijoita koskeva tieto tulee ensisijaisesti kerätä henkilöltä itseltään. Tässä on syytä huomioida, että käyttäjät, jotka ovat yksityishenkilöitä, eivät pääsääntöisesti ole direktiivin mukaisia rekisterinpitäjiä. Kolmansissa maissa olevat palveluntarjoajat eivät ole yksimielisiä tietosuojatyöryhmän tulkinnasta, ja keskustelua asian ympärillä käydään jatkuvasti. henkilötietoja mutta ei voi vaikuttaa palvelun yleisiin käyttöehtoihin. Tilanne on ongelmallisempi, kun yritys on palvelun käyttäjä. Tämä voi johtaa yrityksen kannalta kohtuuttomaan lopputulokseen, koska yritys rekisterinpitäjänä voisi kuitenkin joutua vastuuseen esimerkiksi henkilötietojen asiattomasta luovutuksesta. Google-linjaus koskee myös yhteisöpalveluja Työelämän tietosuojalain näkökulmasta henkilötietojen käsittely ja työntekijöiden tekninen valvonta edellyttävät aina asian käsittelyä yhteistoimintamenettelyssä. EU:n komission alaisuudessa toimiva tietosuojatyöryhmä on antanut lausunnon (WP 163) yhteisöpalveluista. Lainvalinta on herättänyt keskustelua. Päätöksenteossa vaaditaan selkeiden pelisääntöjen luomista ja sosiaalisen median integroimista yrityksen toiminnan suunnitteluun. Ehdot hyväksytään rekisteröidyttäessä palvelun käyttäjäksi, jolloin ehtoihin tutustuminen on olennaista. Yrityskäyttäjän asema ongelmallinen Lausunnon mukaan sekä palveluntarjoajat että erilaisten sovellusten tarjoajat ovat tietosuojadirektiivin mukaisia rekisterinpitäjiä ja näin ollen heitä sitovat tietosuojadirektiivin velvoitteet. Tapauksessa työnantaja oli löytänyt Googlesta vanhaa tietoa, jossa työntekijä leimattiin mielenterveysongelmaiseksi ja käytti tätä törkeästi hyväkseen. Tätä ei direktiivin näkökulmasta saisi tehdä ilman henkilön suostumusta. Mikäli tietoja kerätään muualta, työnantajan tulee ilmoittaa siitä ennen kuin tietoja käytetään henkilöä koskevassa päätöksenteossa. Tällöin ei esimerkiksi olisi sallittua, että palveluntarjoaja yksipuolisesti muuttaisi sopimusehtoja, jotka koskevat yksityisyyttä suojaavia oletusasetuksia. Sen mukaan tietosuojadirektiivin säännökset tulevat sovellettaviksi useimmissa tapauksissa myös silloin, kun yhteisöpalvelun tarjoajan päätoimipaikka sijaitsee Euroopan talousalueen ulkopuolella. Päätöksenteossa käytettävät henkilötiedot tulee ensisijaisesti kerätä henkilöltä itseltään. jän oikeudet ja velvoitteet pätevät myös yhteisöpalveluissa. Työryhmä ottaa lausunnossaan kantaa myös tietojen säilyttämiseen tai pikemminkin poistamiseen. Lisäksi "googlaamalla" hankitut tiedot ovat epäluotettavia eikä niiden oikeellisuudesta ole takeita. Tietosuojavaltuutettu on linjannut, että niin sanottu Googletapaus (dnro 626/452/2006) pätee myös sosiaaliseen mediaan
Kaupan Maailma NRO 6 | JOULUKUU 09 Keskon kehitysjohtaja Ulla Rehell: Vastuullisuuden kirkkain tavoite on lisätä kilpailukykyä erottautumalla Sivu 22 Vastuullinen broilerituotanto on Suomen vahvuus sivu 30 Väriloisto häikäisi joulumessuilla sivu 44 Kaupan riippumaton ammattilehti TIE TOTu rva n ja TI E TOSuOja n E r I kO I S lE h T I 2/2010 TIETOSUOjA 9
liiketoimintasopimukset Osta ja myy 10 TIETOSUOjA 2/2010 T I ETOT u rvan ja T I ETOS u Ojan Er IkO ISlEhTI
