4.2 Varautuminen häiriötilanteisiin ja poikkeusoloihin
4.2.5 Huoltovarmuuskeskus toiminnan tukijana
Huoltovarmuuden kehittämistä ja ylläpitoa varten on olemassa vuonna 1993 perustettu Huoltovarmuuskeskus. Sen yhtenä tärkeimmistä tehtävistä on kehittää ja vahvistaa jul-kishallinnon ja elinkeinoelämän yhteistyötä huoltovarmuuteen liittyvissä asioissa. Lisäksi se varmistaa huoltovarmuuden kannalta elintärkeiden teknisten järjestelmien toimivuuden, turvaa välttämättömän tavara- ja palvelutuotannon sekä sotilaallista maanpuolustusta tuke-van tuotannon, hoitaa velvoite- ja turvavarastointia sekä ylläpitää valtion varmuusvaras-toissa materiaaleja. Huoltovarmuuskeskuksen tehtävistä säädetään tarkemmin valtioneu-voston asetuksella huoltovarmuuskeskuksesta (455/2008). Huoltovarmuuden kehittäminen ja varautumistoimien yhteensovittaminen kuuluvat työ- ja elinkeinoministeriölle, joka myös ohjaa ja valvoo Huoltovarmuuskeskuksen toimintaa. Ministeriöt kehittävät muutoin huoltovarmuutta omalla toimialallaan. (Huoltovarmuuslaki 46 §)
Valtioneuvoston päätöksessä huoltovarmuuden tavoitteista (257/2013) säädetään tarkem-min huoltovarmuudesta. Sen mukaan huoltovarmuustoimenpiteet toteutetaan yhteistyössä julkisen sektorin, elinkeinoelämän ja järjestöjen kesken siten, että markkinaehtoisesti ta-pahtuva ja sääntelyyn perustuva varautuminen sovitetaan yhteen.240 Huoltovarmuuskes-kuksen tehtävänä on yhdessä huoltovarmuusorganisaation sektorien ja poolien kanssa edis-tää tämän yhteistyön toteutumista ja sovittaa yhteen yhteiskunnan ja elinkeinoelämän ta-voitteita ja hyötyjä varautumistoimenpiteissä.241 Yritysten osallistuminen
240 Valtioneuvosto 2013, s. 1.
241 Huoltovarmuuskeskus 2017, kohta Huoltovarmuus Suomessa. Huoltovarmuussektorit ovat logistiikka-, tietoyhteiskunta-, energiahuolto-, elintarvikehuolto-, terveydenhuolto-, finanssiala- sekä teollisuussektori.
Pooleja näiden alla on yhteensä 24.
organisaation toimintaan tapahtuu juuri sektoreissa ja pooleissa. Sektorit on muodostettu eri huoltovarmuuden painopistealueille ja ne ovat alakohtaisia yhteistoimintaorganisaatioi-ta. Sektorit ohjaavat, koordinoivat ja seuraavat oman toimialansa varautumista sekä määrit-tävät tavoitteet alaisilleen pooleille. Poolien tehtävänä on vastata operatiivisesta varautumi-sesta elinkeinoelämän johdolla toimivina toimieliminä. Ne seuraavat, selvittävät, suunnitte-levat ja valmistesuunnitte-levat toimenpiteitä yhdessä alan yritysten kanssa huoltovarmuuden kehit-tämiseksi. Lisäksi poolit määrittelevät alaltaan huoltovarmuuden kannalta kriittiset yrityk-set.242 Huoltovarmuusorganisaatio on kuvattu tarkemmin kuviossa 5. Huoltovarmuusorga-nisaation toimintaan osallistuminen ja huoltovarmuustoimintaan sitoutuminen on yrityksil-le vapaaehtoista. Vapaaehtoinen ja omaehtoinen varautuminen toiminnan jatkuvuuden varmistamiseksi edesauttaa koko yhteiskunnan kykyä toimia häiriö- ja poikkeusoloissa.243 Huoltovarmuuskriittisiä yrityksiä on noin 1500.244
Kuvio 5. Huoltovarmuusorganisaatio.245
242 Huoltovarmuuskeskus 2017, kohta Julkisen ja yksityisen sektorin kumppanuus. Huoltovarmuuskeskuksen yhteydessä toimii lisäksi Huoltovarmuusneuvosto, joka ylläpitää ja kehittää yhteyksiä keskeisimpiin yhteis-työtahoihin, seuraa huoltovarmuuden tilaa ja kehitystä sekä tekee esityksiä toimenpiteistä. Valtioneuvosto 2010, s. 63; Puolustusministeriö 2010, s. 7.
