1. Kyberturvallisuusasiat kunnossa? Direktiivin kansallinen toimeenpano käynnistyi
Kyberturvallisuusdirektiivi eli NIS2-direktiivi (2022/2555) on EU:n laajuinen kyberturvallisuutta koskeva direktiivi. Sen kansallinen toimeenpanohanke on käynnistynyt, ja oletettavasti uuden direktiivin vaatimukset tulevat Suomessa voimaan vuoden 2024 aikana. Direktiivin soveltamisala on huomattavasti voimassa olevaa verkko- ja tietoturvadirektiiviä (2016/1148) laajempi, ja kansallisen toimeenpanon myötä kyberturvallisuussäännökset koskevatkin yhä suurempaa määrää toimialoja ja eri sektoreilla toimivia tahoja. Oletteko tarkastaneet, koskeeko direktiivi juuri teidän toimintaanne?
Kyberturvallisuutta koskevat velvoitteet ulottuvat jatkossa niin sanottuihin tärkeisiin toimialoihin, joihin kuuluvat esimerkiksi valmistava teollisuus, jätehuolto sekä digitaalisten palveluiden tarjoajat. Toimijoille asetettavat velvoitteet ovat riippuvaisia toiminnan riskeistä ja koosta. Olennaisimmat uudistukset koskevat vaadittavaa riskien arvioinnin ja hallinnan sekä riskeistä raportoinnin tasoa. Jatkossa poikkeuksista ilmoittaminen ei riitä, vaan direktiivin toimeenpanon myötä soveltamisalaan kuuluvilta toimijoilta tullaan vaatimaan yhä enemmän aktiivisia toimenpiteitä vaadittujen turvallisuustoimenpiteiden toteuttamiseksi ja raportointivaatimusten täyttämiseksi. Uudistuksen myötä toimijoiden tulee huolehtia myös toimitusketjun turvallisuudesta. Uusien vaatimusten toteuttamista tehostetaan täytäntöönpanon myötä erilaisilla seuraamuksilla ja organisaatioiden johtoa koskevilla vaatimuksilla.
Organisaatioille asetetaan direktiivin täytäntöönpanon myötä yhä yksityiskohtaisempia vaatimuksia, joiden täyttäminen tulee vaatimaan soveltamisalaan kuuluvilta organisaatioilta valmistausumista. Hankintajuristit seuraavat kyberturvallisuutta koskevan sääntelyn kehitystä ja auttavat mielellään asiakkaitaan sekä voimassa olevia kyberturvallisuussäännöksiä että kyberturvallisuutta koskevan lainsäädännön muutoksia koskevissa kysymyksissä. 2. ICT-kirjeen oikeustapaukset koskevat hankintasanaston käyttöä ICT-hankinnassa sekä henkilötietojen suojaamista koulujen sähköpostiviestinnässä.
Rajanveto tavaraksi katsottavan valmisohjelman ja palveluksi katsottavan räätälöidyn järjestelmän välillä ei ole helppoa, ja henkilötietosääntelyynkin liittyy paljon käytännön kommervenkkejä.
MAO 112/2023, antopäivä 8.3.2023
Julkinen hankinta - hankinnasta ilmoittaminen - hankintalaji - hankintasanasto (CPV) - tarjouspyynnön epäselvyys - hankinnan väliaikainen järjestäminen - seuraamuksen määrääminen
Hankinnan kohde: Toteutussuunnittelun ja rakennuttamisen yhteistä tiedonhallintajärjestelmää koskeva palveluhankinta, ennakoitu arvonlisäveroton kokonaisarvo noin 600.000 euroa.
Valittaja:
Tarjouspyyntöasiakirjoissa ei ole ollut laajempaa hankinnan kuvausta, jossa olisi esimerkiksi yksilöity, onko hankinnan kohteena valmisohjelmisto vai asiakaskohtainen järjestelmä. Tätä ei ole yksilöinyt myöskään valittu yleinen CPV-koodi.
HY: Hankinta-asiakirjojen perusteella valittajalle on täytynyt tulla selväksi, että kilpailutuksen kohteena on ollut valmisohjelmisto.
MAO: Hankintailmoituksessa ilmoitettu pääasiallinen CPV-koodi on viitannut tietoteknisiä palveluita koskevaan hankintaan. Hankintayksikkö on kuitenkin markkinaoikeudessa esittänyt, että kohteena on ollut valmisohjelmisto, jossa toiminnallisuuksien on tullut olla välittömästi käytössä. Tarjouspyyntöasiakirjojenkin perusteella hankinnan kohde on ollut valmis tiedonhallintajärjestelmä. Vaikka hankinnan on ilmoitettu sisältävän myös koulutus- ja kehityspalvelua, pääosa hankinnasta on kohdistunut valmisohjelmistotuotteeseen. Käytetty CPV-koodi on siten ollut virheellinen.
Seuraamukset: Hankintapäätös kumottiin ja sen täytäntöönpano kiellettiin sakon uhalla. Lisäksi hankintayksikkö velvoitettiin korvaamaan valittajan oikeudenkäyntikulut.
