Tietojenkäsittelylisäys

Tällä Tietojenkäsittelylisäyksellä (”DPA”) muutetaan ja se muodostaa osan Päätilaussopimusta tai muuta Asiakkaan ja Absoluten välistä sopimusta (”Sopimus”), jolla säännellään Absoluten Tuotteiden ja Palvelujen tarjoamista Asiakkaalle. Jos tämän DPA:n ehtojen ja Sopimuksen ehtojen välillä on ristiriita, tämän DPA:n ehdot ovat määräävät.

1.     Määritelmät. Isolla alkukirjaimella kirjoitetuilla termeillä, joita käytetään mutta joita ei ole määritelty tässä DPA:ssa, on niille Sopimuksessa annetut merkitykset.

1.1.    ”Yritys”-, ”Liiketoimintatarkoitus”-, ”kerätä”-, ”kerätty”-, ”kerääminen”-, ”Kuluttaja”-, ”Tunnistamattomaksi tehdyt tiedot”-, ”Henkilötiedot”-, ”myynti”-, ”myyminen”- ja ”Palveluntarjoaja”-termeillä on niille CCPA:ssa annetut merkitykset, ja ”myydä”-termi tulkitaan vastaavasti;

1.2.    ”Rekisterinpitäjä”-, ”Rekisteröity”-, ”Henkilötiedot”-, ”käsittely”-, ”Henkilötietojen käsittelijä”- ja ”Valvontaviranomainen”-termeillä on niille GDPR:ssä annetut merkitykset, ja ”käsitellä”-, ”käsittelee”- ja ”käsitelty”-termit tulkitaan vastaavasti;

1.3.    ”Asiakkaan henkilötiedot” -termi tarkoittaa Asiakkaan tietoja, jotka muodostavat Henkilötiedot, joita Absolute kerää tai käsittelee Palveluntarjoajana tai Henkilötietojen käsittelijänä (soveltuvin osin) Asiakkaan puolesta tarjotakseen Tuotteet ja Palvelut, siten kuin on kuvattu tarkemmin tämän DPA:n Liitteessä I;

1.4.    ”Tietosuojalaki”-termi tarkoittaa Kalifornian kuluttajien tietosuojalakia, Cal. Civ. Code § 1798.100 et seq., ja sen täytäntöönpanoasetuksia (”CCPA”), yleistä tietosuoja-asetusta (EU) 2016/679 (”GDPR”) ja sähköisen viestinnän tietosuojadirektiiviä 2002/58/EY (sellaisena kuin se on muutettuna direktiivillä 2009/136/EY) ja niiden kansallisia täytäntöönpanoja Euroopan talousalueella (”ETA”), Sveitsin liittovaltion tietosuojalakia, Yhdistyneen kuningaskunnan yleistä tietosuoja-asetusta vuodelta 2018, kutakin soveltuvin osin ja sellaisina kuin ne voivat olla aika ajoin muutettuina tai korvattuina;

1.5.    ”Rekisteröidyn oikeudet” -termi tarkoittaa Kuluttajien tai Rekisteröityjen oikeuksia tietoihin, pääsyyn, oikaisuun, poistoon, käsittelyn rajoittamiseen, siirtämiseen järjestelmästä toiseen, käsittelyn vastustamiseen, myynnin kieltämiseen, siihen, että ei syrjitä tiettyjen oikeuksien käytön johdosta, ja siihen, että ei joudu automaattisesti tehtävien yksittäispäätösten kohteeksi, Tietosuojalain mukaisesti ja aina siinä vaaditussa laajuudessa;

1.6.    ”Eurooppa”-termi tarkoittaa ETA:ta ja Sveitsiä;

1.7.    ”Kansainvälinen tiedonsiirto” -termi tarkoittaa Asiakkaan henkilötietojen siirtoa Euroopasta tai Yhdistyneestä kuningaskunnasta Euroopan ja Yhdistyneen kuningaskunnan ulkopuoliseen maahan;

1.8.    ”Henkilötietojen tietoturvaloukkaus” -termi tarkoittaa Absoluten tietoturvan loukkausta, joka johtaa Absoluten tai sen Alihankkijana toimivien henkilötietojen käsittelijöiden siirtämien, tallentamien tai muutoin käsittelemien Asiakkaan henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai niihin pääsyyn;

