IT-ulkoistaminen on vakiintunut osa monen yrityksen arkea. IT-palveluiden, ohjelmistokehityksen tai infrastruktuurin hallinnan siirtäminen ulkopuoliselle toimijalle voi tuoda kustannustehokkuutta, skaalautuvuutta ja pääsyn sellaiseen osaamiseen, jota ei ole järkevää rakentaa itse. Samalla kyse ei kuitenkaan ole pelkästä teknisestä järjestelystä, vaan kokonaisuudesta, jossa juridiset kysymykset ovat keskeisessä roolissa.
Ulkoistamisen onnistuminen ratkaistaan osittain jo ennen sopimuksen allekirjoittamista. Tässä kirjoituksessa käyn läpi kolme näkökulmaa, jotka nousevat käytännössä toistuvasti esiin ulkoistushankkeissa.
Lähtötilanteen analysointi
Ensimmäinen askel on lähtötilanteen ja tavoitteiden kirkastaminen. Yllättävän usein ulkoistushankkeeseen lähdetään ilman riittävän tarkkaa kuvaa siitä, mitä ollaan ulkoistamassa ja miksi. On eri asia hakea kustannussäästöjä kuin parantaa palvelun laatua tai skaalautuvuutta, ja nämä tavoitteet ohjaavat myös sopimusratkaisuja eri suuntiin.
Käytännössä tämä tarkoittaa sitä, että ulkoistajan on pystyttävä kuvaamaan ulkoistettava toiminto riittävän tarkasti. On määritettävä, mitä palvelun halutaan sisältävän, millä tasolla sitä on tarpeen tuottaa sekä millaisia riskejä siihen mahdollisesti liittyy. Erityisesti silloin, kun palvelu on aiemmin tuotettu sisäisesti, tällainen kartoitus voi olla yllättävän puutteellinen tai sitä ei ole tehty lainkaan. Ilman tätä pohjatyötä tarjouspyynnöstä tulee helposti liian avoin, jolloin saadut tarjoukset eivät ole keskenään vertailukelpoisia. Tämä näkyy suoraan sekä aikataulussa että kustannuksissa.
Sopimuksen laadinta ja riskien hallinta
Toinen keskeinen kokonaisuus liittyy sopimukseen. IT-ulkoistuksessa sopimus ei ole pelkkä muodollisuus, vaan keskeinen riskienhallinnan työkalu. Hyvä sopimus määrittelee selkeästi, mitä palvelua tuotetaan, millä tasolla ja millä hinnalla. Yhtä tärkeää on kuitenkin se, mitä tapahtuu silloin, kun asiat eivät mene suunnitellusti.
Häiriötilanteet ovat ulkoistuksissa väistämättömiä, ja juuri niissä sopimuksen sisältö mitataan. Jos palvelu ei toimi sovitusti, millaisia seuraamuksia tästä syntyy ja miten nopeasti tilanne on korjattava? Ulkoistuksen jälkeen asiakkaalla ei välttämättä ole enää omaa kyvykkyyttä korjata ongelmia itse, mikä korostaa sopimuksellisten mekanismien merkitystä.
Käytännössä haasteita syntyy usein myös siirtymävaiheessa. Palveluntarjoaja pyrkii tyypillisesti siirtämään palvelun omaan tuotantomalliinsa mahdollisimman nopeasti, kun taas ulkoistajalle on tärkeää varmistaa palvelun jatkuvuus ilman katkoksia. Tässä jännitteessä sovitaan usein erillisistä siirtymäajan ehdoista ja korostetuista velvoitteista sopimuskauden alkuun. Niin sanottu hyper care -jakso ei ole pelkkä trendisana, vaan konkreettinen keino hallita ulkoistuksen alkuvaiheen riskejä.
Yksi aliarvostetuimmista osa-alueista on sopimuksen päättyminen. Liian usein exit-tilanne jätetään yleisluontoisten ehtojen varaan, vaikka juuri siinä vaiheessa realisoituvat monet ulkoistuksen todelliset riskit. Keskeisiä kysymyksiä ovat esimerkiksi se, missä muodossa data palautetaan, miten palvelu siirretään uudelle toimittajalle ja millä kustannuksilla. Jos näitä ei ole sovittu etukäteen, lopputuloksena voi olla tilanne, jossa palveluntarjoajan vaihtaminen on käytännössä mahdotonta tai ainakin merkittävän kallista. Ulkoistuksen osana voi olla myös sellaisia EU datasäännöksen mukaisia palveluja, jotka tulkitaan datankäsittelypalveluiksi. Joidenkin palvelujen osalta datasäädös on tuonut tähän tiettyä helpotusta, mutta tämä ei poista tarvetta sopia näistä asioista.
