Sosiaalihuollon käyttövaltuuksien hallinta ja käytön seuranta

Transkriptio

1 Sosiaalihuollon käyttövaltuuksien hallinta ja käytön seuranta SOSIAALIALAN TIETOTEKNOLOGIAHANKE SOSIAALI- JA TERVEYSMINISTERIÖ Suomen Kuntaliitto Terveyden ja hyvinvoinnin laitos Itä-Suomen sosiaalialan osaamiskeskus Itä-Suomen Yliopisto Tekijät Marko Suhonen, Aki Miettinen, Anna Väinälä, Maarit Laaksonen, Jatta Aholainen, Lauri Väätäinen, Esa Paakkanen, Heli Lintula Dokumentin versio 1.0 Päiväys

2 Sisällysluettelo 1 Johdanto Taustaa Käsitteitä Dokumentin rakenne Käyttövaltuuksien hallinnan kehitystarpeet Käyttövaltuuksien hallinnan vaatimukset Käyttövaltuuksien periaatteet Roolipohjaisen käyttäjähallinnan mallit Käyttäjäroolien määrittely Palvelutehtävä Sosiaalipalvelu Yleinen asiakirjatyyppi Tarkennettu asiakirjatyyppi Palveluprosessi Palveluprosessin vaihe Staattiset ja dynaamiset rajoitteet roolipohjaisessa käyttäjähallinnassa Asia Palvelukokonaisuus Rekisterinpitäjä ja rekisteri Asiakirjoissa esiintyvät roolit Roolienhallintapalvelu Esimerkki käyttäjärooleista sosiaalihuollon tietojärjestelmissä Käyttövaltuuksien hallinta Käyttövaltuuksien myöntäminen, muuttaminen ja poistaminen Käyttövaltuuksien säilyttäminen Pääsynvalvonta Tunnistaminen, todentaminen ja käyttäjätiedot Lakisääteinen tiedonsaantioikeus Suostumus Asiayhteyden varmenteet Asiayhteys Ostopalveluvarmenne Käytön seuranta ja lokitiedot Lokitietojen kirjaaminen Käyttöloki Luovutusloki Luovutusilmoitukset Ylläpitoloki Metatietojen muutosloki Suostumusten hallintaloki Muut lokit Hävitysloki

3 6.7.2 Tekninen tapahtumaloki Lokitietojen käyttöloki Yhteenveto Lähteet LIITTEET: Liite 1: Roolitaulukko Versio Pvm Tekijät Muutokset MS, AM, AV, ML, JA, LV, EP, HL Johtoryhmän hyväksymä versio 3

4 1 Johdanto 1.1 Taustaa Osana Sosiaalialan tietoteknologiahanketta (Tikesos-hanke) on tehty vuosien aikana selvitys ja määrittelytyötä sosiaalihuollon sähköisen arkiston toteutuksesta. Kansallinen sosiaalihuollon arkisto (myöh. KanSa) on suunniteltu toteutettavaksi sosiaalihuollon asiakastiedon keskitetyksi tietovarannoksi, jossa yhdenmukaisesti tuotettu asiakastieto on saatavilla kaikille niille, joilla siihen on oikeus lain edellyttämin käyttövaltuuksin. Sosiaalihuollon asiakastiedon käsittelyä ohjaavaa lainsäädäntöä on varsin vähän. Sosiaalihuollon asiakastiedon käsittelyyn vaikuttavia lakeja ja käsittelyä ohjaavia lakeja ovat muassa Laki sosiaalihuollon asiakkaan oikeuksista ja velvollisuuksista (812/2000), Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007), Laki sähköisestä asioinnista viranomaisessa (13/2003), Henkilötietolaki (523/1999), Julkisuuslaki (621/1999) ja Hallintolaki (434/2003). Koska asiakastiedon käsittelyä ohjataan lainsäädännöllä varsin väljästi ja kansallista ohjeistusta ei ole, on kuntien välillä eroja asiakastiedon käsittelyn käytännöissä. Tämä asettaa sosiaalihuollon ammattilaiset ja asiakkaat eriarvoiseen asemaan eri kunnissa. Kunnasta riippuen henkilörekisterit, käyttöoikeudet ja menettelyt asiakastiedon käsittelyssä saattavat vaihdella, vaikka käsiteltävä asia olisikin sama. Sosiaalihuollon asiakastiedot ovat arkaluontoisia, ja niiden käyttöön tulee kiinnittää erityistä huomiota. KanSa-arkiston käyttäminen keskitettynä tietovarantona ja sen hyödyntäminen tiedon jakamisessa edellyttää kansallisesti määritellyn toiminta- ja hallintamallin käyttöä asiakastiedon käsittelystä. Tiedon käytön tulee perustua kansallisesti määriteltyyn toimintatapaan, jossa huomioidaan asiakastiedon ensisijainen käyttö suostumuksen perusteella, sosiaalihuollon ammattihenkilön tiedonsaantioikeus ja tiedonantovelvollisuus, sekä tietoturvalliseen asiakastiedon käsittelyyn kuuluvat periaatteet. Sosiaalihuollon käyttövaltuuksien hallinnan yhtenäiseksi malliksi organisaatioiden ja tietojärjestelmien välillä jaettavien tietojen osalta on tuotettu vuonna 2010 ratkaisuehdotus. Tässä määrittelydokumentissa tarkennetaan periaatteita ja teknisiä ratkaisuja ratkaisuehdotuksen toteuttamisen mahdollistamiseksi. Dokumentissa kuvataan sosiaalihuollon käyttövaltuuksien hallinnan ja seurannan toimintamalli joiden keskeisinä avaimina toimivat mm. palvelutehtävä, asiakassuhde ja suostumus. Lisäksi hankkeessa tarkastellaan eri palvelutehtävien välillä tunnistettavia tiedon jakamisen tarpeita, joihin mm. tiedonsaantioikeus tai muu lain peruste antaa mahdollisuuden. Käytön seurannan ratkaisujen osalta tarkennetaan käyttö- ja luovutuslokipalvelujen hyödyntämistapoja sosiaalihuollossa sekä niiden hyödyntämisessä käytettävät tekniset ratkaisut, joissa arvioidaan mahdollisuutta nojautua terveydenhuollossa käytettyyn soveltamistapaan. 4

5 1.2 Käsitteitä käyttöloki (vrt. luovutusloki) käyttövaltuus Käyttölokiin talletetaan tiedot niistä tapauksista, joissa asiakastietoja tai asiakirjoja käytetään rekisterinpitäjän tietojärjestelmissä. Käyttö voi kohdistua joko rekisterinpitäjän omiin tietoihin tai luovutuksella saatuihin toisen rekisterinpitäjän tietoihin. (STM 2007d) Tietojärjestelmän käyttäjälle tai esimerkiksi tietyn käyttäjäroolin omaavalle käyttäjäryhmälle myönnetty yksilöity oikeus nimetyn palveluelementin, tietokokonaisuuden tai muun kohteen käyttöön; Käyttövaltuus määrittelee, miten ja millaisilla edellytyksillä käyttäjällä on oikeus käyttää palveluelementtiä. (VAHTI 8/2008) Käyttövaltuudet määräytyvät työntekijän organisaation, nimikkeen ja työtehtävän mukaan. käyttövaltuuksien hallinta käyttäjärooli Käyttövaltuuksien hallinta on toimintaa, jossa määritellään käyttövaltuuksia. Käyttövaltuuksien hallinnassa ylläpidetään resurssien käyttöoikeustietoja ja käyttäjien valtuutustietoja. (VAHTI 8/2008) Käyttäjärooli on joukko käyttäjän ominaisuuksia, jotka liittyvät hänen tietotarpeittensa tai toimintavaltuuksiensa määrittelyyn. Käyttäjäroolia voidaan katsoa joko käyttäjän toimenkuvan näkökulmasta (työrooli) tai hänellä palvelujärjestelmissä olevien valtuuksien näkökulmasta. loki Lokilla tarkoitetaan tiedostoa, johon tehdään merkintöjä tapahtumista ja niiden aiheuttajista aikajärjestyksessä. Lokia kerätään useimmiten automaattisesti. Samaan järjestelmään voi liittyä useita erilaisia lokeja kuten esimerkiksi vikaloki, laskutusloki ja turvaloki. (VAHTI 8/2008) Tässä selvityksessä lokitiedoilla tarkoitetaan käyttö- ja luovutuslokin sisältämiä tietoja, joiden avulla voidaan seurata asiakirjojen asiallista käyttöä sekä valvoa annettujen käyttövaltuuksien toteutumista. luovutusloki (vrt. käyttöloki) pääsynvalvonta provisiointi Luovutusloki sisältää tiedot kaikista sähköisen asiakastietolain mukaisista luovutuksista, eli rekisterinpitäjältä toiselle tapahtuvista siirroista. (STM 2007d). Pääsynvalvonta on toimintaa, jossa hallitaan ja rajoitetaan käyttäjän pääsyä vain hänen oikeuksiensa sallimiin tietoihin. Osatekijöitä pääsynvalvonnassa ovat käyttäjäroolin lisäksi suostumus, asiayhteys ja tunnistaminen. käyttäjä- ja käyttövaltuustietojen välittäminen palvelujärjestelmiin 5

