Digiturva sopimuksissa

Henkilöstöä voidaan sitouttaa digiturva-asioiden noudattamiseen mm. käsittelemällä digiturvavastuut selkeästi työsopimuksissa, käyttäen salassapitositoumuksia sekä ohjaamalla digiturvasääntöjen noudattamiseen esimerkiksi sääntöjen muodollisella hyväksymisellä.

työ- ja salassapitosopimukset

henkilöstön turvallisuus

riskien hallinta

Huom.! Tätä artikkelia täydennetään vielä. Lisää sisältöä tulossa piakkoin.

Vaatimustaso

Tason 1 asiat ovat pakollisia peruasioita, joista jokaisen organisaation, vaikka digitaalisuus tai datan käsittely ei korostuisikaan, olisi syytä pitää hyvää huolta.

Tason 2 asiat ovat digiturvan oleellisia ydinasioita, jotka ovat tärkeitä useimmille organsiaatioille ja joilla voidaan huomattavasti parantaa digiturvan tasoa. Nämä liittyvät yleensä tiiviisti tason 1 asioihin.

Tason 3 asiat ovat syventäviä digiturvateemoja, jotka eivät korostu jokaisen organisaation toiminnassa, mutta joiden voidaan entisestään parantaa tietoturvan ja tietosuojan saralla.

Taso 1

Taso 2

Taso 3

Taso 1

Taso 2

Taso 3

Taso 1

Taso 2

Taso 3

Suositeltu organisointi

Teemoille, jotka ovat sopivan kokoisia ja koordinoitavissa ilman jalkauttamista yksikkö- tai esimerkiksi järjestelmäkohtaisesti, on helpompaa nimetä selkeä(t) vastuuhenkilö(t). Vastuuhenkilöllä on oltava tarvittavat valtuudet ja resurssit teeman hoitamiseen. Vastuuhenkilö voi olla esimerkiksi tietoturvapäällikkö tai tietosuojavastaava.

Teemoille, jotka vaativat järjestelmä- tai rekisterikohtaista koordinointia, organisointi kannattaa hoitaa pääkäyttäjien kautta. Tietojärjestelmät ja rekisterit ovat organisaation avainomaisuutta, joiden pääkäyttäjälle tai yhteyshenkilölle kuuluu vastuilleen erilaisten käytäntöjen hoitamista tai sääntöjen valvomista.

Teemoille, jotka ovat turhan laajoja yksittäisten vastuuhenkilöiden koordinoitaviksi, ja jotka eivät suoraan organisoidu järjestelmä- tai rekisterivetoisesti, suosittelemme yksikkökohtaista koordinointia. Jokaisessa yksikössä (myynti, tuotanto, talous, asiakaspalvelu, jne.) olisi oltava vastuuhenkilö, joka huolehtii esimerkiksi tiedon keräämisen tai sääntöjen jalkauttamisen oman yksikkönsä henkilöstölle.

Selkeä vastuuhenkilö

Pääkäyttäjät

Yksiköt

Selkeä vastuuhenkilö

Pääkäyttäjät

Yksiköt

Selkeä vastuuhenkilö

Pääkäyttäjät

Yksiköt

Osa-alueen tavoite, riskit ja haasteet

Henkilöstön sitouttaminen omien digiturvasääntöjen noudattamiseen on tärkeä osa digiturvatyötä. Iso osa syntyy ymmärryksen kautta - tiedetään miksi sääntöjä on ja mitä negatiivisia vaikutuksia voi organisaatiolle syntyä, jos näitä ei noudata.

Sopimukselliset keinot ovat kuitenkin yhtä lailla relevantteja digiturvan parantamiselle. Lisäksi esimerkiksi tietosuoja-asetus vaatii henkilötietojen käsittelijää varmistamaan, että omaa henkilöstöä sitoo joko sopimuksellinen tai lakisääteinen salassapitovelvollisuus.

