Tietoturvallisuussopimus
Palvelusetelisääntökirjan liite 1 13.10.2023
|
|
|
SISÄLLYSLUETTELO
5.2 Tietoturvaloukkaustilanteessa toimiminen 5
5.3 Henkilötietojen tietoturvaloukkauksesta ilmoittaminen 5
5.4 Toimittajan avustamisvelvollisuus Henkilötietojen tietoturvaloukkaustilanteissa 5
7.1 Tiedonhallintalain mukaiset lokitiedot 8
7.2 Asiakas- ja hyvinvointitietojen käsittelyn ja luovutuksen lokitiedot 8
7.3 Tekniset lokit sekä tietoturvan audit trail -loki 8
7.4 Lokitietojen säilyttäminen 9
7.5 Muut lokitietoja koskevat velvoitteet 10
10 Tietosuojaa ja tietoturvaa koskeva auditointi 12
11.1 Yritysturvallisuusselvitykset 13
11.2 Henkilöturvallisuusselvitykset 14
12 Sopimussakko, korvausvastuu ja vastuunrajoitukset 15
Sopimuksen sopijapuolet
Palvelunjärjestäjä: Vantaan ja Keravan hyvinvointialue (Myöhemmin ”VAKE” tai ”Sopijapuoli”)
Y-tunnus: 3221356-1
Osoite: PL 1700, 01030 Vantaa
Toimittaja: (Myöhemmin ”Toimittaja” tai ” Sopijapuoli”)
Y-tunnus:
Osoite:
Yhdessä myös ” Sopijapuolet”.
Määritelmät
Henkilötietojen tietoturvaloukkauksella, Personal Data Breach tarkoitetaan tietosuoja-asetuksen 14 artiklan 12) kohdan mukaan Tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. vrt. Tietoturvaloukkaus
Palvelut: Palvelusetelisääntökirjan kohteena olevat palvelut.
Sopimus: Tämä sopimus.
Tietosuojalainsäädäntö: tarkoittaa, rajoituksetta ja soveltuvin osin, kaikkea kulloinkin voimassa olevaa henkilötietojen suojaan liittyvää EU-lainsäädäntöä ja kansallista lainsäädäntöä, kuten EU:n yleistä tietosuoja-asetusta (TSA, 679/2016) sekä kansallista tietosuojalakia (1050/2018).
Tietoturvatapahtuma, Information Security Event, Anomaly: yksittäinen tapahtuma, joka saattaa vaikuttaa tietoturvaan
Tietoturvapoikkeama, tietoturvahäiriö, Information Security Incident: yksi tai useampi tietoturvatapahtuma, vaarantaen tietoturvan ja vaikuttaen organisaation toimintaan
Tietoturvaloukkaus, Information Security Breach: oikeudeton puuttuminen tietoon. vrt. Henkilötietojen tietoturvaloukkaus
Sopimukseen sovelletaan lisäksi EU:n yleisen tietosuoja-asetuksen (2016/679, myös TSA) ja sääntökirjan määritelmiä.
Sopimuksen kohde
Sopimuksen kohteena on VAKEn palvelusetelillä järjestämän palvelun tietosuoja- ja tietoturvaehdot. Toimittajan tulee noudattaa ehtoja tuottaessaan VAKEn asiakkaalle sääntökirjan mukaisia palveluja.
Toimittaja
täyttää liitteen
1.4 (liite 1.4 Henkilötietojen kuvaus / seloste käsittelytoimista).
VAKE voi päätöksellään keskeyttää tai lopettaa Toimittajan Palvelujen käytön kokonaan tai osittain väliaikaisesti, jos sen toiminnassa ilmenee vakavia tietosuoja- tai tietoturvapuutteita. VAKE jatkaa Palvelujen käyttöä, kun tietosuoja- tai tietoturvapuutteet Toimittajan toiminnassa on korjattu. Osapuolet ymmärtävät, ettei Toimittajalla ole oikeutta veloittaa Palvelujen käytöstä siltä osin, kuin VAKE on päätöksellään keskeyttänyt tai lopettanut Palvelujen käytön
Sopijapuolten sopimus-, tietosuoja-, tietoturva- ja yhteyshenkilöt on kuvattu tai tämän Sopimuksen liitteessä 1.6. Yhteyshenkilöiden tehtävänä on seurata ja valvoa oman vastuualueensa osalta Sopimuksen toteutumista ja tiedottaa oman organisaationsa sisällä ja toisen Sopijapuolen yhteyshenkilölle Sopimuksen toteutumiseen liittyvistä asioista. Yhteyshenkilöiden vaihtumisesta on ilmoitettava kirjallisesti viipymättä toisen Sopijapuolen sopimusyhteyshenkilölle.
Tietoturva
Toimittaja huolehtii käsittelemiensä tietojen asianmukaisesta suojaamisesta laittoman tai tapaturmaisen häviämisen tai hävittämisen varalta.
Toimittaja huolehtii siitä, että sen sopimusvelvoitteiden täyttämistä varten käyttämät tietotekniset laitteet sekä palvelutuotannon tilat on asianmukaisesti suojattu tietoturvariskejä vastaan ja että suojaukseen ja tiedonvarmistukseen liittyviä menettelyjä noudatetaan. VAKEn on huolehdittava vastaavin tavoin omista tietoteknisistä laitteistaan ja tiloistaan.
Toimittajan velvollisuutena on huolehtia tietojen varmuuskopioinnista, varmuuskopioiden toimivuuden tarkastamisesta, niiden testaamisesta ja tarvittaessa niiden palauttamisesta. Varmistukset tulee ottaa päivä-, kuukausi- ja vuosikierrolla, ellei erikseen toisin sovita. Kiertokohtaisten viimeisten varmistuskopioiden kierrot tulee säilyttää vähintään Sopimuksen voimassaoloajan. Mikäli lainsäädäntö edellyttää pitempää säilytysaikaa, viimeiset varmistuskopiot tulee palauttaa VAKElle. Toimittaja on velvollinen puolivuosittain, ellei toisin erikseen sovita, todentamaan kirjallisesti VAKElle, että varmistuskopiointi on onnistunut ja tietojen eheys on säilynyt sekä myös tietojen palautus onnistuu.
