Hae it-yrityksiä
osaamisalueittain:

Asiakkuudenhallinta CRM BI ja raportointi HR Tuotekehitys ja suunnittelu Toiminnanohjaus ERP Taloushallinto Markkinointi Webkehitys Mobiilikehitys Käyttöliittymäsuunnittelu Tietoturva Verkkokaupparatkaisut Ohjelmistokehitys Integraatiot Pilvipalvelut / SaaS Tekoäly (AI) ja koneoppiminen Lisätty todellisuus ja VR Paikkatieto GIS IoT Microsoft SAP IBM Salesforce Amazon Web Services Javascript React PHP WordPress Drupal

Sosiaali- ja terveyspalveluissa lokienhallinta on muutakin kuin pelkkää tietosuojaa – se on keskeinen osa kyberturvallisuutta

BloggausSosiaali- ja terveyspalveluissa on varsin seikkaperäisesti ohjeistettu asiakas- ja potilastietojen käsittelyn käyttö- ja luovutuslokien hallinnan vaatimukset. Tiedonhallintalain (906/2019) 17 § velvoittaa huomattavasti kattavampaan lokienhallintaan. Onnistuminen edellyttää suunnittelua, määrittelyä ja käytäntöön viemistä – sekä toki lokienhallinnan valvontaa.

Viime vuonna (2022) valmiiksi saatu THL:n julkaisu Asiakas- ja potilastietojen käsittelyssä syntyvien lokitietojen hallinnan kansalliset vaatimusmäärittelyt -dokumentti kuvaa lokienhallintaan liittyvät erityisvaatimukset asianmukaisesti. Sen sijaan tiedonhallintalain (906/2019) 17 § tarkoittamia lokienhallinnan asioita sivutaan vain lyhyesti yhden kappaleen verran. Tämä jättää liian helposti lokienhallinnan suunnittelun, määrittelyn ja ennen kaikkea toteutuksen puolitiehen.

Lokienhallinnan haasteet

Yleinen lokienhallinnan suunnittelu ja määrittely organisaatioissa saattaa sisältää periaatetason käsitteitä ja kuvaavia termejä korulauseina, mutta yltävätkö ne käytännön toteutuksiin asti? Usein saa kuulla lokienhallinnan olevan monimutkaista ja vaikeaa toteuttaa käytännössä. Lähes yhtä monta kertaa saa kuulla, että otetaan kaikki mahdolliset lokitiedot ja niitä sitten säilytetään hamaan tulevaisuuteen saakka. Vastaavasti useat tietosuoja-asiantuntijat esittävät suoran vaatimuksen, että lokitiedoista pitää poistaa kaikki henkilötiedot vähintään parin kuukauden tai viimeistään puolen vuoden kuluessa.

Toki tietojärjestelmien teknisten virheiden selvittäminen yleensä tapahtuu tunneissa, päivissä tai viimeistään viikoissa. Teknisten virheiden selvityksen kannalta sen kummemmin lokitietojen kuin henkilötietojenkaan pitkäaikainen säilytys ei ole niin välttämätöntä. Sen sijaan tietojen käytön ja luovutuksen väärinkäytökset – tai suoranaiset rikokset – saattavat paljastua vasta vuosien kuluttua. Mikäli säilytettävistä lokitiedoista häivytetään joko kokonaan poistamalla tai täysin anonymisoimalla kaikki henkilötiedot, niin eipä silloin paljoakaan lohduta se, että lokitiedoista nähdään esimerkiksi jotain salassa pidettävää tiedostoa avatun, tulostetun tai kopioidun. Mistään ei voi enää selvittää sitä, kuka on toimet tehnyt.

Lokityypit

Tyypillisiä erilaisten lokien nimiä tai lokityyppejä ovat:

  • Ylläpitoloki 
  • Tapahtumaloki 
  • Virheloki 
  • Muutosloki 
  • Lokien käsittelyloki 
  • Sovellustason pääsynvalvontaloki  

Joissakin tapauksissa kaikki lokitiedot kerätään samaan lokitietokantaan, josta sitten muodostetaan eri poimintakriteereillä kulloisiinkin käyttötarkoituksiin soveltuvat lokiaineistot. Riippuen suunnittelusta ja määrittelystä lokityypeillä voidaan tarkoittaa yhtä tai useampaa käyttötarkoitusta varten kerättäviä lokitietoja.