1.9.    ”Alihankkijana toimiva henkilötietojen käsittelijä” tarkoittaa Henkilötietojen käsittelijää, jonka Absolute on palkannut käsittelemään Asiakkaan henkilötietoja; ja

1.10.  ”Vakiosopimuslausekkeet”-termi tarkoittaa lausekkeita, jotka on liitetty 4. kesäkuuta 2021 annettuun Euroopan komission päätökseen 2021/914 vakiosopimuslausekkeista, jotka koskevat henkilötietojen siirtämistä kolmansiin maihin Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 mukaisesti (EUVL L 199, 7.6.2021, s. 31–61), soveltuvin osin ja sellaisina kuin ne voivat olla aika ajoin muutettuina tai korvattuina.

2.     Osapuolten rooli ja Käsittelyn soveltamisala

2.1.    Soveltamisala. Tätä DPA:ta ja kutakin tämän määräystä ja velvoitetta sovelletaan siltä osin kuin Absolute käsittelee Asiakkaan henkilötietoja Palveluntarjoajana tai Henkilötietojen käsittelijänä (soveltuvin osin).

2.2.    Osapuolten rooli. Asiakas on Yritys tai Rekisterinpitäjä ja nimittää Absoluten Palveluntarjoajaksi tai Henkilötietojen käsittelijäksi Asiakkaan puolesta. Kukin Osapuoli kerää, säilyttää, käyttää, luovuttaa ja käsittelee Asiakkaan henkilötietoja Tuotteiden ja Palvelujen nojalla tai yhteydessä sovellettavan Tietosuojalain mukaisesti.

2.3.    Asiakkaan velvollisuudet. Asiakas on velvollinen noudattamaan sovellettavia vaatimuksia, jotka koskevat ilmoituksen antamista Rekisteröidyille siitä, että Absolutea käytetään Henkilötietojen käsittelijänä. Käsittelyn aihe, luonne ja tarkoitus, Asiakkaan henkilötietojen tyypit ja Rekisteröityjen ryhmät on esitetty Liitteessä I.

2.4.    Absoluten velvollisuudet. Absolute käsittelee Asiakkaan henkilötietoja tarjotakseen Tuotteet ja Palvelut Asiakkaan dokumentoitujen laillisten ohjeiden mukaisesti, jotka katsotaan annetuiksi, seuraavia tarkoituksia varten: (i) käsittely tämän DPA:n, Sopimuksen ja minkä tahansa mahdollisen sovellettavan toimitussopimuksen nojalla; (ii) Valtuutettujen käyttäjien aloittama käsittely heidän käyttäessään Tuotteita ja Palveluja ja (iii) käsittely muiden Asiakkaan (esim. sähköpostitse) toimittamien dokumentoitujen kohtuullisten ohjeiden noudattamiseksi, jos nämä ohjeet ovat tämän DPA:n, Sopimuksen ja minkä tahansa mahdollisen sovellettavan toimitussopimuksen mukaisia. Ellei sovellettavassa laissa sitä kielletä, Absolute ilmoittaa Asiakkaalle, jos se saa tietoonsa, tai jos sen mielipide on, että Asiakkaan ohjeet rikkovat Tietosuojalakia. Jos Absolute esimerkiksi saa haasteen tai oikeuden määräyksen lainvalvontaviranomaiselta, se ilmoittaa pyynnöstä Asiakkaalle, ellei sitä ole laissa kielletty tekemästä niin.

2.5.    Yhteistyö Asiakkaan pyynnöissä. Absolute auttaa Asiakasta kohtuullisesti, ottaen huomioon käsittelyn luonteen ja Absolutelle saatavilla olevat tiedot, (a) vastaamaan pyyntöihin Rekisteröidyn oikeuksien käytöstä; (b) toteuttamaan tietosuojan vaikutusarviointeja ja ennakkokonsultaatioita Valvontaviranomaisten kanssa ja (c) ilmoittamaan asianomaiselle Rekisteröidylle Henkilötietojen tietoturvaloukkauksesta, kun laissa niin vaaditaan. Asiakas vastaa Absoluten avusta syntyvistä kohtuullisista kustannuksista.

