1. Johdanto
Tieto- ja viestintäjärjestelmät tallentavat toiminnastaan tietoja. Yleisesti näitä tietoja kutsutaan lokitiedoiksi ja niiden avulla pyritään selvittämään ja ratkaisemaan järjestelmien toiminnan häiriöitä tai virheitä. Lokitietoja käytetään myös tietojärjestelmillä käsiteltävien tietojen käytönvalvontaan. Oikeudellinen intressi käytönvalvontaan voi liittyä muun muassa rahaliikenteeseen, maksullisten palvelujen käyttöön, yrityssalaisuuksiin tai henkilötietojen kuten sosiaali- ja terveydenhuollon asiakastietojen käsittelyyn. Käytön seurantaa ja valvontaa sekä käyttö- ja luovutuslokirekisterin ylläpitoa edellytetään lakisääteisesti esimerkiksi sosiaali- ja terveydenhuollossa mm. Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)http://www.finlex.fi/fi/laki/ajantasa/2007/20070159
Käytönvalvonta ja siinä tarvittavat lokit edesauttavat lisäksi tietojärjestelmän käyttäjien oikeusturvan toteutumista, järjestelmien ja verkon toiminnan optimointia sekä erilaisten tietoturva- ja muiden poikkeamien selvittämistä. Esimerkiksi lokien avulla voidaan todentaa, että työntekijä ei ole käsitellyt tietoja luvatta, vaikka joku niin väittäisikin. Tämä vaatii luonnollisesti sen, että käyttötapahtumat lokittuvat oikein ja lokien tallentaminen on toteutettu huolella.
Tietoturvan ja tietosuojan kannalta lokitietojen suojaamisen, seurannan ja säilyttämisen tulee olla suunnitelmallista. Oikein toteutettuna lokit ja luotettava lokiympäristö mahdollistaa aukottoman tapahtumaketjun kirjaamisen ja tapahtumien todentamisen. Organisaation asiakasrekisterin koosta, käytettävien tietojärjestelmien määrästä, käyttäjien määrästä sekä käyttötapahtumien määrästä riippuen lokien hallinta voi olla erittäin iso ja haastava prosessi. Sen avuksi kannattaa laatia lokipolitiikka. Lokipolitiikassa voidaan ottaa kantaa lokien säilytystapaan ja aikaan, lokien käsittelyyn liittyviin rooleihin sekä lokien käsittelyyn ja käsittelyn tarpeeseen.
2. Lokitietojen eheys, käsittely ja säilyttäminen
Koska lokit ovat todisteena jostakin tapahtumasta, on erittäin tärkeää huomioida, että lokeja ei saa oikeudettomasti käsitellä, tuhota tai muuttaa niiden sisältöä. Pääperiaatteena voidaan todeta, että jo syntyneitä tietojärjestelmien lokimerkintöjä ei pidä koskaan pystyä muuttamaan, vaan esimerkiksi virheellisen merkinnän korjaamisesta pitää syntyä uusi lokimerkintä. Lokit pitää kuitenkin voida hävittää niiden määritellyn säilytysajan päätyttyä.
Lokeihin pääsy pitää rajoittaa vain niille henkilöille, joiden työtehtävien kannalta se on välttämätöntä. Tällaisia työrooleja voi olla esimerkiksi tietoturvapäälliköllä ja tietosuojavastaavalla sekä osalla tietojärjestelmien ylläpitäjiä. Organisaatioiden kannattaa laatia tietojärjestelmien ylläpitoon liittyvät linjaukset ja muodostaa niistä määräys tai ohje. Kuitenkin lähtökohtaisesti voidaan ajatella lokeihin pääsyn olevan vain erittäin pienellä joukolla henkilöitä eli vain niillä, jotka välttämättä lokitietoja työtehvävissään tarvitsevat. Tämä edesauttaa sitä, että ko. henkilöt pystytään perehdyttämään lokien valvonnan ja hallinnan asiantuntijatehtäviin ja heille voidaan määritellä varahenkilöt.
Henkilötietolain (523/1999) 34 §:n mukaan henkilötiedot tulee hävittää sen jälkeen kun tiedot eivät ole rekisterinpitäjän kannalta enää tarpeellisia. Rekisterinpitäjän intressi lokirekisteritietojen säilyttämiseen kestää niin kauan kuin suojattavan oikeushyvän haltijalla on mahdollisuus esittää oikeudellisia vaatimuksia luvattoman henkilötietojen käsittelyn johdosta. Vaatimukset ovat rikos- ja/tai vahingonkorvausoikeudellisia. Henkilörekisteririkos vanhenee 2 vuodessa ja virkarikoksena 5 vuodessa (virkavelvollisuuden rikkominen).