Toimittaja vastaa VAKEn tietojen tai tiedostojen tuhoutumisesta, katoamisesta tai muuttumisesta ja tästä aiheutuneista välittömistä kuluista, kuten tietojen ja tiedostojen uudelleen luomisen aiheuttamista kustannuksista niiltä osin kuin se on velvollinen ottamaan edellä mainitut varmistukset. Toimittajalla ei ole edellä mainittua vastuuta, mikäli VAKE tai VAKEn vastuulla oleva aiheuttaa omalla toiminnallaan tietojen tai tiedostojen katoamisen taikka häviämisen taikka mikäli tietojen tai tiedostojen katoaminen aiheutuu Toimittajan vaikutusvallan ulkopuolella olevasta seikasta. Selvyyden vuoksi todetaan, että Toimittaja on viimeksi mainitussa tapauksessa velvollinen erillistä korvausta vastaan palauttamaan VAKEn tiedot ja auttamaan T
VAKEa tietojen ajantasaistamisessa.
Toimittaja on velvollinen pyydettäessä sopimuskauden aikana toimittamaan selvityksensä omasta tietoturvan hallinnasta. Edellä mainitusta selvityksestä on vähintään käytävä ilmi alla mainitut asiat:
Toimittajan tietoturva- ja tietosuojapolitiikka,
Toimittajan tietoturvasertifioinnit
Toimittajan asiakkaiden käyttäjätunnusten hallinnan periaatteet,
Toimittajan lokienhallinnan periaatteet,
Toimittajan varmistusten hallinnan periaatteet,
Toimittajan toipumissuunnitelma
Toimittajan tietoturvapäivitysten hallinta sekä
Toimittajan suunnitelma ja menettelytavat Tietoturvaloukkausten varalle sekä
Palvelun arkkitehtikuvauksen, josta ilmenee Palvelun rakenne, tietoliikennevaatimukset sekä tietovirrat.
Selvyyden vuoksi todetaan, että kaikki edellä mainittu koskee myös Toimittajan käyttämiä alihankkijoita ja kolmansia Sopijapuolia ja selvityksestä tulee ilmetä heidän osuutensa Toimittajan toimittamien Palvelujen tietoturvasta.
Toimittaja toimittaa ennen Sopimuksen allekirjoittamista edellä kuvatun selvityksen ja suunnitelman VAKElle tiedoksi, ellei erikseen toisin sovita.
Tietoturvaan sovelletaan lisäksi liitteen 1.3 mukaisia korotetun tason tietoturvavaatimuksia.
Tietoturvaloukkaukset
Tämä Sopimuksen luku koskee sekä Tietoturvaloukkauksia että Henkilötietojen tietoturvaloukkauksia. Tietoturvaloukkausta koskevat Sopimuksen kohdat (5.1–5.3) ja Henkilötietojen tietoturvaloukkauksia koskevat Sopimuksen kohdat (5.1–5.4).
Ilmoitusvelvollisuus
Sopijapuolen on ilman aiheetonta viivytystä ilmoitettava toiselle Sopijapuolelle sellaisista Sopijapuolen tietoon tulleista seikoista, jotka voivat vaikuttaa olennaisesti Sopimuksen kohteeseen liittyvään tietoturvallisuuteen, ja niiden aiheuttamista toimenpiteistä ja mahdollisista seurauksista. Velvollisuus koskee muun ohella tietoturvariskejä, muutoksia turvajärjestelyissä, toteutuneita tietoturvaloukkauksia tai niiden yrityksiä, paikkaamattomia järjestelmähaavoittuvuuksia, palvelunestohyökkäyksiä sekä muita vastaavia poikkeamia, jotka ovat omiaan nostamaan olennaisesti tietoturvallisuuteen kohdistuvaa riskiä. Jos seikka liittyy henkilötietoihin, Toimittajan on ilmoitettava VAKElle asiaan liittyvien rekisteröityjen ryhmät ja arvioidut lukumäärät ilman erillistä pyyntöä ja ilman erillistä kustannusta.
Tietoturvaloukkaustilanteessa toimiminen
Sopijapuolilla tulee olla yhteisesti sovittu toimintatapa Tietoturvaloukkaustilanteissa toimimiseen. Toimittaja huolehtii häiriötilanteiden hallinnasta siten, että ongelman rajaus ja korjaus suoritetaan viipymättä yhteisesti sovittujen menettelytapojen mukaisesti.
Sopijapuolet ovat velvollisia auttamaan toisiaan tietoturvaloukkauksiin liittyvien vahinkojen minimoinnissa sekä asian selvittämisessä viranomaistahojen ja tarvittavien tahojen kanssa.
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen
EU:n yleisen tietosuoja-asetuksessa määritellyistä henkilötietojen tietoturvaloukkauksista Sopijapuolen tulee raportoida toiselle Sopijapuolelle sopimuksen liitteen 1.2 mukaisesti. Henkilötietojen tietoturvaloukkausta koskevan ilmoituksen tarkka sisältö on kuvattu sopimuksen liitteessä 1.2 (Henkilötietojen käsittelyn vaatimukset) kohdassa 9 ja menettelyprosessi on kuvattu tämän sopimuksen liitteessä 1.5.
Toimittajan avustamisvelvollisuus Henkilötietojen tietoturvaloukkaustilanteissa
Xxxxxx VAKE joutuu oikeudellisten vaatimusten kohteeksi viranomaisessa tietoturvaloukkausta vastaan, Toimittajan on toimitettava ilman aiheetonta viivytystä VAKEn käyttöön kaikki hallussaan oleva asiaan liittyvä aineisto. Aineisto on toimitettava ilman erillistä korvausta. Mikäli tietoturvaloukkaus johtuu Toimittajan toiminnasta, Toimittajan on viipymättä toimitettava riittävä kirjallinen selvitys tapahtumasta.
Tietosuoja
Toimittajan tulee kaikessa sääntökirjan ja tämän sopimuksen mukaisten velvoitteidensa täyttämisessä noudattaa voimassa olevaa Tietosuojalainsäädäntöä.
Toimittaja vastaa siitä, että sääntökirjan mukainen Palvelu on kulloinkin voimassa olevan Tietosuojalainsäädännön vaatimusten mukainen, ottaen erityisesti huomioon oletusarvoisen ja sisäänrakennetun tietosuojan periaatteet. Toimittaja huolehtii käsittelemiensä tietojen asianmukaisesta suojaamisesta varmistaakseen VAKEn aineiston luottamuksellisuuden, eheyden ja saatavuuden.