6 1.3 Dokumentin rakenne Luvussa 2 kuvataan käyttövaltuuksien hallinnan kehitystarpeet ja vaatimukset aikaisemmissa selvityksissä ehdotetun perusmallin pohjalta. Periaatteet käyttövaltuuksien määrittelylle ja käyttövaltuuksiin vaikuttavat tekijät (palvelutehtävä ym. tiedot) kuvataan luvussa 3. Periaatteet käyttövaltuuksien hallinnalle eli säilytykselle, muuttamiselle ja poistamiselle kuvataan luvussa 4. Pääsynvalvonnan toimintaa kuvataan luvussa 5. Käytön seurantaa ja siinä syntyviä lokitietoja kuvataan luvussa 6. Luku 7 esittelee muut käyttövaltuuksien hallinnan ja käytön seurannan kehitystarpeet. 6

7 2 Käyttövaltuuksien hallinnan kehitystarpeet VIRTU(K) kuvaa käyttövaltuuksien hallintaa (VM 2009): Käyttövaltuushallinnalla varmistetaan, että käyttäjillä on todennetusti ja hyväksytysti hänen (työtehtävissään) tarvitsemansa käyttöoikeudet organisaation tarjoamiin palveluihin, sovelluksiin ja järjestelmiin. Keskitetty käyttäjäidentiteettien ja käyttövaltuuksien hallinta tehostaa toimintaa ja mahdollistaa käyttövaltuuksien valvonnan. Vastaavasti Käyttövaltuushallinnon periaatteet ja hyvät käytännöt -määritys (Vahti 9/2009) kuvaa käyttöoikeuksien hallinnointia seuraavasti: Jokaisen organisaation tulee huolehtia käyttöoikeuksien hallinnoinnista sekä siihen liittyen määritellä käyttövaltuushallinnon periaatteet. Jokaisen organisaation käytössä olevan tietojärjestelmän, sovelluksen ja henkilörekisterin osalta tulee määritellä myös ne henkilöt, joilla on oikeus käyttää ko. tietojärjestelmää, tieto siitä, mitä käyttöoikeudet sisältävät, sekä milloin käyttöoikeus päättyy. Käyttövaltuuksien hallinnan yleinen malli on kuvattu määrityksessä Tietoturvallinen asiankäsittely sosiaalihuollossa (Paakkanen ym. 2011a). Käyttäjähallinta voidaan esittää yleisellä tasolla vaihe vaiheelta (Paakkanen ym. 2011a): 1. Tunnistetaan käyttäjä. Tunnistaminen voi tapahtua esimerkiksi käyttäjätunnuksen tai toimikortin avulla. 2. Todennetaan käyttäjän identiteetti eli käyttäjän henkilöllisyys varmistetaan. Todentaminen tapahtuu usein antamalla jokin tieto, jonka vain kyseinen käyttäjä tietää. Vain käyttäjän halussa olevaa tietoa voi olla esimerkiksi salasana tai PIN-koodi (kuten kohdassa yksi, vastaavasti). Käyttäjän tunnistamiseen ja todentamiseen on tarjolla kolme vaihtoehtoa: jotain, mitä olet; jotain, mitä tiedät ja jotain, mitä sinulla on. Vahva sähköinen tunnistautuminen perustuu vähintään kahteen edellisistä kolmesta vaihtoehdosta. Pelkästään tunnistamiseen perustuva vaihtoehto ei siis riitä jos halutaan varmistaa, että käyttäjä on se kuka väittää olevansa. 3. Tunnistamisen ja todentamisen jälkeen järjestelmä tarkastaa määriteltyjen käyttövaltuuksien pohjalta käyttäjän käyttöoikeudet. Käyttäjän tunnisteeseen on lisätty käyttöoikeudet järjestelmään. Käyttöoikeuksien tarkastamisen jälkeen käynnistyy pääsynvalvonta. Pääsynvalvonta huolehtii, että käyttäjä pääsee käsiksi vain niihin tietoihin ja toimintoihin, mihin hänelle on myönnetty käyttöoikeus. Käyttövaltuuksien hallinnan mallin hierarkia (Paakkanen ym. 2011a): o Käyttövaltuuksien periaatteet ja ohjeistus määritellään kansallisella tasolla o Käyttövaltuuksien määrittely tehdään paikallisella tasolla 7

8 o Käyttäjähallinta järjestetään arkistoon liittyvässä järjestelmässä. Määritellyt käyttövaltuudet voidaan kirjata paikalliseen (tai alueelliseen) käyttövaltuushallintajärjestelmään tai suoraan asiakastietojärjestelmään o Työntekijät tunnistetaan ja varmennetaan arkistoon liittyvässä tietojärjestelmässä siihen kirjauduttaessa Arkistoon liittyvä järjestelmä voi tarvittaessa käyttää omia tunnistautumisratkaisujaan, ulkoisia luotettavia tunnistamispalveluja (esimerkiksi Virtu(K)) tai luottamusverkostoon perustuvia ratkaisuja käyttäjien tunnistamiseen tai todentamiseen Sosiaalihuollon ammatillisten henkilöiden varmenteiden myöntäjänä voi toimia esim. Väestörekisterikeskus (HE 155/2010 vp) Kullekin käyttäjälle on annettava yksi tai useampia rooleja, joissa määritellään käyttövaltuuksien tarkistamiseen tarvittavat tiedot Sosiaalihuollon arkistoon liittyvässä pääsynvalvonnassa nojaudutaan seuraaviin tietoihin (eri tilanteissa eri tavoin): Arkistoon liittyvän palvelunantajan yksilöinti, Arkistoon liittyvän tietojärjestelmän varmenne, Arkistoon liittyvän käyttäjän yksilöinti, Tieto palvelutehtävistä, joihin liittyvien tietojen käsittelyyn käyttäjälle on annettu oikeudet; Tieto yleisistä asiakirjatyypeistä, joihin liittyvien tietojen käsittelyyn käyttäjälle on annettu oikeudet, Tieto palveluprosessin vaiheista, joihin liittyvissä tehtävissä käyttäjälle on annettu tietojen käsittelyoikeuksia, Palvelupyyntöön liittyvä käyttäjän asiayhteys asiakkaaseen, mukaan lukien mahdollinen ostopalveluvarmenne; Asiakkaan antamat suostumukset ja kiellot tietojen luovuttamiseen, Yksilöidyt lakisääteiset tiedonsaantioikeudet, joiden nojalla viranomaisella on oikeus saada käyttöönsä asiakastietoja o Tietojärjestelmät tunnistetaan ja varmennetaan arkistoon kytkeydyttäessä o Lokijärjestelmän kautta voidaan seurata käyttöä ja luovutusta 8

