Image for Asianajajaliitto päivitti Tietoturvaohjetta
Luuppi |Advokaatti 1/2024

Asianajajaliitto päivitti Tietoturvaohjetta

Asianajajaliitto päivitti Tietoturvaohjetta

19.2.2024 Teksti Tero Ikäheimonen // Kuvat Shutterstock

Tietoturvaohjeen muutokset velvoittavat osin kaikkia asianajotoimistoja ja osin vähintään 10 työntekijän asianajotoimistoja. Uudet vaatimukset astuivat voimaan vuoden 2024 alussa.

Tietoturvalla on nykyaikaisessa asianajotoiminnassa erittäin suuri merkitys. Siksi Asianajajaliiton valtuuskunta hyväksyi kesäkuussa 2023 asianajajia velvoittavaan Tietoturvaohjeeseen (B 5.1) muutoksia, jotka astuivat voimaan vuoden 2024 alussa. Advokaatti käy läpi Tietoturvaohjeen keskeiset lisäykset.

Samalla Asianajajaliitto päivitti Tietoturvaopasta, joka auttaa saattamaan Tietoturvaohjeen vaatimukset osaksi käytännön arkea. Koko ohje ja sitä täydentävä opas taustatietoineen löytyvät Asianajajaliiton verkkosivuilta.

Tietoturvaosaaminen on tarvittaessa varmistettava koulutuksella

Asianajajan oman ja toimiston henkilökunnan tietoturvaa koskevan osaamisen on oltava riittävän korkealla tasolla siten, että Tietoturvaohjetta ja Tietoturvaopasta voidaan soveltaa toiminnan järjestämisessä. Asianajajan tulee huolehtia siitä, että toimiston henkilökunta saa ajantasaisen ja riittävän koulutuksen tietoturvalliseen laitteiden ja ICT-palveluiden käyttöön sekä sähköiseen viestintään.

Tietoturvapolitiikalla suunnitelmallisuutta

Vähintään 10 työntekijän asianajotoimistolla on oltava tietoturvapolitiikka, joka on toimiston ylimmän johdon hyväksymä. Tietoturvapolitiikassa esitetään tietoturvaa ohjaavat periaatteet ja ne keskeiset asiat, jotka toimiston johto haluaa saavuttaa tietoturvallisuudelta ja se, miten arvioidaan, saavutettiinko halutut asiat.

Ohjelmistojen tulee olla tarkoitettu yrityskäyttöön

Asianajotoiminnassa käytettävien ohjelmistojen ja palvelujen on oltava yrityskäyttöön tarkoitettuja. Tällä varmistutaan ensinnäkin siitä, että ohjelmistoja ja palveluita käytetään niiden lisenssiehtojen mukaisesti. Toiseksi yritystason ohjelmistoissa ja palveluissa on tyypillisesti korkeampi tietoturvan taso, ja tämä on erityisesti syytä ottaa huomioon ohjelmistoja valittaessa. Muita palveluita voidaan käyttää vain asiakkaan suostumuksella.

Tietojen oltava salattuja

Asianajotoiminnassa käytettävien laitteiden ja välineiden tietojen tulee olla salattuja (kryptattuja). Asiakastietoja kokoavat taulukot, tietokannat ja pilvipalvelut on myös suojattava salauksella. Asianajotoiminnassa käytettäviä laitteita ja välineitä ei saa antaa ulkopuolisten käyttöön. Asianajosalaisuuden säilyttämiseksi tulee välttää vieraiden laitteiden käyttöä tai niiden kytkemistä omiin laitteisiin. Laitteiden elinkaarista on huolehdittava siten, että laitteet, joihin ei enää tarjota päivityksiä, poistetaan käytöstä ja vaihdetaan uusiin.