Selvyyden vuoksi todetaan, että tässä Sopimuksessa mainittu VAKE on tämän Sopimuksen mukaista Xxxxxxxx koskevien henkilötietojen osalta tietosuoja-asetuksessa tarkoitettu rekisterinpitäjä ja Toimittaja henkilötietojen käsittelijä.
Toimittajalla on oikeus käsitellä VAKEn aineistoon sisältyviä Henkilötietoja:
vain sääntökirjassa mainitulla perusteella tai VAKEn kirjallisesti etukäteen antamalla luvalla,
vain siinä määrin ja niin kauan, kuin se on sääntökirjan mukaisen palvelun toteuttamiseksi välttämätöntä sekä
vain tämän Sopimuksen ja sääntökirjan sekä VAKEn erikseen antamien dokumentoitujen ohjeiden mukaisesti.
Toimittaja saa käyttää VAKEn aineistoa sääntökirjan kohteen toteuttamiseen ja vain sääntökirjan kohteen toteuttamisen edellyttämässä laajuudessa. Toimittajan tulee huolehtia siitä, että VAKEn aineistoa käsittelevät vain ne Toimittajan lukuun työskentelevät henkilöt, joiden työtehtäviin VAKEn aineiston käsittely kuuluu.
Henkilötietojen käsittelyn käsittelyperuste on yksilöity Sopimuksen liitteessä 1.4.
Sopijapuolet ymmärtävät, että Toimittajalla ja sen lukuun työskentelevillä henkilöillä ei ole oikeutta käyttää sellaisia henkilötietoja, joista VAKE vastaa rekisterinpitäjänä, mihinkään muuhun tarkoitukseen kuin sääntökirjan ja tämän sopimuksen mukaisten velvollisuuksien täyttämistä varten.
Toimittajalla on salassapitovelvollisuus niiden henkilötietojen osalta, joissa VAKE on rekisterinpitäjä.
Selvyyden vuoksi todetaan, että henkilötietojen luovuttaminen ja käsittely myös suoramainontaa, etämyyntiä ja muuta suoramarkkinointia varten on kielletty.
Tietosuoja-asetuksen mukaan Toimittajan tulee ilmoittaa Henkilötietojen tietoturvaloukkauksesta VAKElle sopimuksen liitteen 1.2 mukaisesti. Henkilötietojen tietoturvaloukkausta koskevan ilmoituksen tarkka sisältö on kuvattu sopimuksen liitteessä 1.2 (Henkilötietojen käsittelyn vaatimukset) kohdassa 9 ja menettelyprosessi on kuvattu tämän sopimuksen liitteessä 1.5. Toimittajalla ei ole oikeutta veloittaa tästä erikseen.
Mikäli Sopijapuoli laiminlyö tai rikkoo Tietosuojalainsäädännössä määriteltyjä toimintavelvoitteita, määräyksiä, vastuita tai rajoitteita ja siitä aiheutuu seuraamuksia tai vahinkoa rekisteröidylle, Sopijapuolten vastuut määräytyvät tietosuoja-asetuksen mukaisesti.
Mikäli Toimittaja laiminlyö tai rikkoo tässä Sopimuksessa määriteltyjä toimintavelvoitteita, määräyksiä, vastuita tai rajoitteita ja siitä aiheutuu seuraamuksia tai vahinkoa VAKElle, rekisteröidylle tai kolmannelle Sopijapuolelle, Toimittaja vastaa vahinkojen korvaamisesta vahingonkärsijälle.
Xxxxxx VAKE joutuu oikeudellisten vaatimusten kohteeksi viranomaisessa tietoturvaloukkausta vastaan, Toimittajan on toimitettava ilman aiheetonta viivytystä VAKEn käyttöön kaikki hallussaan oleva asiaan liittyvä aineisto. Aineisto on toimitettava ilman erillistä korvausta. Mikäli tietoturvaloukkaus johtuu Toimittajan toiminnasta, Toimittajan on viipymättä toimitettava riittävä kirjallinen selvitys tapahtumasta.
Toimittaja huolehtii omien tiedostojensa ja saamiensa kopiokappaleiden tuhoamisesta ja Toimittajan on todennettava tämä. Toimittajan lopetettua VAKEn palvelustelitoimittajana toimiminen tai Henkilötietojen käsittelytarkoituksen päätyttyä Toimittajalle ei jää VAKEn henkilöstön tai asiakkaiden henkilötietoja, ellei lainsäädännöstä muuta johdu.
Sopimuksen liitteessä 1.2 on kuvattu henkilötietojen käsittelyä koskevat tarkemmat vaatimukset, joita Toimittaja ja sen alihankkijat, jotka käsittelevät henkilötietoja VAKEn puolesta ja lukuun, sitoutuvat noudattamaan.
Lokitiedot
Tässä luvussa 7 Järjestelmästä mainittu koskee sääntökirjan mukaista Palvelua.
Lokitiedot ovat VAKEn aineistoa siltä osin kuin lokituksen kohteena on VAKEn aineiston käsittely tai luovuttaminen. Siltä osin kuin lokitiedot ovat VAKEn aineistoa, Toimittajan tulee toimittaa lokitiedot VAKEn pyynnöstä ja ilman erillistä korvausta VAKElle. VAKE voi myös erikseen edellyttää säännöllistä raportointia lokitiedoista tai toiminnallisuuden toteuttamista Palveluun, jonka avulla VAKE voi itse hakea raportteja lokeista.
Mikäli lokitiedot sisältävät henkilötietoja, lokitietojen käsittelyyn sovelletaan Tietolainsäädäntöä.
Siltä osin kuin lainsäädännössä tai viranomaismääräyksissä on säädetty lokitietojen käsittelystä, sovelletaan ensisijaisesti kyseisiä säädöksiä ja viranomaismääräyksiä.
Lokitiedot ovat viranomaisen toiminnan julkisuudesta annetun lain (621/1999) 24 § 1 mom 7 kohdan mukaisesti salassa pidettäviä.
Tiedonhallintalain mukaiset lokitiedot
Palvelusta tulee kerätä tiedonhallintalain (906/2019) 17 §:ssä tarkoitetut käyttö- ja luovutuslokitiedot silloin, kun jokin seuraavista ehdoista täyttyy:
Palvelussa käsitellään henkilötietoja ja
Palvelussa käsitellään salassa pidettäviä tietoja
tai
jos lokitiedot ovat tarpeen käyttäjien oikeusturvan ja vastuun kannalta tai
jos lokitiedot ovat tarpeen teknisten virheiden selvittämiseksi.
