Turvallisuussopimus

2.1. Toimittaja ja Tilaaja ovat tehneet Pääsopimuksen THL/2478/2.02.01/2020 Kontaktien jäljityssovellus tartuntatautiepidemioiden hallinnan tueksi.

2.2. Tässä sopimuksessa sovitaan Xxxxxxxx ja Toimittajan välillä noudatettavista turvallisuusjärjestelyistä ja henkilötietoja koskevasta käsittelystä edellä mainitun sopimuksen sisältämien Palveluiden tuottamisessa.

2.3. Sopijapuolet tiedostavat, että Pääsopimuksen perusteella toimitettaviin Palveluihin sisältyy sellaista tietoa, jonka salassa pysyminen on yksilöiden tietosuojan tai Tilaajan turvallisuuden kannalta kriittistä. Tällä sopimuksella sopijapuolet pyrkivät varmistamaan salassa pidettävän tiedon ja henkilötietojen oikeat käsittelytavat.

2.4. Huolimatta siitä, mitä muissa Tilaajan ja Toimittajan välisissä sopimuksissa on mahdollisesti sovittu tämän sopimuksen piiriin kuuluvista asioista tai niihin liittyvistä vastuista taikka sopimusten keskinäisestä pätemisjärjestyksestä, tätä sopimusta sovelletaan aina ensisijaisesti tämän sopimuksen piiriin kuuluvissa asioissa. Tähän sopimukseen tai sen perusteella syntyviin vastuisiin ei sovelleta muissa sopijapuolten välisissä sopimuksissa mahdollisesti sovittuja vastuunrajoituksia.

3. MÄÄRITELMÄT

3.1. Henkilötieto tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

3.2. Käsittely tarkoittaa toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

3.3. Salassa pidettävä tieto tarkoittaa kaikkea sellaista Tilaajan asiakirjamuotoista tai muuta tietoa, joka on määritelty salassa pidettäväksi viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999, jäljempänä ”julkisuuslaki”), liikesalaisuuslaissa (595/2018), tai muussa lainsäädännössä, ja jonka Tilaaja on tällaiseksi tiedoksi merkinnyt tai jonka Toimittaja tiesi tai olisi pitänyt tietää kuuluvan tällaisiin tietoihin. Tällaisia tietoja ovat esimerkiksi turvallisuusluokitellut tiedot (TL III ja TL IV) tai muut tiedot,

jotka THL on luokitellut salassa pidettäviksi (ST III ja ST IV). Myös Henkilötiedot luokitellaan Salassa pidettäviin tietoihin.

Salassa pidettävällä tiedolla tarkoitetaan lisäksi kaikkea tuotteen toimituksen tai Palvelun yhteydessä käytettävää tai niihin sisältyvää taikka syntynyttä Tilaajan aineistoa, jonka Toimittaja tietää tai sen voidaan kohtuudella olettaa tietävän olevan luottamuksellista. Tilaajaan aineistoon sisältyy, tähän kuitenkaan rajoittumatta Tilaajan henkilöstöön, asiakkaisiin, alihankkijoihin, prosesseihin, palveluihin, tiloihin, tietojärjestelmiin, tietokantoihin, ohjelmistoihin, rekistereihin, turvallisuus- ja varautumisjärjestelyihin sekä liikesalaisuuksiin sisältyvät tai niihin liittyvät tiedot sekä niiden muotoilu, rakenne ja metatieto.

Salassa pidettävää ei ole tieto, a) joka on ollut yleisesti tiedossa tai tulee myöhemmin yleiseen tietoon muutoin kuin vastaanottajan vastuulla olevasta syystä; b) joka on ollut todistettavasti vastaanottajan hallissa ilman sitä koskevaa salassapitovelvollisuutta ennen tiedon vastaanottamista luovuttajalta ja jota vastaanottaja ei ole välittömästi tai välillisesti hankkinut kolmannelta; c) jonka vastaanottaja on saanut haltuunsa kolmansilta ilman salassapitovelvollisuutta ja jonka ilmaisemiseen tai luovuttamiseen näillä kolmansilla on ollut oikeus salassapitovelvoitteen estämättä; d) jonka luovuttamisen ja käyttämisen luovuttaja on nimenomaan hyväksynyt; ja/tai e) joka pakottavan lain, säädöksen tai tuomioistuimen päätöksen tai tuomioistuimen antamana sitovan määräyksen mukaisesti on luovutettavissa olevaa.

3.4. Palvelu tarkoittaa sitä palvelua, josta Tilaaja ja Toimittaja ovat sopineet Pääsopimuksessa. Mitä tässä sopimuksessa on sovittu Palvelusta, sovelletaan soveltuvin osin myös Pääsopimuksessa sovittuun tavarahankintaan.

3.5. Pääsopimus tarkoittaa kohdassa 2.1 yksilöityä Toimittajan ja Tilaajan välistä sopimusta liitteineen.

3.6. Suojattava tieto tarkoittaa Salassa pidettävää tietoa.

3.7. Tekninen tukijärjestelmä tarkoittaa pääosin Toimittajan omaan käyttöön tarkoitettua sähköposti-, tiketöinti-, työryhmä-, toiminnanohjaus-, konfiguraationhallinta- tai vastaavaa tietojärjestelmää.

3.8. Toimitila tarkoittaa joko yksittäistä huonetta tai niistä muodostuvaa kokonaisuutta sekä tietoteknisiä laitetiloja.

3.9. Tietotekninen laitetila (IT-laitetila) tarkoittaa erityisesti konesalia, palvelinhotellia, viestiasemaa, tietoverkon valvomo- tai hallintatilaa tai muuta erillistä teknistä tilaa.

