Sosiaalihuollon asiakastietoja ja potilastietoja käsittelevien tietojärjestelmien tulee estää ei-sallittu käyttö aina silloin, kun se vain on teknisesti mahdollista, ja omavalvonnan kohteen omien ohjeiden ja toimintatapojen tulee ohjata asiakastietojen käsittelijöitä oikeisiin toimintatapoihin ja tietojenkäsittelyyn.
Palvelunantajan on kerättävä lokitiedot asiakasrekisterikohtaisesti kaikesta asiakastietojen käytöstä ja luovutuksesta seurantaa ja valvontaa varten (asiakastietolaki 25 §). Asiakaskohtaisten tietojen tarkastelusta on jäätävä lokimerkinnät tietojen käytöstä. Lokitiedot on kerättävä, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista.
Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen (asiakastietolaki 25 § ja viranomaistoiminnassa myös tiedonhallintalaki 17 §). Lokitietojen luomisen ja käsittelyn prosessin tulee taata riittävällä tasolla, että tarpeelliset lokit syntyvät ja pysyvät muuttumattomina ja todistusvoimaisina.
Sosiaali- ja terveydenhuollon palvelunantajan on seurattava ja valvottava, että asiakas- ja potilastietojärjestelmissä, potilastiedon arkistossa, sosiaalihuollon asiakastiedon arkistossa ja reseptikeskuksessa olevia tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt. Käytön seurannan tulee perustua käytönhallintaa varten laadittuihin yhtenäisiin ammattiryhmä- ja tehtäväkohtaisiin käyttövaltuuslinjauksiin ja käyttäjärooleihin (ks. luku 6.7).
Omavalvonnan kohteella on oltava tietosuojaan ja asiakastietojen käsittelyn valvontaan liittyvä seuranta- ja valvontasuunnitelma, joka voi sisältyä tietoturvasuunnitelmaan. Suunnitelmassa otetaan kantaa vähintään siihen, miten tehdään säännöllistä henkilötietojen käytön seurantaa ja miten toimitaan tilanteissa, joissa väärinkäytöksiä ilmenee. Seuranta- ja valvontasuunnitelma voi olla esimerkiksi vuosikohtainen. Tietosuojan ja asiakastietojen käytön omavalvontaa toteutetaan käytännössä suunnitelman kautta. Asiakastietojen käytönvalvonnan raportoinnissa voidaan hyödyntää tietotilinpäätösmenettelyä tai muuta vastaavaa vuosittaista raportointia, jolla voidaan täyttää myös EU:n yleisen tietosuoja-asetuksen mukaista rekisterinpitäjän osoitusvelvollisuutta.
Lokien hallinnan ja käytön seurannan yksityiskohtaiset toimintakäytännöt, kuten esimerkiksi asiakkaiden ja viranomaisen tietopyyntöihin vastaaminen, lokiraporttien kokoaminen ja hallinta sekä valvontatoiminnassa mukana olevien henkilöiden roolit tulee kuvata joko tietoturvasuunnitelmaan tai erillisiin dokumentteihin.
On myös kuvattava yksityiskohtaiset toimintatavat, kuinka menetellään, mikäli käyttölokitiedoista paljastuu virhetilanteita tai epäilyjä rikkomuksista tai epäasianmukaisesta asiakastietojen käytöstä. Lisäksi tulee kuvata toimintamalli ja käytännön menettelyt rekisterinpitäjän ja Kelan välisen luovutuslokirekisterin tietojen luovuttamisesta rekisterinpitäjälle.
Viranomaisen on huolehdittava, että sen tietojärjestelmien käytöstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen.
Digiturvamallissa tietojärjestelmän omistaja voi vastata tietojärjestelmän lokitietojen keräämisen tarkastamisesta. Organisaatio dokumentoi lokien sisällön tarkemmin niissä tietojärjestelmissä, joiden teknisestä ylläpidosta se vastaa itse. Muissa tietojärjestelmissä omistaja tarkistaa yhteistyössä järjestelmätoimittajan kanssa, että tarvittavat lokit kertyvät.
The development of system logs must keep pace with the development of the system and enable, for example, the necessary resolution of incidents. In connection with the data system list, we describe for which systems we are responsible for the implementation of the logging. For these systems, we document:
Organisaation on määriteltävä, miten tehdään säännöllistä henkilötietojen käytön seurantaa (esim. tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt) ja miten toimitaan, jos väärinkäytöksiä ilmenee.
Sosiaalihuollon asiakastietoja ja potilastietoja käsittelevien tietojärjestelmien tulee estää ei-sallittu käyttö aina silloin, kun se vain on teknisesti mahdollista, ja omavalvonnan kohteen omien ohjeiden ja toimintatapojen tulee ohjata asiakastietojen käsittelijöitä oikeisiin toimintatapoihin ja tietojenkäsittelyyn.
After a disturbance, a forensic examination must be carried out on the malicious code or other remnants of the disturbance. A safe investigation in a closed environment can open up the causes, goals, and motives of the incident. This helps the organization fix potential security vulnerabilities, prepare for similar incidents, and identify or profile a potential attacker.
In Cyberday, all frameworks’ requirements are mapped into universal tasks, so you achieve multi-framework compliance effortlessly.
.png)
Elevate Your Knowledge with Exclusive Access to Weekly Webinars, Video Courses, Help Articles, and Blogs.