Esimerkkejä sisällöistä

Selvitettäviä kysymyksiä

Nämä ovat esimerkkejä asioista, joiden selvittämistä ja mahdollisesti raportoimista tämän osa-alueen käsitteleminen vaatii organisaartiolta.

No items found.

Mahdollisia toimintatapoja

Seuraavat sisältöesimerkit antavat tarkempia esimerkkejä siitä, millaisilla käytännöillä tai säännöillä tämän osa-alueen turvallisuutta voidaan kehittää.

Työsopimuksissa eritellään työntekijän ja organisaation vastuut tietoturvallisuudesta.

Sopimuksen tulisi sisältää mm.:

työntekijän juridiset vastuut ja oikeudet, esim. tekijänoikeus- tai tietosuojalainsäädäntöön liittyvät vastuut
työntekijän vastuu ohjeiden noudattamisesta mm. laitteiston ja tiedon käyttöön ja tietojen luokitteluun liittyen
työntekijän tai vuokratyöntekijän vastuu muilta yrityksiltä tai muilta osapuolilta saadun tiedon käsittelyssä
toimenpiteet, jos työntekijä tai vuokratyöntekijä rikkoo organisaation turvallisuusvaatimuksia
työsuhteen päättymisen jälkeen jatkuvat velvollisuudet

Kaikkien luottamuksellisia tietoja käsittelevien työntekijöiden olisi allekirjoitettava salassapito- tai vaitiolositoumus ennen luottamuksellisen tiedon käsittelyä.

Salassapitositoumuksen tulisi sisältää mm.:

luottamuksellisen tiedon selkeä määrittely
sitoumuksen oletettu kesto
edellytetyt toimenpiteet, kun sitoumus puretaan
allekirjoittaneiden vastuut ja toimenpiteet, jotta vältetään luvaton tiedon paljastaminen
tiedon, liikesalaisuuksien ja aineettoman omaisuuden omistajuus ja miten tämä liittyy luottamuksellisen tiedon suojaamiseen
luottamuksellisen tiedon sallittu käyttö ja allekirjoittaneen oikeudet käyttää tietoa
oikeus tarkastaa ja valvoa toimintoja, joihin liittyy luottamuksellista tietoa

Organisaatiomme on määritellyt toimenpiteet, joihin ryhdytään salassapitositoumusta rikottaessa. Nämä voidat sisältää mm. seuraavia vaiheita:

selvitetään, mitä tietoja vuodettiin ja miten vahingollista tämä oli
selvitetään, oliko teko tahallinen
selvitetään, mitä salassapitositoumuksessa oli sovittu toimenpiteiksi
päätetään, halutaanko asiaa viedä eteenpäin ja miten (esim. oikeudelliset toimet)
selvitetään, tarvitaanko ulkopuolista apua

Organisaatiomme työntekijät hyväksyvät rooliinsa liittyvät digiturvasäännöt muodollisesti, esimerkiksi allekirjoittamalla henkilökohtaisesti yleisen politiikan, joka viittaa useisiin eri sääntöihin.

Vaatimuksia muissa frameworkeissä

Läheisesti liittyvät Digiturvakartan muut kohdat

Tämän osa-alueen sisällöt liittyvät läheisesti etenkin näihin kohtiin Digiturvakartan muista osasista:

Työsuhteen muutoshetket

Uusien työntekijöiden palkkaukset, nykyisten ylennykset ja siirrot tai päättyneet työsuhteet ovat tärkeitä koordinoitavia hetkiä, joihin digiturvatyössä on varauduttava ennalta.

Yksiköt ja vastuuhenkilöt

Osa digiturva-asioista on järkevintä organisoida yksikkölähtöisesti. Tiedon kerääminen esimerkiksi henkilötietojen käyttötarkoituksista, käytetyistä tietojärjestelmistä tai digiturvasääntöjen noudattamisen valvonta onnistuu paremmin yksikön nimetyltä vastuuhenkilöltä.