1. Post

   Tummia pilviä horisontissa

   Pilvipalveluiden nopea skaalautuvuus ja elastisuus ovat kaikkien huulilla. Monissa tilanteissa pilvestä onkin tullut salonkikelpoinen vaihtoehto perinteisille IT-palveluille. Myös pilvipalveluiden käyttöön liittyvät hintaedut houkuttelevat: kiinteät kustannukset ovat niissä huomattavasti pienemmät ja paremmin ennustettavissa. Asiakas maksaa vain käytöstä, ei laitteista, koulutuksesta ja henkilöresursseista. Tässä huumassa pilvien tummat reunat jäävät helposti vähemmälle huomiolle. Vaikka etenkin tietoturva ja pilvessä liikkuvat henkilötiedot ovat olleet tapetilla NSA-kohun ja julkimoiden alastonkuvien äskettäin aiheuttaman skandaalin jälkimainingeissa, pilvipalveluiden käyttöön liittyy myös muita käytännön ongelmia. Gartnerin viimeisimmän hype-käyrän mukaan pilvipalvelut ovat lähivuosina tulossa vaiheeseen, jossa niiden on aika lunastaa lupauksensa: kiinnostus pilvipalveluihin heikentyy negatiivisten kokemusten vuoksi, ja lehtijulkisuus on kääntymässä niitä vastaan, mikä tulee muokkaamaan palvelukenttää uudelleen. Tämä muutos tulee varmasti olemaan toivottu. Järkevä sopimus Pilvimaailmassa asiakas ei ole kuningas. Pilviasiakas on riippuvainen toimittajasta, eikä liiketoiminnan muutoksia aina ole mahdollista huomioida samalla tavoin kuin perinteisessä vaihtoehdossa – ei edes rahalla. Toimittaja määrittelee palveluiden sisällön ja ominaisuudet. Asiakkaan tulee tällöin sopimusteitse varmistaa, että palvelun käyttäminen voidaan sulavasti lopettaa, mikäli palvelun käyttö ei enää vastaa liiketoiminnan tarpeita. Kun siirrät tietosi pilveen, siirrät sinne myös kontrollisi. Valitettavan usein näkee tilanteita, joissa asiakas on sidottu valittuun palveluntarjoajaan eikä pilvessä käsiteltäviä tietoja saada palautettua asiakkaalle. Tällaisten vendor lock-in -tilanteiden (joissa asiakas jää toimittajan panttivangiksi) välttämiseksi on hyvä sopimusta tehtäessä miettiä, kuinka tiedot toisaalta teknisesti ja toisaalta juridisesti saadaan kaikissa tilanteissa siirrettyä pilvestä toiseen palveluun. Useat kansainväliset pilvipalveluyhtiöt suosivat riitatilanteissa yhdysvaltalaisia tuomioistuimia. Onko tämä asiakkaan edun mukaista? Tuskin kovinkaan moni suomalaisyhtiö on halukas riitelemään palveluntarjoajan kanssa esimerkiksi omien tietojensa oikeuksista yhdysvaltalaisessa tuomioistuimessa kotimaisen riidanratkaisuvaihtoehdon sijaan, sillä se lisää asiakkaan kustannuksia ja epävarmuutta riidan lopputuloksesta. Tämäkin ongelma on korjattavissa lyhyellä sopimuslausekkeella. Henkilötietojen käsittelyn laillisuus Useiden pilvipalvelun tarjoajien palvelimet sijaitsevat Suomen rajojen ulkopuolella. Toimittaja ei usein ole halukas kiinnittämään tietyllä alueella sijaitsevia palvelimia asiakkaan käyttöön eikä välttämättä edes kykene yksilöimään niitä palvelimia, joilla asiakkaan