4. TIETOSUOJA

4.1. Toimittaja noudattaa Henkilötietoja käsitellessään Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (jäljempänä ”tietosuoja-asetus”), tietosuojalakia (1050/2018) ja muuta tietosuojaa koskevaa lainsäädäntöä. Edellä mainitun lisäksi Toimittaja noudattaa julkisen hallinnon tiedonhallinnasta annettua lakia (906/2019) ja tietojen suojaamista koskevia säännöksiä ja ohjeita Pääsopimukseen liittyvän Palvelun tuottamisessa.

4.2. Mikäli Palveluun tai muuhun osapuolen väliseen yhteistyöhön sisältyy Henkilötietojen käsittelyä, vastaavat sopijapuolet omista lakiin perustuvista velvoitteistaan joko rekisterinpitäjänä, yhteisrekisterinpitäjänä tai henkilötietojen käsittelijänä. Jos Toimittaja käsittelee Henkilötietoja Xxxxxxxx puolesta ja lukuun, toimii Toimittaja Henkilötietojen käsittelijänä ja sitoutuu toimimaan sekä lain että

erikseen tehtävän henkilötietojen käsittelyä koskevan sopimuksen mukaisesti käsitellessään Henkilötietoja.

5. LUOTTAMUKSELLISUUS JA SALASSAPITO

5.1. Toimittaja sitoutuu pitämään salassa kaikki Tilaajan sille luovuttamat tai sillä olevat tai toimeksiannon toteuttamisessa syntyneet Xxxxxxx pidettävät tiedot. Xxxxxxx pidettäviä tietoja ei myöskään saa käyttää omaksi tai toisen hyödyksi tai toisen vahingoksi.

5.2. Toimittajan tulee käsitellä Xxxxxxx pidettäviä tietoja vain Xxxxxxxx tuottamisen edellyttämässä laajuudessa. Toimittaja antaa Xxxxxxx pidettäviä tietoja tai pääsyn niitä sisältäviin järjestelmiin vain niille henkilöille, jotka tarvitsevat tietoja Palvelun tuottamiseen liittyvissä työtehtävissään. Toimittaja sitoutuu antamaan ohjeistusta sekä järjestämään koulutusta erityisesti Xxxxxxx pidettävien tietojen asianmukaisesta käsittelystä henkilöille, joilla on pääsy näihin tietoihin tai ylläpitävät tietojenkäsittelyyn liittyviä ympäristöjä tai järjestelmiä.

5.3. Toimittajan henkilön on täytettävä seuraavat edellytykset saadakseen oikeuden Käsitellä Xxxxxxx pidettävää tietoa:

5.3.1. Toimittaja on hyväksyttänyt henkilön Tilaajalla etukäteen tuottamansa Palvelun osaan;

5.3.2. henkilöstä on tehty henkilöturvallisuusselvitys;

5.3.3. henkilö on tietoinen tämän sopimuksen mukaisista velvoitteistaan; ja

5.3.4. henkilö on allekirjoittanut tämän sopimuksen liitteenä olevan salassapitositoumuksen.

5.4. Toimittajan on Tilaajan pyynnöstä Palvelua käynnistettäessä laadittava luettelo sellaisista Palvelun tuottamiseen osallistuvista Toimittajan tai sen Xxxxxxxxxxxx henkilöistä, joilla on pääsy Tilaajan Henkilötietoihin, tunnistamistietoihin ja Salassa pidettäviin tietoihin. Toimittajan on henkilömuutosten tapahtuessa päivitettävä luettelo ja toimitettava se Tilaajalle. Selvyyden vuoksi todetaan, että myös uusien Toimittajan henkilöiden on täytettävä edellä kohdassa 5.3 todetut edellytykset.

5.5. Tilaajan aineistoa ei saa oikeudetta näyttää eikä luovuttaa sivulliselle eikä antaa sitä oikeudetta teknisen käyttöyhteyden avulla tai muulla tavalla sivullisen nähtäväksi tai käytettäväksi.

5.6. Ellei Pääsopimuksessa ole toisin sovittu, Toimittajalla ei ole oikeutta käyttää sopimusta referenssinä ilman Tilaajan kirjallista lupaa. Referenssioikeuden myöntäminen ei vapauta Toimittajaa sovituista salassapitovelvoitteista.

5.7. Toimittajalla ei ole oikeutta käyttää Tilaajan nimeä tai logoa ilman Tilaajan kirjallista lupaa.

6. HALLINNOLLINEN JA FYYSINEN TIETOTURVALLISUUS Yleiset vaatimukset

6.1. Toimittaja sitoutuu toteuttamaan sovitut tekniset ja organisatoriset toimenpiteet, joita tarvitaan Tilaajan aineiston suojaamiseksi luvattomalta tietoihin pääsyltä tai tietojen tuhoutumiselta tai muuttumiselta.

6.2. Tilaaja on määrittänyt Palveluun ja Toimittajan toimintaan liittyvät tietoturvavaatimukset, jotka Toimittajan tulee täyttää. Vaatimukset on esitetty tässä sopimuksessa ja tämän sopimuksen liitteessä 3. Tämän sopimuksen ehdot ja vaatimukset asettavat vähimmäistason Palvelun tietoturvallisuudelle. Liitteen vaatimukset täydentävät tämän sopimuksen mukaisia ehtoja ja vaatimuksia.

6.3. Toimittaja sitoutuu noudattamaan tiedonhallintalain ja turvallisuusluokitteluasetuksen mukaisia käsittelysääntöjä turvallisuusluokitellun tiedon osalta. Xxxxx Xxxxxxx pidettävää tietoa ole turvallisuusluokiteltu eikä Tilaaja ole muutoin ohjeistanut Toimittajaa Xxxxxxx pidettävän tiedon käsittelystä, Xxxxxxx pidettävää tietoa tulee käsitellä tiloissa, jotka on suojattu lukituksella ja kulunvalvonnalla luvattoman pääsyn estämiseksi tiloihin ja siellä oleviin tietoihin.

6.4. Toimittaja on velvollinen ilmoittamaan Tilaajalle, jos Toimittajan on noudatettava Pääsopimuksen mukaisessa toiminnassaan muuta kuin Suomen tai Euroopan unionin lainsäädäntöä, joka voi muodostaa ristiriidan tämän sopimuksen ehtojen kanssa.