3.     Tietoturva ja tarkastukset

3.1.    Turvallisuustoimet. Absolute toteuttaa teknisiä ja organisatorisia riskin mukaisia toimenpiteitä suojatakseen Asiakkaan henkilötietoja luvattomalta pääsyltä, tuhoamiselta, käytöltä, muuttamiselta tai luovuttamiselta, siten kuin on esitetty Absoluten tietoturvastandardeissa, joihin viitataan Liitteessä II. Absolute saattaa muokata Absoluten tietoturvastandardeja aika ajoin, mutta tarjoaa edelleen vähintään saman tietoturvan tason kuin Absoluten tietoturvastandardeissa on kuvattu. Absolute varmistaa, että koko Asiakkaan henkilötietojen käsittelyyn valtuutettua henkilöstöä koskee salassapitovelvollisuus.

3.2.    Henkilötietojen tietoturvaloukkauksen hallinta. Absolute ilmoittaa Asiakkaalle Henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivästystä saatuaan tiedon siitä. Absolute toteuttaa kaupallisesti kohtuulliset toimet tunnistaakseen Henkilötietojen tietoturvaloukkauksen syyn ja ryhtyy tarpeellisiksi ja kohtuullisiksi katsomiinsa toimiin korjatakseen Henkilötietojen tietoturvaloukkauksen syyn siltä osin kuin korjaus on kohtuullisesti Absoluten hallittavissa. Tätä määräystä ei sovelleta Asiakkaan tai Asiakkaan käyttäjien aiheuttamiin Henkilötietojen tietoturvaloukkauksiin.

3.3.    Tarkastus. Kuten Tietosuojalaissa vaaditaan, Absolute toimittaa Asiakkaalle Absoluten tarkastusraporteista yhteenvedon, joka sisältää kohtuudella katsoen tarpeelliset tiedot, jotka osoittavat Absoluten noudattavan tämän DPA:n velvoitteita; kunhan Absolute voi poistaa näiden raporttien luottamukselliset tai kaupallisesti arkaluonteiset tiedot.

4.     Alihankintana tehtävä henkilötietojen käsittely

4.1.    Valtuutetut alihankkijana toimivat henkilötietojen käsittelijät. Asiakas myöntää ja hyväksyy, että Absolute voi palkata Alihankkijana toimivia henkilötietojen käsittelijöitä. Luettelo Absoluten nykyisistä Alihankkijana toimivista henkilötietojen käsittelijöistä on saatavilla osoitteessa www.absolute.com/company/legal/absolute-sub-processors. Absolute solmii Alihankkijana toimivien henkilötietojen käsittelijöiden kanssa kirjallisen sopimuksen, jossa asetetaan Alihankkijana toimiville henkilötietojen käsittelijöille olennaisilta osin samat velvoitteet kuin Absolutelle tämän DPA:n nojalla.

4.2.    Alihankkijana toimivien henkilötietojen käsittelijöiden muutokset. Asiakas myöntää ja hyväksyy, että Absolute ilmoittaa Asiakkaalle Alihankkijana toimivien henkilötietojen käsittelijöiden aiotusta lisäyksestä tai vaihdoksesta päivittämällä sen Alihankkijana toimivien henkilötietojen käsittelijöiden luetteloa, johon viitataan Osiossa 4.1. Asiakas voi vastustaa Alihankkijana toimivan henkilötietojen käsittelijän lisäystä tai vaihdosta kolmenkymmenen (30) päivän kuluessa Absoluten päivitettyä Alihankkijana toimivien henkilötietojen käsittelijöiden luetteloaan. Jos Asiakkaan vastustus pohjautuu perusteltuihin syihin, jotka liittyvät mahdolliseen tai todelliseen Tietosuojalain rikkomukseen, Asiakas ja Absolute käsittelevät Asiakkaan vastustuksen yhteistyössä vilpittömässä mielessä.

5.     Tiedonsiirrot

5.1.    Kansainväliset tiedonsiirrot. Asiakas hyväksyy sen, että Absolute voi toteuttaa Kansainvälisiä tiedonsiirtoja (a) mihin tahansa Euroopan komission tai Yhdistyneen kuningaskunnan hallituksen riittäväksi katsomaan maahan, soveltuvin osin, Kanada mukaan lukien; (b) asianmukaisten suojatoimien perusteella Tietosuojalain mukaisesti tai (c) Vakiosopimuslausekkeiden mukaisesti, joihin viitataan Osiossa 5.2 tai Osiossa 5.3. Jos Absoluten hallinnan ulkopuolella olevat olosuhteet vaikuttavat siihen, voiko Absolute noudattaa Kansainvälisiin tiedonsiirtoihin sovellettavia Tietosuojalakeja – jos esimerkiksi Kansainvälisten tiedonsiirtojen oikeudellinen väline on mitätöity tai korvattu tai sitä on muutettu –, Asiakas ja Absolute tekevät vilpittömässä mielessä yhteistyötä ratkaistakseen noudattamatta jättämisen kohtuullisella tavalla.

