Tietoturvalla on nykyaikaisessa asianajotoiminnassa erittäin suuri merkitys. Siksi Asianajajaliiton valtuuskunta hyväksyi kesäkuussa 2023 asianajajia velvoittavaan Tietoturvaohjeeseen (B 5.1) muutoksia, jotka astuivat voimaan vuoden 2024 alussa. Advokaatti käy läpi Tietoturvaohjeen keskeiset lisäykset.

Samalla Asianajajaliitto päivitti Tietoturvaopasta, joka auttaa saattamaan Tietoturvaohjeen vaatimukset osaksi käytännön arkea. Koko ohje ja sitä täydentävä opas taustatietoineen löytyvät Asianajajaliiton verkkosivuilta.

Tietoturvaosaaminen on tarvittaessa varmistettava koulutuksella

Asianajajan oman ja toimiston henkilökunnan tietoturvaa koskevan osaamisen on oltava riittävän korkealla tasolla siten, että Tietoturvaohjetta ja Tietoturvaopasta voidaan soveltaa toiminnan järjestämisessä. Asianajajan tulee huolehtia siitä, että toimiston henkilökunta saa ajantasaisen ja riittävän koulutuksen tietoturvalliseen laitteiden ja ICT-palveluiden käyttöön sekä sähköiseen viestintään.

Tietoturvapolitiikalla suunnitelmallisuutta

Vähintään 10 työntekijän asianajotoimistolla on oltava tietoturvapolitiikka, joka on toimiston ylimmän johdon hyväksymä. Tietoturvapolitiikassa esitetään tietoturvaa ohjaavat periaatteet ja ne keskeiset asiat, jotka toimiston johto haluaa saavuttaa tietoturvallisuudelta ja se, miten arvioidaan, saavutettiinko halutut asiat.

Ohjelmistojen tulee olla tarkoitettu yrityskäyttöön

Asianajotoiminnassa käytettävien ohjelmistojen ja palvelujen on oltava yrityskäyttöön tarkoitettuja. Tällä varmistutaan ensinnäkin siitä, että ohjelmistoja ja palveluita käytetään niiden lisenssiehtojen mukaisesti. Toiseksi yritystason ohjelmistoissa ja palveluissa on tyypillisesti korkeampi tietoturvan taso, ja tämä on erityisesti syytä ottaa huomioon ohjelmistoja valittaessa. Muita palveluita voidaan käyttää vain asiakkaan suostumuksella.

Tietojen oltava salattuja

Asianajotoiminnassa käytettävien laitteiden ja välineiden tietojen tulee olla salattuja (kryptattuja). Asiakastietoja kokoavat taulukot, tietokannat ja pilvipalvelut on myös suojattava salauksella. Asianajotoiminnassa käytettäviä laitteita ja välineitä ei saa antaa ulkopuolisten käyttöön. Asianajosalaisuuden säilyttämiseksi tulee välttää vieraiden laitteiden käyttöä tai niiden kytkemistä omiin laitteisiin. Laitteiden elinkaarista on huolehdittava siten, että laitteet, joihin ei enää tarjota päivityksiä, poistetaan käytöstä ja vaihdetaan uusiin.

Ulkoinen auditointi auttaa tunnistamaan riskit

Vähintään 10 työntekijän asianajotoimiston on järjestettävä ulkoinen tietoturva-auditointi säännöllisin väliajoin. Lisäksi auditointi tulee suorittaa, mikäli tietoturva- tai toimistoympäristöön taikka keskeisiin järjestelmiin toteutetaan muutoksia. Tietoturva-auditoinnin avulla tunnistetaan ulkoisen arvioitsijan toimesta, onko liiketoiminnan kannalta tärkeät tiedot suojattu riittävästi riskien varalta ja asianajosalaisuuden säilyttämiseksi. Auditoinneista on pidettävä kirjaa.

Laitehallinta auttaa muodostamaan laiterekisterin

Vähintään 10 työntekijän asianajotoimistossa tulee asianajotoiminnassa käytettävien laitteiden olla laitehallinnan piirissä. Laitehallinnalla luetteloidaan toimiston käytössä olevat laitteet, kuten kannettavat tietokoneet, puhelimet ja tabletit, ja niihin voidaan asettaa asetuksia keskitetysti. Laitehallinnassa näistä laitteista muodostuu laiterekisteri, jonka avulla voidaan seurata käytössä olevia laitteita ja niiden elinkaaria. Lisäksi on otettava käyttöön pääsynhallintaratkaisu, jolla voidaan esimerkiksi rajoittaa muiden kuin toimiston omien laitteiden pääsyä toimiston tietojärjestelmiin ja tietoihin.

Käyttäjätunnukset ja salasanat tietoturvallisia

Käyttäjä voi tunnistautua asianajotoimiston järjestelmiin ja laitteisiin käyttämällä käyttäjätunnusta ja salasanaa, biometristä tunnistautumista, henkilökorttia, tunnistautumisavaimia tai muuta turvallista tunnistautumismenetelmää. Käytettävien salasanojen tulee olla riittävän pitkiä ja monimutkaisia, ne vaihdetaan tarpeen vaatiessa ja huolehditaan, etteivät muut pääse niihin käsiksi.

Tietoturvaohjelmistot ja palomuuri ajan tasalla

Asianajotoimistolla tulee olla toimiva ja ajan tasalla oleva virusten ja haittaohjelmien torjuntaohjelma, joka estää pääsyn toimiston järjestelmiin ja tietokoneille. Ohjelman tulee päivittyä automaattisesti. Asianajotoimistolla on oltava palomuuri, joka auttaa suojaamaan asianajotoimiston verkkoa ja tietokoneita ulkopuolelta (internetistä) tulevilta hyökkäyksiltä. Palomuuri voidaan toteuttaa ohjelmistolla tai laitteistolla.

Salassapidon ehdot koskevat myös ulkopuolisia palveluntarjoajia

Monet yritykset tarjoavat palveluita, joissa asianajotoimistojen salassa pidettäviä tietoja käytetään ja säilytetään palveluntarjoajan palvelimella. Asianajajan on palveluita hankkiessaan ja sopimuksia tehdessään kiinnitettävä erityistä huomiota asianajajalta edellytettävän salassapidon asettamiin vaatimuksiin ja asianajotoimiston asianmukaiseen järjestämiseen ja laadittavan palvelusopimuksen päättymiseen. Tietojen luottamuksellisuus on varmistettava palveluntarjoajan kanssa tehtävällä salassapitosopimuksella.

Tietojen säilyminen varmistettava varmuuskopioinnilla

Asianajotoimintaan liittyvien tietojen varmuuskopioinnista on huolehdittava. Varmuuskopiointi tehdään säännöllisesti ja sen tarpeenmukaisuus perustuu toimistossa tehtyyn arvioon tietojen menettämisestä aiheutuvista seurauksista. Varmuuskopioinnista on huolehdittu myös pilvipalvelujen osalta. Varmuuskopioita sisältävät laitteet ja mediat on salattu ja huolellisesti säilytetty.

Viestinnän turvallisuuteen kiinnitettävä huomiota

Asianajotoiminnassa käytettävien sähköisten viestintäkanavien turvallisuuden tulee vastata viestityn tiedon vaatimaa tasoa. Asianajajan on huolehdittava aineiston salaamisesta, jos sisältö on erityisen sensitiivistä tai asiakas edellyttää salattua liikennettä, sekä tarvittaessa ohjeistettava asiakastaan toimittamaan aineisto suojatulla menetelmällä.