Tilaajan aineiston sijainti

6.5. Toimittaja saa käsitellä Henkilötietoja vain sovitulla palvelutuotantoalueella. Ellei muuta ole sovittu, Henkilötietoja saa käsitellä Euroopan unionin alueella ja Euroopan talousalueella. Toimittaja tiedostaa tämän vaatimuksen koskevan myös erilaisia teknisiä tukijärjestelmiä, joita se hyödyntää Palvelujen tuotannossa.

6.6. Tilaaja voi Pääsopimuksessa rajoittaa Tilaajan aineiston maantieteellistä sijaintipaikkaa tai palvelutuotantoaluetta.

6.7. Tämän sopimuksen alkaessa Toimittaja on pyydettäessä velvollinen ilmoittamaan Tilaajalle kaikki ne toimipisteet ja valtiot, joista Toimittaja tuottaa Palvelua ja/tai Käsittelee Tilaajan aineistoa.

6.8. Kun toimittaja siirtää Tilaajan aineistoa, aineiston siirtämisessä on huomioitava riittävä suojauksen taso. Toimittaja voi siirtää Tilaajan aineistoa tai Käsittelyä sovitulta palvelutuotantoalueelta ainoastaan Tilaajan etukäteen antaman kirjallisen luvan perusteella.

6.9. Xxx Xxxxxxx antaa kohdan 6.8 mukaisen luvan, Toimittaja on velvollinen selvittämään sovellettavan lainsäädännön asettamat edellytykset tiedon siirtämiselle. Jos lainsäädäntö edellyttää erityistä siirtoperustetta, Toimittaja varmistaa siirtoperusteen olemassaolon tiedon siirtämiseksi Euroopan talousalueelta kolmansiin maihin tai pääsyn mahdollistamiseksi Euroopan talousalueella olevaan Tilaajan aineistoon Euroopan talousalueen ulkopuolelta.

Tilaajan toimitilojen turvallisuus

6.10. Toimittaja vastaa siitä, ettei Xxxxxxxx toimitilojen tai toiminnan turvallisuus vaarannu Toimittajan henkilöstön huolimattomuuden, virheellisten työtapojen tai muun tämän sopimuksen tai Pääsopimuksen vastaisen toiminnan johdosta.

6.11. Ellei toisin sovita, pääsyoikeus muihin kuin Tilaajan julkisiin tiloihin annetaan vain niille Toimittajan henkilöille, jotka:

6.11.1. Toimittaja on hyväksyttänyt Tilaajalla etukäteen,

6.11.2. joista on tarvittaessa tehty henkilöturvallisuusselvitys ja

6.11.3. jotka ovat tietoisia tämän sopimuksen velvoitteistaan ja tiloissa liikkumisesta annetuista ohjeista.

6.12. Toimittajan henkilöillä on oltava Tilaajan tiloissa liikkuessaan näkyvillä tunniste, kuten Toimittajan tai Tilaajan myöntämä henkilö- tai vierailijakortti.

Toimittajan Toimitilojen turvallisuus

6.13. Ellei toisin sovita, Toimittajan Toimitilojen tulee olla Salassa pidettävän tiedon suojaustason tai turvallisuusluokituksen asettamat vaatimukset huomioon ottaen asianmukaisesti suojattu lukituksella ja muilla tarpeellisilla toimenpiteillä luvattoman pääsyn estämiseksi Toimitiloihin ja siellä olevaan Salassa pidettävään tietoon.

6.14. Ellei toisin sovita, kulunvalvonta IT-laitetiloihin, joissa käsitellään Salassa pidettävää tietoa, on järjestettävä siten, ettei kukaan pääse saapumaan tai poistumaan tulematta rekisteröidyksi (sähköinen/kirjallinen loki tai vastaava).

6.15. Toimittajan tulee Tilaajan pyynnöstä hyväksyttää Tilaajalla kaikki henkilöt, joille on tarpeen myöntää pääsyoikeus yksinomaan Tilaajan Palvelujen tuottamiseen varattuun Toimittajan tilaan, jossa käsitellään Xxxxxxx pidettävää tietoa ja joka on sovitulla tavalla eriytetty Toimittajan muusta toiminnasta. Tässä kohdassa tarkoitetuista henkilöistä on Tilaajan niin vaatiessa ja lainsäädännön edellytysten täyttyessä teetettävä henkilöturvallisuusselvitys.

6.16. Mikäli Toimittaja on eriyttänyt valtionhallinnolle varatun Toimittajan Toimitilan, josta tuotetaan palveluja valtionhallinnolle, voi Toimittaja hyödyntää tällaista Toimitilaansa tuottaessaan Pääsopimuksen Palveluja Tilaajalle, mikäli Toimittajan sopimusvelvoitteet muuta valtionhallinnon tahoa kohtaan eivät tätä estä. Toimittaja voi tarvittaessa luovuttaa Xxxxxxxx yhteyshenkilön tiedot muulle valtionhallinnon viranomaisen yhteyshenkilölle.

7. OHJELMISTOTURVALLISUUS

7.1. Toimittaja vastaa Palvelun osalta siitä, että:

7.1.1. sen toimittamiin tietojärjestelmäpalveluihin, ohjelmistokomponentteihin tai medioihin ei sisälly haittaohjelmia tai muuta tahallista haitallista toiminnallisuutta,

7.1.2. se seuraa Palvelun tuottamiseen liittyviin ohjelmistoihin, kolmannen osapuolen komponentteihin ja sen osana oleviin valmisohjelmistoihin liittyviä tietoturvallisuustiedotteita, julkaistuja tietoturvapäivityksiä ja haavoittuvuuksia,

7.1.3. se tiedottaa Tilaajaa viivytyksettä vastuullaan olevien toimeksiantoon liittyvien ohjelmistojen tietoturvahaavoittuvuuksista sekä tietoturvapäivityksistä ja aloittaa korjaustoimenpiteiden suunnittelun ja vastuullaan olevan toteutuksen tai pyytää Xxxxxxxx hyväksynnän korjaustoimenpiteiden suorittamiseksi, tai mikäli haavoittuvuuteen ei ole vielä korjausta, ehdottaa muita haavoittuvuutta rajoittavia toimia,

7.1.4. se noudattaa tämän sopimuksen liitteessä 3 yksilöityjä turvallisuuden vaatimuksia.

