Järjestelmähankinnat ja tietoturva

Mikäli olet hankkimassa tietojärjestelmään ylläpitoa tai hankkimasi palvelu on SaaS-pohjainen, edellytä toimittajalta sen mahdollisten tietoturvaongelmien korjaamista tietyssä määräajassa; esimerkiksi kriittisten ongelmien korjaamista viikossa, merkittävien ongelmien kolmessa viikossa ja vähäisien ongelmien paikkaamista seuraavassa versiossa ilman lisäkustannuksia. Muissa tapauksissa tulee vähintään edellyttää toimittajaa korjaamaan havaitut ongelmat takuuaikana. Sovi samalla – molemmissa tapauksissa – sopimussanktioista, mikäli sopimuksessa esille tuotuja vaatimuksia ei täytetä.

EU:n tietosuoja-asetus tulee huomioida tietojärjestelmiä hankkiessa. Mikäli toimittaja on henkilötietojen käsittelijän roolissa, edellyttää asetus sopimuksessa selvitettävän seuraavat asiat:

• Käsittelyn kohde ja kesto
• Käsittelyn luonne ja tarkoitus
• Henkilötietojen tyyppi ja rekisteröityjen ryhmät
• Rekisterinpitäjän velvollisuudet ja oikeudet

Tehdessäsi sopimusta, sovi myös korvausvelvotteista, joissa on huomioitu EU:n tietosuoja-asetuksen tuomat riskit. Näitä voi pyrkiä pienentämään siirtämällä korvausvastuuta vahingonkorvausvelvotteiden muodossa toimittajalle mahdollisuuksien mukaan. Varmista myös, että tarjolla oleva tietosuoja ja -turva on riittävällä tasolla käsiteltävään tietoaineistoon nähden.

Ennen tietojärjestelmän tai palvelun käyttöönottoa varmista auditoimalla, että sopimuksessa esille nostetut vaatimukset toteutuvat luvatulla tavalla. Auditoinnilla varmennetaan sopimuksessa kirjattujen vaatimuksien täyttyminen. Tämän lisäksi palvelun tietoturvasta tulee huolehtia säännöllisesti jatkossakin, esimerkiksi etukäteen sovitulla aikataululla tapahtuvilla auditoinneilla.

2NS:n asiantuntijat auttavat sinua eteenpäin, jos järjestelmähankinnoissanne nousee eteen haasteita tai kysymyksiä tietoturvan osalta.