KÄYTTÖOHJE

JHS 166 Julkisen hallinnon IT-hankintojen yleiset sopimusehdot

Liite 8. Erityisehtoja tietoverkon välityksellä toimitettavista palveluista (JIT 2015 – Palvelut verkon kautta)

Versio: 2.2

Julkaistu: 19.9.2018

Voimassaoloaika: toistaiseksi

KÄYTTÖOHJE

Nämä erityisehdot on tarkoitettu käytettäväksi hankittaessa pilvipalveluna tuotettuja ohjelmistopalveluja, jotka on tarkoitettu tietyille organisaatioille tai käyttäjäryhmille (esimerkiksi valtionhallinto tai jokin kuntien toimiala; yhteisöpilvessä tuotettu ohjelmistopalvelu, Community Cloud - SaaS). Käyttäjäyhteisön tapa organisoitua voi vaihdella, mutta yhteisön jäsenillä on yleensä yhtäläiset turvallisuuteen, yksityisyyden suojaan ja käytettävyyteen liittyvät vaatimukset sekä lainsäädännöstä johtuvat tarpeet.

Yleistä pilvipalveluista1

Pilvipalveluilla tarkoitetaan palvelumallia, jossa helposti säädettäviä ja usean käyttäjän kesken jaettuja tietoteknisiä resursseja tarjotaan tietoverkkojen yli. Yhteydensaanti pilvipalveluun on tehty mutkattomaksi, palvelun toiminnallisuuksia voidaan kytkeä käyttöön, toisiin palveluihin ja pois käytöstä nopeasti ja helposti käyttäjän tarpeen mukaan.

Pilvipalvelut voidaan määritellä palvelun keskeisten ominaisuuksien, palvelumallien ja käyttömallien kautta. Pilvipalveluiden keskeisiä ominaisuuksia ovat:

Käyttö itsepalveluna Asiakas voi halutessaan muuttaa itsenäisesti palvelun käyttötapaa ja

ulkoasua palvelun sallimissa rajoissa. Käytössä olevia resursseja voidaan lisätä tai vähentää automaattisesti ilman palveluntarjoajan henkilöiden toimenpiteitä.

Laaja pääsy Internetistä Pilvipalveluun pääsy tapahtuu standardien internet-teknologioiden

mukaisesti. Pääsy on mahdollista erilaisilla päätelaitteilla käyttäjän valitsemassa paikassa ja käyttäjän haluamaan aikaan.

Resurssien yhteiskäyttö Samoilla laitteistoilla ja alustoilla tuotettua palvelua tarjotaan eri

asiakkaille. Asiakkaiden tiedot on eriytetty toisistaan ohjelmallisesti ja resursseja jaetaan asiakkaille heidän muuttuvien tarpeidensa mukaisesti. Palveluilla on ”sijaintiriippumaton” leima siten, että käyttäjällä ei yleensä ole tarkkaan tiedossa, missä palveluun käytetyt resurssit sijaitsevat.

Käyttäjällä voi kuitenkin olla mahdollisuus määritellä sijainti jollakin korkeammalla abstraktiotasolla, esimerkiksi maanosan, valtion tai palvelukeskuksen tasolla.

Nopea joustavuus Resursseja voidaan ottaa käyttöön ja vapauttaa nopeasti ja joustavasti,

joissakin tapauksissa myös automaattisesti palvelutarpeen mukaisesti. Käyttäjälle palvelun kapasiteetti voi usein näyttää rajattomalta.

Mitattu palvelu Pilvipalvelut mittaavat ja optimoivat automaattisesti resurssien käyttöä

jollakin palveluun sopivalla mittarilla. Resurssien käyttöä voidaan seurata, ohjata ja raportoida ja tuoda näin läpinäkyvyyttä palvelun käyttöön ja laskutukseen.

1 Teksti tukeutuu asiakirjaan The NIST Definition of Cloud Computing, Special Publication 800-145, National Institute of Standards and Technology, U.S. Department of Commerce, 2011.

Pilvipalveluihin liitetään resurssien yhteiskäytön vuoksi helposti mielikuva siitä, että palvelut saattavat sijaita missä vain. Pilvipalveluita tarjoavat tahot voivat kuitenkin tarjota asiakkaille monia erilaisia vaihtoehtoja palvelun sijainnin valintaan.

Perinteisiin ulkoistuspalveluihin verrattuna pilvipalveluiden tärkeimmät kustannustehokkuuden mahdollistavat ominaisuudet ovat itsepalvelukäyttö, resurssien automaattinen käyttöönotto ja siihen liittyvä nopea joustavuus. Tämä ominaisuus antaa organisaatioille mahdollisuuden toteuttaa toiminnallisia muutoksia huomattavasti perinteisiä toimintatapoja nopeammin ja auttaa saavuttamaan toiminnallisia hyötyjä.

Pilvipalveluiden palvelumallit jaetaan yleensä kolmeen: infrastruktuuriresurssipalvelu (en. Cloud Infrastructure as a Service, IaaS), alustaresurssipalvelu (en. Cloud Platform as a Service, PaaS) ja ohjelmistoresurssipalvelu (en. Cloud Software as a Service, SaaS).