Ulkoinen auditointi auttaa tunnistamaan riskit

Vähintään 10 työntekijän asianajotoimiston on järjestettävä ulkoinen tietoturva-auditointi säännöllisin väliajoin. Lisäksi auditointi tulee suorittaa, mikäli tietoturva- tai toimistoympäristöön taikka keskeisiin järjestelmiin toteutetaan muutoksia. Tietoturva-auditoinnin avulla tunnistetaan ulkoisen arvioitsijan toimesta, onko liiketoiminnan kannalta tärkeät tiedot suojattu riittävästi riskien varalta ja asianajosalaisuuden säilyttämiseksi. Auditoinneista on pidettävä kirjaa.

Laitehallinta auttaa muodostamaan laiterekisterin

Vähintään 10 työntekijän asianajotoimistossa tulee asianajotoiminnassa käytettävien laitteiden olla laitehallinnan piirissä. Laitehallinnalla luetteloidaan toimiston käytössä olevat laitteet, kuten kannettavat tietokoneet, puhelimet ja tabletit, ja niihin voidaan asettaa asetuksia keskitetysti. Laitehallinnassa näistä laitteista muodostuu laiterekisteri, jonka avulla voidaan seurata käytössä olevia laitteita ja niiden elinkaaria. Lisäksi on otettava käyttöön pääsynhallintaratkaisu, jolla voidaan esimerkiksi rajoittaa muiden kuin toimiston omien laitteiden pääsyä toimiston tietojärjestelmiin ja tietoihin.

Käyttäjätunnukset ja salasanat tietoturvallisia

Käyttäjä voi tunnistautua asianajotoimiston järjestelmiin ja laitteisiin käyttämällä käyttäjätunnusta ja salasanaa, biometristä tunnistautumista, henkilökorttia, tunnistautumisavaimia tai muuta turvallista tunnistautumismenetelmää. Käytettävien salasanojen tulee olla riittävän pitkiä ja monimutkaisia, ne vaihdetaan tarpeen vaatiessa ja huolehditaan, etteivät muut pääse niihin käsiksi.

Tietoturvaohjelmistot ja palomuuri ajan tasalla

Asianajotoimistolla tulee olla toimiva ja ajan tasalla oleva virusten ja haittaohjelmien torjuntaohjelma, joka estää pääsyn toimiston järjestelmiin ja tietokoneille. Ohjelman tulee päivittyä automaattisesti. Asianajotoimistolla on oltava palomuuri, joka auttaa suojaamaan asianajotoimiston verkkoa ja tietokoneita ulkopuolelta (internetistä) tulevilta hyökkäyksiltä. Palomuuri voidaan toteuttaa ohjelmistolla tai laitteistolla.

Salassapidon ehdot koskevat myös ulkopuolisia palveluntarjoajia

Monet yritykset tarjoavat palveluita, joissa asianajotoimistojen salassa pidettäviä tietoja käytetään ja säilytetään palveluntarjoajan palvelimella. Asianajajan on palveluita hankkiessaan ja sopimuksia tehdessään kiinnitettävä erityistä huomiota asianajajalta edellytettävän salassapidon asettamiin vaatimuksiin ja asianajotoimiston asianmukaiseen järjestämiseen ja laadittavan palvelusopimuksen päättymiseen. Tietojen luottamuksellisuus on varmistettava palveluntarjoajan kanssa tehtävällä salassapitosopimuksella.

Tietojen säilyminen varmistettava varmuuskopioinnilla

Asianajotoimintaan liittyvien tietojen varmuuskopioinnista on huolehdittava. Varmuuskopiointi tehdään säännöllisesti ja sen tarpeenmukaisuus perustuu toimistossa tehtyyn arvioon tietojen menettämisestä aiheutuvista seurauksista. Varmuuskopioinnista on huolehdittu myös pilvipalvelujen osalta. Varmuuskopioita sisältävät laitteet ja mediat on salattu ja huolellisesti säilytetty.

