Riskienhallintaa ei pidä vähätellä tai kokea sen olevan välttämätön pakko. Tällainen asenne voi kostautua erittäin karvaasti. Riskienhallintatyön yksi tavoite on myös oppia aikaisemmista virheistä eli kartoittaa tulevia riskejä hyödyntäen sitä tietoa, mitä esimerkiksi palvelujen ulkoistuksissa, ICT-projekteissa ja erilaisissa vaatimusmäärittelyissä, sopimuksissa ja hankinnoissa on jo toteutunut. Organisaation johto on erityisesti kiinnostunut riskien todennäköisyydestä, vakavuudesta sekä toteutuessaan niiden kustannusvaikutuksista. Riskien kartoittamisessa, kuvaamisessa ja analysoinnissa pitäisi riskejä pystyä tuomaan myös käytännön tasolle, jotta niihin voitaisiin suunnitella varautuminen ja vastuuhenkilöt. Muista, että riskienhallintaan erikoistuneita yrityksiä on olemassa ja harkitse siis ulkopuolisen avun hankintaa riskienhallintaan.

HYVÄ RISKIENHALLINTA MAHDOLLISTAA (esim. ISO 31000-riskienhallintastandardin omaksumisen ja käyttöönottamisen jälkeen):

  • ennakoivan johtamisen tukemista
  • riskien tunnistamisen tarpeet ja niiden käsittely koko organisaatiossa
  • lisätä tavoitteiden saavuttamisen todennäköisyyttä
  • parantaa mahdollisuuksien ja uhkien tunnistamista
  • noudattaa organisaatiota koskevia lainsäädännön ja viranomaisten vaatimuksia ja kansainvälisiä normeja
  • kehittää pakollista ja vapaaehtoista raportointia
  • kehittää organisaation hallintotapaa
  • lisätä sidosryhmien luottamusta luoda luotettavan perustan päätöksenteolle ja suunnittelulle
  • kehittää hallintakeinoja kohdentaa ja käyttää resursseja vaikuttavasti riskien käsittelyyn
  • parantaa operatiivista vaikuttavuutta ja tehokkuutta
  • parantaa terveyteen ja turvallisuuteen liittyvän toiminnan sekä ympäristönsuojelun tasoa
  • kehittää vahingontorjuntaa ja häiriötilanteiden hallintaa
  • vähentää tappioiden määrän mahdollisimman vähäiseksi
  • parantaa organisaation oppimiskykyä parantaa organisaation mukautumiskykyä

Organisaation olisi tunnistettava riskin lähteet, vaikutusalueet, tapahtumat (mukaan lukien olosuhteiden muutokset) ja niiden syyt sekä mahdolliset seuraukset. Tämän vaiheen tavoite on luoda kattava luettelo riskeistä niiden tapahtumien perusteella, jotka voivat mahdollistaa tai estää tavoitteiden saavuttamisen tai parantaa, haitata, nopeuttaa tai viivästyttää sitä. On tärkeää tunnistaa riskit, jotka liittyvät jonkin mahdollisuuden hyödyntämättä jättämiseen. Riskien tunnistaminen mahdollisimman kattavasti on ratkaisevan tärkeää, sillä riski, jota ei tunnisteta tässä vaiheessa, ei ole mukana myöhemmässä analyysissa. Riskien tunnistamisen olisi katettava kaikki riskit riippumatta siitä, onko niiden lähde omassa hallinnassa tai vaikka riskin lähde tai syy ei olisikaan selvillä. Mukaan tulee huomioida myös erilaiset kerrannais-, seurannais- ja kumulatiiviset vaikutukset. Sen lisäksi, että määritellään, mitä voi tapahtua, on välttämätöntä ottaa huomioon mahdolliset syyt ja ennusteet, jotka osoittavat, millaisia seurauksia voi esiintyä. Kaikki merkittävät syyt ja seuraukset olisi otettava huomioon. Olennainen ja ajantasainen tieto on tärkeää riskien tunnistamisen kannalta. Sen olisi soveltuvin osin sisällettävä myös taustatiedot, jos niitä on saatavilla. Riskien tunnistamisessa olisi oltava mukana henkilöitä, joilla on tarvittava tietämys.