5.2.    Tiedonsiirrot Euroopasta. Allekirjoittamalla tämän DPA:n Asiakas ja Absolute hyväksyvät Vakiosopimuslausekkeiden MODUULIN KAKSI ehdot, jotka täten sisällytetään tähän DPA:han viittein. Osapuolet sopivat täten, että jos Vakiosopimuslausekkeita sovelletaan, ne toteutetaan seuraavasti: (a) valinnainen Lauseke 7 säilytetään; (b) Lausekkeen 9 Vaihtoehto 1 pyyhitään ja Vaihtoehto 2 säilytetään; (c) Lausekkeen 11 valinnainen kieli pyyhitään; (d) Lausekkeen 17 ja 18 Sääntelevä laki ja toimivaltaiset viranomaiset ovat Irlannin ja (e) Vakiosopimuslausekkeiden Liite I ja Liite II ovat tämän DPA:n Liite I ja Liite II. Vakiosopimuslausekkeita sovelletaan, jos Absolute tarjotakseen Tuotteita Asiakkaalle siirtää Asiakkaan henkilötietoja Euroopasta maahan, joka ei tarjoa riittävää suojan tasoa Euroopan komission määrityksen mukaan.

5.3.    Tiedonsiirrot Yhdistyneestä kuningaskunnasta. Allekirjoittamalla tämän DPA:n Asiakas ja Absolute hyväksyvät Vakiosopimuslausekkeiden MODUULIN KAKSI ehdot ja Osan 2 (Pakolliset lausekkeet) ehdot Vakiosopimuslausekkeiden Kansainvälisten tiedonsiirtojen lisäyksestä, joka on saatavilla osoitteessa https://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf (”Yhdistyneen kuningaskunnan lisäys”) ja joka täten sisällytetään tähän viittein. Yhdistyneen kuningaskunnan lisäystä sovelletaan, jos Absolute siirtää Asiakkaan henkilötietoja Yhdistyneestä kuningaskunnasta maahan, joka ei tarjoa riittävää suojan tasoa Yhdistyneen kuningaskunnan määrityksen mukaan.

6.     Kalifornian kuluttajien tietosuojalaki

6.1.    Vastike. Absolute myöntää, että Asiakkaan henkilötietojen vaihto Asiakkaan ja Absoluten välillä ei muodosta minkään sellaisen rahallisen tai arvokkaan vastikkeen osaa, joka vaihdetaan Asiakkaan ja Absoluten välillä Sopimuksen tai tämän DPA:n osalta.

6.2.    Asiakkaan henkilötietojen käyttö. Paitsi siten kuin sovellettavassa laissa on muutoin sallittu, Absolute ei (a) säilytä, käytä tai luovuta Asiakkaan henkilötietoja mihinkään muuhun tarkoitukseen kuin Sopimuksessa määritettyjen Palvelujen suorittamiseen ja Tuotteiden tarjoamiseen eikä (b) myy Asiakkaan henkilötietoja. Minkään Sopimuksessa tai tässä DPA:ssa mainitun määräyksen estämättä tämän DPA:n ehtoja ei sovelleta Absoluten käsitellessä Asiakkaan henkilötietoja, joita ei koske Tietosuojalaki, mukaan lukien lainkohdan Cal Civ. Code § 1798.145(a) nojalla.

7.     Päättyminen ja Asiakkaan henkilötietojen palautus tai poisto

7.1.    Tämän DPA:n voimassaolo päättyy, kun Sopimuksen voimassaolo päättyy. Asiakas voi palauttaa Asiakkaan henkilötiedot käyttämällä ominaisuuksia tai toimintoja Asiakkaan sovellettavien Tuotteiden tililtä tai – jos kyseisiä ominaisuuksia tai toimintoja ei ole käytettävissä – Asiakas voi pyytää Asiakkaan henkilötietojen palautusta enintään yhdeksänkymmentä (90) päivää Sopimuksen päättymisen jälkeen. Ellei sovellettavassa laissa niin vaadita tai sallita, Absolute poistaa tai anonymisoi kaikki jäljellä olevat Asiakkaan henkilötietojen kopiot Sopimuksen päättymisen jälkeen.