Tarjouskilpailujen tietosuojakiemuroista ja asiakastietojen käsittelystä kerrotaan tarkemmin sivuilla 1215. Toukokuussa julkistetuissa IT2010-sopimusehdoissa on kolme yleistä ehtoa henkilötietojen käsittelystä. KILPAILUTUKSeN TAKIA IT-järjeSTeLMIeN tietoturvavaatimukset kuvataan usein laveasti, jotta ei rajattaisi eri toimittajia ulkopuolelle. Henkilötietolakia ja muuta mahdollisesti soveltuvaa lainsäädäntöä on noudatettava, TIE TOTu rva n ja TI E TOSuOja n E r I kO I S lE h T I samoin viranomaisten määräyksiä ja -ohjeita. Uusia hankintoja tehtäessä niitä ei silti aina huomata ajatella heti alkuvaiheessa. Tietosuoja tulee usein esille tarjouskilpailuvaiheessa, kun pohdittavaksi tulee yritysten ja sen työntekijöiden kelpoisuus palvelun tuottamiseen. Siksi alan sopimusehtoja uudistettaessa pidettiin tärkeänä, että uusiin ehtoihin saadaan selkeitä tietosuojan pelisääntöjä. Yhä useampia julkisia palveluja hoitaa yritys tai järjestö ostopalveluna. Tietoturvassa oli kantajan mukaan sellaisia puutteita, että kilpailijat olivat voineet saada tietoonsa sen liikesalaisuuksia. Toimeksiantaja vastaa palveluntuottajan tekemän henkilötietojen käsittelyn lainmukaisuudesta. Tietosuojakysymykset tulevat vastaan hankittaessa mitä tahansa sellaista palvelua tai järjestelmää, jossa käsitellään henkilötietoja. Hankintoja tekevän on huolehdittava muun lisäksi siitä, että käyttöön otettavat tietojärjestelmät noudattavat lain vaatimuksia. Tapaus muistuttaa ainakin siitä, miten tietojen suojaamisesta on tärkeää sopia mahdollisimman tarkasti. Salasanoja oli levinnyt yrityksen ulkopuolelle, eikä varmuuskopioita ollut tehty. Jos vaatimuksia ei kuvata mahdollisimman tarkasti, ylimalkaisuus kostautuu hankinnan myöhemmissä vaiheissa: Tietoturvaominaisuuksien toteuttaminen lisätöinä maksaa moninkertaisesti verrattuna siihen, että tietoturva otetaan mukaan heti hankinnan ensimetreillä. IT-järjestelmät räätälöidään useimmiten tilaajan tarpeisiin, joten jokainen järjestelmä on erilainen ja siten myös niiden tietoturvavaatimuksissa on eroja. Järjestelmätoimitusten tietoturvassa omat erityispiirteensä muodostavat tietoturvallisuuden johtaminen muutostilanteessa ja vastuiden vaiheittainen siirtäminen. Ehdoissa korostetaan sitä, että sopijapuolet harkitsisivat tietosuojaa koskevia asioita tapauskohtaisesti. Tietoturvaa puolestaan tarvitaan paitsi henkilötietojen, myös muiden toiminnan kannalta tärkeiden tietojen suojaamiseen. Tietojen suojaamisesta kummatkin osapuolet huolehtivat omalta osaltaan. Järjestelmätoimitusten tietoturvan ongelmakohtia ja niiden ratkaisuja tarkastellaan sivuilla 1619. IT-ALALLA TIeTOSUOjAN merkityksen kasvu on huomattu. Suositeltavaa on sopia tarvittaessa IT2010-sopimusehtoja täydentävistä, tarkentavista tai niistä poikkeavista ehdoista. harkiten Palvelujen ja IT-järjestelmien ostossa ja myynnissä vältytään monelta harmilta, kun henkilötietojen käsittelystä ja tietojen suojaamisesta on mustaa valkoisella mahdollisimman yksiselitteisessä muodossa. Teksti: Päivi Männikkö | Kuva: Images.com/Corbis/SKOY LeHTITIeTOjeN MUKAAN länsisuomalaiseen käräjäoikeuteen jätettiin syksyllä 2009 kanne, jossa yritys vaati IT-palveluntarjoajalta satojentuhansien eurojen vahingonkorvauksia tietoturvan vakavista laiminlyönneistä. Tämän kaikki tietävät, kuten senkin, että tietoturva ja -suoja tulisi ottaa huomioon toiminnan suunnittelussa. Uusien IT2010-sopimusehtojen henkilötietojen käsittelyä koskevista ehdoista kerrotaan sivuilla 2021. 