Ari Andreassonin ja Juha Koiviston kirjoittamassa Tietoturvaa toteuttamassa kirjassa (Tietosanoma 2013) on käsitelty laajemmin ICT-ulkoistuksiin liittyvää riskienhallintaa. Kirjassa kerrotaan riskienhallinnasta näin: ”Riskienhallinnan tavoitteena on tunnistaa toimintaan vaikuttavat riskitekijät, arvioida riskit, suunnitella vastaamis- eli hallintatoimet ja varmistaa toiminnan riittävä laatu. Näillä keinoilla pyritään varmistamaan kulloinkin tarkasteltavalle toiminnalle, projektille tai prosessille asetetut tavoitteet ja ne voidaan myös kohtuullisen varmasti saavuttaa. Riskienhallintaprosessiin kuuluu mm. riskien arviointi (riskien tunnistaminen, riskianalyysi ja riskin merkityksen arviointi), riskien käsittely ja seuranta sekä katselmointi. Riskien arviointi ei ole kertatoimenpide, vaan se on toistettava säännöllisesti ja tehtävä varsinkin suuria organisaatiomuutoksia tai sen toimintaympäristöä koskevien muutosten yhteydessä. Riskien arvioinnissa tunnistetaan suojattavat kohteet sekä määritellään riskien hyväksyttävä taso ja sen pohjalta tarvittavat suojaustasot, luottamuksellisuus-, eheys- ja käytettävyysvaatimukset.

Asiantuntijaorganisaatio Deloitte, jonka palveluihin kuuluu mm. riskienhallintaa, tutki mm. vuonna 2005 suurien yritysten ulkoistusprojektien kokemuksia: “Calling a Change in the Outsourcing.” Kokemukset ja toteutuneet riskit korreloivat hyvin myös Tietoturvaa toteuttamassa-kirjassa esiteltäviin riskeihin.

  • Suurten yritysten vastaajista 57 prosenttia maksoi ulkoistuksessa sellaisista palveluista lisälaskuja, joiden ne uskoivat kuuluvan ulkoistussopimukseen.
  • 57 prosenttia vastaajista ei ole voinut vapauttaa sisäisiä resurssejaan ulkoistetusta toiminnosta muihin projekteihin.
  • 52 prosentin mielestä kustannuksiin liittyvät tekijät ovat suurimpia riskejä ulkoistuksessa.
  • 83 prosenttia vastaajista sanoi, että he ovat neuvotelleet ulkoistussopimuksistaan uudelleen hinnoittelun ja liiketoiminta-, teknologia- ja lainsäädäntömuutosten takia.
  • 81 prosentilla ei ole tarpeeksi tai ollenkaan tietoa ulkoistustarjoajan hinnoittelu- ja kustannusrakenteista, mikä saattaa lisätä mahdollisuutta ylimääräisten laskujen maksuun.
  • 45 prosenttia ovat lisänneet tulossidonnaisia ehtoja ulkoistussopimukseen, jotta yhteistyökumppani motivoituisi asiakkaan etujen ajamiseen ja innovaatioihin.

Lähtökohtaisesti organisaation ulkoistushankkeisiin liittyvässä riskienhallinnassa pitää keskittyä tunnistamaan irtoriskejä ja luokittelemaan niitä. Tällä tavoin päästään hahmottamaan helpommin asiaan liittyvät pienimmätkin yksityiskohdat. Riskejä pitää tiedustella eri yksiköistä (jos kyseessä iso organisaatio) tai vähintäänkin eri työrooleissa työskenteleviltä työntekijöiltä.

ICT-ulkoistuksissa riskit liittyvät selkeästi:

  • Aikatauluun
  • Kilpailutukseen/sopimukseen
  • Vastuujakoon
  • Palvelun laatuun
  • Muutostenhallintaan sopimusneuvotteluiden ja sopimuksen aikana
  • Siirtymävaiheeseen
  • Tietoturvaan ja teknisiin asioihin
  • Henkilöstöön
  • Tilaaja- ja toimittajaosaamiseen
  • Kustannuksiin
  • Kehittämiseen
  • Seuraavaan kilpailutukseen ja palvelujen siirtoprojektiin toisille palveluntuottajille

Riskienhallintasuunnitelman laadinnan työjärjestys:

