Sisältöön

Lokitiedot - SecMeter

Ohita valikko
Ohita valikko

Lokitiedot

Yritysturvallisuus > Yksityisyyden suoja
Lokitiedot



Tietoyhteiskunnassa lähes kaikki digitaalinen toiminta jättää jälkensä erilaisiin lokitiedostoihin eli tapahtumakirjanpitoon. Tapahtumakirjanpidolla tarkoitetaan järjestelmien, ohjelmistojen ja laitteiden toimintojen kirjaamista tiedostoon. Nämä tiedostot sisältävät usein tietoa käyttäjän toiminnoista, järjestelmän tilasta ja muista merkityksellisistä tapahtumista.

Tapahtumakirjanpidolla on keskeinen rooli muun muassa tietoturvan valvonnassa, virhetilanteiden selvittämisessä ja järjestelmien käytön seurannassa. Jos lokitiedostoihin tallennettu tieto voidaan yhdistää tiettyyn luonnolliseen henkilöön, ne muuttuvat lainsäädännöllisesti henkilörekistereiksi ja niihin sovelletaan henkilötietolakia (523/1999) sekä muita yksityisyyttä suojaavia lakeja.

Henkilötietolain mukaan henkilörekisteri muodostuu kaikista niistä tiedoista, jotka voidaan suoraan tai epäsuorasti yhdistää tiettyyn henkilöön. Kun tapahtumakirjanpitoon tallennettu tieto sisältää esimerkiksi käyttäjätunnuksia, IP-osoitteita tai muita tunnisteita, joiden avulla yksilö voidaan tunnistaa, tulee tiedostoa kohdella henkilörekisterinä.

Tämä tuo mukanaan lainsäädännöllisiä velvoitteita. Yksi keskeisimmistä on velvollisuus laatia henkilörekisteriseloste, joka kuvaa rekisterin tarkoituksen, tietosisällön, säännönmukaiset tietolähteet, tietojen luovutukset ja rekisteröidyn oikeudet. Tämä seloste tulee saattaa rekisteröityjen saataville avoimuuden ja läpinäkyvyyden varmistamiseksi.

Toisaalta kaikki tapahtumatiedostot eivät kuulu henkilötietolain soveltamisalaan. Mikäli lokitiedosto sisältää yksinomaan teknisiä järjestelmätietoja ilman viitteitä yksittäisiin käyttäjiin, sitä ei katsota henkilörekisteriksi. Tällöin tapahtumatiedoston hallinnassa ei sovelleta henkilötietolakia eikä sen perusteella tarvitse laatia henkilörekisteriselostetta. Tämä erottelu on tärkeä, sillä se vaikuttaa suoraan siihen, miten tietoja tulee käsitellä ja millaisia suojatoimia niiden yhteydessä on noudatettava.

Tapahtumakirjanpidon säilyttäminen, käsittely ja käyttö tulee aina toteuttaa oikeasuhtaisesti ja tarkoituksenmukaisesti. Kun kyse on henkilörekisteristä, tulee tietojen käsittelyllä olla selkeä oikeusperusta, esimerkiksi suostumus, lakisääteinen velvoite tai rekisterinpitäjän oikeutettu etu. Lisäksi tietojen säilytysaika on rajattava tarpeelliseen minimiin ja suojattava teknisin ja organisatorisin keinoin. Rekisteröidyllä on oikeus saada tieto siitä, mitä tietoja hänestä on tallennettu ja mihin tarkoituksiin niitä käytetään.
Lokitietojen käsittely tietosuoja- ja tietoturvakehyksessä
Lokitietojen käsittely muodostaa olennaisen osan organisaation tietosuoja- ja tietoturvakehystä. GDPR:n sääntelykehys edellyttää, että lokitietojen kerääminen, säilyttäminen ja hyödyntäminen perustuvat tarkasti määriteltyihin tarkoituksiin, käsittely on läpinäkyvää ja rekisteröityjen oikeudet toteutuvat. Teknisten suojaustoimien ohella käsittely edellyttää yritykseltä vastuullisuutta ja juridista huolellisuutta.

Vaikka lokitiedot ovat keskeisiä tietoturvan, järjestelmävalvonnan ja toiminnan luotettavuuden kannalta, niiden käsittelyssä on löydettävä tasapaino yksilön yksityisyydensuojan ja järjestelmien turvallisuuden välillä. Tapahtumakirjanpidon toteutus ei ole vain tekninen kysymys, vaan osa organisaation tietosuojan hallintamallia ja riskienhallintaa.

GDPR:n ja kansallisen sääntelyn vaatimukset
Digitaalisessa yhteiskunnassa lokitiedot ovat välttämättömiä muun muassa virhetilanteiden selvittämisessä, väärinkäytösten tunnistamisessa ja järjestelmien kehittämisessä. Ne tukevat palveluiden toimintavarmuutta, mutta samalla herättävät oikeutettuja huolia yksityisyyden suojasta erityisesti EU:n yleisen tietosuoja-asetuksen (GDPR) näkökulmasta.