Työoikeudellisien aspektien huomioiminen
Kolmas näkökulma liittyy työoikeuteen. IT-ulkoistus ei koske vain pelkkiä ulkoistettavia IT-palveluja, vaan tapauskohtaisesti myös työntekijöitä. Työoikeuden näkökulmasta, on arvioitava huolellisesti täyttyvätkö liikkeenluovutuksen tunnusmerkit. Liikkeenluovutuksessa ulkoistettavaan palveluun kuuluvat työntekijät siirtyvät automaattisesti uuden työnantajan (palveluntarjoaja) palvelukseen entisin ehdoin, vanhoina työntekijöinä.
Tämä ei kuitenkaan tarkoita, että kaikki tilanteet olisivat yksinkertaisia. Keskeinen kysymys on, ketkä työntekijät kuuluvat siirtyvään kokonaisuuteen. Rajausten tekeminen voi olla haastavaa, erityisesti organisaatioissa, joissa tehtävät ja vastuut ovat jakautuneet useiden toimintojen kesken. Lisäksi on arvioitava, syntyykö ulkoistuksen yhteydessä velvollisuus käydä muutosneuvottelut, esimerkiksi tilanteissa, joissa organisaatiota järjestellään uudelleen ennen ulkoistusta.
Työoikeudelliset kysymykset eivät ole pelkästään juridinen pakollinen paha, vaan niillä on suora vaikutus myös ulkoistuksen käytännön toteutukseen ja aikatauluun. Siksi niiden analysointi kannattaa tehdä riittävän varhaisessa vaiheessa.
Lopuksi
Kun nämä kolme kokonaisuutta yhdistetään, muodostuu kuva siitä, miksi ulkoistuksen valmisteluun kannattaa panostaa. Huolellinen valmistautuminen ei ole ylimääräinen kustannus, vaan edellytys sille, että ulkoistuksella saavutetaan ne hyödyt, joita siltä haetaan.
Oikein toteutettuna IT-ulkoistus tukee liiketoiminnan kasvua ja vapauttaa resursseja ydinliiketoimintaan. Huolimattomasti toteutettuna se voi sen sijaan sitoa yrityksen pitkäksi aikaa järjestelyyn, josta irtautuminen on vaikeaa. Kokemus on osoittanut, että ero näiden kahden lopputuloksen välillä syntyy harvoin teknologiasta, mutta lähes aina valmistelusta ja sopimuksesta.
Autamme mielellämme IT-ulkoistuksiin liittyvissä sopimus-, riski- ja työoikeuskysymyksissä.
Osmo Lipponen
Senior Counsel
+358 50 439 1899
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
EU:n datasäädöksen (Data Act) soveltaminen alkaa 12.9.2025.
Datasäädöksellä mahdollistetaan datan arvon oikeudenmukainen jakautuminen vahvistamalla selkeät ja oikeudenmukaiset säännöt dataan pääsylle ja sen käytölle Euroopan datataloudessa. Datasäädöksellä mm. parannetaan datan tuottamiseen osallistuvien yritysten ja kuluttajien oikeusvarmuutta, edesautetaan tasapuolista datan yhteiskäyttöä sekä luodaan puitteet sille, että asiakkaat voivat tosiasiallisesti vaihtaa datankäsittelypalvelujen tarjoajaa EU:n pilvipalvelumarkkinoiden avaamiseksi. Datasäädös täydentää datahallintosäädöstä, jota alettiin soveltaa syyskuussa 2023.
Datasäädös soveltuu internetverkkoon liitettyihin tuotteisiin (esineiden internet, Internet of Things, IoT) ja niihin liittyviin palveluihin ja niiden generoimaan ja keräämään dataan. Tämän ohella datasäädös soveltuu datankäsittelypalveluihin (esim. IaaS, SaaS ja PaaS).
Tässä blogikirjoituksessa avaamme säädöksen keskeiset velvoitteet ja vaikutukset.
Mitkä ovat datasäädöksen velvoitteet laitevalmistajille?
Sääntelyä sovelletaan verkkoon liitettyihin tuotteisiin ja niihin liittyviin palveluihin, jotka on saatettu markkinoille 12.11.2026 jälkeen.