9 2.1 Käyttövaltuuksien hallinnan vaatimukset Käyttövaltuuksien hallinnan vaatimuksia on kuvattu määrityksissä Sosiaalihuollon asiakasasiakirjojen sähköinen arkistointi Vaatimukset ja toiminnallinen määrittely (Suhonen ym. 2009) sekä Tietoturvallinen asiankäsittely sosiaalihuollossa (Paakkanen ym. 2011a) ja niitä ovat seuraavat: Tunniste Asiakirjan kuvailutietojen toimittamisen rajaukset Kohde Arkisto ja ATJ Kuvaus Asiakkaan kaikkien sosiaalihuollon asiakasasiakirjojen kuvailutietoja ei voi kysellä arkistosta yhdellä kutsulla. ATJ asettaa kuvailupyyntöjen kyselyparametrit käyttäjälle määriteltyjen palvelutehtävän tai tiedonsaantioikeuden sekä asian vireilläolon rajoissa. Arkisto tarkistaa, että kuvailutietojen pyynnössä on ilmoitettu tarvittava asiayhteys ja että haku on rajattu riittävällä tavalla esimerkiksi asian, palvelukokonaisuuden tai palvelutehtävän perusteella. Prioriteetti 1 Perustelu/lähde Arkistomääritys KanTa-vastaavuus KanTa-arkistossa kuvailutiedot toimitetaan. Muutoshistoria Tunniste Arkistopalvelu estää asiakirjojen valtuudettoman hävittämisen Kohde Arkisto Kuvaus Arkistopalvelu tarkastaa, että hävityspyynnön tekijällä on tarvittavat valtuudet. Arkistopalvelu sallii asiakirjallisten tietojen hävittämisen vain silloin, kun niiden tila on valmis, kun ne liittyvät päättyneeseen käsittelyprosessiin, kun asiakirjan säilytysaika on täyttynyt ja kun käyttäjällä on siihen oikeus. Prioriteetti 2 Perustelu / Lähde Arkistolaitoksen määräyksessä (AL 9815/ /2008) todetaan: Hävitysesitysten tekeminen on oltava mahdollista vain auktorisoidun roolin mukaisin käyttöoikeuksin. Hyväksytty hävitysesitys on otettava talteen asiakirjana. KanTa-vastaavuus KanTa tukee arkistonhoidollisia toimenpiteitä ja terveydenhuollon ammattihenkilöiden tunnistamista. Muutoshistoria Tunniste Kohde Kuvaus 2.5 Asiakirjojen metatietojen käsittely käyttöoikeuksien ja tietovaatimusten puitteissa Arkisto Arkistopalvelun täytyy pystyä käsittelemään päivitettäviksi määriteltyjä metatietoja käyttöoikeuksien ja tietovaatimusten mukaisin rajoituksin. Prioriteetti 2 Perustelu/lähde Päävaatimus 1. Asiakasasiakirjojen metatiedoista on tunnistettu kahdeksan 9

10 päivitettävää metatietoa. Näiden esittämiä arvoja pitää pystyä muokkaamaan asiakirjan arkistoinnin jälkeen. Ko. metatiedot eivät sisällä asiakasasiakirjan sisältötietoa, eikä niiden muokkaaminen riko arkistoidun asiakasasiakirjan eheyttä. KanTa-vastaavuus Muutoshistoria Arkistolaitoksen määräyksessä (AL 9815/ /2008) sanotaan: Metatiedot pitää pystyä suojaamaan niin, etteivät muut kuin kyseisiin tietoihin käyttöoikeuden omaavat henkilöt näe tietoja. Tietojärjestelmän on purettava automaattisesti suojaukset, kun suojattu metatietoarvo muuttuu julkiseksi. Metatietojen suojauksien purkamisen käsittelysääntö on määritelty eams:an, esimerkiksi asiakirjan salassapitoajan päättyminen. Mikäli tietojärjestelmän kaikkia metatietoja ei voida sulkea, metatietojen täyttäminen on ohjeistettava niin, että salassa pidettäviä tietoja tallennetaan vain niihin kenttiin, jotka voidaan suojata. KanTa tukee metatiedonhallinnallisia toimenpiteitä. Metatietojen muuttamisen suhteen ovat olleet esillä sekä asiakastietojärjestelmästä tehdyt palvelupyynnöt että muutokset arkistonhoitajan kautta suoraan arkistoon. Tunniste 2.1 Käyttövaltuuksien määrittely Kohde ATJ Kuvaus Palvelun antajat myöntävät arkiston käyttöön vaadittavia käyttövaltuuksia käyttäjille hajautetusti. Vain asiakastietojen käsittelyyn valtuutetuille sosiaalihuollon ammattilaisille annetaan valtuudet arkiston tietojen käyttämiseen. Palvelun järjestäjän on valvottava käyttövaltuuksien antamista. Prioriteetti 1 Perustelu/lähde Päävaatimus 2, Päävaatimus 5. Sosiaalihuollon ja terveydenhuollon palvelujen antajan tulee pitää rekisteriä omien asiakastietojärjestelmiensä ja asiakasrekisteriensä käyttäjistä sekä näiden käyttöoikeuksista (Asiakastietolaki (159/2007) 5 ). Johtoryhmä KanTa-vastaavuus KanTa-ratkaisuissa käyttövaltuudet määritellään samoin hajautetusti, mutta esimerkiksi sähköisessä lääkemääräyksessä hyödynnetään myös Valviran varmennepalvelua jota hyödynnetään mm. lääkkeen määräämiseen liittyvien rajoitteiden hallinnassa. Muutoshistoria Tunniste Kohde Kuvaus Käyttövaltuuksien rajoittaminen ATJ / Arkisto Arkistosta saatavien asiakirjojen saantia rajoitetaan käyttäjän työrooliin perustuvien käyttöoikeuksien lisäksi varsinkin asiallisen yhteyden asiakkaaseen, palvelutehtävän sekä tarvittaessa asiakirjatyyppien perusteella. Kunkin käyttäjän osalta on määriteltävä, mitä palvelutehtäviä ja asiakirjatyyppejä koskevia asiakirjoja käyttäjä on valtuutettu käsittelemään (hakemaan ja noutamaan) arkiston kautta. ATJ:n tulee mahdollistaa vain käyttäjälle määriteltyjä palvelutehtäviä ja asiakirjatyyppejä koskevat haut ja asiakirjojen noutaminen. 10

11 Prioriteetti 1 Perustelu/lähde KanTa-vastaavuus KanTa-ratkaisuissa on vastaavia vaatimuksia potilasjärjestelmien pääsynhallinnalle. KanTa:n osalta terveydenhuollossa asiallinen yhteys todennetaan potilashallinnon varmenne-asiakirjalla (Ruotsalainen ym. 2008), mutta käyttöoikeuksia ei rajoiteta esimerkiksi palvelutehtävien tai asiakirjatyyppien perusteella. Muutoshistoria Tunniste Käyttövaltuuksien tarkastaminen Kohde ATJ ja Arkisto Kuvaus Asiakastietojärjestelmä tarkastaa kirjautuneen käyttäjän käyttöoikeudet ja valtuudet. ATJ sallii kuvailutietojen ja asiakirjojen haun arkistosta ja asiakirjojen arkistoinnin vain sellaisille käyttäjille, joilla on siihen käyttövaltuudet. Arkisto säilyttää lokitiedot käyttäjien tekemistä toimenpiteistä. Prioriteetti 1 Perustelu / Lähde Käyttäjä ei kirjaudu sisään arkistoon vaan sitä hyödyntävään tietojärjestelmään. Arkistolaitoksen määräyksen (AL 9815/ /2008) mukaan: Tietojärjestelmän toimintoihin on määritelty käyttöoikeudet, jolloin ainoastaan auktorisoidut henkilöt pääsevät luomaan, lisäämään, muuttamaan tai poistamaan tietojärjestelmään ja eams:an sisältyviä tietoja. Käyttöoikeudet on annettava käyttäjäryhmille ja niiden on vastattava työtehtäviä. Käyttöoikeudet on pidettävä ajan tasalla. Salassa pidettävää tietoa sisältäviin tehtäväluokkiin saa olla oikeudet vain sellaisilla käyttäjäryhmillä, joiden työtehtäviin kyseisiin tehtäväluokkiin sisältyvät asiakirjalliset tiedot kuuluvat. Muilla ei saa olla mahdollisuutta nähdä salassa pidettävää tietoa sisältäviä asiakirjallisia tietoja tai salassa pidettäviä metatietoja. Käyttäjäryhmät määritellään eams:an tehtäväluokittain tai tehtäväkohtaisesti. Käyttäjäryhmiin kuuluvat henkilöt määritellään käyttöoikeuksien hallintajärjestelmässä. KanTa-vastaavuus Vastaa pääosin KanTa-ratkaisuja. Muutoshistoria 11