Näissä erityisehdoissa käsiteltävä malli on Ohjelmistoresurssi-palvelumalli. Ohjelmistoresurssi- palvelumallissa palvelun käyttäjällä on mahdollisuus käyttää palveluntarjoajan sovelluksia, joita ajetaan pilven perusrakenteita hyödyntäen. Sovelluksia voi käyttää erilaisilla päätelaitteilla ja käyttöliittymillä kuten esimerkiksi selaimella. Käyttäjä ei hallinnoi tai kontrolloi pilvipalvelun perusrakenteita kuten tietoliikenneverkkoa, palvelimia, käyttöjärjestelmiä, tallennusjärjestelmiä eikä yksittäisiä sovelluksia tai niiden ominaisuuksia lukuun ottamatta mahdollisia käyttäjäkohtaisia sovellusten asetuksia.

Pilvipalveluiden käyttömallit jaetaan yleensä neljään: yksityinen pilvi (en. Private Cloud), yhteisöpilvi (en. Community Cloud), xxxxxxxx xxxxx (en. Public Cloud) sekä hybridipilvi (en. Hybrid Cloud).

Näissä erityisehdoissa käsiteltävä malli on Yhteisöpilvi (en. Community Cloud). Yhteisöpilvimallissa palvelua käyttävät useat organisaatiot ja palvelun on tarkoitus palvella yhteisöä, jolla on yhteisiä vaatimuksia ja tarpeita. Palvelua voivat hallinnoida organisaatiot itse tai palvelua voi ylläpitää kolmas taho. Palvelu saatetaan tuottaa organisaatioiden omissa tiloissa tai niiden ulkopuolella.

Ohjelmistopalvelun soveltuvuuden arviointi palvelukuvauksen perusteella

Ohjelmistoresurssipalvelu hankitaan julkisena hankintana, mikä merkitsee sitä, että palvelukuvauksen ja tarjotun palvelun tulee täyttää tilaajan vaatimukset. Tilaajan on palvelukuvauksen perusteella arvioitava, toteuttaako ohjelmistopalvelu tarjouspyynnön kohteena olevassa käyttötarkoituksessa palvelun käytölle asetetut vaatimukset. Toimittaja ei siis vastaa siitä, että ohjelmistopalvelu soveltuu tilaajan käyttötarkoitukseen.

Ohjelmistopalvelun käyttöönottoa ja hankintaa suunnittelevan organisaation tulee tunnistaa ja ilmaista kulloiseenkin käyttötarkoitukseen liittyvät vaatimukset, jotka voivat liittyä muun muassa tietoturvatasoihin, tietosuojaan ja viranomaisen asiakirjojen hallintaan.

Toimittajan tarjoaman yhteisöpilven suunnittelun ja toteutuksen lähtökohta on tietyn käyttäjäyhteisön yhteiset vaatimukset ja tarpeet. Pilvipalvelun toimittaja tuottaa ohjelmistoresurssi-palvelumalliin perustuvat pilvipalvelut pääsääntöisesti samanlaisina kaikille kyseisen palvelun käyttäjille.

Jotta tilaajan olisi mahdollista arvioida tarjotun palvelun soveltuvuus käyttötarkoitukseen, palvelukuvauksen tulee sisältää vähintään seuraavat tiedot:

- yksityiskohtainen erittely palvelun sisällöstä ja toteutuksesta

- toimittajan alihankkijat ja niiden käyttö

- ohjelmistopalvelussa olevan tilaajan aineiston varmistamisen menettelyt

- asennus-, muutos- ja huoltoikkunoiden ajankohdat

- ohjelmistopalvelun tuottamisen sijainti (Suomi tai jokin toinen maa – tavoitteena on, että palvelukuvaus sisältää riittävät tiedot palveluun ja sen tuottamiseen soveltuvan lainsäädännön tunnistamiseksi). (Palvelun tuottamisen sijainti kattaa konesalit ja hallintapalvelut sekä tallennettujen tietojen maantieteellisen sijainnin.)

- henkilötietojen käsittelyn periaatteet

- palvelun käyttöoikeuksien ja käytön seurannan menetelmät

- tilaajan käyttöympäristöä ja tarvittavaa tietoliikenneyhteyttä koskevat vaatimukset.

Palvelun toteutus ja käyttö

Toimittaja toimittaa palvelun siten, että se on saatavilla sopimuksen ja palvelukuvauksen mukaisesti yhteyspisteessä, joka on joko yleisen sähköisen viestintäverkon tai sopimuksessa jokin muu erikseen sovittu liityntäpiste. Tilaaja huolehtii palvelun käyttämiseen tarvitsemiensa laitteiden, tietoliikenneyhteyksien ja ohjelmistojen hankinnasta, toimintakunnosta ja suojauksista, mikäli ne eivät sopimuksen mukaan kuulu toimittajan vastuulle.

Selkeyden vuoksi ehtojen rakenne mukailee ohjelmistopalvelun käytön elinkaarta: käytöstä sopiminen, käytön edellytysten luominen, käyttöönotto, käyttö ja muutokset käytön aikana sekä menettelyt sopimuksen päättyessä.

Erityisehdoissa on useita sopijapuolia koskevia (myötävaikutus)velvollisuuksia, joiden tavoitteena on kitkaton ohjelmistopalvelun käyttöönotto, käyttö ja mahdollisimman selkeä menettely käytön mahdollisesti päättyessä.

Ehdot asettavat eräiden asioiden perustason ja niitä noudatetaan, ellei sopimuksessa muuta sovita. Tällaisia kohtia ovat esimerkiksi

- tietoturvaan ja tietosuojaan liittyvä vastuunjako

- erityiset tietoturvan hallintaan liittyvät toimet

- muoto, jossa toimittaja palauttaa tilaajan aineiston tilaajalle sopimuksen päättyessä.

