billionphotos 1887687 xsmall150Ulkoistettaessa palveluja tietoriskit nousevat yhdeksi keskeisimmäksi riskienhallinnan osa-alueeksi. Erityisen haasteen muodostaa kasvava palvelu- ja sopimustoimittajien verkostoituminen, joka tekee organisaatiot riippuvaisiksi ulkoisista sidosryhmistä ja näin tietoriskit eivät ole enää täysin omassa hallinnassa. Verkostoituminen keskittyy pääasiallisesti ICT-palvelutoimituksiin, mutta myös voimakkaasti sosiaali- ja terveyspalvelujen sekä vartiointi ja siivouspalvelujen tuottamiseen.

Tärkeää on eritoten varmistua sopimuksien kattavuudesta ja auditoida toimintaa. Järkevintä on laatia yhteistyössä sopimusjuridiikkaan perehtyneen lakimiehen kanssa hyvät sopimuspohjat, joita voi tarpeellisilla muutoksilla hyödyntää useissa muissakin vastaavissa hankkeissa. Pelkästään juridiikan tuntemus ei riitä, vaan dokumenttien laadinnassa on syytä olla mukana asiantuntijoita kyseisestä substanssista, johon palvelun tuottaminen kohdistuu sekä rekisterinpitoon ja tietoturvaan liittyvää osaamista. Lisäksi sopimukset pitää katselmoida tasaisin väliajoin sekä huolehtia valvonnasta ja raportoinnista siten, että sopimuksen mukaiset asiat tulevat hoidetuksi. Aika-ajoin täytyy myös muistaa mahdollisuudet neuvotella sopimuksista uudelleen hinnoittelun ja liiketoiminta-, teknologia- ja lainsäädäntömuutosten takia. Varsinkin ICT-teknologiset muutokset voivat ajoittain merkittävästi tuoda tietoteknisiin kustannuksiin palveluntuottajille hinnanalennuksia ja kaikki ei pidä päätyä pelkästään liikevoitoksi, vaan tilaajan ja palveluntuottajan pitäisi pystyä sopimaan tarvittaessa myös kustannusten alentumisesta johtuvista hinnanalennuksista palveluntuottamisessa.

Yleisesti sopimusrakenne toimeksiantosopimuksissa on sellainen, että se muodostuu pääsopimuksesta ja sen liitteistä. Yksittäisten liitteiden päivittäminen on tarvittaessa helpompaa, kuin se, että koko pääsopimusta ruvetaan uusimaan esimerkiksi tietojärjestelmien vaihtumisen seurauksena. Liitteissä voidaan määritellä vaatimukset mm. liittyen pääsopimuksen mukaisessa toiminnassa tarvittavien henkilörekisterien käyttöön, asiakastietojen käsittelyyn, tietoturvaan ja tietosuojaan. Tietojärjestelmien, tietotekniikan ja niihin liittyvien palvelujen käytöstä voidaan sopia erillisellä omalla sopimusliitteellä tai sitten tietotekniikkaan liittyvät asiat voidaan myös upottaa tietoturva- ja tietosuojaliitteeseen.

Useinmiten neuvotteluvaiheessa tulee varsinkin tuottajan puolelta helposti luvattua toteuttaa joustavasti ja ketterästä paljonkin asioita, jotta kauppa saadaan syntymäänn. Käytännössä ja sopimuksissa nämä asiat eivät kuitenkaan välttämättä kohtaa. Asiat, joista ei ole selkeästi sovittu, jäävät todennäköisesti hoitamatta. Kaiken kaikkiaan tärkeintä on pitää ulkoistusprosessista ja ostettavan palvelun sisällöstä tarkkaa dokumentaatiota, jotta sopimuskauden päättymisen lähestyessä osattaisiin nopeasti reagoida ja huomioida tarpeelliset asiat ennen uutta kilpailutusta.