  1. Käsitellään riskit ulkoistushankkeelle määritellyssä vastuullisessa ryhmässä (esim. johtoryhmässä) ja päätetään, mitkä riskit vaativat toimenpiteitä
  2. Vastuutetaan tärkeimpien riskien ehkäisy riskikohtaisesti
  3. Riskin poistamiseksi laaditaan suunnitelma (vastuuhenkilö)
  4. Aikataulutetaan toimenpiteet
  5. Määritellään seurantatapa

Toimenpidesuositukset:

• Projektisuunnitelmassa huomioidaan havaitut riskit

• Sopimusneuvotteluissa tarkennetaan mahdollisuuksien mukaan avoimia asioita, kuten palvelukuvaukset ja palvelutasot

• Palvelukuvauksia työstetään systemaattisesti, jotta ne saadaan mahdollisimman tarkoiksi

• Sopimusneuvotteluissa käytetään apuna ICT-sopimuksiin erikoistunutta juristia (erittäin tärkeä huomioida!)

• Siirtymäprojekti organisoidaan välittömästi, jotta voidaan aloittaa sen suunnittelu

• Tehdään varasuunnitelma tilanteisiin: joudutaan markkinaoikeuteen tai tarjoukset ovat liian kalliita (suunnitelma B)

• Poimitaan uudestaan jatkon kannalta keskeisimmät riskit, vastuutetaan ne ja tehdään niiden poistamiseksi suunnitelmat

• Viedään ulkoistushanketta hallittuna projektina läpi. Hankkeella on selkeä vetäjä, jolla on kokonaisuus hallussa

Keskeisiä tietoturva- ja tietosuojaan liittyviä riskejä ja niihin varautuminen:

Aikataulu

Kilpailutusprosessin aikataulu koetaan usein haasteelliseksi. Tällöin ei välttämättä keritä huolellisesti miettimään yksityiskohtaisesti tietoturvan ja tietosuojan näkökulmasta vaatimuksia, joita pitäisi osata lopulta sopimuksiin myös kirjoittaa auki.

Varautuminen: Varmistetaan, että kaikki kilpailutukseen liittyvät työt ehditään tehdä: tarkka projektointi, päätoiminen projektipäällikkö, selvät vastuut tietoturva- ja tietosuojariskien kartoittamiseen ja esille tuomiseen projektissa.

Kilpailutus- ja sopimusvaihe

IT-palvelujen ulkoistussopimukseen kuuluvia tietojärjestelmiä ja mahdollisesti siirtyviä palvelimia saattaa olla suuri määrä. On selvitettävä tarkasti omistukseen, ylläpitoon ja lisensseihin liittyvät kysymykset. Sopimuksiin ja palvelukuvauksiin ei osata tai ehditä määritellä palveluja riittävällä tarkkuudella. Organisaation aiemmat/nykyiset sopimukset eivät ole riittävän tarkkoja ja osaa palveluista ei ole dokumentoitu riittävästi. Riskinä on, ettei palvelukuvauksia ehditä saada riittävän hyvälle tasolle sopimuksen liitteeksi. Toisin sanoen pienet asiat saattavat jäädä kilpailutuksessa isojen kokonaisuuksien jalkoihin. Pienillä yksityiskohdilla voi kuitenkin olla merkittäviä vaikutuksia varsinkin tietoturva- tai tietosuojariskien toteutuessa. Päätöksenteko on isoissa ICT-ulkoistuksissa monimutkainen ja siinä on useita osapuolia. Se saattaa aiheuttaa hankaluuksia aikatauluun ja sopimuksen sisältöön. Muutostenhallinta sopimuksen aikana on tärkeää, koska ympäristö muuttuu jo sopimusneuvottelujen aikana. Kilpailutus- ja käyttöönottoprojektin hallinta huolestuttaa monia. Onko kaikki tehtävät tunnistettu, aikataulutettu ja vastuutettu? Seuraako kukaan keskitetysti, että tehtävät tulevat suoritetuksi? Tietoturva- ja tietosuojariskeihin varautuminen pitää suunnitella ja aikatauluttaa. Usein kyseiset asiat otetaan esille aika myöhään tai ei ainakaan heti alussa, koska ne kuuluvat pienen asiantuntijapiirin osaamisalueeseen. Ulkoistamisprojekteihin liittyvien erilaisten dokumenttien huolellinen versionhallinta on erittäin tärkeää. Jos vastuut ja työnjako ovat selvillä, päästään parhaiten molempia osapuolia tyydyttävään lopputulokseen ja suurin osa riskeistä jää toteutumatta.