243 Valtioneuvosto 2010, s. 13; Huoltovarmuuskeskus 2017, kohta Keinovalikoima.
244 Huoltovarmuuskeskus 2017, kohta Huoltovarmuusorganisaatio.
245 Huoltovarmuuskeskus 2017, kohta Huoltovarmuusorganisaatio.
Valtion ja kuntien viranomaisilla on lakisääteinen velvollisuus varautua muun muassa valmiussuunnitelmien avulla jatkamaan toimintaansa häiriö- ja poikkeusoloissa. Yrityksil-lä ei yleisesti tällaista velvollisuutta ole ja niiden varautumisen Yrityksil-lähtökohtana ovat liiketoi-minnalliset perusteet, asiakkaiden kanssa tehdyt sopimukset sekä näihin liittyvä riskienhal-linta.246 Kriiseihin varautuminen liittyy kuitenkin saumattomasti yritysten normaaliin ris-kienhallintaan.247 Huoltovarmuuskeskus edistää huoltovarmuudelle kriittisten organisaa-tioiden jatkuvuudenhallintaa sekä niiden kykyä tunnistaa toimintansa kannalta kriittiset riippuvuudet, riskit ja muutokset. Keskeisiä toimenpiteitä ovat järjestelmällinen yritystur-vallisuuden hallinta sekä liiketoiminnan jatkuvuuden suunnittelu. Yritysten toimintaa tue-taan tarpeellisilla työkaluilla, kuten ohjeistuksilla, selvityksillä ja koulutuksella. Lisäksi huoltovarmuusorganisaatio kehittää sopimuskäytäntöjä toiminnan jatkuvuuden varmista-miseksi sekä edistää niiden käyttöä viranomaisten ja elinkeinoelämän toiminnassa.248
4.2.6 Varautumiseen ja huoltovarmuuteen liittyvistä velvoitteista sopiminen
Julkista hallintotehtävää ulkoistettaessa viranomaisen on tunnistettava ne kriittiset toimin-not, joiden hoitaminen tulee varmistaa myös häiriötilanteissa ja poikkeusoloissa sekä ne toiminnot, jotka ovat elintärkeitä huoltovarmuuden turvaamisen kannalta. Viranomainen voi sopimuksella velvoittaa yksityistä toimijaa huolehtimaan etenkin kriittisen tehtävän osalta jatkuvuuden hallinnasta. Asia on huomioitu julkisten hankintojen yleisissä sopimus-ehdoissa, joiden mukaan kriittiset toiminnot tulee tunnistaa ja tarjouspyyntöön tulee tarvit-taessa sisällyttää varautumisvelvollisuus toiminnan jatkuvuuden turvaamiseksi.249 Sopi-mukseen ja sen ehtoihin tulee erityisesti kiinnittää huomiota, mikäli ulkoistettavalla toi-minnalla on turvallisuuden hallintaan liittyvä ulottuvuus.250 Viranomaisen tulee sopimuk-sessa huomioida varautumiseen ja huoltovarmuuteen liittyvät velvoitteet, jotka suoraan lain nojalla velvoittavat vain viranomaisia. Nämä velvoitteet tulisi huomioida jo kilpailuttamis-vaiheessa. Ennakolta on tarpeen määrittää myös sopimuksen valvontaan liittyvät toiminta-mallit.251