Käyttölokirekisteriin Toimittajan tulee kerätä tiedot Palvelun käytöstä, jolla tarkoitetaan tietojen tallentamista, muuttamista, poistamista, katselua tai muuta tietoihin kohdistuvaa toimenpidettä.
Luovutuslokirekisteriin Toimittajan tulee kerätä tiedot Palvelusta tehtävät tietojen luovutukset ja luovutusperuste. Mikäli Palvelusta luovutetaan tietoja tiedonhallintalain 23 §:n mukaisella katseluyhteydellä, luovutuslokirekisteriin Toimittajan tulee kerätä myös luovutusten käyttötarkoitus.
Tiedonhallintalain mukaiset lokitiedot ovat VAKEn aineistoa.
Asiakas- ja hyvinvointitietojen käsittelyn ja luovutuksen lokitiedot
Jos sääntökirjan kohteena on järjestelmä, johon tallennetaan asiakas- tai potilasasiakirjoja, tietojen käsittelystä on kerättävä sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (703/2023) mukainen käyttö- ja luovutusloki, johon tallennetaan lokitiedot rekisterikohtaisesti kaikesta asiakastietojen ja hyvinvointitietojen käytöstä ja luovutuksesta seurantaa ja valvontaa varten.
VAKE edellyttää, että Toimittaja toteuttaa asiakas- ja hyvinvointitietojen lokivalvonnan säännöllisesti. Osana Sopijapuolten omavalvontaa Toimittajan tulee vuosittain tarkastaa vähintään yhden työntekijän asiakas- ja hyvinvointitietojen käsittely kuukauden ajalta käyttö- ja luovutuslokista.
Toimittajan tulee antaa ilman erillistä pyyntöä vuosittain selvitys oman toimintansa tietosuojan tilasta ja lokitietojen valvonnasta kuluvan vuoden tammikuun viimeisen päivään (31.1.) mennessä VAKEn tietosuojayhteyshenkilölle (Liite 1.6).
Tekniset lokit sekä tietoturvan audit trail -loki
Ratkaisun on kyettävä keräämään lokitietoa vähintään seuraavissa tapahtumissa:
käyttäjien kirjautumiset, kirjautumisyritykset sekä uloskirjautumiset järjestelmään (pääsynvalvontaloki),
Palvelun ylläpitotoimenpiteet (ylläpito- ja muutosloki) sekä
tietojen luvattoman muuttamisen ja muun luvattoman tai asiattoman tietojen käsittelyn havaitsemiseksi tarpeelliset tekniset lokitiedot, kuten keskeisten sovellusten, käyttöjärjestelmän, verkkolaitteiden ja palvelinten lokitiedot (tapahtuma- ja virheloki).
Palvelu ei saa lokittaa pääsynhallintaan liittyviä salasanoja tai muita salassa pidettäviä pääsynhallintaan liittyviä tunnuksia.
Mikäli tekniset lokit sekä tietoturvan audit trail -loki sisältävät henkilötietoja, kuten käyttäjätunnuksia, sähköposteja, ip-osoitteita sekä muita yksilöityjä käyttäjätunnisteita, Toimittajan tulee huolehtia siitä, että lokitietoja pääsee käsittelemään vain lokitietojen käsittelyyn luvitetut henkilöt.
Tapahtuma- ja virhelokiin tulee tallentaa kattavasti tietoa kaikista potentiaalisista tietoturvapoikkeamista. Esimerkkinä mutta ei näihin esimerkkeihin rajoittuen epäonnistuneista kirjautumisyrityksistä, salasanojen palauttamisista, virheellisistä syötteistä sekä muista vastaavista seikoista. Xxxxxx tulee kattaa kaikki tarvittava tieto myöhempää mahdollista Tietoturvapoikkeaman tutkintaa varten.
Teknisten ja tietoturvan audit trail -lokien lokitiedot ovat Toimittajan aineistoa, ellei laissa ole toisin määrätty tai erikseen toisin sovittu.
Toimittajan tulee ilmoittaa VAKElle Tietoturvaloukkauksista saatuaan niistä tiedon ja ilman aiheetonta viivytystä.
Toimittajan tulee lisäksi raportoida VAKElle tässä luvussa mainituista seikoista kuten Tietoturvapoikkeamista ja Tietotapahtumista sääntökirjan kohteen mukaisen Palvelun seurantapalavereissa tai sopimuksessa erikseen sovittavalla tavalla.
Lokitietojen säilyttäminen
Lokitietoja säilytetään seuraavasti:
luvussa 7.1 mainitut tiedonhallintalain mukaiset käyttö- ja luovutuslokit:
Luovutuslokit 5 v
Käyttölokit 2 v
luvussa 7.2 mainitut käyttö- ja luovutuslokit 12 v
luvussa 7.3 mainitut lokit 2 v
VAKE voi tapauskohtaisesti määritellä erikseen tässä Sopimuksen kohdassa mainittuja säilytysaikojen pituuksia.
Jos Digi- ja väestötietoviraston (DVV) väestötietoja käytetään henkilön tunnistautumisessa Suomi.fi-palvelussa tai väestötietojen muutostietopalvelua käytetään henkilön perustietojen hakemisessa, lokitietojen säilytysaika tulee olla viisi (5) vuotta.
Toimittaja on vastuussa lokitietojen hävittämisestä. Toimittaja on velvollinen hävittämään lokitiedot, kun Sopimuksessa tai lainsäädännössä määritelty lokitietojen säilyttämisaika päättyy. Toimittaja toimittaa VAKElle kirjallisen hävitysesityksen lokitietojen tuhoamisesta, ellei Palvelussa ole ominaisuutta, joka automaattisesti tuottaa hävitysesityksen.
Toimittajan tulee esittää VAKElle kirjallinen hävitysraportti, että lokitiedot ja kaikki niistä mahdollisesti olevat jäljennökset on pysyvästi tuhottu.
Lokitietojen hävittämisen tulee sisältyä Palvelun hintaan eikä siitä saa aiheutua VAKElle erillisiä kustannuksia.
Muut lokitietoja koskevat velvoitteet
Toimittajan on huolehdittava lokitietojen eheydestä ja kiistämättömyydestä siten, että ne suojataan muutoksilta. Lokitietoihin pääsy rajoitetaan vaan vain nimettyihin henkilöihin, jotka voivat hakea lokitietoja vain perustelluista syistä.