tietoja käsitellään. Ulkomainen pilvipalvelun tarjoaja määrittelee lisäksi pilvessä liikkuvien henkilötietojen käsittelyn ehdot oman lainsäädäntönsä mukaan. Se, kenen vastuulla henkilötiedot ja niiden luottamuksellisuus viime kädessä ovat, jää tapauskohtaisesti ratkaistavaksi. Vahingosta vastaa aina joku. Asiakkaan näkökulmasta on aina parempi, mikäli lopputulos on ennustettavissa. Sovellettavissa vakioehdoissa toimittajan vastuu on usein rajattu niin kapeaksi, ettei se enää ole järkevässä suhteessa mahdolliseen riskiin. Siksi henkilötietojen käsittelyn lainmukaisuus tulee varmistaa sopimusteitse ja sisällyttää sopimukseen sopimussakot, jotka puutteista aiheutuvat.  NSA-kohu on omalta osaltaan jo pakottanut pilvitoimittajat muuttamaan vakioehtojaan asiakkaalle myönteisempään suuntaan henkilötietojen käsittelyn osalta. Riskit vastaan hyödyt Nykyisessä geopoliittisessa ilmastossa nähtäväksi jää sekin, miten palveluntarjoajan ulkomaisissa konesaleissa pyöriviä sovelluksia voidaan käyttää, mikäli tilanne kiristyy ja datayhteydet ulkomaille lakkaavat toimimasta. Palveluntarjoajan vakioehdoissa tällaiset tilanteet määritellään tavallisesti force majeure ‑tilanteiksi, jolloin toimittajan tarjoamat ratkaisuvaihtoehdot voivat olla rajalliset. Tällöin asiakkaalla ei välttämättä ole muuta vaihtoehtoa kuin jäädä tarkkailemaan tilanteen kehittymistä.  Mitä teet, kun seuraat maailmanpoliittisen kriisin käänteitä Teksti-TV:stä (joka toimii myös kriisiaikoina!) samalla, kun liiketoiminta seisoo datayhteyksien ollessa poikki? Asiakkaan tarpeet palvelun eri vaiheissa ja sen käytön päättyessä tulisi huomioida jo pilvipalvelun hankintavaiheessa. Monet riskit kytkeytyvät ennen kaikkea siihen, kuinka kriittistä pilvessä käsiteltävä aineisto liiketoiminnan kannalta on. Kuinka suuren riskin olet valmis ottamaan ja missä määrin palveluntarjoajan riski on myös asiakkaan riski? Jokaisen pilvipalvelua koskevan hankintapäätöksen pitäisi perustua harkittuun riskiarvioon eikä ainoastaan palvelun käytön helppouteen tai edullisuuteen. Kymmenienkin tuhansien eurojen säästöt on äkkiä menetetty, kun säästöhuumassa hankitun sähköpostipilven palvelinyhteydet eivät toimi, sähköposti on alhaalla ja liiketoiminta seisoo. Pilvipalvelussa toimittaja määrää tahdin. Asiakkaan vastuulla on huolehtia, ettei putoa kyydistä kesken matkan.  Pilviä ei ehkä voi tavoittaa, mutta mustat pilvet voi oppia tunnistamaan. Erään suomalaisen pörssiyhtiön toimitusjohtaja totesi kerran, että heidän on otettava pilvipalvelut käyttöön, vaikka ne kannibalisoivat heidän omaa liiketoimintaansa. Tällöin syynä pilvipalveluiden käyttöön ottamiselle oli yhtiön imago. Toivotaan, että muissa yhtiössä palveluiden valinta tapahtuu rationaalisemmilla perusteilla. Usein myös pilvipalvelun käytölle on löydettävissä rationaaliset perusteet, kun sopimusehdot ovat kohtuulliset.