Erityisehtojen mukaan toimittaja voi käyttää alihankkijoita ohjelmistopalvelun tai sen osa toteuttamiseen ja muihin sopimuksen täyttämiseen liittyviin tehtäviin. Alihankkijoiden käytölle ei aseteta muita ehtoja kuin se, että alihankkijoiden käyttö on kuvattava ja mahdolliset henkilötietoja käsittelevät alihankkijat on nimettävä palvelukuvauksessa.

Sopijapuolet sopivat kirjallisesti siitä, siirtääkö tilaaja henkilötietoja toimittajalle. Jos toimittaja käsittelee henkilötietoja tilaajan lukuun, sopimukseen suositellaan liitettäväksi näiden ehtojen lisäksi JIT 2015 – Erityisehtoja henkilötietojen käsittelystä (JIT 2015 – Henkilötiedot).

Tämä käyttöohje ei ole osa sopimusta.

Sopimuksen päiväys ja nro: Liite nro:   

JIT 2015: Erityisehtoja tietoverkon välityksellä toimitettavista palveluista

Sisällys

1 Soveltaminen 1

2 Määritelmät 1

3 Sopimuksen kohde 2

4 Toimittajan yleiset velvollisuudet 3

5 Tilaajan yleiset velvollisuudet 3

6 Ohjelmistopalvelun sisältö ja palvelutaso 3

7 Oikeudet ja tilaajan aineisto 3

8 Ohjelmistopalvelun käytön aloittaminen 4

9 Tunnukset 5

10 Tietojen varmistaminen 5

11 Muutokset ohjelmistopalveluun 5

12 Ohjelmistopalvelun keskeyttäminen 6

13 Tietoturvallisuus ja tietosuoja 6

14 Tietoturvaloukkausten käsittely 7

15 Ohjelmistopalvelun tuottamisen sijainti 7

16 Voimassaolo ja irtisanominen 7

17 Avustamisvelvollisuus sopimuksen päättyessä 8

1 Soveltaminen

(1) Näitä erityisehtoja noudatetaan julkisen hallinnon hankintayksikköjen ostaessa tietoverkon välityksellä toimitettavaa ohjelmistopalvelua, jos näihin erityisehtoihin on viitattu sopimuksessa eikä niistä ole joiltakin osin sovittu toisin kirjallisesti.

(2) Näitä erityisehtoja käytetään yhdessä julkisen hallinnon IT-hankintojen yleisten sopimusehtojen kanssa. Ristiriitatilanteissa nämä erityisehdot pätevät vastaavilta kohdin ennen edellä mainittuja julkisen hallinnon IT-hankintojen yleisiä sopimusehtoja.

2 Määritelmät

Alla olevien erityisehtojen määritelmien lisäksi noudatetaan JIT 2015 Yleisten ehtojen määritelmiä.

palvelukuvaus

yksityiskohtainen erittely palvelun sisällöstä

Ohjelmistopalvelun palvelukuvauksen tulee olla riittävän yksityiskohtainen, jotta tilaaja voi sen perusteella ratkaista, soveltuuko palvelu tilaajan käyttötarkoitukseen.

ohjelmistopalvelu

palvelu, jossa sovellus tai palvelu tuotetaan keskitetyssä palvelinkeskuksessa tietoverkon välityksellä saataville yhteyspisteeseen ja jossa pääsy ohjelmistoon sekä sen käyttöoikeus tarjotaan toistuvaismaksua vastaan

Palvelu tuotetaan käyttäen palvelun tuottajan palveluympäristöön kuuluvia verkkoja, palvelimia sekä käyttö- ja tallennusjärjestelmiä, joiden hallintaan tai konfigurointiin palvelun käyttäjä ei osallistu lukuun ottamatta rajoitettuja, käyttäjään liittyviä asetuksia.

tilaajan aineisto

tilaajan ohjelmistopalveluun siirtämä tai muuten tilaajan lukuun ohjelmistopalvelua varten toimittajalle luovutettu tai käyttöön asetettu aineisto, tilaajan palvelun käytössä tuottama tai muu sopijapuolten tilaajan aineistoksi määrittelemä tietoaineisto

toimittajan aineisto

toimittajan ohjelmistopalvelun käyttöä varten tilaajalle luovutettu tai käyttöön asetettu aineisto sekä muu sopijapuolten toimittajan aineistoksi määrittelemä tieto tai aineisto

yhdistetty aineisto

tilaajan aineiston esittäminen ohjelmistopalvelulla tuotettuna siten, että tilaajan ja toimittajan aineistot yhdistyvät tuotoksessa

yhteyspiste

kohta tai kohdat, joissa toimittaja liittää ohjelmistopalvelun yleiseen sähköiseen viestintäverkkoon tai muuhun sopimuksessa sovittuun liityntäpisteeseen

3 Sopimuksen kohde

(1) Ohjelmistopalvelun sisältö on kuvattu sopimuksessa ja palvelukuvauksessa.

(2) Toimittaja voi käyttää alihankkijoita ohjelmistopalvelun tai sen osan toteuttamiseen ja muihin sopimuksen täyttämiseen liittyviin tehtäviin palvelukuvauksen mukaisesti. Alihankkijat on nimettävä palvelukuvauksessa, jos ne käsittelevät henkilötietoja. Toimittaja vastaa alihankkijoiden suorittamasta työstä samalla tavoin kuin omasta työstään.