Säädöksen keskeinen lähtökohta on, että laitteiden tuottama data kuuluu ensisijaisesti käyttäjälle. Tämä merkitsee huomattavaa muutosta niille valmistajille, jotka ovat tottuneet pitämään datan hallinnan kilpailuetunaan. Säädöksen mukaan verkkoon liitetyt laitteet on suunniteltava ja valmistettava siten, että laitteen data ja siihen liittyvän palvelun data, ovat suoraan käyttäjän saatavilla helposti, turvallisesti ja maksutta, kattavassa, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Sanottu koskee myös metadataa silloin kuin se on saatavissa, ja joka on tarpeen laitteeseen sisältyvän datan tulkitsemiseksi ja käyttämiseksi. Jatkossa valmistajan on tarjottava tekniset ratkaisut, joiden avulla käyttäjä voi saada datan itselleen ja jakaa sen kolmannelle osapuolelle, kuten esimerkiksi huoltopalvelu- tai analytiikkayritykselle. Tämä kolmas osapuoli voi käyttää käyttäjältä vastaanottamaansa tai tämän pyynnöstä välitettyä dataa vain käyttäjän kanssa sovittuihin tarkoituksiin ja käyttäjän kanssa sovituin ehdoin. Datasäädöksen mukaan laitevalmistajien ja palveluntarjoajien on jo suunnitteluvaiheessa varmistettava, että laitteet keräävät ja tallentavat dataa niin, että käyttäjä voi päästä dataan helposti käsiksi.
Datan luovuttamisvelvoite koskee jalostamatonta dataa eli datan jatkokäsittelyn, rikastamisen ja siitä tehtyjen päätelmien tulokset eivät ole luovutusvelvoitteen piirissä. Datan haltijan mahdollisuus kieltäytyä luovuttamasta dataa esimerkiksi liikesalaisuuksiin tai tuoteturvallisuuteen vedoten on rajallinen. Liikesalaisuuden rajat eivät ole aina yksiselitteiset ja datasäädöksen myötä voi tulla mielenkiintoisia rajanvetoja. Myös osapuolten väliset erimielisyydet ja jopa riitaisuudet voivat lisääntyä liikesalaisuuksien rajoja määriteltäessä.
Jatkossa datan haltija voi käyttää tai luovuttaa dataa ainoastaan käyttäjän kanssa tekemänsä sopimuksen perusteella. Mikäli esimerkiksi laitteen valmistaja haluaa siis käyttää dataa vaikkapa omaan tuotekehitykseensä tai myydä dataa jollekin kolmannelle taholle, siitä pitää erikseen sopia laitteen käyttäjän kanssa.
Mitkä ovat datasäädöksen velvoitteet datankäsittelypalvelun tarjoajille?
Datan saataville asettamiseen liittyvää sääntelyä sovelletaan 12.9.2025 alkaen.
Datankäsittelypalvelun, tuttavallisimmin pilvipalvelun, käsite on laaja ja kattaa nykypäivänä suuren osan IT-palveluista, koska tähän lukeutuu myös mm. SaaS-palvelut. Siirtyminen pilvipalvelusta toiseen pilvipalveluun helpottuu, koska pilvipalveluntarjoajien on helpotettava palvelun vaihtamista ja datan siirtämistä palvelusta toiseen. Tämä vähentää niin sanottua toimittajalukkoa ja pakottaa pilvipalveluntarjoajat kilpailemaan palvelun laadulla ja hinnoittelulla sen sijaan, että asiakas jäisi kiinni teknisiin tai sopimuksellisiin esteisiin. Siirtymävaiheessa palveluntarjoajat voivat periä siirtomaksuja, mutta niiden on oltava kohtuullisia ja alenevia, ja lopulta, 12.1.2027 alkaen, siirron on oltava maksutonta.
Pilvipalveluntarjoajan asiakassopimukseen on jatkossa sisällytettävä tiettyjä pakollisia ehtoja. Pakollisia sopimusehtoja laadittaessa on samalla otettava huomioon datasäädöksen yksityiskohtaiset säännöt epäoikeudenmukaisista sopimusehdoista koskien datan käyttöön ja pääsyyn liittyviä yksipuolisia sopimusehtoja. Sääntöjen mukaan yrityksen toiselle yritykselle asettamat velvoitteet eivät sido jälkimmäistä yritystä, jos sopimusvelvoitteet ovat epäoikeudenmukaisia. Datasäädös määrittää, mitä tässä yhteydessä pidetään epäoikeudenmukaisena ja yksipuolisesti asetettuna sopimusehtona.
Kaikkien pilvipalveluntarjoajien on syytä käydä läpi omat sopimusehtonsa ja päivittää ne datasäädöksen mukaisiksi. Vastaavasti pilvipalvelun ostajien kannattaa olla hereillä ja tarkistaa, että sopimukset ovat linjassa datasäädöksen heille tarjoamien oikeuksien kanssa.