12 3 Käyttövaltuuksien periaatteet Sosiaalihuollon sähköiseen arkistoon voivat kuulua vain organisaatiot jotka on hyväksytty liittymään arkistoon. Organisaatiolla on oltava arkistointiin tai arkistosta tietojen hakuun liittyvien vaatimusten täyttämä järjestelmä. Arkistopalvelua käyttävän organisaation ja järjestelmän tiedot tallennetaan arkiston käyttö- ja luovutuslokeihin sekä erilliseen liittyjärekisteriin. Järjestelmällä voi olla kahdenlaista roolia: arkistoon tietoja tuottava järjestelmä tai arkistosta tietoja hakeva järjestelmä. Järjestelmälle voi antaa myös molemmat roolit. Arkistoon tehtävien palvelupyyntöjen yhteydessä arkistoon liittyvä tietojärjestelmä tarkistaa ja välittää pääsynvalvontaan tarvittavat käyttäjä- ja käyttövaltuustiedot. Arkiston käyttäjäroolit ja käyttövaltuudet määritellään kansallisesti. Arkiston käyttäjäroolit ja paikalliset käyttäjäroolit kohdistetaan siten, että paikalliset valtuusmäärittelyt toteutuvat arkistossakin. (Paakkanen ym. 2011a) Käytännössä rooleja, joissa sosiaalihuollon ammattihenkilö voi esiintyä suhteessa arkistoon on kaksi: asiakastietojärjestelmän käyttäjä ja arkistonhoitaja. (Paakkanen ym. 2010). Tässä määrityksessä keskitytään näistä ensimmäiseen. Käyttäjään liittyvien käyttövaltuuksien ilmentymä (pääsynvalvontatiedot) koostuu seuraavista tiedoista (Paakkanen ym. 2011a): o Käyttäjärooli ja rooliin liitetyt attribuutit o tieto palvelutehtävistä, joihin liittyvien tietojen käsittelyyn käyttäjälle on annettu oikeudet, joiden välisessä tiedonsiirrossa hyödynnetään seuraavaa kohtaa: o yksilöidyt lakisääteiset tiedonsaantioikeudet, joiden nojalla viranomaisella on oikeus saada käyttöönsä asiakastietoja suorittamansa palvelutehtävän mukaisesti. o tieto yleisistä asiakirjatyypeistä, joihin liittyvien tietojen käsittelyyn käyttäjälle on annettu oikeudet o tieto palveluprosessin vaiheista, joihin liittyvissä tehtävissä käyttäjälle on annettu tietojen käsittelyoikeuksia o Asiayhteydet asiakkaisiin ja asiayhteyteen liitetyt attribuutit (asia, palvelukokonaisuus) o Ostopalveluvarmenteet o Asiakkaan antamat suostumukset ja kiellot tietojen luovuttamiseen o Tiedot organisaatiosta ja palveluyksiköstä 12

13 3.1 Roolipohjaisen käyttäjähallinnan mallit Roolipohjaisessa käyttäjähallinnassa voidaan hyödyntää esimerkiksi RBAC-standardia (Role based access control). Malli soveltuu yhden järjestelmän (tässä tapauksessa ATJ/arkisto) käyttäjähallintaan. Malli koostuu neljästä pääkomponentista (ANSI INCITS ): Perus-RBAC: roolien asettaminen käyttäjille, käyttöoikeuksien asettaminen rooleille ja istuntojen käyttäminen roolien aktivoimiseksi. hierarkkinen RBAC: roolien väliset suhteet ja periytyvyys. staattinen vastuiden rajaaminen: rajoittaa roolien lukumäärän ja rooliyhdistelmien asettamista käyttäjille. dynaaminen vastuiden rajaaminen: rajoittaa roolien aktivointia ja rooliyhdistelmiä käyttötilanteessa. RBAC-mallia tarkentamaan on tuotettu RIIS-malli (RBAC Implementation and Interoperability Standard), joka määrittelee puitteet roolien määrittelylle. RIIS-mallissa on neljä osa-aluetta: käyttötapausskenaariot vuorovaikutusfunktiot RBAC-tiedonsiirtomalli toiminnallinen määritelmä Alkuperäisen RBAC-mallin pohjalta on kehitetty lukuisa määrä erilaisia roolipohjaisia malleja. Useita uusia malleja on julkaistu myös viime vuosina. Näiden uusille malleille on yhteistä, se että niiden ideana on RBAC-mallien ilaajentaa alkuperäistä RBAC-mallia. Tarkoituksena on lisätä joustavuutta ja hienojakoisuutta alkuperäiseen RBAC- malliin. Esimerkkejä RBAC-malliin pohjautuvista muista roolipohjaisista malleista ovat: -Fuzzy RBAC (Martínez-Carcía 2011) -Privacy-Aware RBAC (Ni 2009) -Team and Task Based RBAC Access Control Model (Zhou 2007) -A Temporal RBAC Model with Conditional Periodic Time (Ouyang 2007) -Generalized Temporal RBAC Model (Joshi 2005) -Location and Time based RBAC Model (Chandran 2005) Useiden tutkijoiden mukaan alkuperäinen RBAC-malli on kaikista käytetyin ja tutkituin (Bertino 2003, Joshi 2005, Martínez-Carcía 2011, Ouyang 2007). Fuzzy RBAC-mallissa ei käyttöoikeuksien perusteena ole täsmällisiä rajoja. Mallissa käyttäjille annetaan luotettavuusarvo, josta lopulliset käyttöoikeudet johdetaan roolin ja muiden saman roolin luotettavuusarvojen kautta. Malli soveltuu esimerkiksi käyttötilanteisiin, joissa roolien liittäminen 13

14 käyttäjään perustuu jossakin määrin epävarmaan tietoon, kuten vaikka että puheentunnistuksen varmuus on 70%. Toinen mahdollinen käyttökohde on FRAC-mallin käyttö osana riskiin perustuvaa käyttöoikeuksien hallintaa. (Martínez-Carcía 2011) Privacy-Aware RBAC mallissa perus-rbac mallia on laajennettu tiedon käyttötarkoitusta, käyttöehtoja ja velvollisuuksia sisältävällä säännöstöllä. (Ni 2009) Team and Task Based RBAC mallissa käyttäjät liitetään sekä rooleihin että tiimeihin. Roolit ja tehtävät liitetään tiimeihin. Käyttäjän oikeudet tiimin resursseihin määräytyvät tiimin jäsenyydestä ja tiimin resurssit puolestaan määräytyvät tiimin tehtävien perusteella. Malliin kuuluu myös istunnon käsite, jonka välityksellä käyttäjälle annetaan kulloisenkin tiimin ja roolin kautta yhdistelmä käyttöoikeuksia. (Zhou 2007) CT-RBAC malli (Temporal RBAC Model with Conditional Periodic Time) laajennus jo kertaalleen laajennettun RBAC-malliin, Generalized Temporal RBAC:iin (Joshi 2005). Malli laajentaa GTRBAC-mallia mahdollisuudella rajoittaa ajankohtaan perustuvia käyttöoikeuksia muista kuin ajankohdasta johdetuilla sääntökokoelmalla. Tällä tavoin GTRBAC-mallin aika-rajoitus kontrollitaso laajenee aika-ehto kontrollitasolla. (Ouyang 2007) GTRBAC-malli (Generalized Temporal RBAC Model) laajentaa aiemmin julkaistuun Temporal RBAC-mallia. Temporal RBAC-malli (Bertino 2001) sisältää mahdollisuuden rajoittaa roolin käyttöönottoa ajankohdan perusteella ja vaikuttaa tilapäisesti roolien välisiin riippuvuussuhteisiin ulkopuolisten tapahtumien pohjalta. Tämä ajatus on laajennettu GTRBAC-mallissa siten, että roolin voimassaoloon tiettynä ajanhetkenä voi esimerkiksi vaikuttaa määräämällä aikavälejä, kestoaikoja ja tietyn roolin yhtäaikaisten haltijoiden lukumäärää. (Joshi 2005) LoT-RBAC malli laajentaa myös GTRBAC-mallia. Mallin käyttötarkoitus on mobiilisovelluksissa ja se on yksi käyttöoikeuksia määrättäessä käyttäjän sijainnin huomioivista malleista. Käyttäjän hallussa on kannettava laite, jonka sijainnin perusteella rooleja voidaan aktivoida tai estää. Mallissa käyttäjän sijaintipaikkojen väliset suhteet voivat olla hierarkkisia. Käyttäjä voi toimia eri rooleissa eri paikoissa. Resurssien käyttöoikeudetkin voivat olla ajankohdan lisäksi paikkaan ja niiden väliseen hierakiaan sidottuja. (Chandran 2005) 3.2 Käyttäjäroolien määrittely Roolipohjainen käyttövaltuuksien hallinta on tarkoitettu käyttäjäryhmien määrittelyyn tietyn roolin perusteella. Jokaiselle roolille määritellään sille sopivat käyttöoikeudet. Roolimäärittelyjen suunnitteluperiaatteita on määritelty SOLEA-hankkeessa tuotetussa käyttäjähallintamäärityksessä (Virkanen ym. 2009). Roolimäärittelyjen suunnittelua ja toteuttamista ohjataan seuraavilla periaatteilla: Käyttöjäroolin tasot ja määritelläänkö käyttäjärooleja useilla tasoilla, esimerkiksi: o Työrooli (työrooli tai tehtävänimike voi ohjata suoraan suuren osan käyttövaltuuksista) o Yhteinen järjestelmärooli (useita sovelluksia tai palveluja kattava käyttövaltuuksien määrittely) o Sovelluskohtainen järjestelmärooli (sovelluskohtaiset käyttöoikeudet) 14