Toimittajan on VAKEn tai valvontaviranomaisen pyynnöstä asetettava lokitiedot VAKEn tai valvontaviranomaisen saataville.
Toimittajan on huolehdittava siitä, että sen käsittelemät lokitiedot ovat sähköisessä muodossa siten, että ne voidaan siirtää Palvelusta toiseen palveluun.
Lainsäädännössä määritellystä lokitietojen keräämis- ja säilyttämisvelvoitteesta Sopijapuolet eivät voi sopia toisin.
Salassapito
Sopijapuolet huolehtivat siitä, että he toiminnassaan noudattavat EU:n ja kansallisen lainsäädännön tason säännöksiä ja määräyksiä asiakirjojen ja tietojen salassapidosta ja luottamuksellisuudesta sekä sääntökirjaa ja tätä sopimusta liitteineen.
VAKE noudattaa julkisyhteisönä julkisuuslaissa sekä muussa lainsäädännössä olevia salassapitoa ja julkisuutta koskevia säännöksiä ja määräyksiä. Toimittaja merkitsee salassa pidettävät tiedot tai asiakirjat ”salainen”-merkinnällä tai vastaavalla salassa pidettävyyttä osoittavalla merkinnällä.
Sopijapuolet pitävät toisiltaan saamansa salassa pidettäväksi merkityn tai muutoin salassa pidettäviksi katsottavan aineiston salassa eivätkä käytä tietoja muihin kuin sääntökirjan mukaisiin tarkoituksiin. Sopijapuolet vastaavat, että kaikki heidän palveluksessaan olevat samoin kuin alihankkijat noudattavat tätä määräystä.
Sopijapuolella on oikeus luovuttaa toisen Sopijapuolen salassa pidettävää tietoa Sopijapuolen henkilökunnalle ja alihankkijoille sekä muille sen lukuun toimiville tahoille sääntökirjan mukaisia tarkoituksia varten.
Toimittaja on salassapitovelvollinen toiminnan yhteydessä tietoonsa saamiensa VAKEeen liittyvien tietojen, asiakirjojen ja rekistereihin sisältyvien henkilötietojen osalta.
Salassapito ja luottamuksellisuus eivät koske seuraavia tietoja:
jotka ovat julkisessa tiedossa tai jotka olisi voitu saada laillisesti tietoon, vaikka Sopijapuoli ei olisi osallisena tässä Sopimuksessa;
jotka olivat Sopijapuolen hallussa laillisesti jo ennen kuin toinen tämän sopimuksen Sopijapuoli luovutti saman tiedon;
joiden ilmaisemiseen tai luovuttamiseen muut osapuolet ovat etukäteen antaneet kirjallisen suostumuksen; sekä
jotka Xxxxxxxxxxx joutuu ilmaisemaan tai luovuttamaan häntä velvoittavan lainsäädännön tai viranomaisen antaman määräyksen tai päätöksen nojalla.
Sopijapuolet ymmärtävät, että vaikka jokin tieto olisi lainsäädännön perusteella julkista, niin tiedon luovuttamisesta päättää aina viranomainen. Siten Toimittajan tulee aina pyytää VAKElta kirjallinen lupa tiedon luovuttamiseen VAKEn aineistosta sivulliselle, riippumatta siitä, onko tieto julkista tai salassa pidettävää, ellei lainsäädännöstä tai viranomaismääräyksestä muuta johdu.
Sopijapuolet huolehtivat omilla vastuualueillaan siitä, että salassapitoa koskevia sopimusehtoja ja viranomaisten antamia määräyksiä noudatetaan myös Sopimuksen päättyessä tai purkautuessa.
Salassapidon osalta sovelletaan myös Sopimuksen liitteenä 1.1 olevaa Salassapito- ja tietoturvasitoumusta.
Henkilöstö
Toimittaja vastaa siitä, että Toimittajan lukuun työskentelevät henkilöt, joilla voi olla pääsy luottamuksellisiin tietoihin, ovat etukäteen allekirjoittaneet Toimittajan kirjallisen salassapitositoumuksen tai joita sitoo työsopimukseen perustuva salassapitovelvoite.
Toimittajan on huolehdittava siitä, että Toimittajan lukuun työskentelevät henkilöt ovat tietoisia seuraavista seikoista ja ovat sitoutuneet niitä noudattamaan:
Työntekijä saa käyttää VAKEn aineistoa vain työtehtäviensä mukaiseen tarkoitukseen ja vain siinä laajuudessa kuin työtehtävien hoitaminen edellyttää. Työntekijällä ei ole oikeutta käyttää VAKEn aineistoa muuhun kuin edellä mainittuun tarkoitukseen.
Työntekijän on pidettävä VAKEn aineisto salassa, eikä sitä saa luovuttaa tai muulla tavalla paljastaa sivullisille. Salassapitovelvollisuus on voimassa pysyvästi. Salassapitovelvollisuus ei koske julkista aineistoa.
Sivullisina pidetään muun muassa sellaisia Toimittajan lukuun työskenteleviä henkilöitä, jotka eivät työtehtäviensä perusteella tarvitse VAKEn aineistoa tietoonsa.
Työntekijän on ilmoitettava tietoonsa tulleista tietoturvaa tai tietosuojaa vaarantavista seikoista Toimittajalle viipymättä.
Työntekijän tulee käsitellä VAKEn aineistoa sisältäviä asiakirjoja ja tallenteita huolellisesti ja riittävästä tietoturvasta huolehtien.
Mikäli työntekijä käyttää kannettavaa työasemaa tai mobiililaitetta, jolle on talletettu VAKEn aineistoa, työaseman ja mobiililaitteen suojaamisesta tulee asianmukaisesti huolehtia.
Työntekijän pitää palauttaa hallussaan olevat asiakirjat ja tallenteet työtehtäviensä mukaisen käyttötarpeen päätyttyä.
Tietojärjestelmien käytöstä kertyy lokitietoa, jota Sopimuksen luvun 7 mukaisesti seurataan.
Salassapitovelvollisuuden rikkominen saattaa aiheuttaa työntekijälle lainsäädännön mukaisen henkilökohtaisen vastuun.
Käyttäjätunnukset ja salasanat ovat henkilökohtaisia, salassa pidettäviä eikä niitä saa luovuttaa kenellekään muulle.