Varautuminen: Ulkoistamishankkeelle on valittava päätoiminen projektipäällikkö, joka huolehtii, että kilpailutuksen, sopimusvaiheen ja siirtymävaiheen aikana kaikki tehtävät tulevat suoritetuksi. Asiantuntijaresursseja on varattava riittävästi kuvausten tekemiseen ja projektin hallintaan sovitussa aikataulussa. Tietoturva- ja tietosuoja-asioiden suhteen kannattaa heti alussa budjetoida ja resursoida riittävästi, jotta paras saatavilla oleva asiantuntijuus olisi käytettävissä. Palvelukuvaukset, palvelutasovaatimukset, mittarit ja muutostenhallintamekanismit kuvattava tarkasti sopimuksessa.

Vastuunjako

Tuleva vastuunjako organisaation tietohallinnon, palveluntuottajan/tuottajien ja palvelun käyttäjän välillä voi olla henkilöstölle epäselvä. Usein oma tuotanto tai aikaisempi sopimuskumppani on hoitanut integraattori- ja järjestelmien määrittelytehtäviä. Nämä tehtävät on vastuutettava uudelleen tietohallintoon ja käyttäjäorganisaatioille.

Varautuminen: Vastuujaon selkeyttäminen. Kuvataan palvelukuvauksiin ja sopimuksiin vastuut selkeästi.

Palvelun laatu

Palvelun laatuun liittyen nähdään lukuisia uhkakuvia. Osaksi ne usein liittyvät muutosvastarintaan, mutta taustalla on myös aito huoli palvelun laadusta ja tasosta uudessa tilanteessa. Yleisestä pelätään, että menetetään oman palvelutuotannon tai aikaisemman sopimuskumppanin kanssa vuosien mittaan syntynyt joustava toimintamalli, jossa vastuut ovat muovautuneet henkilösuhteiden ja osaamisen (eikä niinkään sovittujen prosessien ja toimintamallien) kautta. Uudessa tilanteessa vastuut on määriteltävä selkeämmin ja palvelujen sisältö ja palvelutasovaatimukset kuvattava tarkasti. Palveluiden mahdollinen hajautuminen jatkossa usealle eri toimittajalle nähdään myös uhkana. Omalla palveluntuotannolla on usein ollut integraattorirooli, joka jatkossa siirtyy useimmiten organisaation tietohallinnosta vastaavalle yksikölle. Joiltain osin integraattorin roolia voi ottaa sopimuksesta riippuen myös ulkoinen palveluntarjoaja. Pienten yksiköiden vastuulliset ovat huolissaan marginaalisempien palveluiden asemasta tulevissa sopimuksissa. Yksikölle palvelut ovat merkittäviä, mutta isossa kokonaisuudessa niiden merkitys on pieni.

Varautuminen: Palvelukuvaukset, palvelutasomääritykset, palvelutasomittarit ja niihin liittyvät vastuut on kirjattava sopimuksessa selkeästi auki.

Muutostenhallinta

Ympäristö muuttuu koko ajan. Miten turvataan sopimuksen aikaisten ja sopimusneuvottelujen aikana syntyvien muutostarpeiden huomioiminen?

Varautuminen: Sopimukseen kuvataan muutostenhallinnan mekanismi.

Siirtymävaihe

Siirtymävaiheessa pelätään palveluihin tulevan katkoja ja ongelmia. Siirtoprojekti on kriittinen varsinkin, jos siihen liittyy henkilöstön vaihdoksia ja konesali- yms. järjestelyjä.

Varautuminen: Muutosvaiheen projektointi. Selkeät vastuut. Projektin hallittu johtaminen.