Lopuksi?
Mikäli data sisältää henkilötietoja, sovelletaan niiden käsittelyyn henkilötietojen käsittelyä koskevaa sääntelyä, kuten EU:n yleistä tietosuoja-asetusta (GDPR). Verkkoon liitettyjen tuotteiden valmistajien ja tarjoajien on keskeistä identifioida, mikä data on henkilötietoa ja mikä ei sekä henkilötietojen osalta toteutettava datasäädöksen ohella myös tietosuoja-asetuksen velvoitteet, koska tietosuoja-asetus on ensisijainen suhteessa datasäädökseen.
Auttaakseen yrityksiä selviytymään näistä uusista säännöistä Euroopan komissio tulee julkaisemaan hyvinkin yksityiskohtaiset ei-sitovat mallisopimusehdot, joilla autetaan yrityksiä tekemään oikeudenmukaisia, kohtuullisia ja syrjimättömiä datan yhteiskäyttösopimuksia. Näissä ehdoissa annetaan myös ohjeita kohtuullisesta korvauksesta ja liikesalaisuuksien suojaamisesta. Komissio tulee julkaisemaan myös ei-sitovia vakiosopimuslausekkeita pilvipalvelujen käyttäjien ja tarjoajien välisiin pilvipalvelusopimuksiin. Aika tulee näyttämään, miten yritykset ottavat vastaan nämä mallisopimuslausekkeet ja sen, aletaanko niitä soveltamaan käytännössä laajemminkin vai laativatko yritykset itsenäisesti omat täysin omaan tarkoitukseensa parhaiten soveltuvat sopimusehdot, jotka ovat linjassa datasäädöksen kanssa. Erilaisten sopimusehtojen markkinakäytäntöihin mallisopimuslausekkeilla tulee arviomme mukaan olemaan kuitenkin varmasti vaikutusta.
Teknologiatiimimme avustaa mielellään myös datasäädökseen liittyvissä kysymyksissä.
Osmo Lipponen
Senior Counsel
050 439 1899
Katri Aarnio
Counsel
050 306 2031
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
- Susanna Kesseli
- 20.9.2023
Päivitetty: 25.9.2024
Tässä artikkelissa tarkastelemme EU:n kyberturvallisuussääntelyä, erityisesti kyberturvallisuusdirektiiviä eli niin kutsuttua NIS 2 -direktiiviä (NIS 2 Directive) sekä kyberturvallisuusasetusta (Cybersecurity Act, CSA).
EU:n kyberturvallisuussääntely
Kyberturvallisuus on noussut EU:ssa viime vuosina keskeiseksi puheenaiheeksi, kun teknologian nopea kehitys on tuonut mukanaan uusia haasteita. Kasvaneiden kyberturvallisuusuhkien vuoksi EU:ssa on katsottu tarpeelliseksi luoda unionin yhteinen kyberturvallisuuden sääntelykehys, jolla vahvistetaan tiettyjen toimialojen toimijoiden tietoverkkojen ja -järjestelmien turvallisuusvalmiuksia sekä luodaan toimijoille raportointivelvollisuus.
Kyberturvallisuusasetus (CSA)
Voimaantulo ja soveltaminen | 27.06.2019 |
Kyberturvallisuusasetuksella luotiin Eurooppalainen kyberturvallisuuden sertifiointikehys (The European Cybersecurity Certification Framework), joka koskee ICT-tuotteita, palveluja ja prosesseja. Kyseessä on EU:n laajuinen yhtenäinen sertifiointijärjestelmä, joka koostuu teknisistä vaatimuksista, standardeista ja menettelyistä. Yhtenäisen järjestelmän avulla yritykset voivat osoittaa, että niiden tuotteet, palvelut ja prosessit täyttävät tietyt kyberturvallisuusvaatimukset. Sertifiointi on vapaaehtoista.
Sertifiointikehyksen ohella asetuksella vahvistettiin vuonna 2004 perustetun EU:n kyberturvallisuusviraston (The EU Agency for Cybersecurity, ENISA) asemaa. ENISA toimii NIS 2 -direktiivillä perustettavan Euroopan kyberkriisien yhteysorganisaatioiden verkoston (The European Cyber Crises Liaison Organisation Network, EU-CyCLONe) kattoelimenä. Verkostossa Suomea edustaa Liikenne- ja viestintäviraston Kyberturvallisuuskeskus.