7.2. Tilaajan omistamia tai hallitsemia tietoja ei ilman Tilaajan erillistä kirjallista lupaa käytetä järjestelmäkehityksessä tai testauksessa. Testausympäristöt on eriytetty tuotantoympäristöistä. Testauksessa ei milloinkaan käytetä tuotantodataa tai Henkilötietoja sisältäviä aineistoja.

8. TIETOJÄRJESTELMIEN HALLINNAN VAATIMUKSET

8.1. Toimittaja on Tilaajan pyynnöstä velvollinen hyväksyttämään Tilaajalla sellaiset Toimittajan henkilöt, jotka voivat pääsyoikeuksiensa perusteella keskeyttää tai vaarantaa Tilaajan tietojärjestelmien toiminnan taikka vaarantaa tietojärjestelmän tietoturvallisuuden tai palveluympäristön tietoturvallisuuden.

8.2. Ellei toisin sovita, Toimittajan tulee huolehtia Toimittajan vastuulla olevien palveluympäristöjen osalta siitä, että:

8.2.1. sen henkilöstön oikeudet ja valtuudet Palvelun tuottamisessa käytettävissä tietojärjestelmissä rajataan vain työtehtävien edellyttämään laajuuteen,

8.2.2. pääsyoikeuksien myöntämisen, muuttamisen ja poistamisen osalta noudatetaan prosessia, joka kattaa toimitilat, tietojärjestelmät ja palvelut,

8.2.3. pääsyoikeudet tietojärjestelmiin, joissa käsitellään Tilaajan aineistoa, ovat henkilökohtaisia,

8.2.4. Toimittajan henkilöille myönnetyt Tilaajan avaimet, henkilökortit, kulkuluvat, salausavaimet, lisenssit, kulkukoodit ja muut tunnistautumisvälineet palautetaan Tilaajalle sekä käyttäjätunnukset ja pääsyoikeudet poistetaan ilman viivytystä, kun henkilö ei enää osallistu Palvelun tuottamiseen ja;

8.2.5. Sopimuksen päätyttyä Toimittaja palauttaa ilman viivytystä Tilaajalle tämän avaimet, henkilökortit, kulkuluvat, salausavaimet, lisenssit, kulkukoodit, käyttäjätunnukset, salasanat, muut tunnistautumisvälineet sekä muun Tilaajan luovuttaman omaisuuden ja sulkee sopimuksen nojalla avaamansa tietoliikenne-, tietojärjestelmä, tiedonsiirto- sekä etäkäyttöyhteydet.

8.3. Toimittaja vastaa siitä, että tietojärjestelmien käytöstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot. Lokimerkintöjä on säilytettävä erikseen osoitetussa tietoturvallisessa ympäristössä erillään Tilaajan aineistosta.

9. JATKUVUUDEN VARMISTAMINEN

9.1. Tilaaja on määrittänyt varautumisvaatimukset, jotka Toimittajan tulee täyttää. Vaatimukset on esitetty tämän sopimuksen liitteessä 3. Vaatimukset täydentävät tämän sopimuksen mukaisia vaatimuksia, jotka asettavat vähimmäistason Palvelun jatkuvuuden varmistamiselle.

9.2. Palvelun jatkuvuuden varmistamiseksi Toimittaja vastaa palvelutuotannossaan muun muassa siitä, että:

9.2.1. sillä on asianmukaiset voimassa olevat suunnitelmat, järjestelyt ja vakuutukset toimintansa jatkuvuuden varmistamiseksi ja keskeytyksiltä suojautumiseksi,

9.2.2. jatkuvuuden varmistamisen toimenpiteet ja suunnitelmat on koulutettu, harjoiteltu ja otettu käyttöön palvelutuotannossa ja;

9.2.3. Palvelun saatavuuden ja häiriöistä tai vikatilanteesta toipumisen (ml. varmuuskopioinnin) prosessit sekä niiden tekniset toteutukset on suunniteltu siten, että toipumissuunnitelmat ja -valmius vastaavat sovittuja vaatimuksia.

10. TURVALLISUUSSELVITYKSET

10.1. Tämän sopimuksen tarkoittamalla turvallisuusselvityksellä tarkoitetaan turvallisuusselvityslain (726/2014) mukaista yritysturvallisuusselvitystä ja henkilöturvallisuusselvitystä taikka niitä vastaavia, Suomen kansallisen turvallisuusviranomaisen (National Security Authority, NSA) kautta hankittua ja ulkomaan turvallisuusviranomaisen myöntämää yritysturvallisuustodistusta ja henkilöturvallisuustodistusta.

Yritysturvallisuusselvitykset

10.2. Tilaaja voi hakea Toimittajasta turvallisuusselvityslain mukaisen yritysturvallisuusselvityksen tai kansainvälisten tietoturvallisuusvelvoitteiden edellyttämän yritysturvallisuusselvityksen (Facility Security Clearance, FSC).

10.3. Yritysturvallisuusselvityksen hakemisen edellytyksistä on säädetty turvallisuusselvityslain 33 §:ssä. FSC:n hakemisen edellytyksistä on säädetty laissa kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) sekä sovittu Suomea sitovissa kansainvälisissä sopimuksissa.

10.4. Yritysturvallisuusselvityksen ja FSC:n edellytyksenä on, että Toimittaja on antanut siihen etukäteisen suostumuksen. Tilaajalla on kohdan 16.3 mukainen irtisanomisoikeus, jos Toimittaja kieltäytyy antamasta suostumuksensa yritysturvallisuusselvityksen hakemiselle.

