Sosiaali- ja terveyspalveluissa on varsin seikkaperäisesti ohjeistettu asiakas- ja potilastietojen käsittelyn käyttö- ja luovutuslokien hallinnan vaatimukset. Tiedonhallintalain (906/2019) 17 § velvoittaa huomattavasti kattavampaan lokienhallintaan. Onnistuminen edellyttää suunnittelua, määrittelyä ja käytäntöön viemistä – sekä toki lokienhallinnan valvontaa.

Viime vuonna (2022) valmiiksi saatu THL:n julkaisu Asiakas- ja potilastietojen käsittelyssä syntyvien lokitietojen hallinnan kansalliset vaatimusmäärittelyt -dokumentti kuvaa lokienhallintaan liittyvät erityisvaatimukset asianmukaisesti. Sen sijaan tiedonhallintalain (906/2019) 17 § tarkoittamia lokienhallinnan asioita sivutaan vain lyhyesti yhden kappaleen verran. Tämä jättää liian helposti lokienhallinnan suunnittelun, määrittelyn ja ennen kaikkea toteutuksen puolitiehen.

Lokienhallinnan haasteet

Yleinen lokienhallinnan suunnittelu ja määrittely organisaatioissa saattaa sisältää periaatetason käsitteitä ja kuvaavia termejä korulauseina, mutta yltävätkö ne käytännön toteutuksiin asti? Usein saa kuulla lokienhallinnan olevan monimutkaista ja vaikeaa toteuttaa käytännössä. Lähes yhtä monta kertaa saa kuulla, että otetaan kaikki mahdolliset lokitiedot ja niitä sitten säilytetään hamaan tulevaisuuteen saakka. Vastaavasti useat tietosuoja-asiantuntijat esittävät suoran vaatimuksen, että lokitiedoista pitää poistaa kaikki henkilötiedot vähintään parin kuukauden tai viimeistään puolen vuoden kuluessa.

Toki tietojärjestelmien teknisten virheiden selvittäminen yleensä tapahtuu tunneissa, päivissä tai viimeistään viikoissa. Teknisten virheiden selvityksen kannalta sen kummemmin lokitietojen kuin henkilötietojenkaan pitkäaikainen säilytys ei ole niin välttämätöntä. Sen sijaan tietojen käytön ja luovutuksen väärinkäytökset – tai suoranaiset rikokset – saattavat paljastua vasta vuosien kuluttua. Mikäli säilytettävistä lokitiedoista häivytetään joko kokonaan poistamalla tai täysin anonymisoimalla kaikki henkilötiedot, niin eipä silloin paljoakaan lohduta se, että lokitiedoista nähdään esimerkiksi jotain salassa pidettävää tiedostoa avatun, tulostetun tai kopioidun. Mistään ei voi enää selvittää sitä, kuka on toimet tehnyt.

Lokityypit

Tyypillisiä erilaisten lokien nimiä tai lokityyppejä ovat:

• Ylläpitoloki 
• Tapahtumaloki 
• Virheloki 
• Muutosloki 
• Lokien käsittelyloki 
• Sovellustason pääsynvalvontaloki  

Joissakin tapauksissa kaikki lokitiedot kerätään samaan lokitietokantaan, josta sitten muodostetaan eri poimintakriteereillä kulloisiinkin käyttötarkoituksiin soveltuvat lokiaineistot. Riippuen suunnittelusta ja määrittelystä lokityypeillä voidaan tarkoittaa yhtä tai useampaa käyttötarkoitusta varten kerättäviä lokitietoja.

Liian monessa organisaatiossa ylläpitäjien tai pääkäyttäjien toimintaa ei lokiteta, tai syntyvää lokia ei suojata muuttamiselta. Kyse ei ole pelkästään ylläpitäjiin tai pääkäyttäjiin henkilöinä luottamisesta. Pitäisi tiedostaa, että mikäli joku sivullinen taho saa ylläpitäjän tai pääkäyttäjän tunnuksen haltuunsa, niin tämä sivullinen taho voisi useimmiten liian helposti siivota jälkensä, eli poistaa ko. tunnuksen jättämät jäljet. Lisää monimutkaisuutta lokien kautta tietojen (asioiden tai asiakirjojen) käytön ja luovutusten seurantaan voi tulla siitä, että välitöntä toimenpidettä ei olekaan tehnyt henkilö, vaan esimerkiksi jokin sovellus. Tällöin pitäisi pystyä selvittämään sovelluksen osalta se, miten laajoilla oikeuksilla sovellukselle annetaan oikeudet käsitellä tietoja ja kuka tai mikä on sovelluksen käytöstä ja lokienhallinnasta vastuullinen.

Lokienhallinnan vaatimukset

Hankinnoissa pitäisi pystyä asettamaan tietoturvavaatimuksien yhteyteen myös lokienhallintaa koskevat vaatimukset. Edellytettävät vaatimukset pitäisi pystyä vierittämään koko palvelutuotannon arvoketjuun, eli myös sopimushankkijan alihankkijoille. Mikäli kyse on globaalisti tuotettavista pilvipalveluista (engl. Cloud Computing), niin tällöin tulisi varmistaa lokien saatavuus kaikkiin tulevaisuuden tarpeisiin sekä samalla myös varmistaa, että mahdollinen EU/ETA-alueen ulkopuolinen käsittely tapahtuu lokitietoihin kertyvien henkilötietojen osalta EU:n tietosuoja-asetuksen (2016/679) periaatteita noudattaen.

Lokitietoja säilytettäessä tulee ottaa huomioon myös työelämän tietosuoja. Kovin moni ei tule ajatelleeksi mitä kaikkea on selvitettävissä työntekijän päivittäisistä toimista ja rutiineista vain pelkkiä lokitietoja tarkastelemalla. Osa lokienhallinnan toteutuksista voi edellyttää organisaatiolta myös muutosneuvotteluiden käymistä ennen lokien käsittelyn käytäntöön viemistä.

Hyvä lokienhallinta on aina suunnitelmallista ja määrätietoista. Lisäksi lokitietojen kerääminen, käsittely, analysointi ja säilyttäminen tulee toteuttaa riittävän kauaskantoisesti. Henkilötietojen käsittelyn minimoimisen osalta henkilötietojen kokonaan poistaminen ei ole se paras ratkaisu. Sen sijaan esimerkiksi lokitietoihin pääsyn rajaaminen tai tietoaineiston salaaminen voivat osaltaan toteuttaa samaa tarkoitusta ja tavoitetta, johon henkilötietojen minimoinnilla pyritään. Suunniteltujen säilytysaikojen täytyttyä on osattava myös luopua lokitiedoista, eli tuhota ne tietoturvallisesti.

Kattava suunnitelmallinen lokienhallinta on osa perustietoturvallisuutta. Tietoturvallisuudesta huolehtiminen puolestaan on keskeinen osa niitä teknisiä ja organisatorisia toimia, joilla varmistetaan sisäänrakennettu ja oletusarvoinen tietosuoja, sekä turvataan henkilötietojen käsittelyssä rekisteröityjen oikeuksia ja vapauksia.