   Published: 10.9.2014

2. Post

   Viisi kysymystä, joilla otat due diligence -raportin haltuun

   Iltasi kruunaa toinen viesti, jossa esimiehesi ilmoittaa joutuvansa valitettavasti tiukentamaan omaa aikatauluaan: hän toivookin nyt sinulta lyhyen yhteenvedon raportista ja DD-tarkastuksen statuksesta heti seuraavana aamuna. Saatuasi lapset nukkumaan avaat tietokoneesi uudestaan. Nyt vasta riemastutkin, kun huomaat, että vastaanottamasi DD-raportti on 114 sivua pitkä – ja liitteet päälle. Mahdoton yhtälö? Tässä vaiheessa avaan itselleni yleensä pussin suosikkisalmiakkejani. Mutta sitten pitää jo nopeasti päättää, mistä lähteä liikkeelle. Olet valmistelemassa yrityskauppaa joko myyjänä, ostajana tai rahoittajana. Raportti kuvaa niitä riskejä ja mahdollisuuksia, joita yrityksen liiketoimintaan ja tulevaan yrityskauppaan juridiikan näkökulmasta liittyy. Raportissa on myös ehdotuksia siitä, miten tehdyt havainnot tulisi huomioida esimerkiksi edessä olevissa neuvotteluissa ja yrityskaupan sopimuksissa. Jos aikaa on niukasti, on tärkeää saada raportista ja DD-tarkastuksen statuksesta nopeasti kokonaiskuva. Ihan aluksi kannattaa selvittää, kenelle raportti on ensisijaisesti kirjoitettu ja kenen tilaama se on, toisin sanoen kuka siitä hyötyy. Tämän jälkeen voit pohtia, onko raportista hyötyä myös sinulle. Yrityskaupan eri osapuolilla on lähtökohtaisesti eri intressit. Esimerkiksi niin sanottu vendor due diligence ‑raportti on myyjän ostajakandidaatteja varten laatima selvitys, joka kyllä nopeuttaa ostajan DD-tarkastustyötä, mutta jossa havaintoja tuskin analysoidaan yhtä perusteellisesti kuin ostajan oman asianajajan laatimassa raportissa. Kun tämä perusasia on selvillä, otan jo toisen salmiakin ja siirryn raportin viimeiselle sivulle. Loppu häämöttää? Valitettavasti ei, mutta raportin oletuksista ja varaumista, jotka yleensä löytyvät juuri raportin loppuosasta, löydän toivottavasti vastaukset alla oleviin viiteen kysymykseen. Niistä saa nimittäin jopa yllättävän hyvän käsityksen siitä, mistä lähtökohdista raportti on kirjoitettu. 1. Mikä on tarkastuksen laajuus? Mitä oikeudellisia alueita raportissa on tarkasteltu? Kattaako tarkastus kaikki konserniyhtiöt? Jos raportin laatija on luetellut tarkastelemansa alueet ja yhtiöt, on hyvä vielä tarkistaa, onko hän jättänyt joitakin oleellisia asioita tai konserniyhtiöitä analyysin ulkopuolelle. Ei esimerkiksi ole harvinaista, että ympäristö- tai vakuutusasiat tai pienet tytäryhtiöt on jätetty kokonaan tarkastuksen ulkopuolelle. Mieti samalla, onko ollut perusteltua jättää kyseiset alueet tai yhtiöt pois. Ovatko ne todella merkityksettömiä kohdeyhtiön kannalta? Entä sinun kannaltasi? Pelkästään konserniyhtiön koon perusteella on mahdotonta arvioida, mitkä riskit yhtiötä voivat rasittaa. Syy pois jättämiseen ei välttämättä ole se, mitä luulet, mutta asia ei ehkä selviä, ellet kysy. Entä mitä kynnysarvoja raportin laatija on käyttänyt havaintoja raportoidessaan? Onko esimerkiksi käytetty euromääräinen kynnysarvo oikea kohdeyhtiön ja sinun tarpeidesi kannalta? Jos arvo on liian korkea, raportista saattavat puuttua myös sen alle jäävät havainnot, joilla on sinulle merkitystä kohdeyhtiön arvonmäärityksen kannalta. Tarkastuksen laajuutta ei aina mainita DD-raportissa. Se on voitu kuvata jo aiemmin esimerkiksi aie-, salassapito- tai toimeksiantosopimuksessa, jota et välttämättä ole nähnyt. 