10.5. Turvallisuusselvityslain perusteella tehtävien yritysturvallisuusselvitysten hakemisesta vastaa Tilaaja. Sopijapuolet sopivat erikseen menettelystä FSC:n hankkimiseksi.

10.6. Ellei pääsopimuksessa toisin sovita, Toimittaja vastaa kaikista yritysturvallisuusselvitysmenettelyyn (ml. FSC-menettely) liittyvistä kustannuksista. Toimittaja vastaa myös alihankkijan yritysturvallisuusselvitykseen liittyvistä kustannuksista.

10.7. Jos lainsäädännön tai Suomea velvoittavien sopimusten edellytykset FSC:n hakemiselle eivät täyty sen vuoksi, että Palvelussa ei käsitellä turvallisuusluokiteltua tietoa, mutta Palvelun yhteydessä Toimittaja käsittelee kuitenkin Xxxxxxxx suojattavaksi luokittelemia asiakirjoja (vastaa aiemmin voimassaolleita suojaustasoja I–III), Tilaajalla on oikeus pyytää Toimittajaa toimittamaan turvallisuusselvityslain 37

§:ssä säädetyt tiedot Tilaajalle. Tiedot on toimitettava siinä laajuudessa kuin Toimittaja on voimassa olevan lainsäädännön mukaan oikeutettu niitä käsittelemään. Jos Toimittaja kieltäytyy toimittamasta vaadittuja tietoja tämän sopimuksen mukaisessa laajuudessa, Tilaajalla on kohdan 16.4 mukainen irtisanomisoikeus. Tilaaja on oikeutettu käyttämään toimitettuja tietoja tehdäkseen itse tai toimivaltaisen viranomaisen avustuksella kohdan 10.8 mukaisen arvioinnin. Tilaajan tämän kohdan mukaiseen salassapito- ja vaitiolovelvollisuuteen sekä hyväksikäyttökieltoon sovelletaan viranomaisten toiminnan julkisuudesta annetun lain 22–24 §:ää.

10.8. Tilaajalla on oikeus arvioida yritysturvallisuusselvityksen sisältö ja yrityksen tai sen vastuuhenkilöiden luotettavuus, yrityksen tietoturvallisuuden taso sekä kyky hoitaa Pääsopimuksen ja tämän sopimuksen mukaiset sitoumukset. Sopimuksen irtisanomisoikeudesta muun muassa yritysturvallisuusselvityksessä ilmenneiden seikkojen vuoksi on sovittu kohdassa 16.3.

Henkilöturvallisuusselvitykset

10.9. Tilaajalla on oikeus hakea turvallisuusselvityslaissa tarkoitettu henkilöturvallisuusselvitys Toimittajan henkilöistä turvallisuusselvityslain mukaisessa laajuudessa. Toimittaja vastaa turvallisuusselvityksen kohteena olevan henkilön suostumuksen hankkimisesta.

10.10. Toimittajan tulee toimittaa henkilöturvallisuusselvityksen kohteena olevan henkilön täyttämä ja allekirjoittama lomake Tilaajalle henkilöturvallisuusselvityksen hakemista varten.

10.11. Tilaaja voi hyväksyä turvallisuusselvityslain mukaista henkilöturvallisuusselvitystä vastaavana selvityksenä toisen valtion antama henkilöturvallisuustodistuksen (Personal Security Clearance, PSC). Tilaaja voi myös hyväksyä vastaavan toisen valtion viranomaisen tekemän henkilöturvallisuusselvityksen.

10.12. Jos henkilöturvallisuusselvitystä tai -todistusta tai PSC-todistusta ei ole saatavissa selvityksen kohteena olevasta henkilöstä, mutta turvallisuusselvityslain mukaiset edellytykset henkilön luotettavuuden ja nuhteettomuuden arvioimiseksi ovat olemassa, Toimittaja toimittaa pyynnöstä kyseisen henkilön rikosrekisteriotteen, liiketoimintakieltorekisteriotteen sekä sakkorekisteriotteen tai vastaavat toisen valtion viranomaisen pitämiin rekistereihin perustuvat otteet Tilaajalle. Tiedot on toimitettava siinä laajuudessa kuin Toimittaja ja Tilaaja ovat voimassa olevan lainsäädännön mukaan oikeutettuja niitä käsittelemään.

10.13. Toimittaja on velvollinen hankkimaan selvityksen kohteena olevan henkilön suostumuksen kohdassa

10.12 mainittujen selvitysten toimittamiseksi Tilaajalle. Tilaaja on oikeutettu käyttämään saamiaan tietoja ainoastaan tehdäkseen 10.15 mukaisen arvioinnin. Tilaajan tämän kohdan mukaiseen salassapito- ja vaitiolovelvollisuuteen sekä hyväksikäyttökieltoon sovelletaan viranomaisten toiminnan julkisuudesta annetun lain 22–24 §:ää. Sikäli kuin Xxxxxxx ei pidä turvallisuusselvityslain mukaista henkilöturvallisuusselvitystä tarkoituksenmukaisena, Toimittaja toimittaa vaikutusmahdollisuuksiensa puitteissa sellaiset tiedot Tilaajalle, että Tilaaja voi suorittaa kohdan 10.15 mukaisen arvioinnin.

10.14. Tilaaja vastaa Suomessa tehtyjen henkilöturvallisuusselvitysten viranomaisten perimistä kustannuksista, Toimittaja vastaa itselleen tästä prosessista koituvista kuluista. Mikäli henkilöturvallisuusselvitys tulee uudelleen tehtäväksi sen vuoksi, että Toimittajan henkilöstössä tapahtuu vaihdos tai Tilaajasta riippumaton lisäys, Toimittaja vastaa uuden henkilön henkilöturvallisuusselvityksen teettämisen tai todistuksen antamisen kustannuksista ja itselleen tästä prosessista koituvista muista kuluista. Toimittaja vastaa PSC:n tai vastaavan toisen valtion viranomaisen antamien selvitysten ja todistusten kustannuksista ja itselleen tästä prosessista koituvista muista kuluista.

