Kaikkien luottamuksellisia tietoja käsittelevien työntekijöiden olisi allekirjoitettava salassapito- tai vaitiolositoumus ennen luottamuksellisen tiedon käsittelyä.

Salassapitositoumuksen tulisi sisältää mm.:

• luottamuksellisen tiedon selkeä määrittely
• sitoumuksen oletettu kesto
• edellytetyt toimenpiteet, kun sitoumus puhdistetaan.
• allekirjoittaneiden vastuut ja toimenpiteet, jotta vältetään luvaton tiedon paljastaminen.
• tiedon, liikesalaisuuksien ja aineettoman omaisuuden omistajuus ja miten tämä liittyy luottamuksellisen tiedon suojaamiseen.
• luottamuksellisen tiedon sallittu käyttö ja allekirjoittaneen oikeudet käyttää tietoa
• oikeus tarkastaa ja valvoa toimintoja, joihin liittyy luottamuksellista tietoa.

Salassapitosopimuksien edellytyksiä ja tarpeita tarkistellaan ja päivitetään säännöllisin väliajoin.

Työsopimuksissa eritellään työntekijän ja organisaation vastuut tietoturvallisuudesta.

Sopimuksen tulisi sisältää mm.:

• työntekijän juridiset vastuut ja oikeudet, esim. tekijänoikeus- tai tietosuojalainsäädäntöön liittyvät vastuut
• työntekijän vastuu ohjeiden noudattamisesta mm. laitteiston ja tiedon käyttöön ja tietojen luokitteluun liittyen
• työntekijän tai vuokratyöntekijän vastuu muilta yrityksiltä tai muilta osapuolilta saadun tiedon käsittelyssä
• toimenpiteet, jos työntekijä tai vuokratyöntekijä rikkoo organisaation turvallisuusvaatimuksia
• työsuhteen päättymisen jälkeen jatkuvat velvollisuudet

Jokaisen työntekijän kanssa on suositeltavaa käydä säännöllisiä palautekeskusteluja suorituksesta, erityisesti riskikäyttäytymisestä. Myös työntekijöiltä on pyydettävä palautetta. Säännölliset keskustelut voivat paljastaa muutoksia työntekijän käyttäytymisessä tai muuta tärkeää tietoa, kuten uusia työtarjouksia, uusia ihmissuhteita tai muita elämänmuutoksia, jotka saattavat vaarantaa työntekijän kyvyn suoriutua työstään.

Organisaation on otettava käyttöön toimintaperiaatteet ja menettelyt sen varmistamiseksi, että kaikilla tarvittavilla työntekijöillä on asianmukainen pääsy suojattuihin sähköisiin terveystietoihin, ja sen estämiseksi, että ne työntekijät, joilla ei ole pääsyä, eivät saa pääsyä suojattuihin sähköisiin terveystietoihin.

Organisaation on annettava kullekin työntekijälle yksilöllinen tunniste käyttäen Employer Identification Number (EIN) -tunnusta vakiomuotoisena yksilöllisenä työnantajatunnisteena (42 U.S.C. 1320d-2(b)). Työntekijätunnusta käytetään työntekijän tunnistamiseen monissa tilanteissa, kuten kirjautumisessa tietojärjestelmiin tai sopimusten käsittelyssä.

Create a process to reassess the suitability of individuals who have already been approved for security-sensitive roles. If new information comes to light or if circumstances change (e.g., role changes, disciplinary issues, or security incidents), ensure that the person’s security vetting is updated and re-evaluated to maintain the integrity of the operation.

As a proactive measure—beyond the legal requirement to reassess only when there is a reason—consider scheduling periodic reviews to strengthen ongoing security assurance. Ensure that staff know when to flag concerns that might trigger a re-evaluation, and that all reassessment results are documented in the same structured manner as initial vetting decisions.

Designate a responsible individual—typically the one making the hiring or participation decision—to carry out the final assessment of the vetted person’s suitability. This person must weigh all collected information to judge whether the individual poses any security risk. If the activity is under the decisive influence of a public authority (e.g. a public authority is overseeing a private operator’s activities), then that authority must make the final decision on the person's suitability.

Provide training or written guidance to the person responsible for making the assessment so they understand the legal and organizational criteria for suitability. This ensures decisions are consistent, fair, and aligned with both legal obligations and organizational values.

To manage risks associated with security-sensitive activities, the organization should establish and implement a security vetting process for all individuals involved in such activities. This process must be completed before an individual begins their participation.

The security vetting should encompass a basic investigation, a register check, and a special personal investigation. The scope and depth of these investigations should align with the requirements of applicable security protection regulations, such as the Swedish Security Protection Act.

If specific reasons warrant it, the extent of the security vetting may be less comprehensive. Furthermore, the organization is responsible for continuously following up on security vetting throughout the duration of an individual's participation in security-sensitive activities.

Organisaation täytyy varmistaa, että uusi työntekijä allekirjoittaa työsopimuksen ennen kuin hän pääsee käsiksi mihinkään organisaation tietoaineistoihin tai tietojärjestelmiin.

Työsopimuksesta pitäisi käydä ilmi työntekijän vastuut tietoturvallisuuteen liittyen sekä muut organisaation tietoturvalle oleelliset roolit.

Organisaatiomme on määritellyt toimenpiteet, joihin ryhdytään tietoturvarikkomustapauksissa. Nämä voidat sisältää mm. seuraavia vaiheita:

• selvitetään, mitä tietoja vuodettiin ja miten vahingollista tämä oli
• selvitetään, oliko teko tahallinen
• selvitetään, mitä salassapitositoumuksessa oli sovittu toimenpiteiksi
• päätetään, halutaanko asiaa viedä eteenpäin ja miten (esim. oikeudelliset toimet)
• selvitetään, tarvitaanko ulkopuolista apua

Salassapito- ja vaitiolositoumuksia koskevia vaatimuksia katselmoidaan säännöllisin aikavälein ja aina silloin, kun tapahtuu näihin vaatimuksiin vaikuttavia muutoksia.

Organisaation luottamuksellisuus- tai salassapitosopimukset jatkuvat työsopimuksen tai toimeksiannon jälkeenkin.

Organisaatio on myös määritellyt menettelyn, jolla käsitellään henkilöstön velvollisuusrikkomuksia.

Organisaatiomme työntekijät hyväksyvät johdon muodostaman yleisen tietoturvapolitiikan allekirjoituksellaan. Politiikka voi viitata useisiin tarkempiin tietoturvasääntöihin.