1560/2023 1 (5)
Lasten, nuorten ja perheiden palvelulinja Liite x Voimaperheet-hanke
1.1 Tässä liitteessä Tilaajalla tarkoitetaan Pirkanmaan hyvinvointialuetta ja Palveluntuottajalla Pirkanmaan hyvinvointialueen sopimuskumppania. Sopimuksessa, johon tämä Salassapito- ja turvallisuusliite sisältyy (jäljempänä "Sopimus"), sopimuskumppanista on voitu käyttää myös termiä Toimittaja. Tilaajasta ja Palveluntuottajasta käytetään erikseen viitattuna termiä ”Osapuoli” ja yhdessä ”Osapuolet”.
1.2 Tässä Salassapito- ja Turvallisuusliitteessä määritellään Tilaajaa ja Palveluntuottajaa sitovasti ne luottamuksellisen tiedon käsittelyä ja tietoturvallisuutta koskevat ehdot, joiden mukaisesti Palveluntuottaja käsittelee Tilaajan Luottamuksellista tietoa (kuten jäljempänä määritelty).
1.3 Palveluntuottaja noudattaa kulloinkin voimassa olevaa tietoturvallisuutta, tietosuojaa, asiakas- ja potilastietoa, pelastustoiminnan tietoja, julkisuutta ja salassapitoa koskevaa lainsäädäntöä. Käsitellessään Luottamuksellista tietoa Palveluntuottaja noudattaa yleisiä hyviä tietoturvaperiaatteita, joilla varmistetaan toiminnan jatkuvuus sekä poikkeamiin varautuminen.
1.4 Tässä Salassapito- ja Turvallisuusliitteessä määritellyt vaatimukset asettavat vähimmäistason Sopimuksen kohteen tietoturvallisuudelle. Mikäli Tilaaja katsoo, että Palveluntuottajan kohde vaatii tarkempia tietoturvavaatimuksia, täydennetään tämän Salassapito- ja Turvallisuusliitettä palvelukohtaisilla tietoturvavaatimuksilla (alaliite).
1.5 Palveluntuottajalla tulee olla ohjeistus luottamuksellisen tiedon käsittelylle, joiden mukaisesti Palveluntuottajan henkilöstö ja asianosaiset ulkopuoliset tahot käsittelevät luottamuksellista tietoa.
1.6 Osapuolten välisen Sopimuksen päättyessä Palveluntuottaja sitoutuu viivytyksettä Tilaajan antaman ohjeistuksen mukaisesti joko palauttamaan tai poistamaan Luottamuksellisen tiedon ja siitä mahdollisesti tekemänsä kopiot. Mikäli unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään Luottamukselliset tiedot, velvollisuutta tietojen poistamiseen ei ole. Palveluntuottajan tulee Tilaajan pyynnöstä esittää poistamisesta kohtuullinen selvitys. Tilaaja voi antaa tältä osin tarkempia ohjeita Palveluntuottajalle. Tilaajan pyynnöstä Palveluntuottaja voi arkistoida henkilötietoja Xxxxxxxx määrittämän ajan ennen niiden palautusta tai poistamista. Tällöin Osapuolet sopivat erikseen arkistoinnista aiheutuvien kulujen korvaamisesta. Selvyyden vuoksi todetaan, tätä Salassapito- ja turvallisuusliitettä sovelletaan myös luottamuksellisten tietojen käsittelyyn arkistointitarkoituksessa.
2.1 Luottamuksellisella tiedolla tarkoitetaan kaikkea Tilaajan luottamuksellista tietoa, jollaista on henkilötieto, henkilöstön tieto, sosiaalihuollon asiakastieto, potilastieto, pelastustoiminnan tieto sekä muu Tilaajan toiminnan järjestämiseen ja luonteeseen liittyvä tieto, joka ei ole yleisesti tiedossa. Tällaista tietoa tyypillisesti on Tilaajan tietotekniikkainfrastruktuuriin, tietoturvahallintoon, sovelluksiin, järjestelmiin, toimintatapoihin ja käytänteisiin liittyvä tieto, tietoturvasta ja sovelluksista
Pirkanmaan hyvinvointialue | PL 272, 33101 Tampere xxxxxxx.xxxxxxxx@xxxxx.xx | xxxxx.xx
vastuullisiin ja niitä ylläpitäviin liittyvä tieto sekä kaikki sellainen Tilaajan toimintaan liittyvä tieto, joka ei ole yleisesti tiedossa ja joka annetaan Palveluntuottajan tietoon Sopimuksen perusteella tai syntyy sovitun palvelun yhteydessä. Luottamuksellinen tieto voidaan ilmaista suullisesti, kirjallisesti tai sähköisesti.