2. Mitä materiaaleja tarkastajalla on ollut käytössään? Jos tarkastetusta materiaalista on laadittu selkeä lista, jossa asiakirjat on nimetty informatiivisesti, saat luultavasti sen perusteella kohtalaisen hyvän yleiskuvan aineiston laajuudesta ja kattavuudesta jo nopealla silmäyksellä. On hyvä pohtia, perustuuko raportti pelkkään kirjalliseen aineistoon vai onko myös kohdeyhtiön edustajia haastateltu raporttia varten. Tämä saattaa vaikuttaa paljonkin raportin hyödyllisyyteen. Entä onko materiaalia redaktoitu eli onko tietyt arkaluonteiset tiedot jätetty kertomatta vaikkapa kilpailuoikeudellisten rajoitusten tai muiden syiden vuoksi? Siinä tapauksessa pitää miettiä, miten voit esimerkiksi sopimusteitse suojautua siltä, että näissä tiedoissa on jotain odottamatonta. 3. Mitä asiakirjoja ei näytetty? Raportissa ei välttämättä ole erillistä listaa puuttuvista asiakirjoista, mutta sellaisen saa yleensä pyynnöstä. Merkittävimmistä puutteista kannattaa olla perillä. Puuttuvien asiakirjojen listaa lukiessa on hyvä selvittää, onko asiakirjoja pyydetty ja jos on, miksi niitä ei ole vielä toimitettu. Sen jälkeen voit pohtia, kuinka välttämätöntä niihin perehtyminen lopulta on. Olisiko kannaltasi jopa parempi, ellei puuttuvia asiakirjoja toimitettaisi luettavaksi? Sekin voi joskus olla taktisista syistä hyvä vaihtoehto, jos vastapuoli kantaa sopimuksen perusteella vastuun siitä, ettei mitään merkityksellistä tietoa ole jätetty toimittamatta. Saamastasi tiedosta vastaat kuitenkin useimmiten itse, ellei nimenomaisesti toisin sovita. 4. Mihin kysymyksiin ei vastattu? Ellei raportista löydy erillistä listaa avoimista kysymyksistä, sitä kannattaa pyytää. Ainakin tärkeimmistä avoimista kysymyksistä on hyvä selvittää, miksi niihin on jätetty vastaamatta. Eikö tietoa löydy? Eikö oikeaa henkilöä ole tavoitettu vai eikö tietoa haluta tai jostakin syystä voida antaa? Mitä vaihtoehtoja sinulla on tällaisessa tilanteessa tarvittavan tiedon tai suojan saamiseksi sen varalta, että saamatta jääneissä tiedoissa piilee riskejä? 5. Kuinka tuoreita DD-raportti ja sen materiaalit ovat? Raportin päiväys ei välttämättä kerro, kuinka tuoreeseen materiaaliin se lopulta perustuu. Onko sisältö varmasti edelleen ajan tasalla? Entä neuvottelujen jälkeen? Tieto vanhenee nopeasti. Mieti myös, tiedätkö varmasti, kumpi osapuoli sopimuksesi mukaan kantaa riskin – tai on oikeutettu hyötyyn – jos tietoihin myöhemmin tulee merkittäviä muutoksia. Vähintään yhtä tärkeää on ymmärtää, kuinka pitkältä ajalta materiaalia on ollut käytettävissä eri aihepiireistä. Tietyt vastuut vanhenevat hitaasti, eikä liian tuore materiaali välttämättä paljasta niitä riittävästi. Kun olet löytänyt vastaukset edellä oleviin kysymyksiin, pystyt jo vastaamaan esimiehesi ensimmäisiin kysymyksiin huomisaamuna. Tässä vaiheessa salmiakkipussini on jo tyhjä, mutta toivottavasti sinullakin on nyt jo parempi olo! Ainakin sinulla on nyt paremmat edellytykset perehtyä tarkemmin itse raporttiin ja punnita siitä saamiesi tietojen merkitystä valmistelemasi yrityskaupan kannalta. Syyskuussa bloggaan ajatuksiani siitä, mitkä tekijät vaikuttavat DD-prosessin laatuun ja DD-raportin hyödyllisyyteen.

