Tietoturvallisuus

Hankintamenettelyyn liittyvässä tietojenvaihdossa ja tietojen tallentamisessa on varmistettava, että tietojen eheys sekä osallistumishakemusten ja tarjousten luottamuksellisuus säilyvät.

Hankintayksikön on varmistettava, ettei tarjousten tai osallistumishakemusten sisältö paljastu ennen tarjousten tai osallistumishakemusten esittämiselle asetetun määräajan päättymistä. Ehdokkaiden ja tarjoajien toimittamien asiakirjojen sisällön paljastuminen hankintamenettelyn aikana muille toimittajille voi vaarantaa merkittävästi menettelyn syrjimättömyyden ja tarjouskilpailun tehokkuuden sekä luoda riskejä korruptiosta. On olennaisen tärkeää, että ehdokkaat ja tarjoajat eivät tiedä toistensa tarjousten ja osallistumishakemusten sisältöä ennen kuin näiden toimittamiselle varattu määräaika on päättynyt.

Vaatimukset välineille ja laitteille

Hankintamenettelyssä ja suunnittelukilpailussa toimitettavien osallistumishakemusten, tarjousten sekä suunnitelmien sähköiseen vastaanottamiseen käytettävien välineiden ja laitteiden on täytettävä seuraavat vaatimukset:

1. tarjousten ja osallistumishakemusten sähköiseen toimittamiseen tarvittavat eritelmät mukaan lukien salausta ja aikaleimausta koskevat tiedot ovat tarjoajien ja ehdokkaiden käytettävissä;
2. tarjousten, osallistumishakemusten sekä lähetettyjen suunnitelmien täsmällinen jättöpäivämäärä ja –aika ovat tarkasti määriteltävissä;
3. sähköisesti toimitettuihin tietoihin ei ole pääsyä ennen tietojen toimittamiselle varatun määräajan päättymistä;
4. ainoastaan hankintayksikön nimeämä henkilö voi vahvistaa tai muuttaa vastaanotettujen tietojen avaamista koskevia päivämääriä;
5. ainoastaan hankintayksikön nimeämä henkilö voi päästä kaikkiin toimitettuihin tietoihin tai osaan niistä hankintamenettelyn tai suunnittelukilpailun eri vaiheissa;
6. ainoastaan hankintayksikön nimeämä henkilö voi sallia pääsyn vasta määrätyn päivämäärän jälkeen toimitettuihin tietoihin;  
7. vaatimusten mukaisesti vastaanotettuihin ja avattuihin tietoihin on pääsy ainoastaan niihin perehtymiseen nimetyillä;  
8. 3—7 kohdassa säädettyjen ehtojen rikkominen on selkeästi havaittavissa.

Turvallisuustaso ja riskit

Hankintayksikön on määritettävä turvallisuustaso, joka sähköisiltä viestintämuodoilta vaaditaan hankintamenettelyn eri vaiheissa. Turvallisuustason on oltava oikeassa suhteessa kuhunkin vaiheeseen liittyviin riskeihin. Hankintayksikön tulisi arvioida yhtäältä sitä, miten voidaan riittävällä tavalla varmistaa asianomaisten tietojen lähettäjien oikea ja luotettava tunnistaminen sekä tietojen sisällön eheys, sekä toisaalta riskiä siitä, että viestien lähettäjä ei ole sama kuin on ilmoitettu. Turvallisuustaso voi olla erilainen saman hankintamenettelyn sisällä esimerkiksi siten, että itse tarjoukselta edellytetään korkeampaa turvallisuustasoa kuin esimerkiksi sähköpostilta, jossa pyydetään vahvistamaan tiedotustilaisuuden tarkka osoite.

Tietoturvan perustaso

Tietoturvallisuudesta valtiohallinnossa annetun valtioneuvoston asetuksen 5 §:ssä on säännelty tietoturvallisuuden perustasosta. Pykälän mukaan tietoturvallisuuden toteuttamiseksi valtionhallinnon viranomaisen on esimerkiksi huolehdittava siitä, että viranomaisen toimintaan liittyvät tietoturvallisuusriskit kartoitetaan, asiakirjojen käsittelyä koskevat tehtävät ja vastuut määritellään ja tietojen luvaton muuttaminen ja muu luvaton tai asiaton käsittely estetään käyttöoikeushallinnan, käytön valvonnan sekä tietoverkkojen, tietojärjestelmien ja tietopalvelujen asianmukaisilla ja riittävillä turvallisuusjärjestelyillä ja muilla toimenpiteillä. Asetuksella annetaan kattavat puitteet hankintamenettelyjen turvallisuustason määrittämiseen valtionhallinnon hankintayksiköissä.

Muissa viranomaisissa kuten kunnissa hankintamenettelyjen tietoturvallisuuden asettamiselle puitteita on annettu esimerkiksi

• arkistolaissa  
• henkilötietolaissa
• sähköisestä asioinnista viranomaistoiminnassa annetussa laissa  
• julkisuuslaissa
• tietoyhteiskuntakaaressa.

Valtionhallinnon tietoturvallisuuden johtoryhmän VAHTIn ohjeistuksessa ICT-varautumisen vaatimuksista (VAHTI-ohjeet 2/2012) on annettu ohjeita myös julkishallintoon sopimussuhteessa oleville yrityksille tietoturvallisuudesta.

Sähköinen allekirjoitus

Hankintamenettelyssä ei yleensä olisi tarvetta sen turvallisuuden varmistamiseksi edellyttää ehdokkailta tai tarjoajilta kehittyneitä sähköisiä allekirjoituksia tai muuta vahvaa sähköistä tunnistamista.  Hankintayksikkö voisi vaatia poikkeuksellisissa tapauksissa turvallisuuden sitä edellyttäessä vaatia ehdokkailta ja tarjoajilta kehittynyttä sähköistä allekirjoitusta.

Viestintävirasto ylläpitää julkista rekisteriä tunnistuspalvelun tarjoajista sekä laatuvarmenteita tarjoavista varmentajista.