10.15. Tilaajalla on henkilöturvallisuusselvityksestä tai muusta vastaavasta selvityksestä ilmenneestä syystä oikeus olla hyväksymättä Toimittajan ehdottamia henkilöitä Pääsopimuksen mukaisten Palvelujen tuottamiseen. Toimittajan on myös viivytyksettä ja veloituksetta vaihdettava henkilö, jota Xxxxxxx ei edellä mainituista syistä enää hyväksy kyseiseen tehtävään tai mikäli henkilö ei anna suostumusta hakea itsestään henkilöturvallisuusselvitystä tai allekirjoita salassapitositoumusta. Toimittaja vastaa henkilövaihdoksen ja uuden henkilön perehdyttämisen aiheuttamista kuluista. Toimittaja ei veloita Xxxxxxxx antamaan perehdytykseen osallistumisesta. Korvaavalla henkilöllä on oltava vastaava pätevyys ja ammattitaito ja Xxxxxxxx hyväksyntä. Tilaaja ei saa evätä hyväksyntää ilman pätevää syytä.

11. ALIHANKKIJAT

11.1. Toimittajan tulee hyväksyttää Tilaajalla sellainen alihankkija, jota se aikoo käyttää Xxxxxxx pidettävien tai Henkilötietojen käsittelyssä. Tässä sopimuksessa alihankkijalla tarkoitetaan ainoastaan sellaista alihankkijaa, jota Toimittaja käyttää Xxxxxxx pidettävien käsittelyssä.

11.2. Mitä tässä sopimuksessa on sovittu Toimittajan henkilöstöstä, sovelletaan myös Xxxxxxxxxxxx Xxxxxxxx tuottamiseen osallistuvaan henkilöstöön.

11.3. Toimittajan tulee huolehtia siitä, että se pystyy noudattamaan tätä sopimusta myös käyttäessään alihankkijoita. Toimittajan on tiedotettava alihankkijalleen, että turvallisuusjärjestelyjen saattamisesta tämän sopimuksen edellyttämälle tasolle saattaa syntyä kustannuksia. Tilaaja ei vastaa näistä kustannuksista.

11.4. Toimittaja vastaa siitä, että sen alihankkijat toimivat tämän sopimuksen ehtojen mukaisesti.

12. TARKASTUKSET

12.1. Tilaajalla tai Tilaajalta toimeksi saaneella riippumattomalla kolmannella taholla on oikeus tarkastaa etukäteen ilmoitettuna ajankohtana Toimittajan turvallisuusjärjestelyt tätä sopimusta sekä Pääsopimusta koskevilta osin.

12.2. Kohdan 12.1 mukainen tarkastus voidaan lain edellytysten täyttyessä suorittaa myös viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011, jälj. auditointilaki) mukaisena arviointina tai valtiovarainministeriön teettämänä selvityksenä. Tämän kohdan mukaisen tarkastuksen toteuttamisesta päättää yksinomaan Xxxxxxx, ellei kyse ole auditointilain 5 §:n tarkoittamasta valtiovarainministeriön teettämästä selvityksestä.

12.3. Sopijapuolet pyrkivät myötävaikuttamaan tarkastuksen suorittamiseen siten, ettei tarkastustoimenpiteistä aiheudu kohtuutonta haittaa Toimittajan palvelutuotannolle tai sovitulle palvelutasolle. Tilaaja tai sopijapuolet yhdessä laativat tarkastusta koskevan tarkastussuunnitelman, jonka sopijapuolet katselmoivat. Tarkastussuunnitelman laatimisesta ja katselmoinnista sovitaan erikseen. Tarkastukset eivät saa vaarantaa Toimittajan tietoturvallisuutta tai Toimittajan salassapitovelvoitteita muita asiakkaita kohtaan enempää kuin mikä on välttämätöntä tarkastuksen tarkoituksen toteuttamiseksi tämän sopimuksen vaatimustenmukaisuuden selvittämiseksi.

12.4. Ellei turvallisuusselvityslaista tai auditointilaista muuta johdu tai elleivät sopijapuolet ole toisin sopineet, Tilaaja vastaa tarkastusten ja arviointien ja todistuksen antamisesta aiheutuvista maksuista, kuten tarkastajan työkustannuksesta. Selvyyden vuoksi todetaan, että Toimittaja vastaa kaikista niistä kuluista ja kustannuksista, joita sille tai sen alihankkijalle aiheutuu tarkastuksiin käytetystä työajasta, havaittujen puutteiden korjaamisesta ja kuluista, jotka aiheutuvat Palvelun saattamiseksi sovittujen vaatimusten mukaisiksi.

12.5. Ellei toisin ole sovittu, Xxxxxxxx on ilmoitettava tahdostaan suorittaa tarkastus viimeistään neljätoista

(14) päivää ennen ehdotettua tarkastuksen suorittamisen aloituspäivää. Haavoittuvuusskannauksia voidaan kuitenkin tehdä edellä mainitusta määräajasta riippumatta erikseen sovittavina ajankohtina. Toimittajan tulee huolehtia sopimusjärjestelyin siitä, että Tilaajalla on mahdollisuus tarkastaa Toimittajan alihankkijan turvallisuusjärjestelyt.

12.6. Jos tarkastuksessa havaitaan, ettei Toimittajan toiminta täytä sovittuja vaatimuksia, Toimittaja laatii viipymättä aikataulutetun suunnitelman tilanteen korjaamiseksi ilman eri veloitusta. Ellei sopijapuolten hyväksymästä suunnitelmasta muuta johdu, Toimittajan tulee korjata tarkastuksessa havaitut puutteet viivytyksettä Tilaajan kirjallisesta ilmoituksesta. Olennaiset puutteet, jotka muodostavat ilmeisen uhkan tietoturvallisuudelle, on korjattava heti tai Xxxxxxxx asettamassa aikataulussa. Tilaaja ei vastaa edellä mainituista korjauksista aiheutuvista kuluista ja kustannuksista.

