KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN EHEYS, KÄSITTELY JA SÄILYTTÄMINEN... 3 5 TIETOJÄRJESTELMÄN KÄYTTÄJIEN INFORMOINTI JA TARKASTUSOIKEUS... 4 6 ASIAKKAAN TIEDONSAANTIOIKEUS JA LOKITIETOJEN LUOVUTTAMINEN... 4 7 LOKIEN KÄYTTÖVALTUUDET... 4 8 LOKIEN HALLINNAN KEHITTÄMINEN... 4 LIITE 1 KÄSITTEITÄ
2 / 6 1 JOHDANTO KYS erityisvastuualueen organisaatiot ovat sitoutuneet tietoturvapolitiikassaan yhdenmukaistamaan tietosuoja- ja tietoturvakäytäntöjä. Jokainen henkilötietoja käsittelevä on velvollinen käyttämään tietoja asianmukaisesti ja vain lain sallimiin tarkoituksiin ja lain edellyttämällä tavalla. Tämä tukee tietojen käyttäjien ja asiakkaiden oikeusturvan toteutumista. Tämän lokipolitiikan ja siihen liittyvien ohjeiden tarkoitus on määritellä yhdenmukaiset lokienhallintaperiaatteet, jotka on muodostettu ottaen huomioon toiminnan asettamat vaatimukset. Lokit ja niiden tuottama tieto mahdollistavat aukottoman tapahtumaketjun kirjaamisen ja tapahtumien todentamisen, järjestelmien ja verkon toiminnan optimoinnin sekä erilaisten tietoturva- ja muiden poikkeamien selvittämisen. Tässä lokipolitiikassa lokilla tarkoitetaan käyttö- ja luovutuslokeja. 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ Henkilötietolaki (HetiL 523/1999) on henkilötietojen käsittelyn yleislaki ja sitä sovelletaan kaikkeen henkilötietojen käsittelyyn, ellei erityislaeissa muuta säädetä. Rekisterinpitäjän velvollisuutena on käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta (HetiL 5 ) Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta. (HetiL 32.) Henkilötiedot tulee hävittää sen jälkeen kun tiedot eivät ole rekisterinpitäjän kannalta enää tarpeellisia (HetiL 34 ). Viranomaisten toiminnan julkisuudesta annetun lain eli julkisuuslain 18 :n mukaan viranomaisen tulee hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä. Yleisesti sovellettavia tietosuojalakeja ovat lisäksi laki yksityisyyden suojasta työelämässä (759/2004) sekä sähköisen viestinnän tietosuojalaki (516/2004). Kaikkea viranomaistoimintaa henkilötietojen luovuttamisen ja tietojen arkistoinnin osalta sääntelevät myös laki viranomaisten toiminnan julkisuudesta sekä arkistolaki (831/1994).
3 / 6 Potilastietojen ja sosiaalihuollon asiakastietojen käsittelyn valvonta ohjeistetaan Sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa (159 /2007) ja erityislainsäädännössä sekä niiden pohjalta tuotetuissa organisaatiokohtaisissa ohjeissa. 3 LOKI JA LOKITIETO Loki kertyy tapahtumista, jotka ovat syntyneet organisaation tietojärjestelmissä, -verkoissa tai muussa ympäristössä ja toiminnassa jonakin tiettynä hetkenä. Loki on olemassa ennalta määriteltyä tarkoitusta varten ennalta määrätyn ajan. Lokeja tarvitaan normaalitilanteessa tietojen asianmukaisen käytön ja toiminnan häiriöttömyyden seuraamiseen sekä käytön tilastointiin. Poikkeustilanteissa lokeja tarvitaan tilanteen normalisointiin sekä tapahtumien osapuolten, vaikutusten laajuuden ja syiden selvittämiseen. Lokien käsittelyyn kuuluu koko lokin elinkaareen liittyvät toimenpiteet, joita ovat lokien kerääminen, analysointi, säilyttäminen, luovuttaminen ja hävittäminen. Lokien käsittelyllä pyritään saavuttamaan ja varmistamaan tapahtumaketjun osapuolet, kiistämättömyys, tapahtumien kulku, tunkeutumisten ja poikkeamien havaitseminen, järjestelmän tai ohjelmisto suorituskykyongelmien havaitseminen ja järjestelmän käyttäjien ja rekisteröityjen oikeusturvan varmistaminen. 