Lokien hallinta osana tiedonhallintalain vaatimuksia
Ryyppö, Minna (2021)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202102192497
https://urn.fi/URN:NBN:fi:amk-202102192497
Tiivistelmä
Tässä tutkimuksessa selvitetään mitä vaatimuksia laki julkisen hallinnon tiedonhallinnasta (906/2019) asettaa lokien hallinnalle. Tarkoituksena on lain ja siihen liittyvien perustelujen ja suositusten valossa selvittää, mitä laissa esitetty lokien keräämisen vaatimus käytännössä tarkoittaa viranomaisorganisaatiolle. Lisäksi lokeja ja lokien hallintaa käydään läpi yleisellä tasolla. Tutkimuksen empiriaosassa käydään läpi Museoviraston lokien hallinnan nykytilaa sen kartoittamiseksi, mitä toimenpiteitä lain vaatimuksen täyttäminen vielä vaatii. Tutkimuksen perusteella tehdään toimenpidesuosituksia lokien hallinnan kehittämiseksi.
Lokeja on paljon erityyppisiä riippuen käyttötarkoituksesta. Esimerkkejä erilaisista lokeista ovat mm. muutoslokit, käyttölokit, pääsynhallintalokit, virhelokit, yhteyslokit jne. Kaikille lokeille yhteistä on se, että niiden tarkoituksena on varmistaa normaalia toimintaa ja havaita poikkeamia.
Lokien hallinta tarkoittaa suunnitelmallisesti toteutettua prosessia, joka etenee lokien keräämisestä lokitiedon käsittelyyn, säilyttämiseen ja lopulta lokitiedon poistamiseen. Lokien hallintaa organisaatiossa ohjaavat yhteisesti sovitut lokiperiaatteet sekä lainsäädäntö. Julkishallinnon organisaation kannalta keskeisimmät lait ovat tiedonhallintalain lisäksi EU:n tietosuoja-asetus sekä julkisuuslaki. Erityisaloilla voi myös olla omaa sääntelyä lokitiedoista, kuten sosiaali- ja terveysalalla.
Tiedonhallintalain 17 § mukaan lokeja tulee kerätä järjestelmän käytöstä ja tiedonluovutuksista aina, jos järjestelmä edellyttää kirjautumista. Tiedonhallintalautakunnan suositus, samoin kuin lain valmistelumateriaali, antaa kuitenkin ymmärtää, että lokien keräämisen ei ole syytä ryhtyä näin suoraviivaisesti vaan mieluummin tarpeeseen perustuen. Lisäksi mainituissa lähteissä korostetaan, että lokien keräämisen kannalta oleellisinta on, jos järjestelmässä on tai siitä luovutetaan henkilö- tai salassa pidettäviä tietoja.
Museovirastossa on käytössä noin 30 sellaista tietojärjestelmää, jotka edellyttävät kirjautumista. Tarkempi tarkastelu kuitenkin osoittaa, että vain osassa näistä on oleellista toteuttaa lokien keruuta tiedonhallintalain tarkoittamalla tavalla. Erilaisten lokien keräämiseen voi silti olla joitain muita tarpeita. Lokien hallinnan nykytilanne osoittaa, että lokeihin ei ole aikaisemmin järjestelmällisesti kiinnitetty huomiota. Tutkimuksen perusteella ehdotetaan, että Museovirasto laatisi lokiperiaatteet ja arvioisi lokien keräämisen tarpeen järjestelmäkohtaisesti.
Tiedonhallintalain voimaantulo varmastikin kiinnittää julkishallinnon organisaatioiden huomion lokien hallintaan aiempaa enemmän. Tämä on erittäin hyödyllinen kehitysaskel ajatellen koko yhteiskunnan tietojen tietosuojaa.
Lokeja on paljon erityyppisiä riippuen käyttötarkoituksesta. Esimerkkejä erilaisista lokeista ovat mm. muutoslokit, käyttölokit, pääsynhallintalokit, virhelokit, yhteyslokit jne. Kaikille lokeille yhteistä on se, että niiden tarkoituksena on varmistaa normaalia toimintaa ja havaita poikkeamia.
Lokien hallinta tarkoittaa suunnitelmallisesti toteutettua prosessia, joka etenee lokien keräämisestä lokitiedon käsittelyyn, säilyttämiseen ja lopulta lokitiedon poistamiseen. Lokien hallintaa organisaatiossa ohjaavat yhteisesti sovitut lokiperiaatteet sekä lainsäädäntö. Julkishallinnon organisaation kannalta keskeisimmät lait ovat tiedonhallintalain lisäksi EU:n tietosuoja-asetus sekä julkisuuslaki. Erityisaloilla voi myös olla omaa sääntelyä lokitiedoista, kuten sosiaali- ja terveysalalla.
Tiedonhallintalain 17 § mukaan lokeja tulee kerätä järjestelmän käytöstä ja tiedonluovutuksista aina, jos järjestelmä edellyttää kirjautumista. Tiedonhallintalautakunnan suositus, samoin kuin lain valmistelumateriaali, antaa kuitenkin ymmärtää, että lokien keräämisen ei ole syytä ryhtyä näin suoraviivaisesti vaan mieluummin tarpeeseen perustuen. Lisäksi mainituissa lähteissä korostetaan, että lokien keräämisen kannalta oleellisinta on, jos järjestelmässä on tai siitä luovutetaan henkilö- tai salassa pidettäviä tietoja.
Museovirastossa on käytössä noin 30 sellaista tietojärjestelmää, jotka edellyttävät kirjautumista. Tarkempi tarkastelu kuitenkin osoittaa, että vain osassa näistä on oleellista toteuttaa lokien keruuta tiedonhallintalain tarkoittamalla tavalla. Erilaisten lokien keräämiseen voi silti olla joitain muita tarpeita. Lokien hallinnan nykytilanne osoittaa, että lokeihin ei ole aikaisemmin järjestelmällisesti kiinnitetty huomiota. Tutkimuksen perusteella ehdotetaan, että Museovirasto laatisi lokiperiaatteet ja arvioisi lokien keräämisen tarpeen järjestelmäkohtaisesti.
Tiedonhallintalain voimaantulo varmastikin kiinnittää julkishallinnon organisaatioiden huomion lokien hallintaan aiempaa enemmän. Tämä on erittäin hyödyllinen kehitysaskel ajatellen koko yhteiskunnan tietojen tietosuojaa.