Käyttöoikeudet tulee poistaa työntekijän käytöstä automaattisesti, kun työntekijän työtehtävät muuttuvat siten, ettei hän enää tarvitse työtehtäviensä hoitamiseen tai jos työntekijä poistuu Toimittajan palveluksesta.
Toimittajan tulee omassa toiminnassaan varmistaa, että ylläpitotunnuksia on vain tarpeellisilla henkilöillä.
Käyttäjätunnusten yhteiskäyttö on kielletty.
Toimittajan tulee lisäksi huolehtia siitä, että Toimittajan lukuun työskentelevät henkilöt ovat tietoisia myös muista mahdollisista Sopimuksen mukaisista salassapitovelvoitteista, ja valvoa heidän toimintansa sopimuksenmukaisuutta.
Tietosuojaa ja tietoturvaa koskeva auditointi
VAKElla on oikeus suorittaa tietosuojaan ja -turvaan liittyvän auditoinnin kerran vuodessa. VAKE vastaa auditoijan kustannuksista. VAKE ja Toimittaja maksavat muut auditoinnista itselleen aiheutuneet kulunsa itse. VAKEn on ilmoitettava Toimittajalle kirjallisesti aikomuksestaan tehdä tai teettää Toimittajaan kohdistuva auditointi vähintään 30 päivää ennen aiotun auditoinnin ajankohtaa. VAKEn on myös riittävästi yksilöitävä ilmoituksessa auditoinnin kohde, paikka ja auditoija. Toimittajan tulee varata auditoinnin kohteeseen tarvittavat resurssit ja ilmoitettava ne VAKElle kaksi (2) viikkoa ennen auditointia. Auditoinnin mahdollisesti aiheuttamista viivästyksistä tai muista vaikutuksista, pl. auditoinnissa havaitut Sopimuksen vastaiset virheet, ei aiheudu Toimittajalle seuraamuksia.
Auditointi voi käsittää myös Toimittajan alihankkijat siltä osin, kuin alihankkijat osallistuvat tämän sopimuksen mukaisten velvollisuuksien täyttämiseen. Auditoinnin käsittäessä Toimittajan alihankkijat, sovitaan menettelystä, kustannusten jaosta ja muista seikoista tietosuojayhteistyöelimessä.
VAKE voi käyttää kolmatta osapuolta apuna auditoinnissa. Toimittajan suora kilpailija ei voi toimia auditoijana. Auditoijaa sitoo turvallisuutta ja salassapitoa koskevat ehdot ja VAKE vastaa siitä, että auditoija noudattaa näitä ehtoja.
VAKE voi myös hyödyntää Toimittajan suostumuksella kolmannen, VAKEn hyväksymän auditoijan, tuloksia, mikäli kolmas osapuoli on auditoinut VAKEn haluaman auditoitavan Toimittajan palvelun viimeisen kahdentoista (12) kuukauden aikana VAKEn auditointia koskevasta ilmoituksesta. Mikäli VAKE hyväksyy jo tehdyn auditoinnin tulokset, uutta auditointia ei tarvitse tehdä hyväksytyltä osin. Tässä kohdassa mainituista auditoinnista aiheutuvista kuluista ei vastaa VAKE.
Auditoinnin tulokset käsitellään Sopijapuolten kesken. Toimittajalla on velvollisuus korjata auditoinnissa havaitut Sopimuksen vastaiset vakavat virheet ja puutteet ilman VAKElta perittäviä lisäkustannuksia viipymättä, kuitenkin viimeistään 14 vuorokauden sisällä, ellei muuta kirjallisesti erikseen sovita.
Toimittaja on velvollinen tarjoamaan auditoijalle pääsyn tarvittaviin tiloihin ja järjestelmiin sekä tarvittavan avun auditoinnin suorittamiseksi. Auditointi ei saa vaarantaa Toimittajan muiden asiakkaiden tietoturvaa tai salassapitovelvoitteita, eikä se saa muutoin haitata merkittävästi Toimittajan muuta liiketoimintaa. Mikäli Toimittajan tietoturva- ja salassapitovelvoitteet estävät auditoijan pääsyn tarvittaviin tiloihin tai järjestelmiin, Toimittaja varmistaa, että auditoija saa oleelliset tiedot auditointia varten.
Toimittaja voi edellyttää auditoijalta salassapitositoumusta.
Turvallisuusselvitykset
Tämän Sopimuksen tarkoittamalla turvallisuusselvityksellä tarkoitetaan turvallisuusselvityslain (726/2014) mukaista yritysturvallisuusselvitystä ja henkilöturvallisuusselvitystä taikka niitä vastaavia, Suomen kansallisen turvallisuusviranomaisen (National Security Authority, NSA) kautta hankittua ja ulkomaan turvallisuusviranomaisen myöntämää yritysturvallisuustodistusta ja henkilöturvallisuustodistusta.
Yritysturvallisuusselvitykset
VAKE voi hakea Toimittajasta turvallisuusselvityslain mukaisen yritysturvallisuusselvityksen tai kansainvälisten tietoturvallisuusvelvoitteiden edellyttämän yritysturvallisuusselvityksen (Facility Security Clearance, FSC).
Yritysturvallisuusselvityksen hakemisen edellytyksistä on säädetty turvallisuusselvityslain 33 §:ssä. FSC:n hakemisen edellytyksistä on säädetty laissa kansainvälisistä tietoturvavelvoitteista (588/2004) sekä sovittu Suomea sitovissa kansainvälisissä sopimuksissa.
Yritysturvallisuusselvityksen ja FSC:n edellytyksenä on, että Toimittaja on antanut siihen etukäteisen suostumuksen. VAKElla on oikeus poistaa Toimittaja ylläpitämästään palvelusetelituottajien rekisteristään, jos Toimittaja kieltäytyy antamasta suostumuksensa yritysturvallisuusselvityksen hakemiselle.
Turvallisuusselvityslain perusteella tehtävien yritysturvallisuusselvitysten hakemisesta vastaa VAKE. Sopijapuolet sopivat erikseen menettelystä FSC:n hankkimiseksi.
Toimittaja vastaa kaikista yritysturvallisuusselvitysmenettelyyn (ml. FSC-menettely) liittyvistä kustannuksista. Toimittaja vastaa myös alihankkijansa yritysturvallisuusselvitykseen liittyvistä kustannuksista.