4 Toimittajan yleiset velvollisuudet

(1) Toimittaja vastaa siitä, että ohjelmistopalvelu vastaa sopimusta ja palvelukuvausta.

(2) Toimittaja vastaa siitä, että toimittajan vastuulla olevat tehtävät tehdään sopimuksen mukaisesti, huolellisesti sekä tehtävien edellyttämällä ammattitaidolla.

(3) Toimittaja toimittaa tilaajalle kirjallisesti ohjelmistopalvelun käyttöohjeet ja käyttöympäristövaatimukset.

(4) Ohjelmistopalveluihin liittyviä tilaajan yhteydenottoja varten toimittajan on ilmoitettava tilaajalle kirjallisesti yhteyshenkilönsä, muut yhteystietonsa sekä näiden muutokset.

5 Tilaajan yleiset velvollisuudet

(1) Tilaaja vastaa siitä, että tilaajan vastuulla olevat tehtävät tehdään sopimuksen mukaisesti ja huolellisesti.

(2) Tilaaja vastaa ohjelmistopalvelun soveltuvuudesta tilaajan käyttötarkoitukseen.

(3) Tilaaja vastaa ohjelmistopalvelun käyttämiseen tarvitsemiensa laitteiden, tietoliikenneyhteyksien ja ohjelmistojen hankinnasta, toimintakunnosta ja suojauksista, mikäli ne eivät sopimuksen mukaan kuulu toimittajan vastuulle. Tilaaja vastaa käyttöympäristönsä saattamisesta palvelukuvauksessa esitettyjen määrittelyjen mukaiseksi.

(4) Tilaajan tulee opastaa palveluksessaan olevat tai lukuunsa toimivat ohjelmistopalvelun käyttäjät noudattamaan toimittajan antamia ohjeita käyttäessään ohjelmistopalvelua. Opastuksessa on kiinnitettävä erityistä huomiota ohjelmistopalvelun käytön tietoturvallisuuteen liittyviin kysymyksiin.

(5) Ohjelmistopalveluihin liittyviä toimittajan yhteydenottoja varten tilaajan on ilmoitettava toimittajalle kirjallisesti yhteyshenkilönsä, tarpeelliset yhteystietonsa sekä näiden muutokset.

6 Ohjelmistopalvelun sisältö ja palvelutaso

(1) Sopijapuolet sopivat kirjallisesti palvelukuvauksen mukaisen ohjelmistopalvelun käyttämisestä sekä mahdollisista seuraamuksista, jotka aiheutuvat erittelystä poikkeamisesta. Siltä osin kuin ohjelmistopalvelun sisällöstä tai palvelutasosta ei ole lainkaan sovittu, noudatetaan toimittajan kulloinkin voimassa olevia julkaistuja ehtoja.

(2) Toimittajan on viipymättä ilmoitettava tilaajalle tietoonsa tulleesta seikasta, joka saattaa estää ohjelmistopalvelun sopimuksenmukaisen käyttämisen.

(3) Ohjelmistopalvelu sisältää tilaajan henkilöstön koulutukseen ja ohjelmistopalvelun käyttöönottoon liittyviä tehtäviä vain siltä osin kuin niistä on kirjallisesti sovittu.

7 Oikeudet ja tilaajan aineisto

(1) Ohjelmistopalvelun, toimittajan aineiston sekä niihin tehtyjen muutosten omistusoikeus ja immateriaalioikeudet kuuluvat toimittajalle tai kolmannelle osapuolelle.

(2) Tilaajan aineiston omistusoikeus ja immateriaalioikeudet kuuluvat tilaajalle tai kolmannelle osapuolelle.

(3) Toimittajalla on oikeus käsitellä tilaajan aineistoa vain sopimuksen täyttämisen mukaiseen tarkoitukseen.

(4) Tilaaja vastaa tilaajan aineistosta ja siitä, ettei tilaajan aineisto loukkaa kolmannen osapuolen oikeuksia tai kulloinkin voimassa olevaa lainsäädäntöä.

(5) Tällä sopimuksella ei siirretä olemassa olevia immateriaalioikeuksia sopimuskumppanien kesken.

(6) Tilaajalla ja tilaajan lukuun toimivalla kolmannella osapuolella on oikeus käyttää ja muokata toimittajan aineistoa ja yhdistettyä aineistoa sopimuksen voimassaoloajan tilaajan toimintaa varten. Tilaajalla ja tilaajan lukuun toimivalla kolmannella osapuolella sekä taholla, jolle tilaajan tehtävät mahdollisesti siirtyvät, on kuitenkin myös sopimuksen päättymisen jälkeen rajoittamaton oikeus käyttää ja muokata ohjelmistopalvelusta saatua yhdistettyä aineistoa mukaan lukien tilaajalle mahdollisesti luovutetut varmuuskopiot näistä aineistoista.

8 Ohjelmistopalvelun käytön aloittaminen

(1) Tilaajan on annettava toimittajalle riittävät ja oikeat tiedot toimitusta varten ja muutoinkin parhaalla mahdollisella tavalla myötävaikutettava ohjelmistopalvelun toimittamiseen. Tilaaja vastaa toimittajalle antamistaan tiedoista sekä niiden päivittämisestä.