   Published: 25.8.2014

3. Post

   Joukkorahoitus tarvitsee helpot pelisäännöt

   Joukkorahoitus  yleistyy kovaa vauhtia. Sen ajatuksena on kerätä pienistä puroista suuri pääomavirta tietyn tavoitteen toteuttamiseksi. Internetissä toimivien sijoitusalustojen kautta voi ostaa startup-yritysten osakkeita, lainata rahaa yrityksille ja yksityishenkilöille, tehdä lahjoituksia ja ostaa tavaroita ennakkoon jo tuotekehitysvaiheessa. Joukkorahoituksen avulla on muun muassa kehitetty huipputekniikkaa ja rahoitettu kulttuurihankkeita. Alan tutkimukseen perustuvan 2013CF Crowdfunding Industry Report -katsauksen mukaan erilaisten joukkorahoituspalvelujen läpi virtasi viime vuoden aikana noin viisi miljardia dollaria. Joukkorahoitus tarjoaa parhaimmillaan mahdollisuuden resurssien tehokkaampaan kohdentamiseen. Esimerkiksi suomalaisten pankkitileillä makaavat 84 miljardia euroa olisivat kansantalouden kannalta paremmassa käytössä melkeinpä mihin tahansa muualle sijoitettuina. Euroopassa talouden kone sakkaa yhä, ja pankkisektorin sääntelyä kiristetään jatkuvasti. Tässä tilanteessa uudentyyppinen voiteluaine tekisi taloudelle hyvää. Suomessa  ei ole joukkorahoitusta koskevaa erityislainsäädäntöä, vaan joukkorahoitukseen vaikuttavat säädökset ovat hankalasti hajallaan eri puolilla lakikirjaa. Kokonaisuuden hahmottaminen vaatii poikkeuksellisen syvällistä lainopillista analyysia. Epävarmuus pykälien tulkinnasta rasittaa joukkorahoitustoimijoita. Sääntelyn sekavuus hidastaa rahoitusmallin kasvua ja kehitystä koko EU:n alueella. Yhdysvalloissa lainsäätäjä on jo puuttunut peliin: viime syyskuussa voimaan tulleen startup- ja muita pienyrityksiä koskevan lainsäädännön yhtenä painopisteenä oli joukkorahoitus. Yritysten pääomarahoitusta helpotettiin keventämällä julkisiin osakeanteihin liittyviä säännöksiä tavalla, joka on nähty suurimpana poikkeamana vuonna 1933 säädetystä, staattisena pidetystä Yhdysvaltojen arvopaperimarkkinalaista (Securities Act). Rahan  liike ja väljä sääntely voivat luonnollisesti houkutella joukkorahoituksen pariin myös opportunisteja. Alan toimijoilta pitäisikin edellyttää jonkinlaista luotettavuutta: sijoitusalustojen käyttäjät olisi syytä tunnistaa vahvasti esimerkiksi verkkopankkitunnuksilla, ja maksutapahtumat pitäisi pystyä todentamaan jälkikäteen. Rahoitusalustojen käyttäminen terrorismin rahoittamiseen tai rahanpesuun on estettävä. Rahallisen hyödyn tavoittelu ei ole tutkimusten mukaan ainoa eikä monesti edes tärkein syy sijoittaa joukkorahoitushankkeeseen. Tätä ei huomioida perinteisessä tuoton ja riskin tasapainon mallissa. Voittojen lisäksi joukkorahoituksen sijoittajat hakevat usein kohteita, jotka ovat heidän arvojensa mukaisia. Tästä syystä sijoittajansuojan ei tarvitse olla niin tiukka ja holhoava kuin perinteisillä rahoitusmarkkinoilla. Joukkorahoitukseen  tarvitaan selkeitä ja yksinkertaisia sääntöjä, ei perinteisen rahoitusmaailman raskasta sääntelyä, joka estäisi alan kehityksen. Lainsäädännössä olisi löydettävä tasapaino riskien hallinnan ja vaihdannan intressien välillä. Tällaisen ratkaisun seurauksena joukkorahoitus vaikuttaisi positiivisesti koko kansantalouteen. Hyvät vaikutukset jäävät haaveeksi, jos sääntelyä muutetaan atomistisesti yhdellä sektorilla kerrallaan, kuten valmisteilla olevassa rahankeräyslain uudistuksessa. Toimiva sääntely vaatii kokonaisvaltaista otetta ja EU-rajat ylittäviä normeja. Tehokas joukkorahoitussääntely on myös kansallinen kilpailutekijä. Tasapainoisella ja kevyellä sääntelyllä joukkorahoituksen mahdollisuudet voidaan hyödyntää ja uhat torjua. Suomella olisi oiva mahdollisuus toimia edelläkävijänä, sillä esimerkiksi valtiovarainministeriö sekä työ- ja elinkeinoministeriö tuntuvat suhtautuvan joukkorahoitukseen myönteisesti. Tarvittaisiin enää ripaus poliittista ketteryyttä. Joukkorahoituksen avulla voi syttyä uusia Rovioita. Näitä mahdollisuuksia ei kannata tukahduttaa liiallisella sääntelyllä. Kirjoitus julkaistiin Helsingin Sanomien Vieraskynä-palstalla 21.7.2014.

   Published: 22.7.2014

4. Post

   Henkilötiedot – suojeltava luonnonvara?