2/2010 TIETOSUOjA 11. Kantajan mukaan sen tietojärjestelmien ylläpidosta vastannut IT-firman työntekijä oli käyttänyt työaikaansa pääosin muihin asioihin. Hankintoja tekevillä viranomaisilla on vastuu tietosuojavelvoitteiden toteutumisesta sekä tarjouskilpailussa että sen jälkeen. Etenkin näiden vaatimusten hallinnassa ja ylipäätään vaatimusten saamisessa osaksi järjestelmätoimitusta on puutteita ja haasteita. Koska henkilötietojen käsittelyssä lainsäädäntö rajoittaa sopimusvapautta merkittävästi, ei maalaisjärjen soveltaminen riitä
liiketoimintasopimukset 12 TIETOSUOjA 2/2010 T I ETOT u rvan ja T I ETOS u Ojan Er IkO ISlEhTI
"Ammattipätevyyden osalta arvioidaan tutkintoja, koulutusta ja aiempaa työkokemusta." Selvitykset saattavat joskus etenkin palveluhankinnoissa tuoda työntekijöiden työTIE TOTu rva n ja TI E TOSuOja n E r I kO I S lE h T I Henkilöstöä koskevien tietojen on oltava olennaisia hankinnan kohteen kannalta. teknisestä ratkaisusta sisältää jotakin uutta", hän pohtii. Esimerkiksi koulutus, ansioluettelot ja referenssit ovat pääsääntöisesti julkista tietoa. "Tavallisesti liike- ja ammattisalaisuudelta edellytetään, että tieto osaamisesta tai. Palo suosittaa, että hankintayksikkö vaatisi jo tarjouspyynnössä tarjoajia merkitsemään tarjousasiakirjoihin, mitä tarjoaja itse katsoo julkisuuslain mukaisiksi liike- ja ammattisalaisuuksiksi. historiasta ja taustasta esiin seikkoja, joiden määrittely julkisiksi merkitsee hiuksenhienoa rajanvetoa. Hankintoja tekevillä viranomaisilla on vastuu tietosuojavelvoitteiden toteutumisesta sekä tarjouskilpailussa että sen jälkeen. Teksti: Kirsi Castrén | Kuva: Images.com/Corbis/SKOY HANKINNAN erI VAIHeISSA ON OSATTAVA varmistaa, että tarjouskilpailuun osallistuvien ehdokkaiden henkilötietoja käsitellään lain mukaan. Ulkoistus tuo haasteita TIeTOSUOjAN TOTeUTUKSeeN Yhä useampia julkisia palveluja hoitaa yritys tai järjestö ostopalveluna. "Hankintayksikkö ei ole kuitenkaan sidottu harkinnassaan tarjoajan ilmoitukseen liike- ja ammattisalaisuudesta. Lakimies Sirpa Palo Kuntaliiton julkisten hankintojen neuvontayksiköstä korostaa, että henkilöstöstä pyydettävien tietojen on oltava olennaisia hankinnan kohteen kannalta. Asianosaisen tiedonsaantioikeus on julkisuuslaissa kuitenkin laajempi kuin ulkopuolisten: "Asianosaisella - hakijalla, valittajalla sekä muulla, jonka oikeutta, etua tai velvollisuutta asia koskee - on lähtökohtaisesti oikeus saada viranomaiselta tieto muunkin kuin julkisen asiakirjan sisällöstä, joka voi tai on voinut vaikuttaa hänen asiansa käsittelyyn", Palo selventää. Henkilöstöstä vain olennaisia tietoja Hankintalain mukaan hankintayksikkö voi pyytää tarjoajaa osoittamaan asiakirjoin teknisen suorituskykynsä ja ammatillisen pätevyytensä ja soveltuvuutensa. Tarjouskilpailussa arvioidaan ensisijaisesti yrityksen, ei henkilöstön kelpoisuutta. Viranomaisen harkintaan jää, mitä osia tarjousasiakirjoista ehkä merkitään salassa pidettäviksi. Kun kilpailu on ratkennut ja voittanut yritys alkaa hoitaa