15 Mitkä edellä kuvatuista tasoista ovat keskitetyn roolimäärittelyn ja käyttäjähallinnan piirissä Mitkä ovat edellä kuvattujen tasojen väliset yhteydet ja mitä toimenpiteitä tulee suorittaa tasojen välisten yhteyksien muodostamiseksi Määritelläänkö suoraan käyttäjiin liitettäviä käyttövaltuuksia roolipohjaisen määrittelyn lisäksi Mitkä ovat roolit keskeiset tiedot Käyttövaltuuksia määriteltäessä tulee pyrkiä löytämään käyttäjäryhmiä, joiden jäsenillä on samantyyppiset työtehtävät. Käyttövaltuuksien hallinnan tärkein tehtävä on kyetä hallitsemaan roolien ja niiden jäsenyyksien muutoksia. Käyttövaltuushallinnon prosessien rakentamisessa onkin tärkeää huomioida, että esimerkiksi tietojärjestelmien käyttäjien työtehtävien muutoksesta aiheutuneet muutostarpeet käyttövaltuuksissa voidaan käsitellä ajantasaisesti. Ajantasaisuuden huomioiminen edellyttää käyttövaltuushallinnon liittämistä henkilöstöhallinnon prosesseihin. Yleisellä tasolla käyttäjäryhmittelyn perusroolitus voi kattaa koko organisaation tai jopa kansallisen tason. Jos rooleihin säädellään määrityksiä liian tarkasti kansallisesti, niin se voi myös heikentää roolipohjaisten käyttövaltuuksien hallinnan toimivuutta. Tietoturvallisen toiminnan edellytyksenä on työrooleihin perustuva käyttöoikeuksien ja -valtuuksien ajantasainen hallinta. Näillä toimenpiteillä voidaan varmistaa, että käyttäjä pääsee vain niihin tietoihin, joihin hänellä on käyttöoikeudet. (Vahti 9/2006, Vahti 3/2007) Oikein sovellettuna roolipohjainen käyttövaltuuksien hallinta mahdollistaa optimaalisen työntekotilanteen; työntekijöillä on pääsy työssä tarvittaviin tietoihin ilman, että rajoitukset estäisivät työtehtävien hoitamisen. Sosiaalihuollossa käyttäjäryhmät voitaisiin määritellä samankaltaisten palvelutehtävien tai työtehtävien mukaan. Sosiaalihuollon ammatillisilla henkilöillä olisi lastensuojelutehtävissä pääsy vain niihin sosiaalihuollon asiakasrekistereihin, jotka ovat työssä tarpeellisia. Samoin toimeentulotukipäätöksiä tekevä ammatillinen henkilö pääsisi vain niin tietoihin, joita tarvitsee toimeentulotukipäätöksien tekemiseen. Toimeentulotuen käyttäjäryhmään luokitelluilla sosiaalihuollon ammatillisilla henkilöillä voisi olla myös käytettävissään tekninen käyttöyhteys Kansaneläkelaitoksen ja veroviranomaisten henkilörekisterin tietoihin (Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista, 812/2000). Käyttövaltuudet tulisi määritellä mahdollisimman pitkälle perusroolituksille asetetuilla käyttövaltuuksilla, mutta roolikohtaisia käyttövaltuuksia voidaan niin ikään muokata henkilön työnkuvaan sopivaksi. Sosiaalihuollossa toimivin ratkaisu voi olla määritellä erilaisia käyttöoikeuskokonaisuuksia. Käyttöoikeuskokonaisuuksista voidaan sitten koota parhaiten soveltuvat käyttöoikeudet kullekin sosiaalihuollon ammatilliselle henkilölle. Mikäli käyttövaltuudet voi koota perusroolipaketeista rakentamalla, voisi sosiaalihuollossa perusroolituksen todennäköisesti määritellä kansallisella tasolla. Jokaisella sosiaalihuollon ammatillisella henkilöllä tulisi olla työtehtävässään tietty rooli. Organisaatiossa voi yhdellä henkilöllä olla useampi rooli ja samaa roolia voi käyttää useampi henkilö. Organisaatio on vastuussa roolien määrityksestä, mutta sosiaalihuollossa sopiva ratkaisu voisi olla keskitetysti määriteltävän peruspohjan hyödyntäminen käyttövaltuuksien määrittelyssä. Tätä peruspohjaa voisi sitten täsmentää organisaatiotasolla. Tässä luvussa kuvataan käyttövaltuuksiin vaikuttavat tekijät, roolit ja niiden attribuutit sekä kuinka nämä tekijät vaikuttavat käyttöoikeuksiin. 15

16 Ammattinimike ei työroolin tapaan voi toimia käyttövaltuuksia ohjaavana tekijänä. Erilaisia sosiaalihuollon ammattinimikkeitä on olemassa lukuisia, joista suurin osa ei ole suoraan verrannollinen työrooliin. Karkeasti yleistettynä voidaan sanoa, että mikä tahansa ammattinimike voi tilanteesta riippuen toimia missä tahansa työroolissa. Sosiaalihuollon työntekijöiden työtehtävistä ja käytettävistä tehtävänimikkeistä ei ole sovittu kansallisesti, joten tarkemmat määritykset rooleihin on parempi määritellä toimintayksikkötasolla. Arkiston varsinaisia käyttäjärooleja ovat (ks. Paakkanen ym. 2010) asiakastietojärjestelmän käyttäjä ja arkistonhoitaja. Näiden lisäksi on olemassa myös muita rooleja, jotka eivät ole sosiaalihuollon ammattihenkilöitä. Paikallisten roolien määrittelyssä voidaan tarvittaessa hyödyntää esimerkiksi työrooleja (Paakkanen ym. 2010) ja asiakirjaan liittyviä rooleja (ks. Paakkanen ym. 2011c). Edellä mainittujen periaatteiden (Virkanen ym. 2009, Paakkanen ym. 2011a) pohjalta ehdotetetaan, että sosiaalihuollon käyttövaltuuksien määrittelyssä tulee noudattaa seuraavia periaatteita: 1. Jokaiselle käyttäjälle on määriteltävä yksi tai useampia käyttäjärooleja. 2. Käyttäjäroolille tulee määritellä luokiteltavia attribuutteja, jotka toimivat asiakirjojen käsittelyoikeuksien ja tiedonsaannin perusteina. Rooliin liittyviä attribuutteja ovat ainakin: palvelutehtävä: mihin palvelutehtävään tai palvelutehtäviin rooli kuuluu sosiaalipalvelu: mitä sosiaalipalvelua tai -palveluja rooli suorittaa yleiset asiakirjatyypit: roolin oikeudet arkistoida tai noutaa tiettyjä asiakirjatyyppejä tarkennetut asiakirjatyypit (ent. suppea asiakirjatyyppi): roolin oikeudet arkistoida tai noutaa tarkennettuja asiakirjatyyppejä palveluprosessi: roolin oikeudet arkistoida tai noutaa tietyn palveluprosessin tai palveluprosessien asiakirjoja palveluprosessin vaihe: roolin oikeudet arkistoida tai noutaa tietyn vaiheen asiakirjoja 3. Roolin lisäattribuutteja voidaan määritellä paikallisesti tai alueellisesti. Periaatteina yleiseen tai perusrooliin liittyville attribuuteille voidaan pitää sitä, että ne ovat luokiteltavissa. Edellisen listan lisäksi esimerkiksi kunta- ja kielikoodeja voidaan käyttää käyttövaltuuksien rajaamisessa. Seuraavissa aliluvuissa kuvataan, kuinka attribuutit tulee määritellä Palvelutehtävä Kuntien työntekijöiden tunnistamisen ja käyttövaltuuksien hallinnan (VIRTU(K)) ohjeen (VM 2009) mukaan useat kunnat hyötyisivät kuntien työroolien viitteellisestä määrittelystä, jossa kuvattaisiin roolit ja niitä täsmentävät selitteet. Tällä helpotettaisiin kuntien ja virastojen rajat ylittävää käyttövaltuushallintaa ja yhtenäistettäisiin roolien määrittelyä. Työroolien määrittelyssä voidaan hyödyntää julkisyhteisöjen tehtäväluokitusta. Vastaavasti sosiaalihuollossa käyttövaltuuksien tärkeimpänä avaimena toimii palvelutehtävä. Sosiaalihuollon palvelutehtävä on palveluperusteessa kunnalle asetettu tehtävä sosiaalipalvelujen ja niihin kuuluvan taloudellisen tuen järjestämiseksi. Sosiaalihuollon palvelutehtävien palveluperusteina 16