2.2 Palveluntuottaja sitoutuu pitämään salassa kaiken Luottamuksellisen tiedon ja käsittelemään sitä tämän Salassapito- ja Turvallisuusliitteen vaatimusten mukaisesti. Palveluntuottaja ei käytä, käsittele tai talleta Luottamuksellista tietoa muutoin kuin Osapuolten välisen Sopimuksen toteuttamiseksi.
2.3 Palveluntuottaja ei paljasta tai luovuta Luottamuksellista tietoa ulkopuolisille tahoille ilman Tilaajan kirjallista suostumusta. Palveluntuottajalla on kuitenkin oikeus luovuttaa viranomaisille tietoja, jotka se on velvollinen lain tai oikeuden päätöksen perusteella luovuttamaan. Palveluntuottajan tulee ilmoittaa tästä välittömästi ja kirjallisesti Tilaajalle sekä kertoa kenelle ja mitä tietoja on luovutettu.
2.4 Mikäli Palveluntuottaja käsittelee Tilaajan Luottamuksellista tietoa Sopimuksen toteuttamiseksi sähköpostissa, pilvipalveluratkaisuissa taikka muilla tavoin Palveluntuottajan sisäverkon ulkopuolelta, tulee Palveluntuottajan käyttää monimenetelmäistä todentamista (MFA) Luottamuksellisen tiedon suojaamiseksi.
2.5 Palveluntuottaja saattaa Sopimuksen toteuttamiseen osallistuvan henkilöstönsä ja käyttämänsä alihankkijat tietoisiksi tämän Salassapito- ja Turvallisuusliitteen salassapitovelvoitteista sekä vastaa siitä, että he noudattavat näitä salassapitoehtoja tai heitä koskee lakisääteinen salassapitovelvollisuus.
2.6 Palveluntuottaja sitoutuu lisäksi noudattamaan Tilaajan luottamuksellisuuteen ja turvallisuuteen liittyviä ohjeita, jotka on saatettu Palveluntuottajan tietoon.
2.7 Salassapitovelvollisuus ei koske tietoa, joka on yleisesti saatavilla tai julkista tai jonka Palveluntuottaja on saanut laillisesti haltuunsa muuten kuin Tilaajalta.
3.1 Palveluntuottaja toteuttaa asianmukaiset toimenpiteet, joita tarvitaan Luottamuksellisen tiedon suojaamiseksi luvattomalta tietoihin pääsyltä tai tietojen tuhoutumiselta tai muuttumiselta.
3.2 Palveluntuottajalla on tietoturvan hallintamalli, jonka avulla toteutetaan Tilaajan asettamia tietoturvatavoitteita ja vaatimuksia. Palveluntuottaja määrittelee ja nimittää organisaatiossaan tietoturvallisuuteen liittyvät roolit ja vastuut yleisesti tai Osapuolten välisen Sopimuksen toteuttamiseksi.
3.3 Palveluntuottaja tunnistaa ja dokumentoi Sopimuksen kohteeseen liittyvät järjestelmät ja huolehtii niiden sisältämien tietojen luottamuksellisuuden, eheyden, saatavuuden, käytettävyyden ja kiistämättömyyden toteuttamisesta Sopimuksen vaatimusten mukaisesti.
3.4 Palveluntuottaja sitoutuu jatkuvasti kehittämään ja vastaa tuottamansa palvelun tietoturvallisuuden ja jatkuvuuden jatkuvasta kehittämisestä.
3.5 Palveluntuottajan toimitilojen turvallisuus, kun Sopimuksen kohteeseen liittyvä työ suoritetaan Palveluntuottajan tai sen alihankkijan tiloissa, riippumatta siitä onko Palveluntuottajan tilat omia vai Palveluntuottajan hallinnoimia.