tehtäväänsä, sekä toimeksiantajalla että palveluntuottajalla on oltava selkeät suuntaviivat siitä, kuinka asiakkaiden henkilötietoja käsitellään henkilötietolain vaatimukset täyttäen. Liike- ja ammattisalaisuuden määrittelystä kysellään paljon. Päätöksen asiakirjan salassapidettävyydestä tulee perustua hankintayksikön omaan harkintaan." Tiedot ajoissa tarjoajille Asiakirjojen julkiseksi tulon ajankohta on julkisuuslain piiriin kuuluva asia, jota julkisten hankintojen neuvontayksiköltä usein tiedustellaan. "Vaikka viranomaiselle kilpailutukseen toimitetut asiakirjat tulevat julkisiksi vasta, kun hankintasopimus on tehty, vaatii tarjoajien oikeusturvan toteutuminen, että he saavat muutoksenhaun kannalta olennaiset tiedot käyttöönsä ajoissa", Palo toteaa. 2/2010 TIETOSUOjA 13 Liikesalaisuuden määrittely hankalaa Tiedonsaantioikeus ei kuitenkaan ulotu tarjouksen tekijän liike- ja ammattisalaisuuksiin. Käsitteen rajaaminen on Palon mukaan usein hankalaa
Palveluntuottajalla ei pääsääntöisesti ole oikeutta säilyttää kopiota asiakasrekisteristä T I ETOT u rvan ja T I ETOS u Ojan Er IkO ISlEhTI Sopimukseen selvät tietosuojakäytännöt Suppeakin asiakastiedosto muodostaa henkilötietolaissa tarkoitetun henkilörekisterin.. Ongelmatilanteita tietosuojan, vaikkapa tietojen asianmukaisen hävittämisen suhteen saattaa ilmaantua esimerkiksi henkilöstöjärjestelyissä, kun vastuuhenkilöt vaihtuvat." Tietosuojavaltuutettu Reijo Aarnio tähdentää, että toimeksiantaja vastaa palveluntuottajan tekemän henkilötietojen käsittelyn lainmukaisuudesta. Hankintasopimuksesta tulisi ilmetä vastuullinen rekisterinpitäjä (joka ulkoistettavissa toiminnoissa on toimeksiantaja) sekä rekisterin käsittelyssä noudatettavat menettelytavat. Huolellisuus on luonnollisesti tämänkaltaisessa tietojenkäsittelyssä kaiken a ja o, Palo tähdentää. Palveluntarjoajien vaihtuessa on hankintayksiköiden huolehdittava siitä, että tietosuojan taso säilyy uudenkin toimeksiantosuhteen aikana. Palveluntuottaja saa toki tiedot tarpeen mukaan nähdäkseen toimeksiantajalta. liiketoimintasopimukset Sopimuksessa kannattaa todeta, ettei palveluntuottajalle tule itsenäistä oikeutta henkilötietojen käsittelyyn. "Viranomaisen on siten huolehdittava, ettei tietojen saamista rajoiteta enempää kuin suojattavan edun vuoksi on tarpeellista, ja että tiedon pyytäneitä myös kohdellaan tasapuolisesti." Hankintapäätökseen tyytymättömällä on mahdollisuus halutessaan valittaa markkinaoikeuteen. Asiakastietojen turvaaminen on sähköisen tietojenkäsittelyn aikana toisen mittaluokan haaste kuin ennen. Tarpeen saattaa olla esimerkiksi maininta siitä, että toimeksiantajan asiakastiedoille on oma, yrityksen asiakasrekisteristä erillinen rekisteri. Asiakasrekisterit takaisin toimeksiantajalle Henkilörekisterin pitoa rajoittaa käyttötarkoitussidonnaisuus. Laajat tallennus- ja kopiointimahdollisuudet helpottavat työtä mutta ovat riski yksityisyydelle. Minulla on käsitys, että ne, jotka näitä tehtäviä hoitavat, ovat yleensä hyvin perillä tietosuojan asettamista velvoitteista", Sirpa Palo sanoo. "Kentän tietotaito sen suhteen, miten hankintoja osataan tehdä, vaihtelee luonnollisesti monista seikois14 TIETOSUOjA 2/2010 Palveluntuottajalla ei