17 ovat pääsääntöisesti sosiaalihuollon yleis- ja erityislait. Sosiaalihuollon palvelutehtäviä ovat muun muassa isyyden selvittäminen, vammaispalvelut ja toimeentulotuen myöntäminen. (Jäppinen ym. 2011) Käyttäjäroolin attribuuttina voi olla yksi tai useampia palvelutehtäviä, joissa syntyviin asiakirjoihin käyttäjällä on oikeudet. Käyttäjän suorittama palvelutehtävä on keskeisin käyttäjärooliin vaikuttava tekijä. Palvelutehtävittäin oikeuksia muodostuu kahdella tasolla: Käyttäjän oikeudet muodostaa palvelutehtäviinsä kuuluvia asiakirjoja Käyttäjän oikeudet hakea palvelutehtäviinsä kuuluvia asiakirjoja (tiedonsaantioikeus). Palvelutehtävien väliset tiedonsaantioikeudet kuvataan taulukossa Tiedonsaantioikeudet palvelutehtävien välillä. Taulukkoon kuuluu myös lukuohje Tiedonsaantioikeudet sosiaalihuollon palvelutehtävissä (Laaksonen & Väinälä 2011), jossa kuvataan kuvauksessa toteutettuja periaatteita. Käyttäjällä on mahdollista olla useampia rooleja ja sitä kautta useampia palvelutehtäviä. Käytönhallinnan kannalta tärkeäksi nousee hallinnoida tietoa siitä, mitä palvelutehtävää käyttäjä kullakin hetkellä on suorittamassa ja tarjota hänelle oikeuksia vain kyseisen palvelutehtävän pohjalta Sosiaalipalvelu Sosiaalipalvelu on palvelu, jonka tarkoituksena on edistää asiakkaan sosiaalista hyvinvointia ja toimintakykyä sekä ehkäistä, vähentää ja poistaa sosiaalisia ongelmia. Sosiaalipalveluita ovat muun muassa sosiaalityö ja perhehoito. (Jäppinen ym. 2011) Jokainen sosiaalihuollon palvelutehtävä sisältää vähintään yhden sosiaalipalvelun. Käyttäjäroolin attribuutteina voi olla yksi tai useampia sosiaalipalveluita, joissa syntyviin asiakirjoihin käyttäjällä on oikeudet. Sosiaalipalvelut sisältyvät palvelutehtävien alle; esimerkiksi toimeentulotuen palvelutehtävässä annettavia sosiaalipalveluja ovat taloudellisen tuen palvelu, välitystilipalvelu ja sosiaalityö ja isyyden selvittämisessä annettava sosiaalipalvelu on isyyden selvittämispalvelu. Tietyssä palvelutehtävässä toimiessaan käyttäjä todennäköisesti toimii myös tietyssä palvelussa. Käyttöoikeuksia voidaan tarvittaessa muodostaa siten, että käyttäjän käyttöoikeudet liittyvät tiettyihin sosiaalipalveluihin Yleinen asiakirjatyyppi Asiakirjatyypillä tarkoitetaan tiettyyn käyttötarkoitukseen tarkoitettujen asiakirjojen mallia. Sosiaalihuollon palvelutehtävissä käytetään samoja asiakirjatyyppejä. Yleinen asiakirjatyyppi on asiakirjatyyppi, jonka rakenne on yleisesti sovellettavissa. Sosiaalihuollossa yleinen asiakiratyyppi liittyy useampaaan sosiaalihuollon palvelutehtävään. Yleisiä asiakirjatyyppejä tarkennetaan palvelutehtävittäin.(ailio ym. 2011) Esimerkiksi asiakirjatyyppejä hakemus, päätös ja suunnitelma tehdään useimmissa palvelutehtävissä. Asiakirjoja tarkennetaan palvelutehtävittäin, ks Käyttäjäroolin attribuutteina voi olla yksi tai useampi asiakirjatyyppi. Yleiset asiakirjatyypit määrittelevät, millaisia asiakirjoja käyttäjä voi luoda ja mitä asiakirjoja hän voi hakea arkistopalvelusta Tarkennettu asiakirjatyyppi Tarkennettu asiakirjatyyppi on yleisen asiakirjatyypin rakenteeseen perustuva ja sitä tarkentava asiakirjatyyppi. (Ailio ym. 2011) Sosiaalihuollossa tarkennettuja asiakirjatyyppejä ovat esimerkiksi 17

18 toimeentulotukihakemus ja aktivointisuunnitelma. Käyttäjällä voi olla oikeuksia muodostaa tai hakea tiettyjen tarkennettujen asiakirjatyyppien mukaisia asiakirjoja Palveluprosessi Palveluprosessi on asiakkaan tiettyyn palvelutarpeeseen liittyvien palvelutapahtumien muodostama suunnitelmallinen toimintosarja. Sosiaalihuollon palveluprosessi on sosiaalihuollossa annettavaan sosiaalipalveluun liittyvä palveluprosessi, kuten hallintoasian käsittely tai ilmoituksen käsittely. (Jäppinen ym. 2011) Palveluprosessiluokituksessa käytettävät arvot löytyvät Sosiaalipalvelujen luokituksen palveluprosessit -luokituksesta. Käyttäjällä voi olla oikeuksia vain tiettyjen palveluprosessien asiakirjoihin Palveluprosessin vaihe Palveluprosessin vaiheella tarkoitetaan sosiaalihuollon palveluprosessin osaa, joka muodostuu yhdestä tai useammasta sosiaalihuollon palvelutapahtumasta. (Jäppinen ym. 2011) Palveluprosessin vaiheita ovat esimerkiksi vireilletuleminen, käynnistäminen ja toteuttaminen. Palveluprosessin vaihe vaikuttaa käyttöoikeuksiin siten, että käyttäjällä voi olla oikeuksia vain tietyn vaiheen asiakirjoihin. 3.3 Staattiset ja dynaamiset rajoitteet roolipohjaisessa käyttäjähallinnassa Kuten luvussa 3.1 kuvattiin, rajoitteita voidaan tehdä staattisesti ja dynaamisesti. Rajoitteita voidaan määritellä paikallisella tasolla tai käyttäjäkohtaisesti esimerkiksi yksilöimällä tietoja ja tietokokonaisuuksia, joihin käyttäjällä ei ole oikeuksia. Rajoitteina käytettävät attribuutit voivat olla luokitusten lisäksi sellaisia, jotka ovat yksilöitävissä jonkin (esim. OID-) tunnisteen avulla. Keskeisimmät näistä ovat yksilöity asia ja yksilöity palvelukokonaisuus. Paikallisella ja alueellisella tasolla voidaan hyödyntää myös muita tarkempia attribuutteja, kuten aikamääreitä (esim. minkä aikavälin asiakirjoihin käyttäjällä on oikeus). Yksilöitäviä attribuutteja ei voida soveltaa kansallisen tai ylätason roolien määrittelyssä, vaan niitä on käytettävä ainoastaan paikallisesti tai käyttäjäkohtaisesti. Käytännössä rajoitteet toimivat siten, että käyttäjällä on kaikki rooliin kuuluvat oikeudet, ellei niitä erikseen rajoiteta. Vastaavia rajoitteita voidaan asettaa suostumuksella (ks. luku 5.3 ja Mykkänen ym. 2011), toisaalta suostumuksen ja asiayhteyden sallimat käyttöoikeudet voidaan paikallisella tasolla kumota käyttövaltuuksien hallinnan attribuuttien avulla Asia Sosiaalihuollossa asiakkaaseen liittyvät asiat yksilöidään OID-tunnuksella. Asian tunnusta voidaan käyttää rajoittamaan käyttäjän käyttöoikeuksia siten, että hänellä ei ole oikeutta tiettyyn asiaan kuuluviin asiakirjoihin, vaikka suostumus ja asiayhteys asiakkaaseen olisivatkin olemassa. 18