246 Huoltovarmuuskeskus 2017, kohta Huoltovarmuus Suomessa.
247 HE 105/1992 vp, s. 4.
248 Valtioneuvosto 2013, s. 2 ja 9.
249 Valtiovarainministeriö 2014, s. 7.
250 Aine ym. 2011, s. 103.
251 Tervo 2016, s. 910.
Velvoitteiden siirtäminen julkista hallintotehtävää hoitavalle yritykselle on mahdollista tehdä esimerkiksi Huoltovarmuuskeskuksen SOPIVA-mallilausekkeiden ja -suositusten (sopimuksiin perustuva varautuminen) mukaisesti.252 Mallilausekkeiden tarkoituksena on helpottaa suositusten käyttöönottoa. Mallilausekkeista on tehty sekä alihankintamalli että kumppanuusmalli, ja näistä vielä sitovat ja tahdonvaraiset mallit, sillä yksi malli ei välttä-mättä sovellu kaikkiin tilanteisiin. Lauseke tulee osaksi sopimusta ja varsinaiset suosituk-set sopimuksen liitteeksi.253 Suositusten tavoitteena on parantaa yritysten ja julkishallinnon organisaatioiden toimintaedellytyksiä ja varmistaa niiden toiminnan jatkuvuus myös poik-keusoloissa ja häiriötilanteissa. Suositukset on tarkoitettu sekä yritysten että julkishallinnon organisaatioiden noudatettavaksi.254 Yritys voi suosituksia noudattamalla kehittää kykyään ehkäistä toiminnan häiriöitä ja pienentää mahdollisen häiriön vaikutuksia toimintaan sekä nopeuttaa häiriöstä toipumista (kuvio 6).
Kuvio 6. Häiriöihin varautumisen ja toiminnan jatkuvuuden konsepti.255
SOPIVA-suositukset koskevat johtamista, toiminnanohjausta, henkilöstöä ja henkilöresurs-sien hallintaa, kumppanuuksia, toiminnan jatkuvuuden hallinnan arviointia ja kustannuksia
252 Pirttimäki Tourula 2015, s. 89, 13.
253 Ks. SOPIVA-suositukset ja mallilausekkeet kokonaisuudessaan Huoltovarmuuskeskus 2017, kohta Sopi-muksiin perustuva varautuminen – SOPIVA.
254 Huoltovarmuuskeskus 2009, s. 3.
255 Huoltovarmuuskeskus 2009, s. 3.
sekä sisäistä viestintää. Johtamista koskevissa suosituksissa on määritelty johdolle vastuita jatkuvuussuunnittelun määrittelyssä, resurssien asettamisessa, viestintä- ja raportointivas-tuiden määrittelyssä, jatkuvuuden hallinnan seurannassa sekä erityistilanteiden johtamises-sa. Toiminnanohjauksen näkökulmasta organisaation strategisen ohjauksen tulee kattaa vakavien häiriötilanteiden ennakoiminen, joka edellyttää riskienhallintaa, kriisiviestinnän suunnittelua sekä häiriönhallinnan ohjeiden laadintaa, koulutusta ja harjoituksia. Henkilös-tön osaava toiminta häiriötilanteessa on merkittävää organisaation toiminnan jatkuvuudel-le. Tästä syystä henkilöstöä tulee kouluttaa ja opastaa toimimaan häiriötilanteissa sekä varmistaa riittävä henkilöresusointi jatkuvuuden hallinnan varmistamiseksi. Henkilöstöön liittyviin suosituksiin kuuluvat lisäksi valvonnan järjestäminen, poikkeamien tutkiminen, avainhenkilöiden tunnistaminen ja varajärjestelyjen suunnittelu. Kumppanuuksia koskevat suositukset edellyttävät, että organisaation toiminnalle elintärkeät kumppanuudet on tun-nistettu ja sopimuksissa on vastuutettu häiriöhallinta kumppaneille. Sisäisellä viestinnällä tulee varmistaa, että organisaation toiminnan jatkuvuuden turvaamiseen pyrkivistä suunni-telmista ja niihin perustuvista menettelyistä kerrotaan henkilöstölle. Viestintä on suunnitel-tava niin, että henkilöstö ymmärtää jatkuvuussuunnittelun ja sen tärkeyden organisaation toiminnalle.256 Suositukset eivät sellaisenaan palvele varautumisen ja huoltovarmuuden turvaamista, mutta antavat hyvän viitekehyksen asioiden vastuuttamiselle. Suositukset ovat suosituksia ja ne tulisi kirjata velvoittavaan muotoon sopimuksissa, jotta niiden noudatta-mista voidaan vaatia ja valvoa.
256 Huoltovarmuuskeskus 2009, s. 28.
Kuvio 7. Varautumisesta ja huoltovarmuudesta sopimisessa huomioitavat kokonaisuudet.
