Perustelut
Lokien hallinta ja käsittely ovat keskeinen osa Pirkanmaan hyvinvointialueen toiminnan kannalta välttämättömien tietojärjestelmien ja laitteiden tietosuojan ja tietoturvan varmistamista.
Lokitiedolla tarkoitetaan organisaation tietojärjestelmistä kerättäviä tapahtumatietoja, joista nähdään esimerkiksi, milloin ja kuka on kirjautunut tietojärjestelmään ja mitä tietoja on muutettu.
Lokitietoja voidaan käyttää esimerkiksi varmistamaan käyttäjien oikeusturvaa, tuottamaan aineistoa rikosprossia varten, tietoturvapoikkeamien ja virhetilanteiden selvityksiin, käytön valvontaan, tilastointiin sekä järjestelmien ja toiminnan kehittämiseen.
Lokitietojen keräämiselle ja käsittelylle pitää aina olla oikeudellinen peruste. Lokitietojen säilytysaika määritellään käyttötarkoituksen mukaan ja ne hävitetään, kun käyttötarve päättyy.
Hyvinvointialueen lokiperiaatteen tavoitteena on varmistaa tietojärjestelmien valvonta sekä toiminnan jatkuvuuden turvaaminen.
Lokiperiaate linjaa vastuut, periaatteet sekä toimintatavat, joita noudatetaan hyvinvointialuekonsernin lokitietojen käsittelyssä ja keräämisessä.
Se ohjaa lokitietojen käyttöä tietosuojan ja tietoturvan toteutumisen varmistamiseksi.
Periaatetta sovelletaan kaikkiin hyvinvointikonsernin palveluiden mukaan lukien tytäryhtiöiden palveluiden käytössä oleviin sovelluksiin ja tietojärjestelmiin, joissa käsitellään hyvinvointialueen rekisteripidon alaista tietoa. Periaate huomioidaan myös ulkoisen palveluntarjoajan hyvinvointialueelle tuottamiin palveluihin.
Yksityisyyden suojasta työelämässä annetun lain (759/2004) 21 §:n mukaan teknisin menetelmin toteutettava valvonta on käytävä läpi yhteistoimintamenettelyssä. Hyvinvointialueella on käytössä 1.1.2023 alkaen tietojen ja tietojärjestelmien käyttö- ja salassapitositoumus. Sitoumuksessa informoidaan käyttäjiä siitä, että tietojärjestelmässä käynnit ja siellä tehdyt tapahtumat kirjautuvat lokitietoihin, käyttöä valvotaan ja epäillystä väärinkäytöstä raportoidaan esihenkilölle.
Esihenkilöiden tehtävänä on myös valvoa, että henkilöstö noudattaa tietoturvasta ja tietosuojasta annettuja määräyksiä ja ohjeita ja että tietojärjestelmiin on kulloiseenkin työnkuvaan kuuluvat käyttöoikeudet ja tarpeettomat oikeudet poistetaan tai käyttöoikeus päätetään.
Päätös
Päätösehdotus hyväksyttiin.