Kyberturvallisuusdirektiivi eli NIS 2 -direktiivi
Voimaantulo | 16.01.2023 |
Soveltaminen | 18.10.2024 |
NIS 2 -direktiivi on EU:n tietoverkkojen ja -palveluiden kyberturvallisuudesta annettu direktiivi. Sitä edelsi samaa aihepiiriä koskenut NIS -direktiivi vuodelta 2016. NIS 2 -direktiivillä sääntelyä uudistettiin muun muassa laajentamalla sen soveltamisalaa ja sillä asetettavia velvoitteita. NIS 2 -direktiivin tavoitteena on varmistaa, että tietyt yhteiskunnan toiminnan kannalta kriittiset toimialat ovat riittävän suojattuja kyberuhkilta.
Direktiivin soveltamisalaan kuuluvat toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin niiden koon sekä niiden edustaman toimialan perusteella. Yleisluontoisesti voidaan todeta direktiiviä sovellettavan suuriin ja keskisuuriin yrityksiin, jotka toimivat kriittisen infrastruktuurin aloilla tai eräillä muilla, digitaalisia järjestelmiä hyödyntävillä toimialoilla.
Direktiivi asettaa soveltamisalaan kuuluville yrityksille runsaasti kyberuhkien tunnistamiseen ja niiden torjumiseen liittyviä velvoitteita. Vaadittuihin riskienhallintatoimenpiteisiin lukeutuvat muun muassa:
Riskinhallinta- ja kyberturvallisuuspolitiikkojen laatiminen
Prosessien laatiminen poikkeamien käsittelemiseksi
Toiminnan jatkuvuuden sekä toimitusketjujen turvallisuuden hallinta
Henkilöstön kouluttaminen
Lisäksi yritysten tulee ilmoittaa merkittävistä tietoturvapoikkeamista kansalliselle NIS-viranomaiselle sekä tietyissä tilanteissa palvelujensa vastaanottajille. Viranomaiselle ilmoittaminen tapahtuu todennäköisesti Kyberturvallisuuskeskuksen sivuston kautta. Perusmuotoinen ilmoitusmenettely on kolmivaiheinen:
1. | Ennakkovaroitus | 24h poikkeamasta |
2. | Poikkeamailmoitus | 72h poikkeamasta |
3. | Lopullinen raportti | 1kk poikkeamailmoituksesta |
Ilmoitusvelvollisen yrityksen tulee raportoida merkittävästä tietoturvapoikkeamasta 24h poikkeaman havaitsemisesta ja tehdä varsinainen poikkeamailmoitus 72h poikkeaman havaitsemisesta. Ennen lopullista raporttia viranomainen voi tarvittaessa pyytää yritykseltä väliraportin. Jos puolestaan poikkeamaa edelleen työstetään kuukauden kuluttua, voi yritys antaa lopullisen raportin sijaan edistymisraportin, ja kuukauden kuluessa poikkeaman käsittelyn valmistumisesta lopullisen raportin.
Sääntelyn noudattamisen merkitystä korostavat suhteellisen suuret sanktiot, joita yritykselle voidaan määrätä mikäli velvoitteita ei noudateta. Sanktioiden suuruuteen vaikuttaa se, luokitellaanko yritys keskeiseksi vai tärkeäksi toimijaksi. Kansallisessa lainsäädännössä keskeisten toimijoiden hallinnollisten sakkojen enimmäismäärän on oltava vähintään 10 milj. euroa tai 2 % yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Tärkeäksi toimijaksi luokiteltavien toimijoiden osalta vastaavat lukemat ovat 7 milj. euroa tai 1,4 % kokonaisliikevaihdosta. Jäsenvaltiot voivat myös halutessaan säätää valtuudesta määrätä uhkasakkoja.
Sääntelyn seuraavat askeleet
NIS 2 -direktiiviin perustuva kansallinen lainsäädäntöhanke on parhaillaan vireillä. Kansallisen sääntelyn sisältö täsmentyy, kun hallituksen esitys annetaan arviolta vuoden 2024 alussa. Toistaiseksi tiedossa ovat ainoastaan direktiivin asettamat vähimmäisvelvoitteet. Esimerkiksi sanktioiden suuruus ja mahdollisten uhkasakkojen säätäminen täsmentyvät myöhemmin. Seuraamme säädöshankkeen etenemistä.
EU:n kyberturvallisuuden sääntelykehykseen kuuluvat myös kyberkestävyysasetus (Cyber Resilience Act) sekä komission keväällä julkaisema ehdotus kybersolidaarisuusasetukseksi (Cyber Solidarity Act). Palaamme näihin tulevissa postauksissamme.
Lisätietoja aiheesta antaa:
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.