(2) Toimittajan tulee antaa tilaajalle riittävät ohjeet ohjelmistopalvelun käytön aloittamiseksi mahdollisimman hyvissä ajoin. Toimittajan tulee antaa tilaajalle ohjelmistopalvelun käyttöönottoon liittyvää muuta tukea ainoastaan, mikäli siitä on sovittu erikseen.

(3) Toimittajan on käynnistettävä ohjelmistopalvelu yhteyspisteessä sovittuna toimituspäivänä tai sovitun ajan kuluessa. Jos toimitusaikaa tai -päivää ei ole sovittu, toimittaja käynnistää ohjelmistopalvelun yhteyspisteessä kohtuullisen ajan kuluessa sopimuksen allekirjoittamisesta tai tilausvahvistuksesta. Ohjelmistopalvelu on käynnistetty kun sopimuksen mukainen ohjelmistopalvelu on käytettävissä yhteyspisteessä ja toimittaja on ilmoittanut siitä tilaajalle.

(4) Jos ohjelmistopalvelu sisältää mahdollisuuden tallentaa tilaajan aineistoa, toimittajan vastuu aineiston tallessa pitämisestä alkaa siitä hetkestä, kun tiedot on onnistuneesti tallennettu osana ohjelmistopalvelun käytön aloittamista.

(5) Jos ohjelmistopalvelun käytön aloittaminen viivästyy tilaajasta johtuvasta seikasta, toimitusaikaa jatketaan, kunnes käytön aloittamisen estävä seikka on korjattu tai poistunut. Toimittajan oikeus laskuttaa palvelusta alkaa siitä kun palvelu toimittajan puolelta olisi käytettävissä.

(6) Tilaajan on ilman aiheetonta viivästystä ohjelmistopalvelun käytön aloittamisen jälkeen tarkastettava ohjelmistopalvelun toimivuus ja reklamoitava toimimattomuudesta tai muusta toimituksessa havaitusta virheestä ja puutteesta. Jos tilaaja ei ole ilmoittanut virheistä seitsemän (7) arkipäivän kuluessa ohjelmistopalvelun toimittamisen aloittamisesta, katsotaan ohjelmistopalvelu hyväksytyksi. Ohjelmistopalvelu katsotaan myös hyväksytyksi heti, kun se on sopijapuolten yhteisessä käyttöönottotestissä todettu toimivaksi. Sellaiset puutteellisuudet tai viat, jotka eivät olennaisesti haittaa ohjelmistopalvelun käyttämistä, eivät ole esteenä toimituksen hyväksymiselle, mutta toimittaja on velvollinen ilman aiheetonta viivytystä korjaamaan ne.

(7) Toimittaja ja tilaaja voivat sopia ohjelmistopalvelun koekäyttöajasta. Koekäyttöajalla toimittajalla ei ole mitään velvoitteita eikä vahingonkorvausvastuuta. Tilaaja ei ole velvollinen maksamaan palvelumaksua koekäyttöajalta, mutta tilaajan on muutoin noudatettava sopimusta ja näitä ehtoja.

9 Tunnukset

(1) Toimittaja luovuttaa yhteysosoitteita ja tunnuksia (esim. käyttäjätunnukset, tekniset osoitteet ja tunnukset) sopimuksen mukaisesti tilaajalle palvelun käyttämiseksi ja sovittua tarkoitusta varten sopimuksen voimassaoloajaksi. Toimittaja ilmoittaa niihin tulevat muutokset hyvissä ajoin etukäteen.

(2) Tilaaja vastaa siitä, että sen käyttäjät säilyttävät tunnukset ja salasanat huolellisesti ja eivätkä paljasta niitä kolmansille osapuolille. Tilaaja on vastuussa tunnuksillaan tapahtuneesta ohjelmistopalvelun käytöstä. Tilaaja ei ole kuitenkaan käytöstä vastuussa, mikäli tilaajan tunnukset päätyvät oikeudettomasti kolmannelle osapuolelle tilaajasta tai tilaajan lukuun toimivasta tahosta riippumattomasta syystä, kuten esimerkiksi toimittajan järjestelmään tehdyn tietomurron vuoksi, tai jos toimittajan edustaja käyttää tilaajan tunnuksia sopimuksen vastaisesti.

(3) Tilaaja sitoutuu viipymättä ilmoittamaan toimittajalle tunnusten tai salasanojen joutumisesta kolmannen osapuolen tietoon tai epäilemästään tunnuksen tai salasanan väärinkäytöstä. Tilaajan vastuu käyttäjiensä käyttäjätunnuksella ja salasanalla tapahtuneesta ohjelmistopalvelun käytöstä lakkaa, kun toimittaja on vastaanottanut tilaajan ilmoituksen tai toimittaja on muulla tavoin havainnut väärinkäytön. Vastuun päättymisen edellytyksenä kuitenkin on, että tilaaja ei toiminnallaan estä toimittajaa muuttamasta väärinkäyttöön liittyviä tunnuksia tai poistamasta niitä käytöstä.

(4) Tilaaja on toimittajan kirjallisesta pyynnöstä velvollinen vaihtamaan ohjelmistopalvelun käyttämiseksi vaadittavan salasanan, jos se on tarpeen ohjelmistopalveluun kohdistuvan vakavan tietoturvauhan vuoksi.