19 3.3.2 Palvelukokonaisuus Palvelukokonaisuuksilla on OID-tunnus, joiden avulla asiakkaiden palveluihin liittyviä palvelukokonaisuuksia hallitaan ja ryhmitellään. Paikallisella tasolla palvelukokonaisuuden tunnusta voidaan käyttää rajoittamaan käyttäjän käyttöoikeuksia siten, että hänellä ei ole oikeutta tiettyyn palvelukokonaisuuteen kuuluviin asiakirjoihin Rekisterinpitäjä ja rekisteri Palvelunantajan rekisterit muodostuvat useimmiten palvelutehtävän mukaisesti. Ostopalveluissa tulee kuitenkin huomioida rekisterinpitäjyyteen liittyvät seikat, eli tilanteet joissa ostopalvelun tuottajalla on käyttöoikeus palvelunjärjestäjän rekisteriin. Rekisterinpitäjän eri palveluyksiköiden välillä yhden henkilörekisterin käyttö on aina mahdollista saman palvelutehtävän sisällä ilman suostumusta, esimerkiksi lastensuojelun sosiaalityön ja laitoshuollon kesken. Käyttöä rajataan silloin käyttövaltuuksien määrittelyllä organisaation sisällä. (Mykkänen ym. 2011) Asiakirjoissa esiintyvät roolit Asiakirjoissa esiintyviä rooleja on tarkasteltu sosiaalihuollon asiakasasiakirja- ja tietokomponenttimäärittelyjen yhteydessä ja niitä on tunnistettu lukuisia. Näiden perusteella on tuotettu roolitaulukko (ks. liite 1), jossa tarkastellaan mitä ammattihenkilön rooleja voi esiintyä missäkin palvelutehtävässä tuotettavissa asiakirjoissa. Ammattihenkilön rooleja ovat seuraavat: Asianomistaja Asiantuntija Diagnoosin laatija Edunvalvoja Ilmoittaja Kantajan edustaja Kuultava Laatija Lapsen asioista vastaava sosiaalityöntekijä Lausunnon antaja Lausunnon pyytäjä Lisäselvityksen vastaanottaja Lisätietojen antaja Mukana ollut henkilö Muutoksenhakuviranomainen Osallistuja Palveluntuottaja Perhetyöntekijä Päivystäjä Päätöksentekijä 19

20 Sitoumuksen antaja Sopijapuoli Suorittanut henkilö Suostumuksen antaja Suostumuksen vastaanottaja Suunnitelman tekijä Tiedoksiantaja Tiedoksisaaja Tiedustelun tekijä Asiakirjoissa esiintyvien roolien käyttö käyttövaltuuksia rajaavana tekijänä ei kuitenkaan ole yksiselitteistä. Asiakirjojen sisällössä esiintyvät roolit eivät ole suoraan suhteessa käyttövaltuuksien määräytymiseen. Myös lopullinen asiakirjoissa esiintyvien roolien koodisto tullee muodostumaan suppeaksi, jolloin sen hyödyntäminen kansallisen tason määritysten perustana on kannattamatonta. 3.4 Roolienhallintapalvelu Roolienhallintapalvelun avulla saadaan ylläpidettyä käyttäjärooleja. Se liittyy etenkin tietojärjestelmien ja tietojärjestelmäpalveluiden käyttövaltuuksien hallintaan. Roolienhallintapalvelu on toiminnallinen palvelu, jolla ylläpidetään roolitietoja. Roolitietoja ovat työroolit, yhteiset järjestelmäroolit tai sovelluskohtaiset järjestelmäroolit. Roolitiedot voivat sisältää myös tietoja organisaatiosta, valtuutuksesta, perhesuhteista, kuntalaisuudesta ja kansalaisuudesta. Roolienhallintapalvelu sisältää roolirekisterin, ja se voi liittyä läheisesti käyttäjähallintapalveluun, käyttövaltuushallintapalveluun, käyttövaltuusrekisteriin sekä käyttäjäprofiilipalveluun. Käyttäjähallintapalvelu ja käyttövaltuuspalvelu ovat myös toiminnallisia palveluita. Käyttäjähallintapalvelu tarjoaa käyttäjien käyttäjätilitietojen ylläpitotoimintoja, kuten käyttäjien lisäämisen, poistamisen ja käyttäjien käyttäjätili- ja attribuuttitietojen ylläpidon. Käyttövaltuushallintapalvelun avulla käyttäjät ja käyttäjätilit yhdistetään rooleihin ja käyttöoikeuksiin. Käyttövaltuusrekisteri on tietopalvelu käyttäjien käyttövaltuustietojen säilyttämiseen ja palauttamiseen. Käyttäjäprofiilipalvelun kautta käyttäjän attribuutteja voidaan ylläpitää ja saada niitä tarvitseville. Käyttäjäprofiilipalvelu voi olla joissakin tapauksissa yhdistettynä varsinkin käyttäjähakemistoon tai käyttäjähallintapalveluun. Nämä edellä mainitut palvelut ovat tyypillisiä IdM/IAMratkaisuihin sisältyviä toiminnallisuuksia, mutta yleensä roolienhallinta on toteutettu sovelluskohtaisesti. (Virkanen ym. 2009) Roolienhallintapalvelua on kuvattu Tikesos-hankkeen selvityksessä Yhteiset tietojärjestelmäpalvelut sosiaalihuollossa (Paakkanen ym. 2011b). Siinä esitetyn kuvauksen mukaan käyttövaltuuksia määriteltäessä tulee käyttäjille määritellä ryhmät työtehtävien mukaisesti. Niillä käyttäjillä, joilla on samanlaiset tietotarpeet ja toimintavaltuudet, on myös samanlainen toiminnallinen rooli eli työrooli. Työrooleja määriteltäessä voidaan soveltaa julkisyhteisöjen tehtäväluokitusta (JHS151), jossa esitetään julkisyhteisön tarjoamia palveluita. Valtakunnallisiin palveluihin on määriteltävä yleiset, sosiaalihuollon toimintaa koskeviin lakeihin, sosiaalihuollon tehtäviin ja arkiston toiminnallisuuksiin pohjautuvat käyttövaltuudet. Roolituksiin tehdään alueellisella ja paikallisella tasolla sosiaalihuollon ammattihenkilöiden työnkuviin perustuvia tarkennuksia. 20