yleensä ole oikeutta säilyttää kopiota asiakasrekisteristä toimeksiannon päätyttyä. ta johtuen. Sopimuksen päätyttyä asiakasrekisteri palaa toimeksiantajan haltuun, elleivät toimeksiantajan asiakkaat jää palveluntuottajan asiakkaiksi. "Sopimuksessa olisi hyvä tuoda esille, ettei palveluntuottajalle tule itsenäistä oikeutta henkilötietojen käsittelyyn", Aarnio huomauttaa. "On tärkeää, että asioista huolehditaan loppuun asti. Tuore hankintalain uudistus tuo jonkin verran muutoksia hankintojen kynnysarvoihin ja seuraamusjärjestelmään mutta ei julkisuussäädöksiin. Tietosuojan taso ei saa notkahtaa Etenkin sosiaali- ja terveyspalveluissa käsitellään runsaasti salassapidettävää tietoa
Ostopalvelulääkäreillä on tietokantaan määräaikainen käyttöoikeus. se edellyttää, että henkilöstöä koskevia tietoja ei sellaisenaan siirretä työnantajalta toiselle tai toimeksiantajalle vaan ne kerätään ensisijaisesti työntekijältä itseltään. Päätöksen asiakirjan salassapidettävyydestä tulee perustua hankintayksikön omaan harkintaan. 2/2010 TIETOSUOjA 15 TIE TOTu rva n ja TI E TOSuOja n E r I kO I S lE h T I. Eräissä kunnissa, esimerkiksi Helsingissä ja Espoossa, hammashoidon asiakastietojen tallennus on siirretty tai sitä ollaan siirtämässä tapahtuvaksi Citrix-yhteyden välityksellä suoraan kunnan tietokantaan. AIHeeSTA eNeMMäN · Julkisten hankintojen neuvontayksikön verkkosivut www.hankinnat.fi · Tietosuojavaltuutetun toimiston julkaisemat asiaa tietosuojasta -oppaat: www.tietosuoja.fi/1977.htm TArjOUSKILPAILUT Tietoja pyydettävä työntekijältä PALVeLUjeN jA TAVArAHANKINTOjeN kilpailuttaminen tietää toisinaan muutoksia myös työsuhteissa, mikäli työntekijät siirtyvät tarjouskilpailun voittaneen yrityksen palvelukseen. toimeksiannon päätyttyä. Käytännössä kaikki kunnat eivät vaadi esimerkiksi ostopalveluhammaslääkäreitä hävittämään kunnan lähettämistä potilaista kertyneitä asiakastiedostojaan, kun ostopalvelusopimus päättyy. "Jos näin menetellään, saattaa kyseinen toimija syyllistyä tietosuojarikokseen", tietosuojavaltuutettu varoittaa. Työntekijän yksityisyyttä suojaa työelämän tietosuojalaki
liiketoimintasopimukset 16 TIETOSUOjA 2/2010 T I ETOT u rvan ja T I ETOS u Ojan Er IkO ISlEhTI
Siksi järjestelmätoimituksissa on välttämätöntä ottaa tietoturvaasiat mukaan jo hankintavaiheen ensimetreillä joko myyjän tai tilaajan aloitteesta. 2/2010 TIETOSUOjA 17 Tietoturvavaatimukset kuvataan usein laveasti, jotta ei rajattaisi eri toimittajia kilpailutuksen ulkopuolelle. TIE TOTu rva n ja TI E TOSuOja n E r I kO I S lE h T I. Vasta myöhemmin herätään siihen, että tietoturvaominaisuuksien toteuttaminen lisätöinä maksaa moninkertaisesti. Tuotantovaiheen rinnalla voidaan puhua ylläpitovaiheesta riippuen siitä, tarkastellaanko asiaa toimittajan vai tilaajan kannalta. Järjestelmätoimitusten Valitettavan usein tietojärjestelmän toimitushanke on jo pitkällä ennen kuin herätään siihen, että järjestelmä pitäisi sovittaa elämään tietoturvallista yhteiseloa olemassa olevan ympäristön kanssa seuraavat kolmekymmentä vuotta. Myyntivaiheessa sovitusta toimitussisällöstä saattavat unohtua esimerkiksi tarvittavat järjestelmäliittymien räätälöinnit. Tämä johtaa väistämättä myös asiakaskohtaisiin