Tietojärjestelmien käyttöä ja sitä kautta myös käyttöoikeuksien hallintaa ohjataan lainsäädännön sekä työorganisaation hyväksymien ohjeiden, määräyksien ja sopimuksien avulla. Toimintayksiköiden johdon ja henkilörekisterien rekisterinpitäjien vastuulla on toiminnassa tuotettavien ja käsiteltävien tietojen ajantasaisuuden, oikeellisuuden, käytettävyyden ja eheyden varmistaminen. Tähän kuuluu myös tietoihin liittyvien käyttöoikeuksien määrittely ja niiden valvonta.

Asiattomiin käyttöoikeuksiin liittyy useita riskejä:

  • tietoja voidaan tahattomasti tai tahallisesti poistaa, lisätä tai muuttaa
  • tietoja voi päästä käsittelemään liian laajasti tai vastaavasti liian suppeasti
  • asiattomat käyttöoikeudet avaavat myös reittejä tietomurtoihin, jotka voivat pahimmillaan aiheuttaa laajoja selvitystöitä ja taloudellisia vahinkoja sekä maineen menetyksen
  • tietojärjestelmien käyttö voi hidastua kaikilla johtuen tarpeettomista oikeuksista tietokannassa
  • lisenssimaksuja maksetaan turhaan käyttäjistä, jotka eivät tarvitse oikeuksia järjestelmään julkisuuskuvatappiot, jotka näkyvät kansalaisten luottamuspulana toimintaa kohtaan.

Toiminnassa tulee olla määriteltyinä asiaan liittyvät vastuut kuten; kuka, miten ja mistä käyttöoikeudet eri järjestelmiin anoo ja myöntää sekä ketkä vastaavat oikeuksien ajan tasalla pidosta. Kriittinen kohta on työtehtävien muuttuminen tai päättyminen, jolloin käyttöoikeuksia saattaa jäädä voimaan tai käyttöoikeudet eivät enää vastaa työtehtäviä.

Käyttöoikeuksien myöntämisen pitää olla sidoksissa myös palvelussuhteeseen ja siihen liittyvään tehtävänkuvaukseen. Käyttöoikeudet pitää olla henkilökohtaisia ja yksilöitävissä tiettyyn henkilöön. Tähän liittyy myös lakisääteinen käytönvalvonta, jolla pitää pystyä jälkikäteisesti todentamaan kuka on käsitellyt tietoja ja missä roolissa. Työ- tai palvelussuhteen päätyttyä käyttöoikeudet tulee poistaa viipymättä. Sama koskee esimerkiksi myös opiskelijoita, harjoittelijoita ja ostopalvelutyöntekijöitä, vaikka heillä ei olisikaan suoraan työsuhdetta organisaatioon.

Kenelläkään henkilöllä ei saa olla tarpeettomasti käyttöoikeuksia enää tietoihin sen jälkeen, kun työtehtävät eivät sitä edellytä. Varsinkaan salassa pidettäviä tietoja sisältäviin asiakastietojärjestelmiin ei saa olla oikeuksia enää sen jälkeen voimassa, kun työtehtävät eivät niitä edellytä. Sopimuksissa esimerkiksi ulkoisten palveluntuottajien kanssa tulee huomioida käyttöoikeusasiat ja erityisesti se, että he ovat velvollisia ilmoittamaan ”tilaavan organisaation” eli useimmiten toimeksiantajan käyttöoikeuksien ylläpitäjille siitä, kun heidän työntekijänsä ei enää käyttöoikeuksia toimeksiantajan tietojärjestelmiin ja tietoihin tarvitse. Toimeksiantajan sisäisessä toiminnassa tulee esimiesten valvoa, että käyttöoikeudet ovat tarpeellisiin järjestelmiin ja tietoihin alaisillaan.

Käyttöoikeuksien asianmukaisuus kannattaa ottaa esille kehityskeskusteluissa. Tietojärjestelmän käyttäjän on itse oman oikeusturvansakin kannalta oltava myös aktiivinen ja ilmoitettava esimiehelleen ja järjestelmien käyttöoikeuksien ylläpitäjille, mikäli huomaa, että itselle on jäänyt sellaisia käyttöoikeuksia voimaan, joita kyseisissä työtehtävissä ei enää tarvita. Yhtälailla on ilmoitettava, jos työtehtävien vaatimia käyttöoikeuksia puuttuu. Esimiesten tulee ottaa asia esille yksikkö- ja osastopalavereissa ja kartoittaa omaan vastuualueeseen liittyen alaisten käyttöoikeuksien ajantasaisuus. Yksiselitteistä tietopankkia ei useinkaan ole käytettävissä, josta yksittäisen työntekijän oikeudet kaikkiin eri järjestelmiin olisi tarkistettavissa. Tällaisen pitää kuitenkin olla pyrkimyksenä. Oikeuksien kuntoon laittamiseksi tarvitaan kuitenkin aina yhteistyötä, jossa mukana ovat tietojen omistajataho, tietojen käyttäjä ja hänen esimiehensä.

Hyvä käytännön tapa on ottaa asia ensin alaisten kanssa puheeksi ja selvittää onko heillä omasta mielestään sellaisia järjestelmiä itsellä tiedossa, joihin käyttöoikeudet ovat, mutta käytännössä käyttötarvetta ei järjestelmälle työtehtävissä ole. Tässä yhteydessä kannattaa muistuttaa, että osassa järjestelmistä on kalliita lisenssimaksuja, jotka ovat helposti useita satoja euroja vuositasolla per käyttäjä.

WP 20141119 Paneeli 700x336

19.11.2014 Sosiaali- ja terveydenhuollon tietosuojaseminaarissa Tampere-talossa Tampereella

Päivän paneelikeskustelu käytiin aiheesta: Johdon velvoitteet ja vastuut tietosuojan toteutumisessa.

Tietosuojavaltuutetun toimiston ylitarkastaja Arto Ylipartanen toimi puheenjohtajana ja keskustelemassa olivat Tampereen kaupungin sisäisen tarkastuksen tarkastuspäällikkö Kaj Palanius, Tampereen kaupungin tietosuojavastaava Ari Andreasson sekä Pirkanmaan sairaanhoitopiirin tietohallintojohtaja Antti Jokela.

Keskustelu oli opettavainen ja yleisökin saatiin mukaan osallitumaan keskusteluun.

Paikanpäältä lyhyesti raportoi Juha