Jos lainsäädännön tai Suomea velvoittavien sopimusten edellytykset FSC:n hakemiselle eivät täyty sen vuoksi, että Palvelussa ei käsitellä turvallisuusluokiteltua tietoa, mutta Palvelun yhteydessä Toimittaja käsittelee kuitenkin salassa pidettäviä asiakirjoja, joiden oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle, VAKElla on oikeus pyytää Toimittajaa toimittamaan turvallisuusselvityslain 37 §:ssä säädetyt tiedot VAKElle. Tiedot on toimitettava siinä laajuudessa kuin Toimittaja on voimassa lainsäädännön mukaan oikeutettu niitä käsittelemään. Jos Toimittaja kieltäytyy toimittamasta vaadittuja tietoja tämän sopimuksen mukaisessa laajuudessa, VAKElla on oikeus poistaa Toimittaja ylläpitämästään palvelusetelituottajien rekisteristään. VAKE on oikeutettu käyttämään toimitettuja tietoja tehdäkseen itse tai toimivaltaisen viranomaisen avustuksella arvioinnin. VAKE tämän kohdan mukaiseen vaitiolovelvollisuuteen ja hyväksikäyttökieltoon sovelletaan viranomaisten toiminnan julkisuudesta annetun lain 22—24 §:ää.
VAKElla on oikeus arvioida yritysturvallisuusselvityksen sisältö ja yrityksen tai sen vastuuhenkilöiden luotettavuus, yrityksen tietoturvallisuuden taso sekä kyky hoitaa sääntökirjan ja tämän Sopimuksen mukaiset sitoumukset. VAKEn oikeudesta poistaa Toimittaja ylläpitämästään palvelusetelituottajien rekisteristään on määrätty palvelua koskevassa sääntökirjassa.
Henkilöturvallisuusselvitykset
VAKElla on oikeus hakea turvallisuusselvityslaissa tarkoitettu henkilöturvallisuusselvitys Toimittajan henkilöistä turvallisuusselvityslain mukaisessa laajuudessa. Toimittaja vastaa turvallisuusselvityksen kohteena olevan henkilön suostumuksen hankkimisesta.
Toimittajan tulee toimittaa henkilöturvallisuusselvityksen kohteena olevan henkilön täyttämä ja allekirjoittama lomake Asiakkaalle henkilöturvallisuusselvityksen hakemista varten.
Ellei toisin sovita, turvallisuusselvityslain mukaista henkilöturvallisuusselvitystä vastaavaksi selvitykseksi hyväksytään toisen valtion antama henkilöturvallisuustodistus (Personal Security Clearance, PSC). VAKE voi myös hyväksyä vastaavan toisen valtion viranomaisen tekemän henkilöturvallisuusselvityksen.
Jos henkilöturvallisuusselvitystä tai -todistusta tai PSC-todistusta ei ole saatavissa selvityksen kohteena olevasta henkilöstä, mutta turvallisuusselvityslain mukaiset edellytykset henkilön luotettavuuden ja nuhteettomuuden arvioimiseksi ovat olemassa, Toimittaja toimittaa pyynnöstä kyseisen henkilön rikosrekisteriotteen, liiketoimintakieltorekisteriotteen sekä sakkorekisteriotteen tai vastaavat toisen valtion viranomaisen pitämiin rekistereihin perustuvat otteet VAKElle. Tiedot on toimitettava siinä laajuudessa kuin Toimittaja on voimassa olevan lainsäädännön mukaan oikeutettu niitä käsittelemään.
Toimittaja on velvollinen hankkimaan selvityksen kohteena olevan henkilön suostumuksen tämän Sopimuksen kohdassa 12.2 selvitysten toimittamiseksi VAKElle. VAKE on oikeutettu käyttämään saamiaan tietoja ainoastaan arvioidakseen tämän Sopimuksen kohdan 12.2 mukaisesti, voidaanko Toimittajan nimeämä henkilö hyväksyä palvelun tuottamiseen. VAKEn tämän kohdan mukaiseen vaitiolovelvollisuuteen ja hyväksikäyttökieltoon sovelletaan viranomaisten toiminnan julkisuudesta annetun lain 22—24 §:ää.
VAKE vastaa Suomessa tehtyjen henkilöturvallisuusselvitysten kustannuksista. Mikäli henkilöturvallisuusselvitys tulee uudelleen tehtäväksi sen vuoksi, että Toimittajan henkilöstössä tapahtuu vaihdos tai VAKEsta riippumaton lisäys, Toimittaja vastaa uuden henkilön henkilöturvallisuusselvityksen teettämisen tai todistuksen antamisen kustannuksista. Toimittaja vastaa PSC:n tai vastaavan toisen valtion viranomaisen antamien selvitysten ja todistusten kustannuksista.
VAKElla on henkilöturvallisuusselvityksestä tai muusta vastaavasta selvityksestä ilmenneestä syystä oikeus olla hyväksymättä Toimittajan ehdottamia henkilöitä sääntökirjan mukaisten Palvelujen tuottamiseen. Toimittajan on myös viivytyksettä ja veloituksetta vaihdettava henkilö, jota VAKE ei edellä mainituista syistä enää hyväksy kyseiseen tehtävään. Toimittaja vastaa henkilövaihdoksen ja uuden henkilön perehdyttämisen aiheuttamista kuluista. Toimittaja ei veloita VAKEn antamaan perehdytykseen osallistumisesta. Korvaavalla henkilöllä on oltava vastaava pätevyys ja ammattitaito sekä VAKEn hyväksyntä. VAKE ei saa evätä hyväksyntäänsä ilman pätevää syytä.
Sopimussakko, korvausvastuu ja vastuunrajoitukset
Tietoturvallisuussopimusta rikkomista koskevat sopimussanktiot
VAKElla on oikeus saada palveluntuottajalta sopimussakkoa jokaista Tietoturvallisuussopimuksen ja sen liitteiden olennaista rikkomusta kohden ilman velvollisuutta näyttää toteen sille rikkomuksesta aiheutunutta vahinkoa. Korjattavissa olevien muiden kuin olennaisten rikkomusten osalta VAKElla on oikeus sopimussakkoon vain, mikäli palveluntuottaja ei korjaa rikkomusta 14 päivän kuluessa tai muussa sovitussa ajassa VAKEn ilmoituksesta. Sopimussakkoon aina oikeuttaviksi olennaisiksi rikkomuksiksi katsotaan ainakin tietoturvaloukkaukseen johtavat rikkomukset, rekisteröidyn vahingonkorvausoikeuteen johtavat rikkomukset, sekä muut vakavuudeltaan näihin rinnastuvat rikkomukset.