10 Tietojen varmistaminen

(1) Toimittaja vastaa ohjelmistopalvelussa olevan tilaajan aineiston varmistamisesta palvelukuvauksessa ilmoitetulla tavalla. Sopijapuolet sopivat varmistamisen ajankohdista kirjallisesti. Jos asiasta ei ole muuta sovittu, toimittajan velvollisuutena on varmistaa tilaajan aineisto vähintään kerran toimittajan työpäivän aikana tai toimittajan tilaajalle etukäteen ilmoittamin aikavälein ja säilyttää varmistusta tarkoitukseen soveltuvalla tavalla toimittajan tilaajalle etukäteen ilmoittaman käytännön mukaisesti. Muilta osin tilaajan aineiston varmistamisesta vastaa tilaaja.

(2) Jos tilaajan aineisto on tuhoutunut, kadonnut, muuttunut tai vahingoittunut tilaajan tai tilaajan vastuulla olevan tahon käytettyä tilaajan käyttäjätunnusta ja salasanaa taikka tilaaja tai sen vastuulla oleva taho on muuten toiminnallaan tuhonnut, kadottanut, muuttanut tai vahingoittanut tilaajan aineistoa, tällaisten tietojen palauttamisesta toimittajalla on oikeus veloittaa sovittujen tai hinnastonsa mukaisten veloitusperusteiden mukaisesti.

(3) Toimittajan tulee tilaajan niin pyytäessä toimittaa enintään kerran kalenterivuodessa kaikki palveluun tallennettu tilaajan aineisto tietoaineiston avoimuusvaatimuksen mukaisesti tilaajalle. Tilaajan aineiston toimituksen yhteydessä toimittajan tulee niin ikään toimittaa datakuvaus, joka täyttää tietoaineiston avoimuusvaatimuksen. Tilaajan aineiston tai datakuvauksen toimittamisesta tämän kappaleen mukaisesti ei toimittajalla ole oikeutta erillisveloitukseen, ellei toisin ole sovittu.

11 Muutokset ohjelmistopalveluun

(1) Toimittajalla on aina oikeus tehdä palveluun sellainen muutos, joka kohdistuu ohjelmistopalvelun tuotantoympäristöön eikä vaikuta palvelun sisältöön tai palvelutasoon, tai on tarpeen vakavan tietoturvauhan (ml. vakavan saatavuusuhan) torjumiseksi, tai johtuu tuotantoympäristöä koskevasta pakottavasta laista tai viranomaismääräyksestä. Jos muutoksella on vaikutusta palvelukuvaukseen, toimittaja ilmoittaa muutoksesta tilaajalle hyvissä ajoin etukäteen, tai jos tämä ei ole kohtuudella mahdollista esimerkiksi kiireellisen vakavan tietoturvauhan torjumisen vuoksi, viipymättä sen jälkeen kun toimittaja on saanut asiasta tiedon.

(2) Muissa kuin edellä kohdassa 11(1) tarkoitetuissa tapauksissa toimittaja on velvollinen ilmoittamaan tilaajalle ohjelmistopalvelun muutostarpeesta hyvissä ajoin etukäteen. Muutoksen vaikutukset käsitellään ennen niiden tekemistä tilaajan ja toimittajan välillä. Jos aiottu muutos vaikuttaa olennaisesti palvelun sisältöön tai palvelutasoon, toimittajan on ilmoitettava muutoksesta tilaajalle kirjallisesti vähintään kolme (3) kuukautta ennen muutoksen voimaantulopäivää ja tilaajalla on oikeus irtisanoa sopimus kohdan 16 mukaan. Olennaisena palvelun sisällön muutoksena pidetään muun muassa henkilötietojen käsittelyn siirtoa sellaiselle alihankkijalle tai sijaintipaikkaan, jota tilaaja ei perustellusta syystä hyväksy.

(3) Toimittajan tulee toimittaa tilaajalle muuttunut palvelukuvaus sekä käyttöohjeet ja muu toimittajan aineisto.

(4) Toimittajan on pyrittävä ottamaan huomioon tilaajan esittämä toivomus ohjelmistopalvelun muutoksen käyttöönottoajankohdasta. Toimittajan tulee antaa tilaajalle mahdollisuus tutustua muutoksiin ennen niiden käyttöönottoa, mikäli tämä on kohtuudella järjestettävissä.

(5) Tilaaja voi ehdottaa muutoksia ohjelmistopalveluun. Muutosten toteuttamisesta ja muutosten kustannusvaikutuksista sovitaan erikseen.

12 Ohjelmistopalvelun keskeyttäminen

(1) Ellei ohjelmistopalvelun säännöllisistä asennus-, muutos- tai huoltotoimenpiteistä ole ilmoitettu palvelukuvauksessa, sovelletaan tämän kohdan 12 (1) mukaisia ehtoja. Toimittajalla on oikeus keskeyttää ohjelmistopalvelun tuottaminen kohtuulliseksi ajaksi maanantaista perjantaihin kello 18.00-8.00, lauantaina, sunnuntaina tai yleisenä vapaapäivänä, jos se on tarpeen ohjelmistopalvelun asennus-, muutos- tai huoltotoimenpiteiden vuoksi eikä asennusta, muutosta tai huoltoa voida kohtuullisin kustannuksin toteuttaa ilman ohjelmistopalvelun tuottamisen keskeyttämistä. Jos toimittaja keskeyttää ohjelmistopalvelun tuottamisen tässä kohdassa 12 (1) mainitusta syystä, toimittajan on (a) ilmoitettava ohjelmistopalvelun keskeyttämisestä ja keskeytyksen kestosta tilaajalle hyvissä ajoin etukäteen; (b) pyrittävä siihen, että keskeytyksestä aiheutuvat haitat jäävät mahdollisimman vähäisiksi; ja (c) tilaajan kirjallisesta vaatimuksesta hyvitettävä keskeytyksestä tilaajalle aiheutunut palvelutason alitus sopimuksen mukaisesti.