Varautumiseen ja huoltovarmuuteen liittyvät asiat voidaan huomioida sopimuksessa myös ilman valmiita malleja. Tällöin sopimukseen tai sen liitteisiin on kuvattava ne vaatimukset, joita palveluntarjoajalta odotetaan. Käytännössä sopimukseen kuvataan vaatimus ja sen toteuttamiseksi vaadittavat toimet, tarvittavat mittarit, niiden valvonta ja raportointi sekä tarvittaessa sanktio aiheutuneille palvelutasopoikkeamille.257 Palvelusopimuksissa voidaan edellyttää yritykseltä muun muassa valmiussuunnitelman tekemistä tai tarvitsemansa hen-kilöstön, ajoneuvojen ja tilojen, koneiden ja laitteiden sekä varaosien varaamista, jotta yri-tys voi turvata toimintansa jatkamismahdollisuudet.258 Viranomaisen on palvelusopimuk-sissa huomioitava, että palveluntarjoajan alihankkijat huolehtivat myös omasta
257 Valtiovarainministeriö 2011, s. 36.
258 Aine ym. 2011, s. 99.
taan ja ovat käytettävissä poikkeusolojen aikana.259 Sopimuksessa voidaan lisäksi velvoit-taa yritystä noudattamaan liiketoiminnan jatkuvuuden hallintajärjestelmään liittyvää stan-dardia.260
Jotta varautuminen ja huoltovarmuus voidaan huomioida sopimuksissa riittävällä tasolla, vaatii se hankintaosaamista sekä osapuolten ymmärrystä ja sitoutumista. Hankintaosaami-seen sisältyy kyky ulkoistaa palveluita siten, että ei menetetä valmiutta selviytyä häiriö- ja kriisitilanteissa. Palveluntuottajan tulee olla tietoinen häiriötilanteiden ja poikkeusolojen aikaisesta palveluvelvoitteestaan sekä palveluiden yhteiskunnallisesta ulottuvuudesta. Tä-mä vaatii yhteistyötä viranomaisen ja palveluntarjoajan välillä, selkeitä sopimusehtoja sekä avointa kommunikaatiota. Jotta varautumisessa ja huoltovarmuuden turvaamisessa voidaan kokonaisuudessaan onnistua, vaatii se sopimusten lisäksi viranomaisilta yritysten varautu-misen tukemista. Viranomaisen on järjestettävä esimerkiksi koulutusta ja perehdytystä niil-le, jotka sopimussuhteiden johdosta saattavat joutua toimimaan häiriötilanteissa ja poik-keusoloissa.261 Jotta varautuminen tulisi huomioitua julkista hallintotehtävää hoitavien yritysten osalta varmemmin, tulisi varautumisvelvoite koskea lain nojalla myös yksityisiä toimijoita etenkin niiden hoitaessa yhteiskunnan kannalta kriittisiä tehtäviä.
4.3 Julkista hallintotehtävää hoitavan yrityksen valvonta ja vahingonkorvausvas-tuu
Viranomaisella on valvontavastuu järjestämisvastuullaan olevan tehtävän hoitamisesta.
Vaikka julkinen hallintotehtävä on ulkoistettu tai yksityistetty yksityiselle yritykselle, tulee viranomaisen varmistaa, että sille lailla säädetty tehtävä hoidetaan sovitusti. Jotta varautu-miseen, henkilötietojen suojaamiseen ja salassapitoon liittyvien vaatimusten sekä luvussa 3 esitettyjen turvallisuusvelvoitteiden toteutumisesta voidaan varmistua, tulee julkista hallin-totehtävää hoitavien yritysten toimintaa valvoa. Valvonta- ja tarkastusoikeus voidaan sisäl-lyttää viranomaisen ja julkista hallintotehtävää hoitavan yrityksen väliseen sopimukseen.
Sopimukseen voidaan sisällyttää myös sopimussakko, jolla edesautetaan velvoitteiden to-teutumista.
