KHVADno-2023-5238
Hallintosääntö
Kainuun hyvinvointialue on organisaationa laajentamassa Microsoftin pilvipalveluiden käyttöä O365 ympäristöstä. Palveluiden käyttöönottoon liittyy kuitenkin tietosuojaan ja tietoturvaan liittyviä riskejä, joiden myötä organisaatiomme tietosuoja ja tietoturva käytäntöjen on katsottu tarvitsevan kehittämistä.
Riskien pienentämiseksi suunnitellut tekniset ja organisatoriset valvontatoimet liittyvät luottamuksellisten tietojen automatisoituun tekniseen tunnistamiseen O365 palveluissa käsiteltävistä tiedoista. Tavoitteena on pystyä tarvittaessa suojaamaan tietoa, informoimaan henkilöstöä luottamuksellisen tiedon käsittelyn asianmukaisuudesta ja näin turvata tiedon luottamuksellisuuden säilyminen.
Suunniteltujen teknisten ja organisatoristen valvontatoimien on arvioitu aiheuttavat korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Tietosuoja-asetus edellyttää näissä tapauksissa tehtäväksi tietosuojavaikutusten arviointia (DPIA), ennen henkilötietojen käsittelyn aloittamista.
Privaon Oy on kansainvälisesti tunnettu tietosuoja-alan asiantuntija- ja ohjelmistoyritys. Privaon auttaa asiakkaitansa tietosuojaan liittyvissä haasteissa ja tarjoaa työvälineitä ja palveluita yleisen tietosuoja-asetuksen vaatimusten toteuttamiseen.
Privaon on tarjonnut Kainuun hyvinvointialueelle tietosuojaa koskevaa vaikutusten arviointi (DPIA) palvelua. Tietosuojaa koskeva vaikutustenarviointi on Privaonin fasilitoima työpajapohjainen konsultointipalvelu, jossa tietosuojaasiantuntijat tarjoavat käytännön apua ja neuvoa vaikutustenarvioinnin laatimisessa.
Hankinnan arvo yhteensä 5900,00 € (alv 0%).
Hankinnan arvo alittaa hankintalain 25 §:n kansallisen kynnysarvon. Hankinta toteutetaan tietohallinnon käyttötaloudesta.
Asian valmistelijana tietoturvavastaava Teemu Röpelinen: perusteluna tietosuoja asetuksen vaatimustenmukaisuus.
Esitys hankintapäätökseksi ja jatkotoimenpiteiksi: Hankitaan tietosuojaa koskeva vaikutustenarviointi (DPIA) tarjouksen mukaisesti Privaon Oy:ltä.
Hyväksyn hankintaesityksen ja päätän, että hankitaan tietosuojaa koskeva vaikutustenarviointi (DPIA) Privaon Oy:ltä esitetyn mukaisesti. Tietoturvavastaava hoitaa hankinnan käynnistämisen toimittajan kanssa.