tietoturvavaatimuksiin. Tämän vaiheketjun rinnalla etenevät toimittajan myyntiprosessi ja tilaajan ostoprosessi, hankeprosessit sekä joukko muita toimintoja. Etenkin näiden vaatimusten hallinnassa ja ylipäätään vaatimusten saamisessa osaksi järjestelmätoimitusta on järjestään puutteita ja haasteita. Lisätyöt maksavat moninkertaisesti Tyypillinen järjestelmätoimitushanke sisältää toimittajasta riippumatta neljä vaihetta; tuotekehityksen (jatkuva prosessi), projektin, käyttöönoton ja tuotannon. Miksi näin pääsee käymään jatkuvasti niin teollisuudessa kuin hallinnossakin? Teksti: Mikko Jylhä | Kuvitus: Leena Kumpulainen alkaa hankinnasta TIeTOTUrVA järjeSTeLMäTOIMITUSMAAILMASSA jOKAINeN yMPärISTö ja toimitus on ainutlaatuinen
liiketoimintasopimukset Toimittajan ei tulisi olettaa kohdeympäristöstä mitään. Ammattilaiset mukaan heti alussa Tietoturvallisen järjestelmän hankkiminen ja myyminen on ammattilaisten työtä. Vaatimukset tulisi lähtökohtaisesti valita hallitusti uhkakartoituksen pohjalta. Lisäksi vaatimuksia asettavat lait, muu sääntely ja compliance-vaatimukset sekä standardit. Tästäkin johtuen hankinta- ja myyntiprosessin tukena pitäisi alkuvaiheista lähtien olla IT- ja tietoturvaedustus. Muista nämä: · Tietoturva-asiat pitää saada alusta asti mukaan hankkeeseen · Käytä tietoturvan ammattilaisia · Muista tietoturvapolitiikkojen, -standardien, -ohjeiden, -käytäntöjen ja -prosessien sovittaminen ja jalkauttaminen hallitusti reaalimaailmaan · Ota molempien osapuolten IT-ihmiset mukaan hankkeeseen · Toteuta riskikartoitus ja määritä sitä kautta hallitusti torjuttavat tietoturvauhat · Järjestelmän lisäksi muista myös toimitus- ja ylläpitovaiheiden tietoturvallisuus · Nimeä ja vastuuta toimitusprojektin tietoturvaorganisaatio · Myös fyysinen ja hallinnollinen tietoturvallisuus ovat keskeisiä · Varaudu tietovuotoihin ennalta · Käytä tarkoituksenmukaista suojausta tarkoituksenmukaisessa paikassa Tietoturvaominaisuudet perusteltava Tietoturvaominaisuuksien ensiaskeleet ovat jo osa tuotekehitysvaihetta ja siellä toimittajan omien prosessien tai asiakasrajapinnan kautta tulleita tietoturvavaatimuksia. Usein ostajan hankintaprojektissa tietoturvan vaikutuksia ei kuitenkaan nähdä riittävällä laajuudella. Muita vaikuttimia ovat toimittajan oman maineen turvaaminen, asiakasvaatimukset ja myös myytävissä olevat lisäominaisuudet. Kypsän organisaation toiminnanohjaukseen liittyy joukko politiikkoja, standardeja, ohjeita ja määräyksiä. Järjestelmien monimutkaisuuden takia myyjäyrityksen edustajakaan ei aina tiedä, mitä tarkalleen ottaen on myymässä. Jokainen tietoturvaominaisuus on voitava perustella, koska ne luonnollisesti lisäävät tuotekehityksen kustannuksia. Järjestelmästä voi pyytää perustellusti paremman hinnan, jos tietoturvallisuuden voi osoittaa. Tietoturvaominaisuudet ovat usein rinnalla oleva välttämätön tukifunktio. Siksi on sitä parempi, mitä aikaisemmassa vaiheessa T I ETOT u rvan ja T I ETOS u Ojan Er IkO ISlEhTI. Kilpailutuksen takia tietoturvavaatimukset kuvataan usein laveasti, jotta ei rajattaisi eri toimittajia ulkopuolelle. Järjestelmätoimituksessa pääpaino on luonnollisesti toiminnallisilla pääominaisuuksilla ja -vaatimuksilla. Toimittajalla ja tilaajalla on luonnollisesti omat ohjaavat tietoturvakäytäntönsä. Tietoturvapolitiikka, -ohjeistus ja noudatettavat standardit ovat dokumentteja, joiden aiheuttamat vaatimukset järjestelmälle on ymmärrettävä järjestelmätoimituksen yhteydessä. 18 TIETOSUOjA 2/2010 Vastuiden siirrosta sovittava Järjestelmätoimitusten tietoturvassa omat erityispiirteensä muodostavat tietoturvallisuuden johtaminen muutostilanteessa ja vastuiden vaiheittainen siirtäminen
