Sosiaalihuollon asiakastietoja ja potilastietoja käsittelevien tietojärjestelmien tulee estää ei-sallittu käyttö aina silloin, kun se vain on teknisesti mahdollista, ja omavalvonnan kohteen omien ohjeiden ja toimintatapojen tulee ohjata asiakastietojen käsittelijöitä oikeisiin toimintatapoihin ja tietojenkäsittelyyn.
Palvelunantajan on kerättävä lokitiedot asiakasrekisterikohtaisesti kaikesta asiakastietojen käytöstä ja luovutuksesta seurantaa ja valvontaa varten (asiakastietolaki 25 §). Asiakaskohtaisten tietojen tarkastelusta on jäätävä lokimerkinnät tietojen käytöstä. Lokitiedot on kerättävä, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista.
Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen (asiakastietolaki 25 § ja viranomaistoiminnassa myös tiedonhallintalaki 17 §). Lokitietojen luomisen ja käsittelyn prosessin tulee taata riittävällä tasolla, että tarpeelliset lokit syntyvät ja pysyvät muuttumattomina ja todistusvoimaisina.
Sosiaali- ja terveydenhuollon palvelunantajan on seurattava ja valvottava, että asiakas- ja potilastietojärjestelmissä, potilastiedon arkistossa, sosiaalihuollon asiakastiedon arkistossa ja reseptikeskuksessa olevia tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt. Käytön seurannan tulee perustua käytönhallintaa varten laadittuihin yhtenäisiin ammattiryhmä- ja tehtäväkohtaisiin käyttövaltuuslinjauksiin ja käyttäjärooleihin (ks. luku 6.7).
Omavalvonnan kohteella on oltava tietosuojaan ja asiakastietojen käsittelyn valvontaan liittyvä seuranta- ja valvontasuunnitelma, joka voi sisältyä tietoturvasuunnitelmaan. Suunnitelmassa otetaan kantaa vähintään siihen, miten tehdään säännöllistä henkilötietojen käytön seurantaa ja miten toimitaan tilanteissa, joissa väärinkäytöksiä ilmenee. Seuranta- ja valvontasuunnitelma voi olla esimerkiksi vuosikohtainen. Tietosuojan ja asiakastietojen käytön omavalvontaa toteutetaan käytännössä suunnitelman kautta. Asiakastietojen käytönvalvonnan raportoinnissa voidaan hyödyntää tietotilinpäätösmenettelyä tai muuta vastaavaa vuosittaista raportointia, jolla voidaan täyttää myös EU:n yleisen tietosuoja-asetuksen mukaista rekisterinpitäjän osoitusvelvollisuutta.
Lokien hallinnan ja käytön seurannan yksityiskohtaiset toimintakäytännöt, kuten esimerkiksi asiakkaiden ja viranomaisen tietopyyntöihin vastaaminen, lokiraporttien kokoaminen ja hallinta sekä valvontatoiminnassa mukana olevien henkilöiden roolit tulee kuvata joko tietoturvasuunnitelmaan tai erillisiin dokumentteihin.
On myös kuvattava yksityiskohtaiset toimintatavat, kuinka menetellään, mikäli käyttölokitiedoista paljastuu virhetilanteita tai epäilyjä rikkomuksista tai epäasianmukaisesta asiakastietojen käytöstä. Lisäksi tulee kuvata toimintamalli ja käytännön menettelyt rekisterinpitäjän ja Kelan välisen luovutuslokirekisterin tietojen luovuttamisesta rekisterinpitäjälle.
The development of system logs must keep pace with the development of the system and enable, for example, the necessary resolution of incidents. In connection with the data system list, we describe for which systems we are responsible for the implementation of the logging. For these systems, we document:
The Authority must ensure that the necessary logs are kept of the use of its information systems and of the disclosure of information from them, if the use of the information system requires identification or other log-in. The purpose of log data is to monitor the use and disclosure of data contained in information systems and to detect technical errors in the information system.
In Cyberday, the owner of the information system may be responsible for controlling the collection of log data from the information system. The organisation documents the content of the logs in more detail for those information systems for which it is responsible for technical maintenance. For other information systems, the owner, in cooperation with the system vendor, checks that the necessary logs are collected.
Sosiaalihuollon asiakastietoja ja potilastietoja käsittelevien tietojärjestelmien tulee estää ei-sallittu käyttö aina silloin, kun se vain on teknisesti mahdollista, ja omavalvonnan kohteen omien ohjeiden ja toimintatapojen tulee ohjata asiakastietojen käsittelijöitä oikeisiin toimintatapoihin ja tietojenkäsittelyyn.
The organisation must define how regular monitoring of the use of personal data will be carried out (e.g. data can only be viewed and processed by authorized persons) and what will be done in the event of misuse.
After a disturbance, a forensic examination must be carried out on the malicious code or other remnants of the disturbance. A safe investigation in a closed environment can open up the causes, goals, and motives of the incident. This helps the organization fix potential security vulnerabilities, prepare for similar incidents, and identify or profile a potential attacker.
In Cyberday, all frameworks’ requirements are mapped into universal tasks, so you achieve multi-framework compliance effortlessly.
.png)
Elevate Your Knowledge with Exclusive Access to Weekly Webinars, Video Courses, Help Articles, and Blogs.