3.5.1 Palveluntuottajan tulee varmistaa tilojen tarkoituksenmukainen fyysinen turvallisuus tulipalon, sähkökatkosten, vesivaurioiden, ulkopuolisten häiriötekijöiden ja muiden vastaavien erityistilanteiden varalta.
3.5.2 Henkilöt, joille ei ole myönnetty oikeutta Luottamukselliseen tietoon, saavat oleskella tiloissa ainoastaan valvonnan alaisina. Valvontaa ei edellytetä, mikäli Luottamuksellista tietoa säilytetään tai käsitellään tiloissa siten, että nämä henkilöt eivät voi päästä niihin käsiksi. Palveluntuottaja arvioi ja toteuttaa riittävän valvontaratkaisun kuhunkin tarpeeseen.
3.6.1 Palveluntuottaja huolehtii, että Palveluntuottajan alihankkijoihin ja heidän palveluksessaan oleviin henkilöihin sovelletaan samoja tai sisällöllisesti saman sisältöisiä ehtoja kuin on tässä Salassapito- ja Turvallisuusliitteessä Palveluntuottajalle asetettu.
3.6.2 Palveluntuottaja vastaa käyttämiensä alihankkijoiden toiminnasta kuin omastaan.
3.7.1 Tilaajalla tai sen nimeämällä riippumattomalla kolmannella osapuolella, joka ei voi olla Palveluntuottajan kilpailija, on oikeus auditoida Palveluntuottajan Sopimuksen toteuttamiseen liittyvät turvallisuusmenettelyt varmistuakseen siitä, että Palveluntuottaja on täyttänyt Sopimuksen ja tämän Salassapito- ja Turvallisuusliitteen mukaiset velvollisuutensa.
3.7.2 Tarkastus toteutetaan lähtökohtaisesti 30 vuorokauden varoitusaikaa noudattaen. Mikäli Tilaaja voi osoittaa erityisen perusteen tarkastuksen toteuttamiselle, kuten kohtuulliset syyt epäillä Sopimuksen rikkomista tai tietoturvaloukkausta, on Tilaajalla oikeus käynnistää tarkastusmenettely
7 vuorokauden ilmoitusaikaa noudattaen sen lisäksi, mitä tässä Salassapito- ja Turvallisuusliitteessä todetaan muusta avustamisesta. Ilman erityistä perustetta tehtäviä tarkastuksia voidaan suorittaa enintään 1 vuodessa.
3.7.3 Kumpikin Osapuoli vastaa tarkastuksesta itselleen aiheutuneista kustannuksista. Mikäli tarkastuksessa havaitaan merkittäviä puutteita, Palveluntuottaja vastaa tarkastuksesta Tilaajalle ja Palveluntuottajalle aiheutuneista tarkastuksen kohteen mukaan kohtuullisista kustannuksista sekä Tilaajan nimeämän kolmannen osapuolen palkkiosta ja kuluista. Palveluntuottaja sitoutuu avustamaan Tilaajaa ja Xxxxxxxx nimeämää kolmatta osapuolta tarkastuksen suorittamisessa.
4.1 Palveluntuottajan tulee erillisestä pyynnöstä toimittaa listaus Sopimuksen täyttämiseen käyttämästään henkilöstöstä Tilaajalle. Mikäli Sopimuksessa on mainittu, että Palveluntuottaja toimittaa listauksen Sopimuksen täyttämiseen käyttämästään henkilöstöstä, sovelletaan Sopimusta. Tilaajalla on oikeus joko hyväksyä tai hylätä Palveluntuottajan Tilaajalle ehdottama Sopimuksen täyttämiseen käytettävä henkilöstö perustellusta syystä.
4.2 Tilaajalla on oikeus teettää sille nimetystä Palveluntuottajan henkilöstöstä turvallisuusselvitys sikäli, kun sovellettava lainsäädäntö sen sallii.
4.3 Tilaaja voi erikseen pyytää nimettyjä Palveluntuottajan henkilöstön jäseniä allekirjoittamaan henkilökohtaisen salassapitosopimuksen.