Käytänteitä ei ole implementoitu ja todennettu · Tietoturvallisuutta aletaan määritellä tarkemmin vasta projektivaiheessa · Toimitusprosessin tietoturvapolitiikkoja ja -käytäntöjä ei soviteta yhteen · Tietovuotojen varalle ei ole toimintamallia · Toimitusprojektin tietoturvaa ei ole huomioitu · Tietoturva yritetään rakentaa vain käyttämällä teknisiä laitteita · Tietoturvakäytäntöjä ei opeteta projektiorganisaatiolle · Yritetään suojata kaikki tieto mahdollisimman järeästi · Tietoturvavastuiden siirtymää ei ole kuvattu vaiheittaisesti osana toimitusta · Ei kunnioiteta eri yritysten erilaisia tietoturvakulttuureja päästään sopimuksellisesti sopimaan järjestelmätoimitukseen liittyvistä vastuista ja velvollisuuksista sekä niiden projektointiin sovitetuista siirtymistä ja luovutuksista toimittajalta asiakkaalle. Myös kansallista turvallisuusauditointikriteeristöä (KATAKRI), tietoturvatasoja (TTT) ja ICT-varautumisen kriteerejä voi hyvin hyödyntää kotimaisissa yrityksissä. Toimitetun järjestelmän tulee toteuttaa tilaajan toimintaympäristön tietoturvavaatimukset ja -kontrollit. Niitä ovat hallinnollinen tietoturvallisuus, henkilöstöturvallisuus, fyysinen turvallisuus, tietoliikenneturvallisuus, laitteistoturvallisuus, ohjelmistoturvallisuus, tietoaineistoturvallisuus ja käyttöturvallisuus. Kansainvälisten standardien ohella suomalaisessa toimintaympäristössä voi mainiosti hyödyntää valtiovarainministeriön määrittelemiä tietoturvan osa-alueita. Varsinkin toimitusvaiheessa on varauduttava tietovuotoihin. Myös tämä tulee huomioida. Tässä viimeistään törmätään luottamuskysymyksiin: Miten toimittaja takaa, että tilaajan järjestelmiin ei esimerkiksi huoltoyhteyttä TIE TOTu rva n ja TI E TOSuOja n E r I kO I S lE h T I KIrjOITTAjA MIKKO jyLHä toimii johtavana tietoturvakonsulttina IT-alan ja liiketoiminnan konsulttiyhtiö logica suomi oy:ssä. 2/2010 TIETOSUOjA 19. Järjestelmän koosta riippuen tietoturvavastuun siirrossa on tarkoituksenmukaista suorittaa riskiperustainen arviointi tai riskikartoitus ja määrittää vaadittava tietoturvataso sen pohjalta. Vaikka luottamus onkin osin sopimuksellinen asia, se perustuu myös maineeseen ja kykyyn osoittaa luotettavuus ja tietoturvallinen toiminta esimerkiksi auditoinneilla. Auditoinnissa kaikki osa-alueet huomioon Toimittajan, toimitettavan järjestelmän ja toimitusprojektin auditoinneissa tulisi hallinnollisen ja teknisen tietoturvallisuuden lisäksi huomioida muitakin osa-alueita. Usein esimerkiksi ylläpitovaihetta varten tarvittavat etäyhteydet on pystyttävä sovittamaan tilaajan tietoturvapolitiikkaan sopiviksi. Yrityspuolella pitää soveltaa. hyödyntämällä tehdä tietomurtoa. Tilaajan vastuulla on kuvata heidän ympäristövaatimuksensa. Usein myyjä ja ostaja ovat tietoturvan