Tietoturva

Tietoturvaan liittyvät riskit kasvavat uudessa tilanteessa. Tietoturvavaatimukset nousevat. Palvelun tuottaja ei ole enää sisäverkossa. Tämä aiheuttaa erilaisia järjestelyjä jatkossa. Tähän saakka sähköposti ja verkko ovat voineet olla omassa hallinnassa. Jatkossa ne ovat ulkopuolisella taholla, joten pitää aiempaa enemmän kiinnittää huomiota postien ja tietoliikenteen salaamiseen tms. Tämä voi vaikuttaa merkittävästi esim. totuttuihin toimintatapoihin ja prosesseihin. Tästä mahdollisesti aiheutuu isojakin muutoksia ja kustannuksia. Palvelupyyntöjä ei toimiteta sisäverkossa sähköpostilla tai tiketöintijärjestelmällä, vaan ulkoverkossa internetin yli. Vähintään salaamisesta ja palvelupyyntöjen kirjaamisesta pitää sopia. Teknisen tuen käyttöoikeus- ja lokipolitiikka ja sen hallinta - väärät henkilöt saattavat päästä käsiksi tietoihin, jotka eivät kuulu heille. Myös ulkoisten palveluntuottajien käytänteen palvelinten ja tietokantojen käyttäjäoikeuksiin ja salasanoihin pitää selvittää ja sopia niin, että sivulliset eivät pääse tietoihin käsiksi ja että salassa pidettävien tietojen käsittelijät pitää pystyä jälkikäteenkin yksilöimään. Ylläpitotehtäviä saatetaan suorittaa ympäri maapallon, myös maista, joissa lainsäädäntö tai tietoturva/-suojakulttuuri eivät ole samalla tasolla kuin Suomessa. Tämä pitää sopimuksessa sopia eli mistä maista käsin sallitaan ylläpitotehtävät Extranetin puuttuminen. Mikäli erillistä nk. extranettia ei ole organisaatiolla olemassa, kannattaisi se rakentaa. Ilman sitä entistä useampi organisaation ulkopuolinen henkilö pääsee mahdollisesti sisäisiin tietoihin (intranet) laajasti käsiksi tai pääsy sisäisiin ohjeisiin voi olla erittäin vaikea toteuttaa Auditoinnit jäävät tekemättä, koska ne koetaan kalliiksi tai jäävät aina asiakkaan itsensä kokonaan maksettaviksi, vaikka hyödyttäisivät molempia osapuolia. Asiasta pitää pyrkiä sopimaan jo hankinta/sopimusvaiheessa Uusi toimittaja sitoutuu huonosti noudattamaan ulkoistavan organisaation tietoturvapolitiikkaa ja ohjeita sekä määräyksiä tai ei yksinkertaisesti vain tunne niitä. Palvelinten sijoitustilat eivät ole enää asiakkaan valvonnassa (jos myös palvelimet myydään tai siirretään palveluntuottajalle). Palomuurien hallinta monimutkaistuu; pysyykö kokonaisuus hallinnassa ja turvallisena kun palveluita tuottaa mahdollisesti useat eri toimijat? Palomuureja joudutaan yleensä lisäämään alkuperäisestä, mikä voi osaltaan parantaa tietoturvaa, mutta vaikuttaako se esim. suorituskykyyn laskevasti? Erilaisissa häiriötilanteissa tietotekniikkaan ja tietoturvaan liittyvän tilannekuvan ylläpito vaikeutuu tai kokonaisuudesta ei ole kenelläkään käsitystä. Organisaatioiden oma tietohallinto ei jatkossa saa tietoa palveluiden tuottamisessa tapahtuneista (tietoturva) ongelmista, häiriöistä tai läheltä piti tilanteista, kun tuottajat salaavat asioita tai tieto ei muuten kulje. Osa tietoturvaosaajista poistuu omasta organisaatiosta (jos siirtyvät esim. liikkeenluovutuksen yhteydessä). Verkkojen välisten kytkentäpisteiden hallinta vaikeutuu. Ulkopuolisen henkilökunnan liikkuminen organisaation tiloissa lisääntyy ja on riski. Työasemien etähallinnan toteuttaminen hankaloituu. Liittymät ja rajapinnat ovat isoissa organisaatioissa usein rakennettu omien itse ylläpidettyjen palvelimien välillä. Riskinä rajapintojen rakentamisen hidastuminen ja kallistuminen. Ulkoistusprosessin aikana on iso riski myös sille, että tapahtuu tietovuotoja. Tämä on riski varsinkin silloin, kun työntekijöitä siirtyy pois omasta organisaatiosta. Osaa asioista saatetaan käsitellä erilaisissa julkisissa blogeissa ja palaute/kommenttiosuuksissa esim. eri lehtien verkkopalstoilla. Tämä saattaa aiheuttaa kilpailutuksessa ja sen neuvotteluvaiheessa ongelmia.