VAHTI 3/2011, Valtion ICT-hankintojen tietoturvaohje julkaistiin joulukuussa 2011. Ohje on erittäin kattava ja toivottu ajanmukainen lisä tietoturvaohjeisiin. Ohjeen tarkoituksena on parantaa ICT-hankintojen tietoturvallisuuden arviointia ja elinkaaren kattavaa tietoturvallisuuden varmistamista. Ohje myös auttaa hankintoja tekeviä organisaatioita hallitsemaan hankintaan liittyviä tietoriskejä ja parantamaan toiminnan jatkuvuutta. Ohje tukee organisaatioita valtion tietoturvallisuutta koskevan valtioneuvoston periaatepäätöksen (26.11.2009) toimeenpanossa ICT-hankintojen osalta. Ohje tukee ja täydentää olemassa olevia VAHTI-ohjeita ja julkisen hallinnon tietohallinnon JHS-suosituksia. ICT-palveluita hankittaessa organisaatioiden tulee kiinnittää huomiota tietoturvallisuuteen, varautumiseen, palvelun laatuun ja kustannustehokkuuteen. Ohje auttaa organisaatioita ottamaan ICT-hankinnoissa huomioon tietoturvallisuutta koskevat lakisääteiset velvoitteet, ohjeet ja muut viitekehykset. Hankinnoissa kannattaa huolehtia valtionhallinnon tietoturvallisuusasetuksen (681/2010), tietoturvatasojen ja ICT-varautumisen vaatimusten lisäksi hankinnan kohteeseen liittyvistä vaatimuksista. Ohjeen avulla muutkin kuin valtion organisaatiot voivat halutessaan sisällyttää tietoturvatasojen vaatimukset hankintoihin. Erityisesti niiden organisaatioiden, joiden toimintaan sisältyy yhteiskunnan turvallisuusstrategian mukaisia elintärkeiden toimintojen turvaamisen tehtäviä, tulee varmistaa tietoturvallisuusnäkökohtien sisällyttäminen ICT-hankintoihin ja niiden elinkaareen. Ohjetta sovelletaan pääasiassa silloin, kun palveluita hankitaan markkinatoimijoilta. Ohjetta suositellaan noudatettavaksi myös silloin, kun palveluita hankitaan Hanselin puitesopimusten avulla.

Tietoturvallisuuden yleisen määritelmän mukaan sen tarkoituksena on varmistaa tiedon luottamuksellisuus, eheys ja käytettävyys. Tämän mukaisesti myös hankinnoissa ja sopimuksissa tietoturvavaatimuksia voidaan tarkastella seuraavista näkökulmista:

Salassapitovaatimukset (luottamuksellisuus) Salassapitovaatimuksilla määritetään organisaation salassa pidettävien tietojen suojaamisvelvoitteet, vastuut ja konkreettiset suojaustoimet. Salassapitovaatimukset perustuvat julkisuuslakiin, henkilötietolakiin ja salassapitoa koskevaan erityislainsäädäntöön. Niiden määrittelyssä voidaan käyttää apuna tietoturvatasojen vaatimuksia, joiden minimitaso valtion viranomaisille on tietoturvallisuusasetuksen 5 §:n mukainen perustaso. Salassapitovaatimukset kirjataan sopimukseen tai sen liitteeseen.

Eheysvaatimukset (eheys) Eheysvaatimukset tulee huomioida erityisesti niissä ohjelmisto- ja järjestelmähankinnoissa, joissa tietojen oikeellisuus ja luotettavuus ovat kriittisiä. Eheysvaatimukset on kuvattava tapauskohtaisesti, tässä ohjeessa ei anneta yleisiä malleja eheysvaatimusten kuvaamiseen. Myös eheysvaatimukset kirjataan sopimukseen tai sen liitteeseen.

Saatavuusvaatimukset (käytettävyys) Saatavuusvaatimuksiin voidaan sisällyttää esimerkiksi palvelun käytettävyys ja häiriöiden ratkaisuaika yksittäistapauksissa ja pitkällä aikavälillä, esim. kuukausittain, sekä palvelun jatkuvuus- ja varautumisvelvoitteet. Saatavuusvaatimusten määrittämisessä voidaan käyttää apuna ICT-varautumisen vaatimuksia sekä JHS 174 –palvelutasosuosituksia silloin, kun ne soveltuvat hankittavaan palveluun. Saatavuusvaatimukset kirjataan palvelutasosopimuksiin (SLA, Service Level Agreement). Tämän ohella ICT-varautumisen vaatimusten avulla turvataan palvelun käytettävyys normaaliolojen häiriötilanteissa ja poikkeusoloissa.