   Digitaalinen vallankumous on luonut globaalin digitaalisen teollisuuden. Se tuotti meille aluksi tietojärjestelmiä, joilla analogisen maailman tehtäviä voitiin hoitaa tehokkaammin automaattisen tietojenkäsittelyn keinoin.  Digitaalinen vallankumous ei, joidenkin mielestä valitettavasti, pysähtynyt tähän. Ihminen on kytketty yhä tiiviimmästi osaksi tietojärjestelmiä. Moni viettää lähes kaiken valveillaoloaikansa kytkeytyneenä tietojärjestelmiin (Facebook, sähköposti tai Twitter). Näihin järjestelmiin ihminen syöttää henkilötietojaan, ja toisaalta ne keräävät hänen henkilötietojaan. Henkilötietojen väärinkäyttö ei sairastuta ihmistä fyysisesti, mutta se voi aiheuttaa henkistä kärsimystä, kun hän menettää yksityisyytensä. Ihmisen koko elämä saattaa olla luettavissa suruineen ja murheineen julkisesta palvelusta, josta hänen nuoruuden hölmöilynsä tulevat ensimmäisinä vastaan, mikäli niistä vain osataan hakea tietoa. Tämä voi estää henkilöä saamasta työpaikkaa, tai orastava parisuhde päättyy yhteen hakukoneella tehtyyn hakuun. Yksityisyyttämme suojaamaan on syntynyt henkilötietojen käyttöä sääntelevä lainsäädäntö. Digitaalinen vallankumous on edennyt kiihtyvällä vauhdilla globaalisti, mutta kansallinen lainsäädäntö on seurannut perässä hitaammin. Yritysten, lainsäätäjän ja yksityisen ihmisen intressien yhteensovittaminen ei ole ollut helppoa. Yksilön valta omiin tietoihinsa Mielenkiintoinen tapaus tältä rintamalta on Euroopan unionin tuomioistuimen tuomio asiassa Google Spain SL ja Google Inc. v. Agencia de Protección de Datos (AEPD) ja Mario Costeja González (Asia C-131/12). Tapauksessa Euroopan Unionin tuomioistuin määräsi, että hakukoneyhtiön tulee poistaa henkilön tiedot hakutuloksista, mikäli niiden esittämisellä ei ole perusteita esimerkiksi ”julkisen aseman kaltaisista erityisistä syistä”. Tapaus koskee sinänsä vain Googlen hakukonetta, joka on Euroopassa yksi eniten käytetyistä hakukoneista. Tästä huolimatta on syytä pohtia, olisiko ratkaisulla myös laajempaa merkitystä digitaalisen vallankumouksen aikana. Tähän asti digitaalisessa teollisuudessa on lähes poikkeuksetta pyritty keräämään mahdollisimman paljon tietoa ja jalostamaan sitä helpommin löydettävään muotoon. Tämän lisäksi ns. Big Data -analytiikan avulla hakutuloksista voidaan kehittää entistä täsmällisempiä sekä tarkempia. Toisin sanoen eri lähteistä kerätystä henkilötiedosta voidaan jalostaa täsmällisempiä tuloksia henkilöstä. Ratkaisu pakottaa arviomaan mahdollisuutta myös poistaa ja estää henkilötietojen käyttäminen sekä esittäminen. Hakukoneet ovat vain yksi esimerkki tästä. Vastaavalla tavalla digitaaliset media-arkistot sisältävät valtavat määrät tietoa ihmisistä koko heidän elämänsä varrelta. Pitäisikö niistäkin voida poistaa omat tiedot? Euroopan unionin tuomioistuimen ratkaisu kohdistuu vain yhteen yhtiöön ja sen hakukoneeseen Euroopan unionin alueella. Jatkossa tulee pohtia samojen periaatteiden soveltumista myös muihin tietokantoihin ja hakukoneisiin. Keskustelu lienee vasta alussa tältä osin sekä kansallisesti että globaalisti. Digitaalinen teollisuus edellyttää valtioilta yhteistyötä Suomalaisen teollisuuden, lainsäätäjän ja yksityisten ihmisten intressit on pystytty sovittamaan yhteen suhteellisen kitkattomasti luonnonsuojelun alueella. Uuden lainsäädännön tai merkittävien ennakkoratkaisujen tarve ei ole huutava. Henkilötietojen käsittelyn suhteen tilanne ei ole näin. Digitaalinen teollisuus ei tiedä mikä tulee olemaan laitonta ja yksittäinen tuomioistuimen päätös voi muuttaa markkinoita. Myöskään lainsäätäjän näkökulmasta tilanne ei ole palkitseva. Digitaalinen teollisuus on globaalia. Näin ollen kansallisvaltioiden tai jopa koko EU:n lainsäädäntö ontuu. Yksittäisen ihmisen näkökulmasta tilanne lienee kaikista sekavin. Globaalit yhtiöt tarjoavat mielenkiintoisia palveluja, joiden teknistä toimintaa on hyvin vaikea arvioida ennalta. Olisiko kansallisvaltiolla tahtoa sopia kansainvälisesti henkilötietojen käsittelystä? Henkilötietojen maailmanlaajuisten haasteiden ratkaiseminen lienee hyvin vaikeaa Snowden-kohun jälkeen, koska valtiot eivät luota toistensa tarkoitusperiin. Tekijänoikeuksista on sovittu kansainvälisillä sopimuksilla siten, että tekijänoikeuden haltijan teokset nauttivat suojaa suhteellisen globaalisti. Ehkä samaa olisi syytä pohtia henkilötietojen käytön osalta. Muuten syntyy yritysten, lainsäätäjän ja yksityisen ihmisen kannalta monimutkainen toimintaympäristö, jonka hallitseminen on vaikeaa. Jopa luonnonsuojelun osalta on kyetty tekemään kansainvälisiä sopimuksia esimerkiksi ilmastonmuutoksen torjumiseksi. Saasteet ja henkilötiedot liikkuvat kansallisvaltioiden rajojen yli, joten eikö niitä pitäisi säädellä globaalisti? Jaakko Lindgren