21 3.5 Esimerkki käyttäjärooleista sosiaalihuollon tietojärjestelmissä Tikesos-hankkeen käyttöön saatiin tietoa Etelä-Karjalan sosiaali- ja terveyspiirin (Eksote) käytössä olevan SosiaaliEffica-järjestelmän käyttövaltuuksien ja roolien hallinnasta. Etelä-Karjalan sosiaalija terveyspiirissä roolit on jaettu ammattiryhmän mukaan ja näkyvyyden rajaukset on tehty erikseen. Näkyvyyden rajaukset ovat lähes yksi yhteen roolien kanssa, mutta täysin suoraa vastaavuutta ei löydy. Etelä-Karjalan sosiaali- ja terveyspiirissä käyttöoikeuksien asettaminen ei perustu yleisiin ohjeisiin ja säännöstöihin, vaan pääsääntöisesti henkilöstöosaston pääkäyttäjien ammattitaitoon. Roolipyynnön mukana on tärkeää tuoda riittävästi tietoa, jotta admin-käyttäjien toimesta voidaan asettaa oikeanlaiset käyttöoikeudet. (Kälviä ym. 2011) Tunnusten tekijöiden tulee tietää roolien määrittelyssä mitä tietoja asetetaan. Tällöin käyttöoikeutta ei pilkota kovin tarkalle tasolle, vaan riittäisi yksi käyttöoikeus. Käyttöoikeuksien pilkkomisesta on kuitenkin hyötyä oikeuksien tarkastuksissa ja katselmoinnissa. Etelä-Karjalan sosiaali- ja terveyspiirissä ammattinimikkeitä on rajoitetusti, jolloin käyttöoikeuden voisi luoda lähes jokaisesta tärkeimmästä ammatista. Yksi ratkaisu voisi olla, että roolit ovat ammattiryhmiä. Mikä tahansa roolinimike onkin, niin siihen tulee liittyä selkeät attribuutit, kuten esimerkiksi palvelutehtävä, palvelu ja asiakirjatyyppi. (Kälviä ym. 2011) Käyttäjäroolien määrittäminen suoraan kansallisesti ei ole mahdollista, koska tietoja on hankala yhtenäistää sopimaan jokaisen kunnan erilaisiin tilanteisiin. Alueen käyttäminen säännöstöissä on hankalaa, koska isoissa kunnissa sosiaalipuolella tehdään yhtä asiaa ja pienissä kunnissa saatetaan tehdä monta asiaa. Samat henkilöt voivat toimia usean kunnan alueella, joten eri kuntia varten on vaikea määrittää eri rooleja. Näkyvyyden rajauksista ei voi tehdä liian tiukkoja, sillä se voi hankaloittaa työn tekemistä, kun kaikki tarvittava tieto ei olekaan käytettävissä. Oikeuksien tulisikin olla joustavasti käytettävissä. (Kälviä ym. 2011) 21

22 4 Käyttövaltuuksien hallinta Käyttövaltuuksien määrittely tarkoittaa käyttöoikeuksien kytkemistä käyttäjien työrooleihin. Palvelujärjestelmien käyttöoikeudet saattavat olla koottu joukoksi järjestelmän rooleja, joihin työroolit kytketään siten, että halutut käyttövaltuudet syntyvät. Mikäli rooleja ei ole määritelty järjestelmään, kytketään työrooleihin asianmukaiset yksittäiset käyttöoikeudet. (Vahti 9/2006) Käyttövaltuuksien hallinnan avulla pystyy määrittelemään, säilyttämään, muuttamaan ja poistamaan tietojärjestelmien käyttäjien käyttövaltuuksia. Käyttäjiin ja käyttäjärooleihin liittyviä käyttövaltuuksia hallitaan paikallisesti tai alueellisesti. Käyttäjähallinta toteutetaan arkistoon liittyvässä järjestelmässä, joita ovat esimerkiksi asiakastietojärjestelmä ja asianhallintajärjestelmä. Sen toteuttaminen voi perustua tietojärjestelmäkohtaisiin tai suositeltavimmin keskitettyihin, paikallisesti tai alueellisesti yhteiskäyttöisiin käyttäjähallintaratkaisuihin. Käyttäjähallinnan yhteydessä on varmistettava, että tarvittavat tiedot joita tarvitaan pääsynvalvonnassa, liitetään joko käyttäjän roolin kautta tai viimeistään järjestelmän käyttövaiheessa. Käyttäjälle annetaan 1 tai useampia rooleja, jotka sisältävät käyttövaltuuksien tarkistamiseen liittyviä tietoja. Näitä tietoja voivat olla palveluyksiköt, palvelutehtävät, tarvittaessa prosessivaiheet tai yleiset asiakirjatyypit joita kyseisessä roolissa saa hakea tai luoda arkistoon liittyvässä järjestelmässä. Luvuissa 3.2 ja on kuvattu mitä tietoja käyttövaltuuksien hallintapalvelun ja siihen liittyvien muiden tietojärjestelmäpalveluiden tulee hallita. Käyttövaltuushallinto edellyttää sovittujen prosessien ja niiden avulla hallinnoitavien käyttövaltuuksien jatkuvaa valvontaa. Valvonnan tarkoituksena on seurata sovittujen käytäntöjen noudattamista, käyttäjä- ja valtuustietojen ajantasaisuutta ja että järjestelmiin ei kerry tarpeettomiksi käyneitä vanhoja määrityksiä. (Vahti 9/2006) TAPAS-hankkeessa tuotettu kartoitus paikallisista ja alueellisista arkkitehtuuriperiaatteista esittää, että käyttöoikeuksien ja valtuuksien hallinta on potentiaalisesti toimialojen kesken yhteinen palvelu. Yhteisiin periaatteisiin kuuluu käyttövaltuuksien hallintaprosessin yhdistäminen saumattomasti henkilöstöhallinnon prosesseihin ja järjestelmiin. Käyttövaltuushallintaan liittyvä päätöksenteko tulisi tällöin toteuttaa käyttövaltuuksien hallinnan puolella ja prosessia voitaisiin sujuvoittaa henkilöstöhallinnan prosessien ja järjestelmien avulla. (KuntaIT 2011) TAPAS-dokumentissa kuvataan kolme päävaihtoehtoa toteutukselle tietojärjestelmäpalveluiden näkökulmasta (KuntaIT 2011): Alueellinen keskitetty järjestelmä: alueellisesti keskitetty käyttäjähakemisto, jota kaikki käyttävät ja hyödyntävät yhdessä. Jaottelu organisaatiokohtaisesti. Provisiointi: tiedot tai osa tiedoista provisioidaan organisaatiokohtaisista hakemistoista hierarkiassa ylemmälle tasolle, jota eri organisaatiot hyödyntävät. Federointi: Organisaatiokohtaiset hakemistot ja käyttäjähakemistojen federointiin perustuva luottamusverkosto organisaatioiden välillä. 22

23 4.1 Käyttövaltuuksien myöntäminen, muuttaminen ja poistaminen Vahti (9/2006) -määrityksessä on kuvattu käyttövaltuuksien hallinnan prosessien määrittelyä seuraavasti: Käyttövaltuushallinnon hallintaprosesseilla tarkoitetaan toimintoja, jotka liittyvät tietojärjestelmien käyttäjä- ja käyttöoikeus tietojen sekä käyttövaltuuksien ylläpitoon. Organisaatiolla tulee olla olemassa käyttövaltuuksien hallintapolitiikka, jossa määritellään organisaation käyttövaltuusperiaatteet ja toimintatavat. Tämä politiikka on osa organisaation tietoturvapolitiikkaa. Prosessit tulee suunnitella niin, että ne kattavat aukottomasti sekä käyttövaltuuksien että suojattavien kohteiden elinkaaret ja ne ovat riittävän turvallisia. Prosesseista tulee ylläpitää ajan tasalla olevia kuvauksia ja ohjeistuksia. Prosesseilla ja niihin liittyvillä hallinnollisilla (tieto-) kohteilla tulee olla nimetyt vastuuhenkilöt. Kaikkien prosesseihin osallistuvien organisaatioyksiköiden ja henkilöiden vastuiden, velvollisuuksien ja valtuuksien tulee olla selkeästi määriteltyjä. Suojattavien kohteiden omistaja on taho, joka päättää valtuuksien myöntämisestä ja poistamisesta. Omistajan velvollisuutena on siksi myös osallistua myöntämis- ja poistamisprosessien määrittelyyn. Prosessien yleinen toteutustapa ja niihin liittyvät osapuolet on kuitenkin syytä pyrkiä sopimaan mahdollisimman yhdenmukaisiksi koko organisaatiossa. Prosessien tulee olla jäljitettäviä niin, että kaikkiin lupien myöntämis-, muutos- ja poistamistapahtumiin osalliset ja heidän roolinsa voidaan haluttaessa jälkeenpäin selvittää. Kaikista käyttö valtuuksien muutoksista pitää siten löytyä dokumentti, joka mahdollistaa tapahtumien jäljitettävyyden. Kuva 1: Käyttövaltuuksien myöntäminen Kuvassa 1 esitetään yksinkertaistettu malli käyttövaltuuksien myöntämisestä. Kuvassa ammatillinen henkilö toimittaa käyttövaltuuspyynnön käyttövaltuuden myöntäjälle. Myöntäjä määrittelee tarvit- 23