4 LOKITIETOJEN EHEYS, KÄSITTELY JA SÄILYTTÄMINEN Organisaation johto on vastuussa henkilötietojen käsittelystä ja henkilörekisterien käytön valvonnan järjestämisestä tarkoituksenmukaisella tavalla. Organisaatiossa on oltava riittävä ohjeistus tietoturva- ja tietosuojarikkomusten havaitsemiseksi ja selvittämiseksi. Lokitietojen eheys tulee varmistaa estämällä niiden oikeudeton käsittely, tuhoaminen tai muuttaminen. Lokeihin pääsy tulee rajoittaa vain niille, joiden työtehtävään organisaatio on määritellyt lokien käsittelyn kuuluvan. Lokien käsittely tulee olla ennalta suunniteltua tai tarvelähtöistä. Tietojärjestelmien lokimerkintöjen tulee olla sellaisia, että niitä ei pysty muuttamaan. Rekisterinpitäjän velvollisuus lokirekisteritietojen säilyttämiseen kestää niin kauan kuin rekisteröidyllä tai asianosallisella on mahdollisuus esittää oikeudellisia vaatimuksia luvattoman henkilötietojen käsittelyn johdosta. Vaatimukset ovat rikos- ja/tai vahingonkorvausoikeudellisia. Henkilörekisteririkos vanhenee kahdessa vuodessa ja virkarikoksena viidessä vuodessa (virkavelvollisuuden rikkominen). Sosiaali- ja terveydenhuollon asiakastietojen käyttö- ja luovutuslokien osalta on erikseen säädetty säilytysajaksi 12 vuotta (STM:n asetus potilasasiakirjoista 298/2009 24 ). Tarpeettomat lokitiedot tulee hävittää kun niille määritelty säilytysaika on päättynyt.
4 / 6 5 TIETOJÄRJESTELMÄN KÄYTTÄJIEN INFORMOINTI JA TARKASTUSOIKEUS Lokitietojen avulla voidaan valvoa ja selvittää tietojärjestelmän käyttäjän toimia ja tietojen käytön luvallisuutta. Kun käyttäjä on työ- tai virkasuhteessa, on yksityisyyden suojasta työelämässä annetun lain (759/2004) 21 :n mukaan teknisin menetelmin toteutettava valvonta käytävä läpi yhteistoimintamenettelyssä. Yhteistoimintamenettelyn lisäksi tulee huolehtia käyttäjien, ja muiden tarvittavien tahojen informoinnista koulutuksissa ja oppaissa ja sopimusasiakirjoissa. Henkilöstön informoiminen voidaan tehdä myös käyttäjäsitoumuksella tai muulla vastaavalla dokumentilla. Tietojärjestelmän käyttäjä on myös henkilötietolain mukainen rekisteröity. Rekisteröidyn oikeudesta tarkastaa omat tietonsa on säädetty henkilötietolain 26 :ssä. 6 ASIAKKAAN TIEDONSAANTIOIKEUS JA LOKITIETOJEN LUOVUTTAMINEN Asiakkaan tiedonsaantioikeudesta on säädetty julkisuuslain 11 :ssä (asianosaisen oikeus tiedonsaantiin) ja erityisesti sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) annetun lain 18 :ssä. Sosiaali- ja terveydenhuoltoa koskevien asiakasasiakirjojen lokitietoja voidaan luovuttaa asiakkaan oikeuksien selvittämistä tai toteuttamista varten. Kahta vuotta vanhempia lokitietoja ei luovuteta, jollei siihen ole erityistä syytä. Asiakas ei saa käyttää tai luovuttaa lokitietoja edelleen muuhun tarkoitukseen (Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007, 18, 2. mom). Muita lokitietoja voidaan luovuttaa julkisuuslain 11 :n perusteella asianosaisen asemassa oleville. Luvattoman käsittelyn selvittämisen yhteydessä voi olla perusteltua luovuttaa lokien tietoja poliisille tai muille valvontaviranomaisille. Luovuttaminen perustuu kirjalliseen pyyntöön, jossa oleva luovutusperuste tulee varmistaa. Luovutus tehdään siinä laajuudessa kuin tapauksen selvittäminen sitä vaatii. Lokitiedot ovat salassa pidettäviä, joten luovutusasiakirjaan tulee tehdä asianmukainen salassapitomerkintä. 7 LOKIEN KÄYTTÖVALTUUDET Lokivalvonnan piirissä olevien lokien käyttötarkoitus ja käyttöoikeudet kuvataan lokista tehdyssä tietosuojaselosteessa. Lokien käyttövaltuudet määritellään tietoturvapolitiikassa ja organisaatiokohtaisissa tietoturva- ja tietosuojaohjeistuksissa. 8 LOKIEN HALLINNAN KEHITTÄMINEN Lokien hallinnan suunnittelulla ja kehittämisellä turvataan KYS erityisvastuualueelle yhtenäiset periaatteet, kuten lokien käsittelyyn liittyvien tarpeiden huomioinen tietojärjestelmähankinnoissa, käytönvalvonnan ohjeistuksen ja raportoinnin yhdenmukainen toteuttaminen sekä keskitetyn lokienhallinnan vaatimusmäärittely.
