Huolellisuusvelvoite edellyttää hallitukselta vastuuta tietoturvasta

Panu Siitonen (vas.) ja Jesper Nevalainen.

DIF-aamiaisella 6.10.2021 keskusteltiin tietoturvasta, tietosuojasta ja aineettomasta omaisuudesta hallituksen velvollisuuksien ja vastuun näkökulmasta Hannes Snellmanin asiantuntijoiden johdolla.

Hannes Snellmanin Helsingin toimiston toimitusjohtaja Riikka Rannikko avasi tilaisuuden. Hallituksen kontrolli yrityksen tietoturvasta on noussut yhä tärkeämmäksi. Mikään yhtiö ei halua julkisuuteen tietoturvaongelmista johtuen. Varautumisesta on jokaisen yhtiön käytännössä huolehdittava itse, sillä kyberturvavakuutustakaan ei saa, ellei tietoturva ole oikeaoppisesti hoidettu.

Hannes Snellmanin IP- ja teknologiapraktiikan asiantuntijat Jesper Nevalainen ja Panu Siitonen kävivät aluksi läpi tietoturvaa koskevaa sääntelyä. Lainsäädäntö ei tarkasti määrittele, mitä tietoturva- ja tietosuojatoimenpiteitä käytännössä tulisi tehdä. Kuitenkin jo osakeyhtiölaki velvoittaa hallituksen jäseniä toimimaan huolellisesti. Lainsäädännön lähestymistapa on riskiperusteinen: Mitä isompia riskit ovat, sitä järeämmät toimenpiteet tarvitaan huolellisuusvelvoitteen täyttämiseksi.

Case-esimerkkeinä käytiin läpi Vastaamon ja Marriot Internationalin tapaukset, joista ensimmäinen päättyi yritystoiminnan loppumiseen ja jälkimmäisessä yrityskaupan kautta tullut haavoittuvuus johti miljoonien sakkoihin ja osakkeen arvon laskuun. Varoittava esimerkki on myös korkeimman oikeuden päätös KKO:2015:42, jossa irtisanomisaikana yrityssalaisuuksia sisältänyttä materiaalia kopioinut työntekijä tuomittiin yritysvakoilun sijaan vain tekijänoikeusrikoksesta, koska yhtiö ei irtisanomisaikana rajoittanut työntekijän pääsyä tietoihin.

Huolehtiakseen yrityksen tietoturvan riittävyydestä hallituksen on kartoitettava organisaation tilanne: Mitkä uhat ovat merkityksellisiä ja miksi? Minkä uhan ei haluta toteutuvan ja miten se voisi toteutua? Onko organisaatiolla prosessi tärkeiden järjestelmien, tietojen ja palveluiden tunnistamiseen ja näiden toimivuuden ja turvallisuuden seurantaan? Mitä lainsäädännön asettamia ja sopimusperusteisia vaatimuksia on täytettävä? Millainen turvallisuuskulttuuri organisaatiolla on? Hallituksen kannattaa myös kysyä toimivalta johdolta, kuinka tietoturvaloukkaustilanteessa toimitaan.

Tilaisuuden esitysmateriaali on DIFin jäsenten ladattavissa ohessa. Webinaaritallenne on katsottavissa jäsensivuilla. Pääsy materiaaleihin edellyttää kirjautumisen sivustolle.