kehittyneisyyden suhteen eri tasoilla. Muodollinen tietoturvataso voi olla viranomaistai julkishankinnoissa jo määritetty osana tietoturvavaatimuksia. Usein myyjä ja ostaja ovat tietoturvan kehittyneisyyden suhteen eri tasoilla. Toimitus vaatii luottamusta Tietoturvakäytäntöjen lisäksi toimittajan ja tilaajan tulee sopia mahdollisimman varhain myös lopputoimituksen yksityiskohtaisista teknisistä tietoturvavaatimuksista. Sopimuksellisesti on huolehdittava myös toimitukseen ja sen aikaiseen projektiin liittyvästä tietoturvallisuudesta. Järjestelmien monimutkaisuuden takia myyjäyrityksen edustajakaan ei aina tiedä, mitä tarkalleen on myymässä. Varo näitä: · Tietoturvatoiminta on pelkkää paperia. Näin muodostetaan perusta tietoturvan ja vastuun siirtämiselle vaiheittain osana toimitusprosessia. Toimittajan ei tulisi olettaa kohdeympäristöstä mitään. Viranomaisten vaatimukset vaikuttavat alihankintaketjujen kautta välillisesti teollisuuteen ja siten muokkaavat suomalaista tietoturvakypsyystasoa yrityksissäkin. Kyse on siis omasta aliprojektistaan, jossa tietoturvavastuu siirretään hallitusti toimitettavan järjestelmäkokonaisuuden mukana toimittajalta tilaajalle
liiketoimintasopimukset TIeTOSUOjA mukaan sopimusehtoihin TIeTOSUOjA-ASIAT OVAT yrityksille tärkeitä. Suuremmat yritykset sopivat tietosuojakysymyksistä usein tapauskohtaisesti toimittajan ja asiakkaan välisessä sopimuksessa. Lainsäädäntö asettaa rajoja Sopijapuolilla on IT-palveluissa ja -toimituksissa pääsääntöisesti sopimusvapaus. Henkilötietoja käsiteltäessä tulee noudattaa henkilötietolakia ja muuta mahdollisesti soveltuvaa lainsäädäntöä, kuten sähköisen viestinnän tietosuojalakia. Henkilötietojen käsittely on kuitenkin yksi niistä osa-alueista, jossa lainsäädäntö rajoittaa sopimusvapautta merkittävästi. Yhdelle palvelulle soveltuva ratkaisu ei välttämättä sovi toisenlaiselle palvelulle. Sopimusta neuvoteltaessa on muutoinkin suositeltavaa sopia tarvittaessa IT2010sopimusehtoja täydentävistä, tarkentavista tai niistä poikkeavista ehdoista. Saatujen lausuntojen perusteella enemmistö kannatti tietosuojaa koskevien ehtojen lisäämistä uusiin sopimusehtoihin. Toukokuussa julkistetut IT2010-sopimusehdot sisältävät ensimmäistä kertaa tietosuojaa koskevia ehtoja. Teksti: Jaakko Turunen Kuva: ScanStockPhoto Tietosuoja-asiat palvelusidonnaisia IT-palvelujen kohdalla tietosuojakysymykset ovat usein palvelusidonnaisia. Lisäksi on otettava huomioon tietosuojavaltuutetun ohjeistus ja muut viranomaismääräykset ja -ohjeet. 20 TIETOSUOjA 2/2010 T I ETOT u rvan ja T I ETOS u Ojan Er IkO ISlEhTI. Uusissa IT2010sopimusehdoissa korostetaan sitä, että sopijapuolet harkitsisivat tietosuojaa koskevia asioita tapauskohtaisesti. Tietosuojan merkitys on kasvanut viimeisen kymmenen vuoden aikana siinä määrin, että asia tuli esille myös uudistettaessa IT-alalla käytettäviä IT2000-sopimusehtoja. IT2000-sopimusehdoissa ei ole tietosuojaa käsitteleviä sopimusehtoja, vaikka IT-palvelujen ja -toimitusten yhteydessä käsitellään usein henkilötietoja. Lainsäädäntöä pidetään kuitenkin vaikeaselkoisena. Sen vuoksi sopimusehtoja uudistettaessa pidettiin tärkeänä, että uusiin ehtoihin saadaan selkeitä tietosuojan pelisääntöjä