8.     Vastuuvelvollisuuden rajoitus

8.1.    Kummankin osapuolen tästä DPA:sta johtuvaa tai tähän DPA:han liittyvää vastuuvelvollisuutta, mukaan lukien Vakiosopimuslausekkeet, soveltuvin osin, sopimuksellisen, oikeuden loukkauksen tai minkä tahansa muun vastuuteorian perusteella, koskee Sopimuksen Vastuuvelvollisuuden rajoitus -osio.

9.     Pätemättömyys ja erillisyys

9.1.    Jos toimivaltaisen lainkäyttöalueen tuomioistuin tai hallintoelin katsoo jonkin tämän DPA:n ehdon olevan pätemätön tai täytäntöönpanokelvoton, kyseisen määräyksen pätemättömyys tai täytäntöönpanokelvottomuus ei vaikuta tämän DPA:n mihinkään muuhun määräykseen ja kaikki määräykset, joihin kyseinen pätemättömyys tai täytäntöönpanokelvottomuus ei vaikuta, pysyvät täysimääräisinä voimassa.

LIITE I

  1. OSAPUOLTEN LUETTELO (MODUULI KAKSI: Siirto rekisterinpitäjältä henkilötietojen käsittelijälle)

 

Tietojen viejä(t): Asiakas

 

Asiakas voi Rekisterinpitäjänä päättää siirtää tietoja Absolutelle sovellettavassa Tilauslomakkeessa määritettyjen Tuotteiden ja Palvelujen vastaanoton yhteydessä. Asiakkaan nimi, yhteystiedot ja allekirjoitus esitetään sovellettavassa Tilauslomakkeessa tai Asiakkaan Tuotteiden ja Palvelujen tilillä.

Tietojen tuoja(t): Absolute

 

Absolute käsittelee Henkilötietojen käsittelijänä Asiakkaalta saatuja tietoja sovellettavassa Tilauslomakkeessa määritettyjen Tuotteiden ja Palvelujen tarjoamisen yhteydessä.

Osoite: Suite 1400, Four Bentall Centre, 1055 Dunsmuir Street, Vancouver, B.C. Canada, V7X 1K8

Yhteydenotot: privacy@absolute.com

 

  1. SIIRRON KUVAUS (MODUULI KAKSI: Siirto rekisterinpitäjältä henkilötietojen käsittelijälle)

 

Rekisteröityjen ryhmät, joiden henkilötietoja siirretään Tuotteiden ja Palvelujen yhteydessä:

Nro Ryhmä
1 Asiakkaan päätelaitteiden käyttäjät
2 Asiakkaan hallintohenkilöstö, joka vastaa Asiakkaan tilin ylläpidosta Isännöidyn palvelun kautta

Henkilötietojen ryhmät, joita siirretään Absoluten palvelujen yhteydessä:

Nro Ryhmä
1 Soveltuvin osin päätelaitteen tiedot, mukaan lukien tietokoneen merkki ja malli, tietokoneen sarjanumero, järjestelmän BIOS-versio, tietokoneen nimi, käyttöjärjestelmän tiedot, kiintolevyn sarjanumero, kiintolevyn malli, kiintolevyn laiteohjelmistoversio, akun laitetunnus, tietokoneen UUID-tunnus, yhdyskäytävän merkkijonot, RAM-muistin sarjanumero, MAC-osoite, verkkosovittimen nimi, IP-osoite, laitteen sijainti ja laitteen käyttötiedot.
  Isännöidyn palvelun tilitiedot, mukaan lukien nimi, yhteystiedot ja kirjautumistunnukset.

Arkaluonteisten henkilötietojen ryhmät, joita siirretään Tuotteiden ja Palvelujen yhteydessä:

Nro Ryhmä
1 Ei mitään.

 

Käsittelyn tiheys ja luonne:

Tietoja siirretään jatkuvasti. Siirrettäviin henkilötietoihin kohdistetaan seuraavia käsittelytoimia:

  • Tuotteiden ja Palvelujen tarjoaminen, mukaan lukien Tuotteiden ja Palvelujen tietojen säilytys;
  • teknisten tai hallinnollisten ongelmien ratkaiseminen, laskutus ja omien laillisten velvoitteiden noudattaminen muutoin ja
  • Tuotteiden ja Palvelujen optimointi ja parantaminen sekä muut liiketoimintatarkoitukset DPA:ssa kuvatun mukaisesti.

