Vastuu & GDPR
5 sopimusta, 0 vastuussa — miksi pk-yritys häviää tietomurrossa
Tyypillinen pk-yritys hostaa verkkonäkyvyyttään viidellä eri sopimuksella. GDPR ja kyberturvallisuuslaki sanovat että vastuu on silti yrittäjällä. Miksi yhden palveluntarjoajan managed hosting on pk-yrityksen järkevin ratkaisu.
Suomalaisella pk-yrityksellä on tyypillisesti viisi eri sopimusta verkkonäkyvyydestään: domain yhdellä rekisteröijällä, webhotelli toisella, IT-kumppani kolmannella, sähköposti neljännellä ja WordPress-toimittaja viidennellä. Kun tilauslomake lakkaa toimimasta perjantai-iltapäivänä, kukaan ei nosta puhelinta. Jokainen toimittaja osoittaa sormella seuraavaa. Asiakas ei lähetä laskuja, asiakkaat eivät saa vahvistuksia ja maanantaiaamuun mennessä on menetetty viisinumeroinen liikevaihto.
Tyypillinen suomalaisen pk-yrityksen IT-pino
Käytännössä pino menee näin: domain ostettu vuonna 2018 jostain edullisesta rekisteröijästä (12 €/v), webhotelli halvalla peruspaketilla (9,90 €/kk), Office 365 kirjanpitäjän suosituksesta (12,50 €/käyttäjä/kk), WordPress-sivut tehnyt paikallinen toiminimi viisi vuotta sitten (200 €/kk ylläpito) ja IT-tuki naapurikaupungin firmasta (tuntilaskutus 95 €/h kun jotain hajoaa).
Yhteensä rahaa kuluu 65–180 € kuukaudessa toimittajien välillä. Mutta kun jokin menee rikki, alkaa selvitystyö. Domain-rekisteröijä sanoo että ongelma on webhotellissa. Webhotelli sanoo että sähköpostiongelma kuuluu Microsoftille. Microsoft sanoo että DNS-asetukset pitää korjata rekisteröijällä. WordPress-toimittaja ei vastaa puhelimeen viikonloppuna. IT-tuki laskuttaa kaksi tuntia siitä, että ottaa selvää kuka mistäkin vastaa.
Sopimukset jotka rajoittavat vastuun kuukauden palvelumaksuun
Lue mikä tahansa edullisen webhotellin käyttöehdot. Vastuunrajoituslauseke on käytännössä aina sama: palveluntarjoaja vastaa enintään yhden kuukauden palvelumaksun verran. Jos sivustosi on alhaalla viikon, hyvitys on 2,50 €. Liiketoiminnan keskeytyksestä, menetetyistä asiakkaista tai sähköpostimaineen romahduksesta ei vastaa kukaan.
Tämä on rationaalista bisnesta hostingfirmalle, joka pyörittää 50 000 asiakasta 10 €/kk paketeilla. Mutta sinun pk-yritykselläsi vastuu jää kokonaan sinulle.
GDPR 28 artikla: rekisterinpitäjä vastaa koko ketjusta
GDPR:n 28. artikla on tässä selvä. Rekisterinpitäjä eli sinun yrityksesi vastaa siitä, että jokainen henkilötietoja käsittelevä alihankkija (webhotelli, sähköpostipalvelu, CRM, kirjanpito-ohjelma) täyttää tietosuojavaatimukset. Vastuuta ei voi siirtää alihankkijalle pelkällä sopimuksella.
Käytännössä sinun pitää tietää missä asiakasdata sijaitsee ja kuka siihen pääsee käsiksi. Sinun pitää myös tietää miten varmuuskopiot on järjestetty ja mitä tapahtuu jos joku alihankkijoistasi menee konkurssiin. Viiden toimittajan pinossa kukaan ei dokumentoi tätä puolestasi. Olet vastuussa myös niistä alihankkijoista, joiden olemassaolosta et tiennyt.
Kyberturvallisuuslaki muutti pelin: johtaja ei voi delegoida
NIS2-direktiivi astui Suomessa voimaan 8.4.2025 kyberturvallisuuslakina. Olennainen muutos pk-yrittäjälle: toimitusjohtajalla on henkilökohtainen vastuu kyberturvallisuusriskien hallinnasta. Sitä ei voi delegoida IT-kumppanille, eikä sopimusvelvoitteilla pääse karkuun.
Vaikka NIS2 koskee suoraan vain tiettyjä toimialoja, vakuutusyhtiöt ja suuremmat asiakkaat alkavat vaatia samoja standardeja kaikilta alihankkijoiltaan. Toisin sanoen: jos myyt B2B:tä, sinun pitää pystyä osoittamaan kuka vastaa mistäkin osasta hosting-pinoasi.