12.7. Mikäli tarkastuksessa havaitaan, ettei Toimittajan toiminta täytä sovittuja vaatimuksia ja Tilaaja edellyttää virheen korjaamisen todentamiseksi uusintatarkastusta, Toimittaja korvaa Tilaajalle uusintatarkastuksesta aiheutuvat kustannukset.

12.8. Tilaajalla on oikeus luovuttaa muille viranomaisille tieto siitä, että tämän luvun mukainen tarkastus on suoritettu ja siitä, ovatko Toimittajan turvallisuusjärjestelyt todettu vaatimusten mukaisiksi. Tilaajalla ei kuitenkaan ole ilman Toimittajan lupaa oikeutta luovuttaa tietoa tarkastuksen yksityiskohtaisista havainnoista, ellei pakottavasta lainsäädännöstä muuta johdu.

13. RAPORTOINTI JA VIESTINTÄ

13.1. Toimittaja on velvollinen ilmoittamaan Tilaajalle, jos Toimittajan tämän sopimuksen kannalta keskeisissä toiminnoissa, sopimukseen liittyvissä turvallisuusjärjestelyissä tai Palvelun tuottamisen edellytyksissä tapahtuu muutoksia. Palvelun tuottamisen edellytyksiin luetaan muun ohella muutokset Toimittajan tai Toimittajan alihankkijan omistussuhteissa.

13.2. Toimittaja valvoo tämän sopimuksen edellyttämän turvallisuustason toteutumista ja vaatimuksen mukaisuutta toiminnassaan säännöllisesti ja suunnitelmallisesti, kirjaa mahdolliset poikkeamat ja raportoi ne Tilaajalle viivytyksettä sekä aloittaa korjaustoimet ensi tilassa. Toimittaja ei veloita tämän kohdan mukaisista toimenpiteistä, ellei toisin ole sovittu.

13.3. Toimittaja on viipymättä velvollinen ilmoittamaan Tilaajalle, mikäli Toimittajaan kohdistuu Tilaajaa mahdollisesti uhkaavia yhteydenottoja tai uhkatilanteita.

13.4. Tilaaja seuraa tietoturvallisuuteen, Palvelun ja palvelutuotannon jatkuvuuteen liittyviä muutoksia ja ilmoittaa Toimittajalle muutostarpeista. Muutosten toteuttamisesta ja kustannuksista sovitaan erikseen.

13.5. Tilaaja vastaa omaan toimintaansa liittyvästä viestinnästä. Sopijapuolet voivat tehdä Palvelun osalta viestintäsuunnitelman.

13.6. Ellei toisin sovita, Toimittajan on toimitettava Tilaajan hyväksyttäväksi Toimittajan sisäisille tai ulkoisille sidosryhmille osoitettavat julkaisut tai markkinointimateriaali, jotka liittyvät Pääsopimuksen mukaiseen yhteistyöhön. Edellä sovittua ei kuitenkaan sovelleta pörssitiedotteisiin tai muihin vastaaviin lainsäädäntöön perustuviin tiedottamisvelvoitteisiin.

14. SOPIMUSSAKKO JA VAHINGONKORVAUS

14.1. Sopimussakon määrä jokaista salassapitovelvoitteen rikkomusta kohden on 2,5 % Pääsopimuksen tai siihen liittyvän sopimuksen toimituksen arvosta. Yli 12 kuukautta voimassa olevien sopimusten osalta sopimussakon määrä on jokaista salassapitovelvoitteen rikkomusta kohden 2,5 % Pääsopimuksen tai siihen liittyvän sopimuksen toistuvaismaksujen laskennallisesta 12 kuukauden hinnasta.

14.2. Tilaajalla ei ole oikeutta saada sopimussakkoa, jos Toimittaja korjaa turvallisuusvelvoitteen rikkomuksen 14 vuorokauden kuluessa siitä, kun se on havainnut rikkomuksen. Oikeus sopimussakkoon kuitenkin säilyy, jos rikkomuksesta on on aiheutunut Xxxxxxxxxx vahinkoa.

14.3. Tilaaja ei vastaa vahingosta, joka Toimittajalle on aiheutunut tämän sopimuksen mukaisen tarkastustoimenpiteen suorittamisesta.

14.4. Sopijapuoli ei vastaa toisen sopijapuolen tietojen tai tiedostojen tuhoutumisesta, katoamisesta tai muuttumisesta ja tästä aiheutuneista kuluista, kuten tietojen ja tiedostojen uudelleen luomisen aiheuttamista kustannuksista. Tätä kohtaa ei kuitenkaan sovelleta, jos sopijapuolen velvollisuutena on Pääsopimuksen mukaan toisen sopijapuolen tietojen ja tiedostojen käytettävyydestä ja saatavuudesta huolehtiminen, ja sopijapuoli on rikkonut tätä velvollisuuttaan.

14.5. Tähän sopimukseen perustuva sopijapuolen vahingonkorvausvelvollisuus toiselle sopijapuolelle on mahdolliset viivästys-, palvelutaso- tai muut sopimussakot tai hyvitykset pois lukien yhteensä enintään Pääsopimuksen mukaisen toimituksen kokonaishinta. Pääsopimuksen mukaisen toimituksen kokonaishintana pidetään sitä yhteenlaskettua arvonlisäverotonta hintaa, joka muodostuu Pääsopimuksen mukaisista tuotteiden ja Palveluiden toimituksista, lisätöistä ja jatkuvista palveluista laskettuna sopimuskaudelle.

14.6. Näiden ehtojen mukaiset vahingonkorvausvelvollisuuden rajoitukset eivät koske tapausta, jossa sopijapuoli on aiheuttanut vahingon tahallisesti tai törkeällä huolimattomuudella.