Tiedonsiirron tarkoitus (tai tarkoitukset) ja muu käsittely

Tiedonsiirron tarkoitus on Tuotteiden ja Palvelujen tarjoaminen.

Säilytysaika.

 

Sovellettavasta palvelusta riippuen sovelletaan erilaisia tietojen säilytysaikoja. Absolute ottaa säilytysaikaa määrittäessään huomioon eri tekijöitä, joita ovat esimerkiksi Asiakkaalle tarjottavan palvelun tyyppi, Asiakkaan kanssa ylläpitämämme suhteen luonne ja pituus sekä laissa säädetyt pakolliset säilytysajat ja vanhentumisajat.

Siirrot (alihankkijana toimiville) henkilötietojen käsittelijöille

Edellä tässä Osiossa B esitettyjä kuvauksia sovelletaan Alihankkijana toimiville henkilötietojen käsittelijöille siirrettyihin tietoihin.

 

  1. TOIMIVALTAINEN VALVONTAVIRANOMAINEN (MODUULI KAKSI: Siirto rekisterinpitäjältä henkilötietojen käsittelijälle)

Asiakkaan määrittämä toimivaltainen valvontaviranomainen.

 

LIITE II

TEKNISET JA ORGANISATORISET TOIMENPITEET, MUKAAN LUKIEN TEKNISET JA ORGANISATORISET TOIMENPITEET TIETOTURVAN VARMISTAMISEKSI

Alue

 

Käytännöt
Tietoturvaorganisaatio ·          Absolutella on tietoturvaan erikoistunut tiimi

·          Absoluten johtoryhmä tukee tietoturvaohjelmaa

·          Absolute julkaisee johdon hyväksymän tietoturvakäytännön

Henkilöstöhallinnon turvallisuus ·          Tarkistaa henkilöstön taustan ennen palkkausta

·          Suorittaa säännöllistä tietoturvakoulutusta

Fyysinen ja ympäristön turvallisuus ·          Vain valtuutetuille käyttäjille sallitaan fyysinen pääsy asiakkaan tietojenkäsittelykeskuksiin

·          Käytetään konesalien ja isännöintipalvelujen tarjoajia, joilla on käytössä fyysiset ja ympäristölliset valvontatoimet

Tietoliikenne ja toimintojen hallinta ·          Asiakkaan liikkeellä ja säilytyksessä olevien tietojen salaus

·          Verkon suojaustoimenpiteiden toteuttaminen, esimerkkeinä palomuurit, VPN-yhteydet, tunkeilijan havaitsemisjärjestelmä (IDS) ja mahdollisuuksien mukaan murron estämisjärjestelmä (IPS)

Käyttöoikeuksien hallinta ·          Vähimpien oikeuksien periaate verkkoihin ja järjestelmiin pääsyssä

·          Monivaiheisen tunnistautumisen vaatiminen etäkäytössä

Tietoturvahäiriöiden hallinta ·          Virallisen tietoturva- ja tietosuojahäiriöiden hallintaohjelman toteuttaminen
Tietoturvatoiminnot ·          Vuosittainen penetraatiotestaus

·          Jatkuva haavoittuvuuksien hallinta

·          Haittaohjelmien havaitsemisen ja estämisen hallintatoimet

·          Tapahtumalokitietojen laadinta ja seuranta

Liiketoiminnan jatkuvuuden hallinta ·          Liiketoiminnan jatkuvuus- ja palautussuunnitelmien ylläpito toimintojen jatkumisen tukemiseksi

·          Suunnitelmien testaus vähintään vuosittain

Kolmannen osapuolen toimittajien hallinta ·          Kolmannen osapuolen toimittajien hallintaohjelman ylläpito kolmannen osapuolen toimittajien tietoturvan ja tietosuojan hallintatoimien tarkistamiseksi, arvioimiseksi ja seuraamiseksi
Järjestelmien kehittäminen ·          Turvallisen koodauksen koulutuksen tarjoaminen kehittäjille

·          Turvallisuustestauksen toteuttaminen järjestelmien kehityksen elinkaaren osana

·          Erilliset kehitys-, testaus- ja tuotantoympäristöt