ICT-hankinnoissa tietoturvallisuus on sisällytettävä käytettäviin palvelu-, palvelutaso- ja muihin sopimusmalleihin. Näin tietoturvallisuus tulee kiinteäksi osaksi hankintoja ja se tulee luontevasti otetuksi huomioon toimittajan ja asiakkaan välisessä yhteistyössä. (VAHTI 3/2011, Valtion ICT-hankintojen tietoturvaohje)

Nostamme tähän artikkeliin mukaan vielä erityishuomiona terveydenhuollon toimeksiantosopimukset:

Terveydenhuollossa käsitellään pääsääntöisesti sähköisten tietojärjestelmien avulla salassa pidettäviä potilastietoja. Tästä syystä kyseisen sektorin asiakkaiden yksityisyyden suojasta pitää huolehtia erityisen huolellisesti. Palveluita kilpailutetaan ja hankitaan ulkopuolisilta palveluntuottajilta, kuten yksityisiltä palveluntuottajilta tai toiselta kunnalta tai viranomaiselta. Periaatteessa mitään eroa ei ole siinä, onko palveluntuottaja yleisesti luotettu tai entuudestaan tuttu yritys tai muu toimija vai joku uusi juuri aloittanut terveydenhuollon toimintayksikkö, jolle palveluja ulkoistetaan. Joka tapauksessa palvelujen ulkoistaminen pitää suunnitella yhtä huolellisesti ja varsinkin sopimuksen laadintaan ja valvontaan pitää panostaa.

Lyhyt muistilista:

  • suunnittele ulkopuolisten palvelujen hankinta osana toimintaa ja rekisterinpito
  • potilastietojen käytön osalta pitää määritellä määräysvallan käyttö ja rekisteripidon vastuut
  • tee vain kirjallisia sopimuksia
  • sopimuksesta pitää ilmetä selvästi sen oikeudellinen luonne (esim. toimeksiantosopimus)
  • määrittele sopimuksessa, minkä henkilörekisterien käyttöä ja missä laajuudessa sopimuksen tarkoittama tehtävä edellyttää
  • määrittele sopimuksen ja sen liitteiden yhteyshenkilöt
  • julkisen sektorin lukuun suoritettavissa toimeksiantotehtävissä käsiteltäviin tietoihin sovelletaan julkisuuslain säännöksiä vaikka käsittelevä taho olisikin yritys
  • selvitä ja varmistu tietoturva- ja tietosuojavaatimuksien täyttymisestä mukaan lukien arkistointi ja hävitys
  • määrittele sopimukseen sanktiot
  • pidätä oikeus tehdä auditointia ja käyttää tarvittaessa kolmatta osapuolta sen suorittamiseen
  • ennakoi sopimuksen päättymiseen liittyvät käytännön tehtävät. Kuinka tiedot luovutetaan seuraavalle palveluntuottajalle tai takaisin varsinaiselle rekisterinpitäjälle (toimeksiantajalle)

Koska terveydenhuollossa on kysymys on usean henkilötietojen käsittelyyn liittyvän lain sekä usean toimintaan littyvän erityislain tuomista vaatimuksista, on tärkeää tehdä erillinen tietosuojaliite liittyen potilastietojen käsittelyyn. Kyseisessä liitteessä kannattaa tarkasti määritellä tilaajan ja tuottajan oikeudet ja velvollisuudet rekisterinpidon näkökulmasta, auditointimahdollisuudet sekä mahdolliset sanktiot esim. tietosuojarikkomuksissa.

Yleisesti ottaen ulkoistuksien ja sopimuksien hallintaan liittyen on kirjoitettu useita kymmeniä kirjoja sekä laadittu erilaisia opinnäytetöitä. Esimerkiksi Mika Iivarin ja Mika Laaksosen vuonna 2009 kirjoittamassa kirjassa Liiketoiminnan jatkuvuussuunnittelu ja ICT-varautuminen (Tietosanoma 2009) käsitellään mm. jatkuvuuden hallintaa, SLA-tasoja ja sanktioita sekä alihankkijoiden valvontaa. Kirjassa on käsitelty ylipäätänsä ICT-varautumista, mutta lisäksi myös ulkoistettuun toimintaan liittyen riskienhallintaa. Ari Andreassonin ja Juha Koiviston Tietoturvaa toteuttamassa (Tietosanoma 2013) kirjassa käsittellään tietoturvariskien pienentämistä ja sopimusliitteiden laadintaa.

  • FCG
  • Intragen
  • VIRIA
  • Neotide
  • Tietosanoma
  • Commit
  • ISTEKKI
  • NEXAMED
  • GDPR Tech
  • 2NS
  • PrivacyAnt
  • Tietosuojamalli
  • SoulCore GDPRDesk
  • Deltagon
Previous Next