5 / 6 KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka Liite 1 KÄSITTEITÄ Käyttölokilla tarkoitetaan tietojärjestelmässä syntyvää lokia, jonne talletetaan kaikista tapahtumista seurannan edellyttämät tiedot. Käyttöloki sisältää ainakin seuraavat tiedot: Lokitapahtuman tiedot: lokitapahtuman tunniste tapahtuman tyyppi (haku, luku, kirjoitus, päivitys, poisto) päivämäärä ja kellonaika (alku- ja loppuajat, loppuajankohta ei pakollinen mutta suositeltava) käyttävän järjestelmän tunniste (palvelimen ja työaseman tunniste) Osapuolten tiedot rekisterinpitäjä, rekisteri ja tarkenne2 tapahtuman palveluyksikkö käyttävä henkilö: nimi, ID, tunnistautumistapa ja käyttäjätunnus sekä palveluyksikkö käyttötarkoitus (potilaan hoito, hallinnolliset toimenpiteet) palvelutapahtuman tunniste Käytetyt tiedot potilaan henkilötieto tapahtumaan liittyvä(t) tiedot(t) ja asiakirja(t) tieto siitä, liittyykö tapahtumaan erillisellä vahvistusvaatimuksella seurattavia tietoja Muuta mahdolliset virheilmoitukset (esimerkiksi tapahtuma keskeytynyt tai käyttäjä on keskeyttänyt sen) käyttö on tapahtunut poikkeusperusteella ilman potilaan suostumusta (Laki potilaan asemasta ja oikeuksista (785/1992 13 ) lokitiedon salassapito (salassapidon peruste ja voimassaolo: johonkin asti tai pysyvä) potilashallinnon tapahtumalaji (mikäli kyse potilashallinnon tapahtumasta) hoitosuhteen olemassaolon todentavan lokitapahtuman tunniste (mikäli kyseessä ei ole itsessään potilashallinnon tapahtuma) mahdollinen erityisen syyn käyttö (syykoodi ja sen mahdollinen seliteteksti)
6 / 6 Luovutuslokilla tarkoitetaan kansallisessa arkistossa pidettävää lokia, jonne kerätään tiedot kaikista sähköisen asiakastietolain mukaisista luovutuksista, eli rekisterinpitäjältä toiselle tapahtuvista siirroista. Luovutusloki sisältää ainakin seuraavat tiedot: Lokitapahtuman tiedot: lokitapahtuman tunniste tapahtuman tyyppi (hakutietojen luovutus, asiakirjojen luovutus) päivämäärä ja kellonaika hakevan järjestelmän tunniste Osapuolten tiedot: hakeva rekisterinpitäjä, rekisteri, tarkenne luovuttava rekisterinpitäjä, rekisteri, tarkenne hakeva henkilö: nimi, ID ja käyttäjätunnus käyttötarkoitus (kuten käyttölokissa) palvelutapahtuman tunniste Asiakirjan tiedot: potilaan henkilötieto lokitapahtumaan liittyvä(t) asiakirja(t) (luovutetu(t) tai haun tuloksena löytyvä(t)) varmistusasiakirja (linkki) suostumusasiakirja (linkki) luovutuspyyntöasiakirja (linkki) tieto siitä liittyykö luovutukseen erillisellä vahvistusvaatimuksella seurattavia tietoja Muuta: mahdolliset virheilmoitukset (kuten käyttöloki) käyttö on tapahtunut poikkeusperusteella ilman potilaan suostumusta (Laki potilaan asemasta ja oikeuksista 785/1992 13 ) lokitiedon salassapito (kuten käyttölokissa)