259 Aine ym. 2011, s. 99.
260 Ks. SFS-EN ISO 22301.
261 Aine ym. 2011, s. 100.
Julkisten hankintojen yleisten sopimusehtojen mukaan palveluntuottaja seuraa palvelun toteutumista, valvoo palvelun laatua sekä raportoi tilaajalle palvelun tuottamiseen liittyvis-tä asioista sovitusti. Jos tilaaja edellytliittyvis-tää, palveluntuottajan on seurattava palvelun laatua asiakaspalautejärjestelmän avulla. Lisäksi palveluntuottaja sitoutuu sopimuskauden aikana kehittämään omaa toimintaansa palvelun laadun parantamiseksi. Tilaaja voi suorittaa laa-dunseurantaa ja palveluntuottajan on toimitettava tätä varten tilaajan pyytämät tiedot sovi-tusti. Tilaaja ja palveluntuottaja kokoontuvat palveluseurantakokouksissa, joissa käsitel-lään muun muassa palvelun toteutumiseen, laatuun, asiakaspalautteisiin, reklamaatioihin ja tuleviin palvelutarpeisiin liittyviä asioita.262
Edellä mainittujen oikeuksien lisäksi yleisten sopimusehtojen mukaan tilaajalla on oikeus tarkastaa tai teettää kolmannella riippumattomalla taholla omalla kustannuksellaan tarkas-tuksia sen selvittämiseksi, onko palvelu vaatimusten mukainen ja palveluntuottaja toiminut hankintasopimuksen mukaisesti. Tilaajalla tai tämän edustajalla on oikeus päästä niihin tiloihin, joissa palvelua tuotetaan sekä haastatella henkilöitä, jotka osallistuvat palvelun tuottamiseen. Lisäksi tilaajalla on oikeus tutustua niihin palveluntuottajan asiakirjoihin, joihin tutustuminen on tarpeen toiminnalle asetettujen vaatimusten ja palvelun laadun arvi-oimiseksi. Tilaajan tulee ilmoittaa tarkastuskäynnistä etukäteen. Palveluntuottajalla on oi-keus vaatia tarkastusta suorittavaa tahoa allekirjoittamaan tarkastusta koskeva salassapito-sopimus. Salassapitosopimus ei saa estää tarkastuksen tuloksien raportoimista tilaajalle, eikä se saa sisältää sopimuksesta poikkeavia taloudellisia sanktioita tai vahingonkorvaus-lausekkeita.263
Valvonnan lisäksi sopimukseen voidaan määrittää sopimussakko (turvalli-suus)velvoitteiden osalta, jolla varmistetaan osaltaan sopimuksessa määritettyjen ehtojen toteutuminen. Yleisten palveluehtojen mukaan tilaajalla ja palveluntuottajalla on oikeus saada vahingonkorvausta toisen osapuolen sopimusrikkomuksesta aiheutuneesta välittö-mästä vahingosta. Jos sopijapuoli on aiheuttanut vahingon tahallisesti tai törkeällä tuotta-muksella, rikkonut salassapitovelvoitetta tai loukannut immateriaalioikeuksia, on toisella
262 Valtiovarainministeriö 2014, s. 11.
263 Valtiovarainministeriö 2014, s. 1112.
sopijapuolella oikeus korvaukseen myös välillisestä vahingosta. Sopimussakon määrästä voidaan erikseen sopia, mutta jos siitä ei ole sovittu, korvausvastuu on enintään viisi kertaa hankintasopimuksen laskennallinen arvo.264 Käytännössä turvallisuusvelvoitteiden laimin-lyönneistä ja niihin liittyvistä vahingonkorvausvelvoitteista tulisi sopia erikseen. Mahdol-listen erimielisyyksien vuoksi sopimukseen sisällytetään yleensä oikeuspaikkalauseke, jossa määritellään muun muassa se, missä tuomioistuimessa erimielisyydet ratkaistaan.
Turvallisuusvelvoitteiden laiminlyönneistä ei löydy korkeimman oikeuden tai korkeimman hallinto-oikeuden ratkaisuja. Tällaiset sopimusrikkomukset pyritään yleensä sopimaan joko itsenäisesti tai tuomioistuinsovittelussa (laki riita-asioiden sovittelusta ja sovinnon vahvis-tamisesta yleisissä tuomioistuimissa, 394/2011). KHO:n ja KKO:n ratkaisuista löytyy lin-jauksia siitä, milloin viranomaisen ja yksityisen välinen sopimus on hallintosopimus ja milloin sopimus on yksityisoikeudellinen.265 Linjanveto on tärkeää, jotta sopimuksiin liit-tyvät riidat ohjautuvat oikeaan tuomioistuimeen. Kuten jo aiemmin on tullut ilmi, julkisen hallintotehtävän hoitamista koskeva sopimus on hallintosopimus (hallintolaki 3 §). Hallin-tosopimusta koskevat erimielisyydet ratkaistaan hallintoriita-asiana hallinto-oikeudessa (hallintolaki 66 §). Hallintosopimukseen voi sisältyä myös yksityisoikeudellisia sopimus-ehtoja eikä ero yksityisoikeudelliseen sopimukseen ole aina välttämättä selkeä. Tästä esi-merkkinä on korkeimman oikeuden ratkaisu KKO 2008:36, jossa kuntayhtymän ja osa-keyhtymän ammattikorkeakouluopetuksen järjestämistä koskeva sopimus katsottiin olevan hallintosopimus. Siitä huolimatta korkein oikeus katsoi käräjäoikeuden olevan toimivaltai-nen tutkimaan vahingonkorvauskanteen.