Sosiaali- ja terveydenhuollon asiakastietojen käyttö- ja luovutuslokien osalta on erikseen säädetty säilytysajaksi 12 vuotta (STM:n asetus potilasasiakirjoista 24§).
3. Tietojärjestelmien käyttäjien informointi
Lokitietojen avulla voidaan valvoa ja selvittää tietojärjestelmän käyttäjän toimia ja tietojen käytön luvallisuutta. Kun käyttäjä on työ- tai virkasuhteessa, on yksityisyyden suojasta työelämässä annetun lain (759/2004) 21 §:n mukaan teknisin menetelmin toteutettava valvonta käytävä läpi yhteistoimintamenettelyssä. Organisaatioissa voidaan laatia ja ottaa käyttöön erillisiä tietojen ja tietojärjestelmien käyttö- ja salassapitositoumuksia. Sitoumuksissa informoidaan käyttäjiä siitä, että tietojärjestelmässä käynnit ja siellä tehdyt tapahtumat kirjautuvat lokitietoihin, käyttöä valvotaan ja epäillystä väärinkäytöstä raportoidaan esimiehelle. Esimiesten tehtävänä on myös valvoa, että henkilöstö noudattaa tietoturvasta ja tietosuojasta annettuja määräyksiä ja ohjeita ja että tietojärjestelmiin on kulloiseenkin työnkuvaan kuuluvat käyttöoikeudet ja tarpeettomat oikeudet poistetaan tai käyttöoikeus päätetään.
4. Asiakkaan/potilaan oikeus lokitietoihin ja luvattoman käsittelyn selvittäminen
Ensimmäisenä pitää kuvata prosessi, minne ja miten selvityspyyntö laaditaan. Isoissa organisaatioissa on yleensä omat kirjaamonsa, jonne voidaan ohjeistaa lähettämään lokiselvityspyyntö. Selvitysprosessin koordinoi esimerkiksi tietosuojavastaava yhdessä toiminnan johdon sekä henkilörekistereistä vastuullisten henkilöiden kanssa. Sosiaali- ja terveyspalvelujen osalta on pakko laatia käytönvalvonnan suunnitelma, mutta se on suotavaa laatia kattamaan minkä tahansa sektorin lokiselvitysprosessi. Lisäksi lokirekisterit (joissa on henkilötietoja) muodostavat henkilörekistereitä, joista on laadittava rekisteriselosteet.
Asiakkaan oikeudesta sosiaali- ja terveydenhuollon käyttö- ja luovutuslokitietoihin on lisäksi erityisesti säädetty sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) annetussa laissa. Asiakkaalla ei kuitenkaan ole oikeutta saada lokitietoja henkilötietolain 27 §:n 1 momentin 1–4 kohdassa tarkoitetuissa tapauksissa. Näissä tapauksissa on laadittava kirjallinen perustelu epäämiselle (kieltäytymistodistus). Asiakastietolaissa ei ole kuvattuna valitustietä tarkemmin, mutta selvää on että kyse ei ole rekisteröidyn tarkastusoikeudesta vaan erityisestä tiedonsaantioikeudesta.
Yleisemmin julkisella sektorilla voi tulla sovellettavaksi julkisuuslain (621/1999) 11 §:n asianosaisen tiedonsaantisäännöstä, joka voi mahdollistaa perustellusta syystä omien tärkeiden etuisuuksien ajamiseen, myös salassa pidettävän tiedon saamisen.
Lokitietojen pyytäjä ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen eli niitä koskettaa nk. hyväksikäyttökielto.
5. Poliisin ja muiden viranomaisten oikeus lokeihin
Erilaisissa poliisin rikostutkinnoissa sekä muiden valvontaviranomaisten selvityksissä voi olla perusteltua luovuttaa lokeja myös ulkopuolelle. Nämä luovutukset ovat tapauskohtaisesti harkittava ja niiden pitää perustua kirjalliseen pyyntöön. Pyynnössä oleva peruste pitää varmistaa ja luovutus tehdä vain siinä laajuudessa kuin tapauksen selvittäminen sitä vaatii. Lokitiedot ovat salassa pidettäviä ja merkintä salassa pidosta pitää tehdä luovutusasiakirjoihin.
Lähteet
VAHTI 3/2009,
Lokiohje Opinnäytetyö Lyytikka, Eija, Leppävaara 2012, Lainsäädännön vaikutus lokienhallinta-järjestelmän vaatimusmäärittelyyn: tapaustutkimus julkisesta terveydenhuollosta,
Tietosuojavaltuutetun toimiston ohje: Lokitiedot henkilötietojen suojaamisen välineinä 12.11.2012 v.1.0