15. SOPIMUSMUUTOKSET

15.1. Tähän sopimukseen tai sen liitteisiin tehtävät muutokset tulee tehdä kirjallisesti ja molempien sopijapuolten vahvistaa allekirjoituksellaan. Tämän sopimuksen muutokseksi ei katsota yhteyshenkilöiden vaihtumista.

16. SOPIMUKSEN IRTISANOMINEN JA PURKAMINEN

16.1. Xxxxxxxxxxx voi irtisanoa tämän sopimuksen päättymään noudattaen Pääsopimuksessa sovittua irtisanomisaikaa. Ellei muuta ole sovittu irtisanomisajan pituudesta, irtisanomisaika on kuusi (6) kuukautta kirjallisesta ilmoituksesta lukien.

16.2. Xxxxxxxxxxx saa purkaa tämän sopimuksen ja Pääsopimuksen, mikäli toinen sopijapuoli on olennaisesti rikkonut tämän sopimuksen (mukaan luettuna tämän sopimuksen liitteiden) sopimusvelvoitteitaan. Mikäli sopimusrikkomus on korjattavissa, sopijapuoli voi purkaa sopimuksen vain, mikäli sopimusrikkomukseen syyllistynyt sopijapuoli ei ole korjannut sopimusrikkomustaan kohtuullisessa ajassa siitä, kun sopijapuoli on kirjallisesti huomauttanut rikkomuksesta ja aikomuksestaan purkaa sopimus. Lisäksi jos Toimittaja on rikkonut tätä sopimusta vähintään kolme kertaa siten, että Tilaajalla on syntynyt oikeus vaatia luvussa 14 tarkoitettua sopimussakkoa, Tilaajalla on aina oikeus irtisanoa tämä sopimus ja Pääsopimus päättymään välittömästi.

16.3. Xxxxxxx on oikeutettu irtisanomaan tämä sopimus ja Pääsopimus päättymään välittömästi, mikäli Toimittaja tai sen alihankkija ei anna suostumustaan yritysturvallisuusselvityksen tai FSC:n toteuttamiselle tai Toimittaja ei pyynnöstä toimita kohdassa 10.7 tarkoitettuja tietoja. Xxxxxxx on oikeutettu irtisanomaan välittömästi päättymään tämän sopimuksen ja Pääsopimuksen, mikäli Tilaajalla on tehdyn yritysturvallisuusselvityksen tai muun tiedon perusteella syytä epäillä Toimittajan taikka sen johtohenkilön tai edustus-, päätös- tai valvontavaltaa käyttävien henkilöiden toimivan

tavalla, joka voi vahingoittaa valtion turvallisuutta, maanpuolustusta, Suomen kansainvälisiä suhteita, yleistä turvallisuutta tai muuta niihin verrattavaa yleistä etua taikka erittäin merkittävää yksityistä taloudellista etua taikka edellä tarkoitettuja etujen suojaamiseksi toteutettavia turvallisuusjärjestelyjä.

16.4. Irtisanominen ja purkaminen tulee tehdä kirjallisesti.

16.5. Tämän sopimuksen päättymisestä huolimatta Toimittajan on maksettava päättymisen perusteena olevista rikkomuksista tämän sopimuksen mukaiset korvaukset.

17. SOPIMUKSEN VOIMASSAOLO

17.1. Tämä sopimus on voimassa niin kauan kuin Tilaajan ja Toimittajan välinen Pääsopimus on voimassa.

17.2. Tämä sopimus tulee voimaan, kun kumpikin sopijapuoli on sen allekirjoittanut.

17.3. Tämän sopimuksen mukainen salassapitovelvollisuus on voimassa myös sen jälkeen kuin Tilaajan ja Toimittajan välinen Pääsopimus on päättynyt.

17.4. Pääsopimuksen päätyttyä Toimittaja mahdollisine alihankkijoineen palauttaa kaikki Xxxxxxxx Xxxxxxx pidettäviä tietoja sisältävät dokumentit, tallenteet ja muun materiaalin. Erikseen kirjallisesti niin sovittaessa Toimittaja mahdollisine alihankkijoineen voi myös tuhota edellä mainitun materiaalin. Materiaalin tuhoamisesta on Tilaajan niin pyytäessä toimitettava kirjallinen todistus.

18. SOVELLETTAVA LAKI JA ERIMIELISYYKSIEN RATKAISEMINEN

18.1. Tähän sopimukseen sovelletaan Suomen lakia, lukuun ottamatta lainvalintasäännöksiä.

18.2. Tästä sopimuksesta aiheutuvat erimielisyydet pyritään ensisijaisesti ratkaisemaan sopijapuolten välisin neuvotteluin. Mikäli sopijapuolet eivät pääse sovinnolliseen ratkaisuun, erimielisyydet ratkaistaan Pääsopimuksessa sovitussa oikeuspaikassa.

19. SOPIMUSASIAKIRJAT JA NIIDEN ETUSIJAJÄRJESTYS

19.1. Tämä sopimus muodostuu tästä sopimusasiakirjasta ja seuraavista liitteistä: Liite 1: Yhteyshenkilölista

Liite 2: Salassapitositoumus

Liite 3: Turvallisuusvaatimukset

Liite 4. Sopimus henkilötietojen käsittelystä

20. SOPIMUSKAPPALEET JA ALLEKIRJOITUKSET

20.1. Tämä sopimus on laadittu kahtena (2) samasanaisena kappaleena, yksi (1) kummallekin sopijapuolelle.

[paikka ja aika] [paikka ja aika]

Terveyden ja hyvinvoinnin laitos [TOIMITTAJA]

[ratkaisija] [allekirjoittaja]

[paikka ja aika]

Terveyden ja hyvinvoinnin laitos

[esittelijä]

Document Metadata

Table of Contents

Turvallisuussopimus

Document Metadata