IT-alan asiakkaamme joutui alihankkijana mukaan riitaan, jossa pääsopimuksen toimittaja pyrki siirtämään vastuunsa tietoturvaloukkaukseen liittyvistä vahingoista alaspäin ketjussa. Riidan ytimessä oli kysymys siitä, voiko pääsopimusosapuoli siirtää vastuunsa alihankkijalle ilman siihen nimenomaisesti sovittua ehtoa.
Asiakas oli toimittanut työnsä loppuun, eikä ollut enää mukana järjestelmän ylläpidossa tai tietoturvan hallinnassa, kun poikkeama tapahtui. Vastapuoli yritti kuitenkin vaatia alihankkijaa osallistumaan selvitykseen ja siirtää ulkopuolisen asiantuntijan käytöstä kertyneet kulut alihankkijan maksettavaksi.
Ratkaisevaa oli, että asiakkaamme pystyi osoittamaan toimineensa sopimuksen mukaisesti. Vastuu tietoturvasta säilyi siellä, missä järjestelmän operointi ja ylläpito jatkuivat. Asian selvittämisessä auttoi ymmärryksemme ohjelmistokehityksestä, ohjelmistoliiketoiminnasta, alihankintaketjuista sekä tietoturvajohtamisen vastuista.
Riita ratkesi asiakkaamme hyväksi. Tapauksessa vahvistui keskeinen periaate: alihankkija ei vastaa pääsopimuksen velvoitteista ilman nimenomaista sopimusta.