Varautuminen: Huolehdittava toimittajan tietoturvan valvonnasta. Ylläpitäjien on käytettävä yksilöityjä henkilökohtaisia käyttäjätunnuksia. Tietoturvaan liittyvät vaatimukset, auditointimenettelyt ja raportointivastuut kuvattava sopimukseen ja mielellään erilliseen turvallisuusliitteeseen. Esimiehien pitää antaa ehdoton vaitiolomääräys keskeneräisistä, ei julkisista asioista erityisesti huomioiden tämä kyseinen kilpailutus.

Tekniset ongelmat

Liittymät ja rajapinnat on usein rakennettu oman palvelutuotannon tai entisen sopimuskumppanin ylläpitämien palvelemien välillä sisäverkossa. Jatkossa ratkaisut ovat tietoturvan kannalta vaativampia, varsinkin jos palvelut siirtyvät ulkopuolelle ja esimerkiksi verkkoliikennettä ja laitteistoa pitää irrottaa/siirtää tai ne jopa myydään ulkoistuksen yhteydessä.

Varautuminen: Tekniset ratkaisut on kuvattava erittäin tarkalla tasolla sopimukseen.”

Lyhyt muistilista lopuksi palvelujen ulkoistamiseen liittyen:

  • käytä aikaa riskienhallintaan
  • suunnittele ulkopuolisten palvelujen hankinta osana kokonaistoimintaa ja sen prosesseja
  • määrittele sopimuksissa juridinen rekisterinpito tarkasti
  • määrittele sopimuksessa, minkä henkilörekisterien käyttöä ja missä laajuudessa sopimuksen tarkoittama tehtävä edellyttää
  • määrittele henkilötietojen tarkastus-, korjaus-, poistopyyntöjen organisointi: Varsinkin palveluita tilaavan organisaation sosiaalihuollon asiakastietojen sekä terveydenhuollon potilastietojen käytön osalta pitää määritellä määräysvallan käyttö ja rekisteripidon vastuut. Itse asiassa sama pätee mihin tahansa asiakastietoon –oli yrityssektori sitten mikä hyvänsä, joissa henkilötietoja käsitellään kuten pankkimaailma, vakuutusmaailma, kaupan ala tai sosiaali- ja terveydenhuolto
  • tee aina vain kirjallisia sopimuksia. Sopimuksesta pitää ilmetä selvästi sen oikeudellinen luonne (esim. toimeksiantosopimus)
  • määrittele sopimuksen ja sen liitteiden yhteyshenkilöt ja pidä tiedot ajantasalla
  • huomioi, että julkisen sektorin lukuun suoritettavissa toimeksiantotehtävissä käsiteltäviin tietoihin sovelletaan julkisuuslain säännöksiä vaikka käsittelevä taho olisikin yritys
  • selvitä ja varmistu tietoturva- ja tietosuojavaatimuksien täyttymisestä mukaan lukien manuaalisen aineiston arkistointi ja hävitys
  • määrittele sopimukseen sanktiot sopimusrikkomuksiin sekä tietoturva- ja tietosuojarikkomuksiin liittyen
  • pidätä oikeus tehdä auditointia ja käyttää tarvittaessa kolmatta osapuolta sen suorittamiseen

Tarkastele lisäksi tarjouspyynnön/tarjouksen ja vaatimuksien sisältöä tietosuojan näkökulmasta:

  • rekisterinpidon kokonaissuunnitelma ja kuvaus (HetiL 6 ja 5§) rekisterin käytöstä sopiminen
  • palveluntuottajalle kuuluvat käsittelytehtävät ja miten palveluntuottajan tulee ne toteuttaa
  • selkeästi määriteltävä selvitykset, joita tarjoajan tulee toimittaa
  • tarjouspyynnön liitteeksi hyvä laittaa sopimusluonnos ja tietosuojaan liittyvä riskienhallintasuunnitelma, jonka pohjalta lopullinen sopimus laaditaan
  • ennakoi sopimuksen päättymiseen liittyvät käytännön tehtävät. Kuinka tiedot luovutetaan seuraavalle palveluntuottajalle tai takaisin varsinaiselle rekisterinpitäjälle (toimeksiantajalle)
  • tarkista sopimuksen/sopimuksien sisältö esimerkiksi kaksi kertaa vuodessa (laita muistutus hallintajärjestelmään tai kalenteriin, siinä tapauksessa jos erillistä sopimusten hallintajärjestelmää ei ole
  • huomioi Eun yleisen tietosuoja-asetuksen vaatimukset