TSV 6064/163/20
Antopäivä 21.3.2023
Lasten henkilötiedot – koulut – tietojen minimointi
Hakija: Kaupungin järjestämässä perusopetuksessa sähköpostijärjestelmän osoitekirjassa näkyy oppilaan nimi, rooli sekä oppilaan oppilaitos ja hänen sähköpostiosoitteensa. Tiedot näkyvät kaikkien kaupungin koulujen oppilaille, heitä auttaville huoltajille ja koulujen henkilökunnalle. Tämä on tarpeettoman laaja ryhmä, mistä aiheutuu merkittäviä väärinkäytön riskejä oppilaiden henkilötietojen käsittelylle ja menettely on muutenkin loukkaavaa ottaen huomioon, että kyse on alaikäisistä lapsista. Oppilaiden tietojen liian laaja näkyvyys voi johtaa esimerkiksi ei-toivottuihin lähestymisiin. Näkyvyyttä olisi tietoteknisesti helppo rajoittaa, mutta näin ei ole tehty.
Rekisterinpitäjä: Tietojen näkyminen on koettu tarpeelliseksi ja välttämättömäksi, jotta henkilökunta eri luokkien ja koulujen välillä tunnistaa vastaanottajan ennen viestin lähettämistä ja että myös tekninen tietosuoja ja tietoturva toteutuisi. Nimi- ja sähköpostiosoitetietojen näkyvyys yhden koulun sisäiseksi olisi teknisesti kömpelöä, jopa mahdotonta. Kaupungin tietoverkkojen käyttösäännöt ja -sitoumukset kieltävät häiriökäyttäytymisen ja tietojen väärinkäytön. Asiasta on myös järjestetty ohjeistusta ja koulutusta henkilökunnalle ja muille osallisille.
Apulaistietosuojavaltuutettu: Rekisterinpitäjä (perusopetuksen järjestäjä) ei ole noudattanut oppilaidensa henkilötietojen käsittelyssä tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohtaa (lainmukaisuus ja kohtuullisuus), c alakohtaa (minimointi) eikä f alakohtaa (luottamuksellisuus) eikä 25 artiklan 2 kohdassa säädettyä. Osoitekirjassa on näkynyt oppilaan etu- ja sukunimi, rooli (oppilas), sähköpostiosoite sekä oppilaan koulu ja luokka. Rekisterinpitäjä ei ole pystynyt osoittamaan oppilaidensa tietojen näin laajan näkyvyyden asianmukaisuutta ja tarpeellisuutta perusopetuksen järjestämisessä.
Toisen asian yhteydessä on lisäksi tullut ilmi, että eräässä kaupungissa osoitekirja on piilotettu kokonaan eivätkä oppilaiden tiedot näy perusopetusta järjestettäessä muille sähköpostin käyttäjille osoitekirjassa. Olemassa on myös mahdollisuus tehdä omia henkilökohtaisia osoitekirjoja.
Seuraamukset: Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen mukaisen huomautuksen ja määräyksen saattaa käsittelytoimet tietosuoja-asetuksen mukaisiksi.
3. Viranomaisviestintä somealustoilla – norsu posliinikaupassa?
Sosiaalisen median alustat ovat tänä päivänä tärkeä viestintäkanava niin markkinoinnin, uutisten kuin tiedotteidenkin levittämiseen. Enenevissä määrin myös valtion viranomaiset ovat avanneet tilejään sosiaalisen median alustoille, kuten Twitteriin tai YouTubeen. Monet viranomaiset ovat huomanneet tiedonvälittämisen sosiaalisen median kanavia pitkin helpoksi ja tehokkaaksi. Voivatko valtion viranomaisen julkaisemat materiaalit olla saatavilla kaupallisilla sosiaalisen median alustoilla, jotka usein vaativat käyttäjiltä esimerkiksi erilaisten käyttöehtojen ja evästeiden hyväksymistä? Entä voidaanko menettelyä pitää asianmukaisena?
Valtioneuvoston oikeuskansleri saattoi helmikuussa valtioneuvoston kanslian sekä Terveyden ja hyvinvoinnin laitoksen tietoon käsityksensä (OKV/949/10/2021) viranomaisviestinnän suunnittelusta ja toteutuksesta. Käsityksessään oikeuskansleri otti kantaa YouTube-palvelun käyttämiseen viranomaisviestinnässä. Oikeuskansleri katsoi, etteivät kyseiset viranomaiset olleet menetelleet lainvastaisesti käyttäessään kyseistä palvelua perinteisiä viestikanavia täydentävänä omassa tiedonjakelussaan.
Sosiaalisen median kanavien käyttäminen on mahdollista, kunhan viranomaiset eivät siirrä kaikkea viestintäänsä sosiaalisen median alustoille. Oikeuskansleri mainitsikin käsityksessään suuntaviivoja, jotka viranomaisten on huomioitava viestintää suunnitellessaan ja toteuttaessaan. Näistä suuntaviivoista on hyötyä erityisesti suunnitellessa, kuinka paljon ja millaista viestintää voidaan kanavoida vastaanottajille sosiaalisen median palveluiden kautta.
Mitä oikeuskanslerin käsitys tarkoittaa sosiaalisessa mediassa aktiivisen viranomaisen tai sosiaalisen median käyttöönottoa suunnittelevan viranomaisen kannalta? Me Hankintajuristeilla autamme mielellämme sosiaalista mediaa käyttäviä tai sosiaalisen median käyttöä suunnittelevia viranomaisia varmistamaan, että viranomaisviestinnässä saadaan hyödynnettyä tekninen kehitys lainsäädännön vaatimusten mukaisesti. Sosiaalisen median hyödyntäminen viranomaisviestinnässä voi oikein ja lainmukaisesti tehtynä toimia todellisena sillanrakentajana kansalaisen ja viranomaisen välillä.