Viestinnän turvallisuuteen kiinnitettävä huomiota

Asianajotoiminnassa käytettävien sähköisten viestintäkanavien turvallisuuden tulee vastata viestityn tiedon vaatimaa tasoa. Asianajajan on huolehdittava aineiston salaamisesta, jos sisältö on erityisen sensitiivistä tai asiakas edellyttää salattua liikennettä, sekä tarvittaessa ohjeistettava asiakastaan toimittamaan aineisto suojatulla menetelmällä.

”Kukaan ei voi ajatella, että tämä ei koske minua”

”Kukaan ei voi ajatella, että tämä ei koske minua”

Rovaniemeläinen asianajaja ja Asianajaja­liiton hallituksen jäsen Matti Pulkamo muistuttaa, että kaikki asianajajat käsittelevät työssään tietoja, jotka voivat olla verkkorikollisille kiinnostavia kohteita.

– Yksikään asianajaja ei saa tuudittautua sellaiseen tunteeseen, että nämä asiat eivät koske minua. Kyse ei ole pelkästään liikejuridiikan salassa pidettävistä asioista, vaan esimerkiksi rikosten uhrien tietoja voidaan käyttää kiristämiseen, Pulkamo sanoo.

Hän antaa herättelevän esimerkin: Jos arkisen Office 356 -ohjelmistopaketin kirjautumistiedot päätyvät vääriin käsiin, pääsee rikollinen käsiksi kaikkiin asianajajan sähköposteihin ja pilvipalvelun tiedostoihin. Näin ollen käytännössä kaikki asiakastiedot voidaan menettää kerralla, ja asiakkaiden luottamus asianajajaan on mennyttä – kenties lopullisesti. Tietoja kalastellaan verkossa hyvin ammattimaisesti, jolloin kalastelulta suojautumiseenkin tulee suhtautua vakavasti.

Pulkamo kuitenkin rauhoittelee kollegoita, joista tietoturva-asiat voivat tuntua hankalilta ja menevän oman osaamisen ulkopuolelle. Juuri sitä varten Asianajaja­liitto on päivittänyt Tietoturvaohjetta ja -opasta: jotta eri kokoisilla asianajotoimistoilla on työkaluja huolehtia tietoturvasta ja täyttää salassapitovelvollisuutensa jatkossakin.

– Kaikki tietoturvaan liittyvät velvollisuudet on terveellä maalaisjärjellä helppo täyttää. Lisäksi kehottaisin olemaan rohkeasti yhteydessä kollegoihin, jos jokin asia askarruttaa, tai hankkimaan ulkopuolista konsultaatiota, Matti Pulkamo sanoo.

Hän itse suhtautuu uusiin teknologioihin ennakkoluulottomasti ja rohkeasti kokeillen. Hän hyödyntää omassa arjessaan Microsoftin automaatiotyökaluja, joiden avulla esimerkiksi uuden toimeksiannon perustamiseen kuluva aika on lyhentynyt aikaisemmasta tunnista minuutteihin.

Pulkamo on myös opettanut ChatGPT-tekoälysovelluksen eräänlaiseksi avustavaksi juristiksi. Jäämistöoikeuden kirjallisuuden opiskellut tekoäly osaa nyt vastata juridisiin kysymyksiin viitaten lähteisiin ja korkeimman oikeuden päätöksiin.

– Tekoälysovelluksiin, kuten ei myöskään arkiseen Google-hakuun tai Google-kääntäjään, ei kuitenkaan koskaan pidä syöttää mitään asiakastietoja, Pulkamo muistuttaa.

Julkaistu numerossa Advokaatti 1/2024
Advokaatti 1/2024 Matti Pulkamo tietoturvaohje tietoturvaopas

Kirjoittaja Tero Ikäheimonen

on vapaa toimittaja, viestintäalan yrittäjä ja Advokaatin toimitussihteeri.

Jaa kirjoitus Kopioi linkki
Jaa kirjoitus Kopioi linkki

Uusimmat kirjoitukset

Podcast
Podcast
Pääkirjoitus

Työpaikkailmoitukset

Asianajotoimisto