   Published: 1.7.2014

5. Post

   ”Kaikki sopimukset päättyvät joskus” – parempi ulkoistussopimus

   Hän oli täysin vakuuttunut, että EU:n perussopimukset vielä purkautuvat. Vaikka näin ei ole vielä käynyt, opetus on hyvä muistaa laadittaessa ulkoistussopimuksia, koska liian usein se unohtuu tai se pyritään unohtamaan. Sukupolvesta toiseen Ulkoistussopimuksilla yhtiöt tai julkiset organisaatiot ulkoistavat ydintoimintaansa tukevia toimintoja. Suomessa tehdyt ulkoistukset voidaan helposti jakaa niin kutsuttuihin ensimmäisen ja toisen sukupolven ulkoistuksiin. Ensimmäisen sukupolven ulkoistuksissa ulkoistetaan kumppanille tehtäviä, joita ulkoistavan organisaation omat työntekijät ovat aiemmin hoitaneet. Vastaavasti toisen sukupolven ulkoistuksista puhutaan silloin, kun vaihdetaan ulkoistustoimittajasta toiseen. Miten ulkoistussopimuksia tulisi huoltaa ja peruskorjata näiden kahden ulkoistuksen välillä? Hyvin monet ensimmäisen sukupolven ulkoistukset on tehty Suomessa siten, että on mietitty vain, miten ulkoistus saadaan mahdollisimman nopeasti maaliin. Tällä on tietysti pyritty maksimoimaan voitot lyhyellä aikavälillä. Sopimusten valuviat ovat tulleet esiin silloin, kun on alettu pohtia, kuinka ulkoistustoimittajaa voitaisiin vaihtaa tai kuinka ulkoistuksen kohteena olleet palvelut voitaisiin kilpailuttaa uudelleen. Monet sopimukset eivät ole tukeneet tätä. Miksi? Varaudu vaihtoon Hyvin tehdyn ulkoistussopimuksen tunnistaa siitä, että siihen on kirjattu huolellisesti, miten sopimuksen voi päättää tai palvelun kilpailuttaa uudelleen. Sopimuksen pitäisi vähintään antaa mahdollisuus verrata ulkoistuskumppanin palveluiden laatua ja hintaa yleiseen markkinakäytäntöön. Tämän lisäksi sopimusta laadittaessa tulisi pohtia, miten ulkoistuskumppanin vaihto voidaan toteuttaa siten, ettei se häiritse ulkoistajan ydintoimintaa.  Hankalimmissa tapauksissa ulkoistettu toiminta nojaa täysin ulkoistettuihin työntekijöihin ja heidän henkilökohtaiseen osaamiseensa, jota ei ole mitenkään taltioitu. Toisaalta esimerkiksi immateriaalioikeuksien omistamiseen liittyvät ehdot tekevät ulkoistuskumppanin vaihdosta hankalaa tai ainakin hyvin kallista. On myös esiintynyt tapauksia, joissa vanhan ulkoistuskumppanin tarjoama siirtoapu ulkoistuskumppania vaihdettaessa on osoittanut erittäin kalliiksi työksi, koska sen hinnoitteluperusteiden sopiminen unohtui ulkoistusta tehtäessä. Kaikki nämä viat vaivaavat yhtä lailla konepajateollisuuden kunnossapidon ulkoistuksia kuin vaikkapa sähköpostipalveluiden ulkoistuksia. Mustaa valkoiselle Hyvän ulkoistussopimuksen tulisi tarjota ulkoistavan yrityksen johdolle mahdollisuus arvioida ulkoistamansa palvelun uudelleen kilpailuttamista pelkästään liikkeenjohdollisin perustein. Arvioinnin ei pitäisi merkitä hyppyä tuntemattomaan tai jättäytymistä vanhan ulkoistuskumppanin hyväntahtoisuuden varaan. Usein neuvotteluissa kuulee ulkoistuskumppanin vakuuttavan: ”Kyllä me annamme tukea, jos sopimuksen päättyessä siirrätte ulkoistetun toiminnan toisen tahon vastuulle. Tästä ei ole kuitenkaan tarvetta kirjata sopimukseen ehtoja, koska meidän pitää säilyttää uskottavuutemme ulkoistusmarkkinoilla emmekä siksi voi olla hankalia.” Kultaisista lupauksista huolimatta moni suomalainen yritys tai julkisyhteisö on joutunut maksamaan yllättävän kovan hinnan ensimmäisen sukupolven ulkoistuksen päättyessä. Kannattaa sopia, kun se on vielä helppoa Pitääkö ulkoistuskumppaneiden pelätä sopimusehtoja, joilla sovitaan, miten toimitaan ulkoistuksen päättyessä? Mielestäni ei. On molempien sopimuskumppaneiden etujen mukaista ymmärtää jo sopimusta tehdessään, miten sopimus voidaan päättää ja ulkoistus siirtää toisen kumppanin vastuulle. Tällaiset sopimusehdot vähentävät merkittävästi riitoja sopimusten päättyessä, koska asiat on sovittu valmiiksi jo silloin, kun kaikki oli kunnossa ja sopiminen oli helppoa. Kun taas ulkoistus päättyy, monet asiat eivät toimi tai ole toimineet ja jopa yksinkertaisten sopimusten tekeminen on vaikeaa. Ala-asteen opettajani viisaus olisikin syytä muistaa, kun ulkoistussopimusta laaditaan. Jokainen sopimus päättyy joskus, ja sopimuksessa tulisi määritellä pelisäännöt myös näihin tilanteisiin. Euroopan unionin perussopimuksien purkautuminen ei taida silti olla aivan näköpiirissä. Tämä lienee nykyisin eläkepäiviään viettävälle opettajalleni pettymys. Jaakko Lindgren  