264 Valtiovarainministeriö 2014, s. 1819.
265 Ks. KKO 2013:19 ja KHO 2016:52
5 JOHTOPÄÄTÖKSET
Julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan antaa vain viranomaiselle. Kun julkinen hallintotehtävä anne-taan yksityiselle yritykselle, on sen lähtökohtaisesti noudatettava niitä velvollisuuksia, joita viranomaisenkin, jos viranomainen tuottaisi itse kyseisen palvelun tai hoitaisi hallintoteh-tävää itse. Viranomainen on kuitenkin velvollinen huolehtimaan järjestämisvastuullaan olevien tehtävien hoitamiseen liittyvistä vastuista ja velvollisuuksista. Tutkielman tarkoi-tuksena oli selvittää julkista hallintotehtävää hoitavan yrityksen turvallisuusvelvoitteita sekä tutkia, mitkä turvallisuusvelvoitteet tulevat suoraan laeista ja mistä on sovittava sopi-muksin. Kantaa on otettu vain niihin turvallisuusvelvoitteisiin, jotka koskevat julkisen hal-lintotehtävän hoitoa.
Turvallisuusvelvoitteet, joista julkista hallintotehtävää hoitavan yrityksen on huolehdittava suoraan lain nojalla, tulevat hallinnon yleislaeista. Hallintolain, kielilain, saamen kielilain, julkisuuslain, henkilötietolain sekä asiointilain säännöksissä on useita turvallisuuteen liit-tyviä velvoitteita. Perustuslakivaliokunnan tulkintakäytännön sekä lakien soveltamis-alasäännösten mukaan hallinnon yleislakeja sovelletaan myös julkista hallintotehtävää hoi-tavaan yritykseen. Ainoastaan julkisuuslain osalta perustuslakivaliokunnan tulkinnat sekä lain soveltamisalasäännökset ovat ristiriidassa keskenään. Epäselvää on, sovelletaanko julkisuuslakia kaikkiin julkista hallintotehtävää hoitaviin toimijoihin vai ainoastaan niihin, jotka käyttävät julkista valtaa. Perustuslakivaliokunnan tulkintoihin sekä oikeuskirjallisuu-teen vedoten tulisi julkisuuslain soveltamisalasäännöksiä muuttaa niin, että ne koskisivat julkisia hallintotehtäviä hoitavia toimijoita välittämättä siitä, sisältyykö tehtävän hoitami-seen julkisen vallan käyttöä.
Palveluperiaate ja viivytyksettömyysvaatimus sekä tiedonhallinnon turvaaminen edellyttä-vät turvallisuuden osa-alueista etenkin tietoturvallisuuteen sekä varautumiseen liittyvistä asioista huolehtimista (kuvio 8). Julkista hallintotehtävää hoitavan yrityksen on toteutetta-va sekä hallinnollisia että teknisiä toimenpiteitä turtoteutetta-vallisuusvelvoitteiden hoitamiseksi.
Etenkin pääsynvalvonta, käyttöoikeuksien hallinta, virustorjunta sekä henkilöstön ohjeistus ja koulutus on toteutettava asianmukaisesti. Lisäksi on huolehdittava tietoaineisto-, tieto-jenkäsittelyn- sekä tietojärjestelmäturvallisuudesta. Sähköisten asiointipalveluiden lisään-tynyt käyttö edellyttää entistä vahvempaa teknistä suojausta. Kun julkisen hallintotehtävän hoitamiseen käytetään sähköisiä järjestelmiä, on tietoturvallisuus kokonaisuudessaan sekä varautuminen muun muassa palvelukatkoihin suunniteltava huolellisesti. Kyberturvalli-suusuhat yleistyvät jatkuvasti ja hyökkäykset kohdistuvat usein julkisiin palveluihin. Tästä on esimerkkinä toukokuussa 2017 tapahtuneet kyberhyökkäykset Iso-Britannian sairaaloi-den järjestelmiin. Näin ollen etenkin ICT-palveluja ulkoistettaessa on viranomaisen var-mistettava, että palveluntarjoaja huolehtii riittävästä tietoturvan tasosta.