4.4 Palveluntuottaja sitoutuu varmistamaan, että kaikki henkilöt, joilla on oikeus Sopimuksen kohteen toteuttamiseksi käsitellä Luottamuksellista tietoa, käsittelevät niitä ainoastaan Tilaajan antamien ohjeiden mukaisesti ja Tilaajan asettamien tietoturvallisuusvaatimusten mukaisesti.
4.5 Henkilön, joka toimii Palveluntuottajan lukuun Tilaajan tiloissa, on tarvittaessa todistettava henkilöllisyytensä Xxxxxxxxxx henkilökortilla tai muulla yhdessä sovitulla tavalla ennen Sopimuksen mukaisen tehtävän suorittamista.
4.6 Palveluntuottaja estää järjestelmien käytön teknisesti, kun henkilön peruste Luottamuksellisen tiedon käsittelylle on päättynyt.
5.1 Palveluntuottajan tulee huolehtia sille annetuista salasanoista, tunnistautumisvälineistä ja pääsystä Tilaajan hallinnassa oleviin tietojärjestelmiin, verkkoihin tai sähköisiin ratkaisuihin siten, että vain niillä Palveluntuottajan henkilöillä on pääsy näihin käsiksi, joiden Xxxxxxxx kanssa solmitun Sopimuksen mukaiset tehtävät välttämättä tätä edellyttävät.
5.2 Palveluntuottaja huolehtii siitä, että Tilaajan sille luovuttamia tunnuksia käytetään vain niihin tarkoituksiin, joita Palveluntuottajan Tilaajalle suorittamat tehtävät edellyttävät.
5.3 Palveluntuottaja ei saa liittyä Tilaajan järjestelmiin muutoin, kuin erikseen Xxxxxxxx tälle osoittamin henkilökohtaisin tunnuksin ja/tai tunnistautumisvälinein.
6.1 Palveluntuottaja ilmoittaa kirjallisesti Tilaajan tietoturvavastaavalle osoitteeseen xxxxxxxxxxxxxxxxxx@xxxxx.xx havaitsemistaan Luottamukselliseen tietoon kohdistuvista tietoturvapoikkeamista ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 72 tunnin kuluessa siitä, kun Palveluntuottaja on tullut tietoiseksi poikkeamasta.
6.2 Tietoturvapoikkeaman havaittuaan Palveluntuottajan tulee ryhtyä viipymättä toimenpiteisiin tietoturvapoikkeaman poistamiseksi ja sen vaikutusten rajoittamiseksi ja korjaamiseksi sekä vastaavan tietoturvapoikkeaman ehkäisemiseksi tulevaisuudessa.
7.1 Osapuolten välisessä Sopimuksessa mahdollisesti olevaa vastuunrajoituslauseketta ei sovelleta tähän Salassapito- ja turvallisuusliitteen mukaisten velvoitteiden rikkomiseen.
7.2 Palveluntuottaja on vastuussa kaikista välittömistä vahingoista aiheutuneista kustannuksista täysimääräisesti, jotka ovat aiheutuneet Tilaajalle tästä Salassapito- ja Turvallisuusliitteestä johtuvien velvoitteiden rikkomisesta. Näiden ehtojen mukaiset vahingonkorvausvelvollisuuden rajoitukset eivät koske tapausta, jossa Osapuoli on aiheuttanut vahingon tahallisesti tai törkeällä huolimattomuudella. Palveluntuottajan enimmäisvastuu vahinkotapahtumaa kohden on suurin seuraavista: viisi (5) kertaa 12 kuukauden Sopimuksen perusteella suoritettavien toistuvaismaksujen laskennallinen määrä tai 100 000 euroa. Palveluntuottaja ei vastaa välillisistä vahingoista.
7.3 Palveluntuottaja on vahingon havaittuaan velvollinen ryhtymään asianmukaisiin toimenpiteisiin vahingon rajoittamiseksi.
8.1 Palveluntuottajan salassapitoa ja vastuuta koskevat sopimusehdot sekä muut sellaiset sopimusmääräykset, joiden on katsottava tarkoitetun jäämään voimaan Sopimuksen päättymisen jälkeenkin, pysyvät voimassa.