Viiden toimittajan ketjussa tähän kysymykseen ei ole vastausta. On vain viisi sopimusta ja viisi vastuunrajoituslauseketta.
5–20 k€ hyökkäyksestä — mitä se oikeasti sisältää
Söderberg & Partnersin 2024 selvityksen mukaan tyypillinen kyberhyökkäys maksaa suomalaiselle pk-yritykselle 5 000–20 000 euroa. IBM:n Cost of a Data Breach 2024 -raportin mukaan globaali keskiarvo tietomurrolle on 4,88 miljoonaa dollaria, mutta isompien yritysten luvut vääristävät keskiarvoa.
Pk-yrityksen 5–20 k€ koostuu harvoin korjauskustannuksista. Pääosa on liiketoiminnan keskeytystä. Kuvitellaan tyypillinen ketju: hyökkääjä murtaa WordPress-adminin brute-force-yrityksellä (heikko salasana, ei rajoituksia kirjautumisyrityksiin). Sivustolle asennetaan spam-skripti, joka alkaa lähettää tuhansia roskaposteja omasta domainistasi. Koska DMARC-tietuetta ei ole konfiguroitu, Gmail ja Microsoft alkavat hylätä kaiken sähköpostin domainiltasi.
Seuraava päivä: tarjoukset eivät mene perille, laskut eivät mene perille ja asiakkaat soittelevat että "ette ole vastannut sähköpostiin viikkoon". Selvitystyö viiden toimittajan kanssa kestää 2–3 viikkoa. Sähköpostimaine palautuu kuukausissa, ei päivissä.
Yhden sopimuksen managed hosting -mallissa sama tilanne havaitaan minuuteissa. Yksi numero soitettavana, yksi vastuu, yksi varmuuskopio palautettavaksi.
Yhden oven hosting: mitä se konkreettisesti tarkoittaa
Yhden palveluntarjoajan managed hosting tarkoittaa, että WordPress, sähköpostin SPF/DKIM/DMARC-konfiguraatio, DDoS-suojaus, tietoturvapäivitykset, varmuuskopiot ja domain-hallinta tulevat samasta paketista samalla sopimuksella. Yksi lasku, yksi tukinumero, yksi vastuu.
Resahost on tämä malli. Olemme Traficom-rekisteröity palveluntarjoaja, mikä tarkoittaa että viestintäpalvelujen vastuukysymyksissä meidät tunnistetaan suomalaiseksi toimijaksi, ei amerikkalaisen pilvitoimijan jälleenmyyjäksi. Jokaisella asiakkaalla on oma yhteyshenkilö, ei chatbottia eikä supportticket-jonoa.
Hinta Resahost Pro -paketille on 129 €/kk. Verrokki hajautetussa mallissa: 12 € domain + 10 € webhotelli + 25 € sähköposti + 200 € WordPress-ylläpito + reaktiivinen IT-tuki = 65–180 €/kk, eikä siinä ole DDoS-suojausta, automaattisia haavoittuvuuspaikkauksia tai todellista palautusaikaa kun jokin hajoaa.
Yksi sopimus, yksi numero, yksi vastuu
Pk-yritys ei häviä tietomurroissa siksi, että hyökkääjät olisivat erityisen taitavia. Pk-yritys häviää siksi, että vastuu on pirstottu viidelle toimittajalle, eikä kukaan ole vastuussa kokonaisuudesta.
Resahost-paketit alkavat 69 €/kk (Basic, yksi WordPress-sivusto + sähköposti + DDoS-suojaus) ja päättyvät 189 €/kk (Premium, useita sivustoja + dedikoitu yhteyshenkilö + 4 h vasteaika 24/7). Kaikki Traficom-validoitua suomalaista palvelua, kaikki yhdellä sopimuksella.
Jos haluat tietää mitä hosting-pinossasi todellisuudessa on, tilaa ilmainen audit. Tarkistamme domainin, DNS:n, sähköpostin tietueet ja WordPress-asetukset. Kerromme rehellisesti onko sinulla ongelma, vai onko nykyinen järjestelysi kunnossa.
Lue myös
- Yhden oven malli — manifesti
- Vastaamo-oikeudenkäynnit ja CEO-vastuu — mitä se tarkoittaa sinulle
- NIS2 pk-yritykselle 2026 — kuuluuko yritykseni soveltamisalaan?
- Tietoturvapalvelu vai itse tehty — pk-yrityksen punnittu valinta
- Nettisivun hinta 2026 — paljonko pk-yrittäjän kannattaa varata
Lähteet: tietosuoja.fi (GDPR-valvonta Suomessa), traficom.fi (NIS2 ja kyberturvallisuuslaki), Söderberg & Partners 2024 (pk-yritysten kyberriskiselvitys), IBM Cost of a Data Breach 2024.