Sopimussakon määrä jokaista Tietoturvallisuussopimuksen ja se liitteiden sopimusrikkomusta kohden on 20.000 euroa.
Mikäli palveluntuottaja ei ole korjannut korjattavissa olevaa rikkomustaan 14 päivän kuluessa, katsotaan rikkomus uudeksi rikkomukseksi, jolloin VAKE on oikeutettu uuteen sopimussakkoon. Määräajan päättymisestä alkaa aina uusi tämän kohdan mukainen määräaika, ja rikkomus voidaan katsoa toistuvaksi uudeksi rikkomukseksi. Muiden kuin olennaisten rikkomusten osalta VAKElla ei ole oikeutta sopimussakkoon uudelta määräajalta, mikäli palveluntuottaja korjaa rikkomuksen uuden määräajan kuluessa.
Ennen sopimussakon perimistä VAKEn tulee ilmoittaa palveluntuottajalle kirjallisesti tämän Tietoturvallisuussopimuksen ja sen liitteiden rikkomuksesta. Rikkomus käsitellään palvelun ohjausryhmässä tai muussa vastaavassa sopijapuolten välisessä palveluorganisaatiossa, tai sellaisen puuttuessa, sopijapuolten välisissä neuvotteluissa.
Tämän kohdan mukainen sopimussakko ei rajoita tai vähennä hyvinvointialueen oikeutta vahingonkorvaukseen tai sopimuksen mukaisiin muihin sanktioehtoihin.
VAKElla on aina oikeus saada vahingonkorvausta Toimittajan tämän sopimuksen vastaisesta toiminnasta ja muusta sopimuksen mukaisen velvollisuuden täyttämättä jättämisestä aiheutuneesta välittömästä vahingosta, ellei virhe tai laiminlyönti ole aiheutunut VAKEn tuottamuksesta. Mikäli osapuoli on aiheuttanut vahingon tahallisesti tai törkeällä tuottamuksella, on vahinkoa kärsineellä sopijapuolella oikeus korvaukseen myös välillisestä vahingosta.
Mikäli Toimittaja on aiheuttanut vahinkoa kolmannelle taholle tämän sopimuksen mukaisia velvoitteita täyttäessään, ja jos VAKE on jollain perusteella ensisijaisesti vastuussa edellä kerrotusta vahingosta, on VAKElla oikeus saada Toimittajalta vastaavan suuruinen vahingonkorvaus kuin mistä VAKE on ensisijaisessa vastuussa kolmannelle.
VAKEn aineiston palauttaminen Sopimuksen päättyessä
Toimittaja palauttaa hallussaan olevan VAKEn aineiston palvelusetelituotannon tai käyttötarpeen päättyessä VAKElle jäljempänä kuvatulla tavalla.
Toimittajan tulee palauttaa VAKEn aineisto VAKElle 30 päivän kuluessa VAKEn kirjallisesta pyynnöstä tietoaineiston avoimuusvaatimuksen mukaisesti eheässä muodossa. VAKEn aineiston toimituksen yhteydessä Toimittajan tulee niin ikään toimittaa datakuvaus, joka täyttää tietoaineiston avoimuusvaatimuksen. Tietoaineiston avoimuusvaatimuksella tarkoitetaan sitä, että VAKEn tietoaineisto on saatavissa yleisesti käytetyssä muodossa ja käsiteltävissä yleisesti käytössä olevilla tietojärjestelmillä ilman rojalteja ja lisenssimaksuja tai muita käsittelyä rajoittavia ehtoja.
Mikäli VAKEn aineisto sisältyy Toimittajan aineistoon, jota VAKElla ei ole sääntökirjan perusteella oikeutta luovuttaa kolmannelle osapuolelle muun ohella Toimittajan tai kolmannen liikesalaisuuden suojaamiseen liittyvistä syistä, sitoutuu Toimittaja toimittamaan VAKEn aineiston veloituksetta VAKElle sellaisessa sähköisessä muodossa, joka on VAKEn muutettavissa, kopioitavissa ja luovutettavissa kolmannelle osapuolelle.
Mikäli Xxxxxxxxxx VAKEn pyynnöstä joutuu muuttamaan VAKEn sähköistä aineistoa, voi Toimittaja veloittaa siitä aiheutuvasta työstä kohtuulliset työkustannukset erikseen sovitun mukaisesti.
Henkilötietojen käsittelyä koskevat tarkemmat määräykset käsittelyn päättyessä on määritelty Liitteessä 1.2 (Henkilötietojen käsittelyn vaatimukset).
Muut ehdot
Muiden ehtojen osalta noudatetaan sitä, sääntökirjassa on määrätty.
Voimaan jäävät ehdot
Sopimuksen ehdot ovat voimassa viisi (5) vuotta Toimittajan sääntökirjan mukaisen palvelusetelituotannon päättymisen jälkeen, ellei pakottavasta lainsäädännöstä muuta johdu.
Sopimuksen luvun Salassapitoa koskevat ehdot jatkuvat Sopimuksen päättymisen jälkeen pysyvästi.
Sopimuksen voimaantulo
Sopimus tulee voimaan, kun Toimittaja on hyväksynyt sääntökirjan ja sopimuksen VAKEn määrittämällä tavalla ja viimeistään silloin, kun Toimittaja on hyväksytty VAKEn toimesta palvelunsetelituottajaksi.
Sopimuksen voimassaolo
Tämän sopimuksen mukainen salassapitovelvollisuus on voimassa myös sen jälkeen, kun Palveluntuottajan velvollisuus Palvelun tuottamiseen on päättynyt.
Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän sopimuksen voimassaolon päättymisestä riippumatta, jäävät voimaan sopimuksen päättymisen jälkeen.
Sopimusasiakirjat ja soveltamisjärjestys
Sopimukseen sisältyvät asiakirjat ja niiden soveltamisjärjestys ovat:
liite 1.1 Salassapito- ja tietoturvasitoumus
liite 1.2 Henkilötietojen käsittelyn vaatimukset
liite 1.3 Tietoturvavaatimukset / SaaS-palvelut
liite 1.4 Henkilötietojen kuvaus / seloste käsittelytoimista
liite 1.5 Henkilötietojen tietoturvaloukkausten selvittäminen
liite 1.6 Yhteyshenkilöt