Liian monessa organisaatiossa ylläpitäjien tai pääkäyttäjien toimintaa ei lokiteta, tai syntyvää lokia ei suojata muuttamiselta. Kyse ei ole pelkästään ylläpitäjiin tai pääkäyttäjiin henkilöinä luottamisesta. Pitäisi tiedostaa, että mikäli joku sivullinen taho saa ylläpitäjän tai pääkäyttäjän tunnuksen haltuunsa, niin tämä sivullinen taho voisi useimmiten liian helposti siivota jälkensä, eli poistaa ko. tunnuksen jättämät jäljet. Lisää monimutkaisuutta lokien kautta tietojen (asioiden tai asiakirjojen) käytön ja luovutusten seurantaan voi tulla siitä, että välitöntä toimenpidettä ei olekaan tehnyt henkilö, vaan esimerkiksi jokin sovellus. Tällöin pitäisi pystyä selvittämään sovelluksen osalta se, miten laajoilla oikeuksilla sovellukselle annetaan oikeudet käsitellä tietoja ja kuka tai mikä on sovelluksen käytöstä ja lokienhallinnasta vastuullinen.

Lokienhallinnan vaatimukset

Hankinnoissa pitäisi pystyä asettamaan tietoturvavaatimuksien yhteyteen myös lokienhallintaa koskevat vaatimukset. Edellytettävät vaatimukset pitäisi pystyä vierittämään koko palvelutuotannon arvoketjuun, eli myös sopimushankkijan alihankkijoille. Mikäli kyse on globaalisti tuotettavista pilvipalveluista (engl. Cloud Computing), niin tällöin tulisi varmistaa lokien saatavuus kaikkiin tulevaisuuden tarpeisiin sekä samalla myös varmistaa, että mahdollinen EU/ETA-alueen ulkopuolinen käsittely tapahtuu lokitietoihin kertyvien henkilötietojen osalta EU:n tietosuoja-asetuksen (2016/679) periaatteita noudattaen.

Lokitietoja säilytettäessä tulee ottaa huomioon myös työelämän tietosuoja. Kovin moni ei tule ajatelleeksi mitä kaikkea on selvitettävissä työntekijän päivittäisistä toimista ja rutiineista vain pelkkiä lokitietoja tarkastelemalla. Osa lokienhallinnan toteutuksista voi edellyttää organisaatiolta myös muutosneuvotteluiden käymistä ennen lokien käsittelyn käytäntöön viemistä.

Hyvä lokienhallinta on aina suunnitelmallista ja määrätietoista. Lisäksi lokitietojen kerääminen, käsittely, analysointi ja säilyttäminen tulee toteuttaa riittävän kauaskantoisesti. Henkilötietojen käsittelyn minimoimisen osalta henkilötietojen kokonaan poistaminen ei ole se paras ratkaisu. Sen sijaan esimerkiksi lokitietoihin pääsyn rajaaminen tai tietoaineiston salaaminen voivat osaltaan toteuttaa samaa tarkoitusta ja tavoitetta, johon henkilötietojen minimoinnilla pyritään. Suunniteltujen säilytysaikojen täytyttyä on osattava myös luopua lokitiedoista, eli tuhota ne tietoturvallisesti.

Kattava suunnitelmallinen lokienhallinta on osa perustietoturvallisuutta. Tietoturvallisuudesta huolehtiminen puolestaan on keskeinen osa niitä teknisiä ja organisatorisia toimia, joilla varmistetaan sisäänrakennettu ja oletusarvoinen tietosuoja, sekä turvataan henkilötietojen käsittelyssä rekisteröityjen oikeuksia ja vapauksia.

Pinterest
Netum Group Oyj logo

Lisätietoja

Yritysprofiili Netum Group kotisivut

Tagit

Jos tarjontatagi on sininen, pääset klikkaamalla sen kuvaukseen

Erikoisosaaminen

Tietoturva

Omat tagit

kyberturvallisuus
sosiaali- ja terveyspalvelut

Siirry yrityksen profiiliin Netum Group kotisivut Yrityshaku Referenssihaku Julkaisuhaku

Netum Group - Asiantuntijat ja yhteyshenkilöt

Netum Group - Muita referenssejä

Netum Group - Muita bloggauksia

Digitalisaatio & innovaatiot blogimedia

Blogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä

Etusivu Yrityshaku Pikahaku Referenssihaku Julkaisuhaku Blogimedia