(2) Toimittajalla on oikeus keskeyttää ohjelmistopalvelun tuottaminen yleisen tietoliikenneverkon asennus-, muutos- tai huoltotoimenpiteiden taikka ohjelmistopalveluun kohdistuvan vakavan tietoturvauhan vuoksi tai jos laki tai viranomaismääräys tätä edellyttää tai ylivoimaisen esteen vuoksi. Jos toimittaja keskeyttää ohjelmistopalvelun tuottamisen tässä kohdassa 12 (2) mainitusta syystä, toimittaja ilmoittaa keskeytyksestä ja keskeytyksen oletetusta kestosta tilaajalle hyvissä ajoin etukäteen tai, ellei tämä ole kohtuudella mahdollista, viipymättä sen jälkeen, kun toimittaja on saanut tiedon kyseisestä seikasta.

(3) Toimittajalla on oikeus tilaajaa kuulematta estää tilaajan pääsy ohjelmistopalveluun, jos toimittaja perustellusti epäilee tilaajan sopimuksen vastaisesti kuormittavan tai käyttävän ohjelmistopalvelua tavalla, joka vaarantaa ohjelmistopalvelun tuottamisen muille käyttäjille. Toimittajan on ilman aiheetonta viivytystä ilmoitettava tilaajalle pääsyn estämisen syistä. Jos tilaaja osoittaa käyttäneensä ohjelmistopalvelua sopimuksen mukaisesti, toimittajalla on velvollisuus hyvittää pääsyn estämisestä tilaajalle aiheutunut palvelutason alitus sopimuksen mukaisesti tai tilaajalla on oikeus saada keskeytysajalta hinnanalennusta.

13 Tietoturvallisuus ja tietosuoja

(1) Sopijapuolet sitoutuvat kumpikin omalta osaltaan huolehtimaan ja vastaamaan tietoturvallisuudesta sekä yksityisyyden suojasta Suomessa voimassa olevan lainsäädännön mukaisesti. Sopijapuolten välisestä tietoturvaan ja -suojaan liittyvästä vastuunjaosta sovitaan tarvittaessa täsmällisemmin.

(2) Kumpikin sopijapuoli vastaa oman viestintäverkkonsa tietoturvallisuudesta. Kumpikaan sopijapuoli ei vastaa julkisen internetverkon tietoturvallisuudesta tai siellä mahdollisesti ilmenevistä häiriöistä tai muista omien vaikutusmahdollisuuksiensa ulkopuolella olevista ohjelmistopalvelun käyttöä haittaavista tekijöistä tai niistä aiheutuvista vahingoista.

(3) Sopijapuolella on oikeus ryhtyä toimiin tietoturvaloukkausten torjumiseksi ja tietoturvallisuuteen kohdistuvien häiriöiden poistamiseksi. Sopijapuolen tulee mitoittaa toimenpiteet torjuttavan häiriön vakavuuden mukaan ja lopettaa ne heti, kun niiden toteuttamiselle ei ole perustetta.

(4) Sopijapuolet sopivat kirjallisesti siitä, siirtääkö tilaaja henkilötietoja toimittajalle. Tilaaja on rekisterinpitäjänä vastuussa näistä henkilötiedoista. Tilaaja vastaa siitä, että sillä on oikeus siirtää kyseiset henkilötiedot toimittajalle sopimuksen mukaiseen käsittelyyn. Toimittaja noudattaa henkilötietoja käsitellessään tietojen käsittelyä ja suojaamista koskevia säännöksiä. Toimittaja käsittelee henkilötietoja vain sopimuksen ja tilaajan antamien kirjallisten ohjeiden mukaisesti. Toimittaja toteuttaa tekniset ja organisatoriset toimet, joista on sovittu.

14 Tietoturvaloukkausten käsittely

(1) Sopijapuolella on velvollisuus ilmoittaa toiselle sopijapuolelle ilman aiheetonta viivytystä havaitsemistaan ohjelmistopalvelua tai sen käyttöä vaarantavista merkittävistä tietoturvatilanteen muutoksista tai lisääntyneistä tietoturvariskeistä, tietosuojariskeistä, tietoturvallisuuden tai tietosuojan loukkauksista tai niiden epäilyistä.

(2) Sopijapuolen tulee osaltaan ryhtyä välittömästi toimenpiteisiin edellä mainitun loukkauksen vaikutuksen poistamiseksi tai pienentämiseksi. Erityisistä tietoturvariskien hallinnan edellyttämistä toimista sovitaan erikseen.

(3) Sopijapuolella on velvollisuus myötävaikuttaa tietoturva- ja tietosuojaloukkausten tutkintaan.

15 Ohjelmistopalvelun tuottamisen sijainti

(1) Toimittaja voi tarjota koko ohjelmistopalvelun tai osan siitä joko Suomesta tai jostain toisesta maasta edellyttäen, että toimittaja täyttää muuten sopimuksen ehdot. Jos toimittaja tarjoaa palvelua Euroopan talousalueen ulkopuolelta, toimittaja vastaa siitä, että mahdollinen henkilötietojen siirto toteutetaan lainsäädännön mukaisesti.