   Published: 13.6.2014

6. Post

   Vanhat tietojärjestelmät uusiksi? Euroopan unionin uusi tietosuoja-asetus

   Suomalaisten yritysten tietojärjestelmät on rakennettu viimeisten noin 30 vuoden aikana. Jotkin yritykset käyttävät edelleen tietojärjestelmiä, jotka on tehty 1970-luvun lopulla. Näissä järjestelmissä käsitellään henkilötietoja. Erityisesti vanhojen järjestelmien kannalta asetus on hyvin ongelmallinen. Asetuksen mukainen sääntelyhän ei koske pelkästään uusia tietojärjestelmiä vaan kaikkia tietojärjestelmiä. Vanhojen tietojärjestelmien päivittäminen on kallista ja hidasta. Yritysten IT-budjetit eivät ole rajattomia, ja vanhojen järjestelmien päivittämiseen käytetyt rahat ovat pois uusien järjestelmien kehittämisestä. Kaksi keskeistä haastetta Mitkä sitten ovat uuden asetuksen ongelmakohdat? Asetusluonnos sisältää kaksi hyvin ongelmallista rakennetta: Ensinnäkin asetukseen kuuluu privacy by design -vaatimus, jonka mukaan jokaisen tietojärjestelmän tulee olla toiminnallisuuksiltaan sellainen, että henkilötietojen käsittely järjestelmässä täyttää asetuksen vaatimukset. Toiseksi tietosuojaviranomaiset voivat määrätä yritykselle tai julkiselle organisaatiolle hallinnollisen sanktiomaksun, mikäli asetuksen velvoitteita rikotaan. Sanktiomaksun enimmäismäärä on esityksessä joko sata miljoonaa euroa tai viisi prosenttia vuosittaisesta kokonaisliikevaihdosta sen mukaan, kumpi summa on suurempi. Maksun suuruus saattaa vielä muuttua. IT-budjetit uuteen tarkasteluun Keskimääräinen suomalainen tietojärjestelmä on rakennettu teknisistä, kaupallisista tai käytännöllisistä lähtökohdista. Henkilötietolainsäädännön noudattamisesta on huolehdittu vasta jälkikäteen. Monien järjestelmien nykyiset toiminnallisuudet eivät kestä kriittistä tarkastelua edes nykyisen henkilötietolain näkökulmasta, saati sitten uuden tietosuoja-asetuksen näkökulmasta. Näin ollen järjestelmien huoltaminen tulisi aloittaa jo nyt, kun rikkomuksista ei vielä joudu maksamaan sanktiota. Tätä ei ole taidettu ottaa huomioon tulevien vuosien IT-budjeteissa? Syytä olisi. Euroopan unionin rikkidirektiivi tuli voimaan muutamia vuosia sitten. Se aiheutti suuria kustannuksia suomalaiselle vientiteollisuudelle, kun laivoihin jouduttiin asentamaan esimerkiksi rikkipesureita. Näin käy myös uuden tietosuoja-asetuksen kohdalla: yritysten ja julkisten organisaatioiden kulut lisääntyvät. Uuden tietosuoja-asetuksen vaikutuksista tavalliseen kansalaiseen ei voi olla aivan yhtä varma. Ehkä perusoikeudet hieman vahvistuvat, mutta laskua maksaa meistä jokainen. Jaakko Lindgren

   Published: 4.6.2014