Toimitila- ja
Kuvio 8. Lainsäädännöstä ja sopimuksista tulevien turvallisuusvelvoitteiden suhde turvallisuuden osa-alueisiin.
Kaikki viranomaisia koskevat turvallisuusvelvoitteet eivät velvoita julkista hallintotehtävää hoitavaa yritystä suoraan lain nojalla, vaan viranomaisen on huolehdittava niiden toteutu-misesta sopimuksin. Viranomaisia velvoittavia turvallisuuteen vaikuttavia säännöksiä on etenkin valmiuslaissa, puolustustilalaissa sekä huoltovarmuuslaissa. Lisäksi henkilötieto-laista ja EU:n tietosuoja-asetuksesta tulee tiettyjä asioita, joista tulee sopimuksin sopia.
Turvallisuuden osa-alueista nämä liittyvät etenkin varautumiseen ja kriisienhallintaan sekä tietosuojan kautta tietoturvallisuuteen (kuvio 8). Vaikka turvallisuuden osa-alueista nämä koskettavat samoja kuin hallinnon yleislaeista tulevat velvoitteet, on varautumisella huo-mattavasti suurempi painoarvo. Varautumisen ja huoltovarmuuden turvaamisen osalta on sopimuksissa huomioitava johtamiseen, toiminnanohjaukseen, henkilöstöön ja henkilöre-surssien hallintaan, kumppanuuksiin sekä toiminnan jatkuvuuden hallintaan liittyviä koko-naisuuksia. Turvallisuusvelvoitteiden sisällyttäminen sopimuksiin vaatii sopimusteknistä osaamista ja ne tulisi huomioida jo tarjouspyyntövaiheessa, sillä niillä voi olla vaikutusta palvelun hintaan.
Varautumisvelvoitteiden sekä huoltovarmuuden turvaamisen osalta sääntely ei ole riittä-vää. Vaikka viranomaisen tulisi siirtää varautumiseen ja huoltovarmuuden turvaamiseen liittyvät velvoitteet sopimuksin julkista hallintotehtävää hoitavalle yritykselle, ei näin aina ole. Huoltovarmuusorganisaation toimintaan osallistuminenkin on yrityksille vapaaehtois-ta, eikä varautuminen häiriötilanteisiin ja poikkeusoloihin ole yrityksissä välttämättä riittä-vällä tasolla. Yleinen varautumisvelvoite tulisi koskea myös yksityisiä yrityksiä ja etenkin niitä, jotka hoitavat yhteiskunnan kannalta kriittisiä tehtäviä. Kun julkinen hallintotehtävä annetaan yksityiselle toimijalle lailla tai lain nojalla, tulisi samassa pykälässä olla viittaus valmiuslain varautumisvelvollisuuteen.
Konkreettisena ongelmana sekä laeista tulevien turvallisuusvelvoitteiden että sopimuksella sovittavien velvoitteiden osalta on se, mikä yksityisen yrityksen toiminnasta luetaan julki-sen hallintotehtävän hoitamiseksi. Vaikka julkinen hallintotehtävä on määritelty ja se on asianmukaisesti siirretty yrityksen hoidettavaksi, epäselvää voi olla esimerkiksi se, koske-vatko turvallisuusvelvoitteet julkisen hallintotehtävän hoitamisen mahdollistavia tukitoi-mintoja. Rajan määrittäminen voi olla hankalaa, mikä yrityksen toiminnasta on julkisen
palvelun tuottamista ja mikä kuuluu muuhun liiketoimintaan. Selvää on, että turvallisuus tulee ottaa huomioon sekä viranomaisen että yrityksen toimesta, kun julkinen hallintoteh-tävä siirretään yksityisen yrityksen hoidettavaksi. Turvallisuuden taso riippuu pitkälti julki-sen hallintotehtävän luonteesta.