(2) Palvelun tuottamiseen käytettävien konesalien ja hallintapalvelujen sekä tallennettujen tietojen maantieteellinen sijainti on ilmoitettava palvelukuvauksessa. Toimittaja on velvollinen ilmoittamaan sijainnin mahdollisista muutoksista.

16 Voimassaolo ja irtisanominen

(1) Määräajaksi sovittu ohjelmistopalvelua koskeva sopimus päättyy ilman irtisanomista määräajan kuluttua umpeen. Tilaaja voi kuitenkin irtisanoa määräaikaisen sopimuksen kohdassa 11 (2) tarkoitetussa tilanteessa ilmoittamalla tästä kirjallisesti toimittajalle, jolloin sopimus päättyy kolmen (3) kuukauden kuluttua ilmoituksesta.

(2) Ellei kirjallisesti ole toisin sovittu, toistaiseksi voimassa oleva sopimus voidaan kirjallisesti irtisanoa päättymään tilaajan puolelta kolmen (3) kuukauden ja toimittajan puolelta kuuden (6) kuukauden kuluttua

irtisanomisesta. Lisäksi irtisanominen on mahdollinen kohdan 11 (2) mukaisesti. Irtisanomisaika lasketaan sen kalenterikuukauden viimeisestä päivästä, jonka aikana sopimus on irtisanottu.

(3) Jos tilaaja on maksanut tiettyä ajanjaksoa koskevan palvelumaksun etukäteen ja sopimus päättyy ennenaikaisesti muusta kuin tilaajasta johtuvasta syystä, tilaajalla on oikeus saada palautuksena toteutumatta jäävää ajanjaksoa vastaava hyvitys etukäteen suorittamastaan palvelumaksusta.

17 Avustamisvelvollisuus sopimuksen päättyessä

(1) Toimittaja sitoutuu avustamaan tilaajaa ohjelmistopalvelun tai sen osan päättyessä päättyvän palvelun siirtämisessä kolmannen osapuolen tai tilaajan itsensä hoidettavaksi. Osana avustamisvelvollisuutta toimittaja on velvollinen tilaajan pyynnöstä seuraaviin toimiin:

i. Toimittajan on jatkettava palvelujen toimittamista tilaajalle sopimuksen ehtojen mukaisesti tilaajan pyytämässä laajuudessa sopimuksen päättymiseen saakka.

ii. Toimittajan on avustettava tilaajan pyytämässä laajuudessa siirron edellyttämien tehtävien suorittamisessa ja osallistuttava siihen toimittamalla tietoa, aineistoa, tukea, koulutusta ja konsultointia ja toimimalla yhteistyössä tilaajan ja tilaajan muiden palveluntuottajien kanssa. Tämä on tehtävä toimittajan sopimuksen mukaisilla hinnoilla tai, ellei hinnoista ole sovittu, toimittajan yleisen hinnaston mukaisilla hinnoilla.

(2) Avustamisvelvollisuus alkaa jo ennen sopimuksen päättymistä, kun sopimus on irtisanottu tai purettu päättyväksi tai kun tilaaja ilmoittaa käynnistävänsä hankinnan, joka koskee sopimuksen alaisia palveluja. Velvollisuus jatkuu korkeintaan siihen asti, kun kolme (3) kuukautta on kulunut sopimuksen päättymisestä.

(3) Toimittajan velvollisuus säilyttää tilaajan aineistoa päättyy kuudenkymmenen (60) päivän kuluttua sopimuksen päättymisestä, jonka jälkeen toimittajalla on velvollisuus kustannuksellaan tuhota tilaajan aineisto, ellei tilaaja ole tätä ennen pyytänyt aineiston palauttamista kohdan 17 (4) mukaisesti. Mikäli tilaaja pyytää aineistoa palautettavaksi, toimittaja palauttaa tilaajalle tilaajan luovuttaman, ajan tasalla olevan aineiston tai muutoin tilaajan palvelua koskevan aineiston. Toimittajalla on kuitenkin oikeus tuhota tai säilyttää tilaajan aineistoa siltä osin, kuin toimittaja on tähän velvollinen lain tai viranomaismääräyksen perusteella.

(4) Ellei kirjallisesti ole toisin sovittu, toimittaja palauttaa tilaajan aineiston tilaajalle kolmenkymmenen (30) päivän kuluessa tilaajan kirjallisesta pyynnöstä tietoaineiston avoimuusvaatimuksen mukaisesti tai sovitussa muodossa. Tilaajan aineiston toimituksen yhteydessä toimittajan tulee niin ikään toimittaa datakuvaus, joka täyttää tietoaineiston avoimuusvaatimuksen. Tilaajan aineiston tai datakuvauksen toimittamisesta tämän kappaleen mukaisesti ei toimittajalla ole oikeutta erillisveloitukseen, ellei toisin ole sovittu.

(5) Toimittajalla ei ole kohdassa 17(1) tarkoitettua avustamisvelvollisuutta, jos sopimus päättyy tilaajan olennaisesta sopimusrikkomuksesta. Jos toimittaja on purkanut sopimuksen siitä syystä, että tilaaja on jättänyt maksamatta ohjelmistopalvelun käyttöön liittyviä maksuja, toimittajalla on kuitenkin kohdassa 17(1) tarkoitettu myötävaikutusvelvollisuus, mikäli tilaaja suorittaa erääntyneet maksunsa toimittajalle ja asettaa hyväksyttävän vakuuden tulevien maksujen suorittamisesta.