Tulostusversio

4/2010

Henkilörekisterit: Lokiseurantaan kannattaa panostaa

Teksti: Kirsi Castrén

Sähköisissä henkilörekistereissä kerätään yleensä automaattisesti niin sanottua lokia rekisterin tietojen käytöstä ja käyttäjistä. Jotta kattavasta lokista olisi hyötyä, siihen kertyviä tietoja on seurattava. Automatisoitu lokivalvonta saattaa tulevaisuudessa helpottaa tietosuojavastaavan työtä.

Sähköiseen rekisteriin talletetut henkilötiedot ovat nopeasti ja helposti saatavilla tarvittaessa suurellekin joukolle käyttäjiä. Hyödyn ohella kasvaa kuitenkin tietojen väärinkäytön mahdollisuus. Henkilötietolaki velvoittaa rekisterinpitäjän huolehtimaan siitä, etteivät tiedot päädy ulkopuolisten käsiin.

Väestötietojärjestelmä on Suomen laajin henkilörekisteri. Monilla julkisilla ja yksityisillä organisaatioilla on siihen kysely-yhteys. Väestörekisterikeskus valvoo tietojen käytön asianmukaisuutta lokiseurannalla.

"Jos henkilö ilmoittaa, että hänen käsityksensä mukaan esimerkiksi sairaalan tai terveyskeskuksen toimesta hänen tietojaan on mahdollisesti katsottu väärin, lähtee meiltä kyseiseen organisaatioon selvityspyyntö", kertoo tietopalvelupäällikkö Päivi Pösö.

Väärinkäyttötapauksissa Väestörekisterikeskuksella on mahdollisuus huomauttaa organisaatiota ja tarvittaessa päättää järjestelmän käyttöoikeus joko koko organisaatiolta tai yksittäiseltä käyttäjältä. 

Epäilyjä eniten kansalaisilta

Eniten tietojen käyttöä koskevia yhteydenottoja Väestörekisterikeskus saa kansalaisilta, mutta jonkin verran myös poliisilta. Väärinkäyttöepäilyjä kohdistuu terveydenhuollon lisäksi muun muassa maistraattiin, verottajaan ja ulosottoon, joissa käsitellään paljon henkilötietoja.

Väestörekisterikeskus seuraa tietojen käytön asianmukaisuutta tarvittaessa myös pistokokein. Pösön mukaan on kuitenkin hyvin harvinaista, että seurannassa löytyy perusteetonta tietojen käyttöä.

Väestörekisterikeskus edellyttää tietoluvan saaneilta organisaatioilta, että ne pitävät käyttölokia.

"Asiakasorganisaatiosta tulee aina voida löytää tietojen loppukäyttäjä. Yleensä toki löytyykin, mutta erityisen tarkkana on syytä olla niin kutsuttujen raamilupien kohdalla: Isot yritykset voivat tietyissä rajoissa antaa asiakasyrityksilleen väestötietojärjestelmän käyttöoikeuksia. Silloin on erityisen tärkeää, että ketju on selvä ja loppukäyttäjä löydettävissä", Pösö kuvaa. 

Terveydenhuolto seuraa liian vähän

Asiakastietolaki edellyttää, että terveydenhuollon yksiköt seuraavat potilastietojen käytön ja luovutuksen lokitietoja. Tietosuojavaltuutetun toimiston hiljattain tekemän selvityksen mukaan seuranta on riittämätöntä monissa toimintayksiköissä. Eniten sapiskaa saivat apteekit ja yksityiset terveydenhuollon yksiköt, mutta julkisistakin vain 70 prosenttia ilmoitti valvovansa lokitietoja oma-aloitteisesti pistokokein.

Erityisasiantuntija Kauko Hartikainen Kuntaliitosta arvelee, ettei kaikilla terveydenhuollon yksiköillä ole nykyisillä resursseilla mahdollisuutta riittävään lokiseurantaan.   

"Useimmitenhan lokiseuranta on yksittäisille henkilöille annettu tehtävä, jota he tekevät muun viranhoidon ohella."

Kattava lokijärjestelmä tuottaa valtavan määrän tietoa, jonka hallitseminen manuaalisesti on vaativa tehtävä. Automaattista lokivalvontaa ei vielä ole systemaattisessa käytössä, mutta useat yhtiöt kehittävät siihen soveltuvia ohjelmistoja.

"Automaattinen valvonta toisi parannusta tilanteeseen. Kun ohjelmisto havaitsisi poikkeamia ja raportoisi niistä valvonnasta vastaaville viranhaltijoille, heidän olisi helpompi pureutua niihin", Hartikainen arvelee.

Lue myös

Henkilörekisterit: Laki vaatii lokiseurantaa »
Henkilörekisterit: Väärinkäytöstä kerrotaan harvoin »
Identiteetinhallinta: Enemmän kuin tekniikkalaji »
Identiteetinhallinta: Enemmän kuin tekniikkalaji »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.