Lokitietojen käsittely muodostaa merkittävän tietosuojariskin, mikäli ne sisältävät tunnisteellisia henkilötietoja. GDPR (EU 2016/679) asettaa tällaisen käsittelyn osalta tiukat edellytykset, jotka tähtäävät rekisteröityjen oikeuksien toteutumiseen ja henkilötietojen suojaamiseen (GDPR, art. 1, 5 ja 25).

Lokitiedot henkilötietoina
GDPR:n 4 artiklan 1 kohdan mukaan henkilötiedolla tarkoitetaan mitä tahansa tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvää tietoa. Lokitietojen osalta tämä tarkoittaa käytännössä sitä, että esimerkiksi käyttäjätunnukset, IP-osoitteet, aikaleimat ja palveluiden käyttöä koskevat merkinnät voivat muodostaa henkilötietoja, mikäli niiden perusteella henkilö voidaan suoraan tai epäsuorasti tunnistaa (EDPB, Guidelines 07/2020, s. 6).

Rekisterinpitäjä ja henkilötietojen käsittelijä lokitietojen kontekstissa
GDPR:ssa erotetaan toisistaan rekisterinpitäjä ja henkilötietojen käsittelijä (artikla 4, kohdat 7 ja 8). Palveluntarjoaja toimii rekisterinpitäjänä niissä tilanteissa, joissa se määrittelee käsittelyn tarkoitukset ja keinot esimerkiksi oman infrastruktuurinsa lokitietojen osalta.

Mikäli lokitiedot liittyvät asiakkaan järjestelmiin, rekisterinpitäjä on asiakasyritys ja palveluntarjoaja toimii tällöin henkilötietojen käsittelijänä. Tällainen käsittely edellyttää kirjallista sopimusta (GDPR, artikla 28). Tämä tulkinta vastaa myös Euroopan tietosuojaneuvoston (EDPB) suosituksia roolituksesta (EDPB, Guidelines 07/2020, s. 13–16).

Mitä säädökset edellyttävät henkilötietojen käsittelijöiltä?

  • Tietojen käsittely on suojattava teknisesti ja organisatorisesti (GDPR 32 artikla)
  • Luvaton pääsy on estettävä (esimerkiksi käyttöoikeusvalvonnalla ja lokien erottelulla)
  • Käytön on oltava läpinäkyvää ja jäljitettävää (audit trail)
  • Käsittelystä on pidettävä rekisteri (GDPR 30 artikla)
  • Tietojen minimointi: käsitellään vain tarpeellisia tietoja ja vain niille henkilöille, joilla on siihen oikeus

Yritys lokitietojen rekisterinpitäjänä
GDPR:n mukaan (artikla 4 kohta 7) rekisterinpitäjä on taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Yrityksessä lokitietoja saavat käsitellä vain ne työntekijät, joilla on tehtäviensä perusteella perusteltu tarve käsitellä niitä.

Käsittelyn edellytykset

  • Käsittely perustuu oikeutettuun tehtävään (esimerkiksi tietoturvan valvonta tai väärinkäytösten selvittäminen)
  • Henkilöillä on tarpeenmukainen käyttöoikeus (need-to-know-periaate)
  • Käyttöoikeudet on rajattu ja dokumentoitu (GDPR 5.1.c: tietojen minimointi)

Palveluntarjoaja lokitietojen henkilötietojen käsittelijänä
Jos lokitietojen käsittely ulkoistetaan esimerkiksi pilvipalveluntarjoajalle, toimii palveluntarjoaja henkilötietojen käsittelijänä (GDPR 4 artikla, kohta 8).

Käsittelyn edellytykset:

  • Kirjallinen sopimus rekisterinpitäjän ja käsittelijän välillä (GDPR 28 artikla)
  • Käsittelijä toimii vain rekisterinpitäjän antamien ohjeiden mukaisesti
  • Henkilöstöllä on asianmukainen koulutus, salassapitovelvollisuus ja rajatut käyttöoikeudet

Viranomaistahot ja tietoturvatehtävät
Tietoturvaloukkauksen tutkinnassa lokitietoja voivat käsitellä esimerkiksi:

  • organisaation tietoturvavastaava
  • tietosuojavastaava (DPO)
  • CERT-ryhmät
  • valvontaviranomaiset

Edellytyksenä on, että käsittely on tehtävän kannalta tarpeellista ja lainsäädännön mukaista.

Rekisteröidyn oikeus omiin lokitietoihinsa
GDPR:n 15 artiklan mukaan rekisteröidyllä on oikeus saada tietää, mitä henkilötietoja, mukaan lukien häntä koskevat lokitiedot, on hänestä kerätty ja miten niitä on käsitelty, mikäli tiedot liittyvät suoraan häneen.

Tapahtumakirjanpidon funktio ja tietoturvavaatimukset
Lokitiedot ovat keskeinen tekninen ja organisatorinen keino, jonka avulla voidaan varmistaa GDPR:n 32 artiklassa tarkoitettu turvallisuustaso. Lokit mahdollistavat muun muassa tietoturvaloukkausten havaitsemisen, järjestelmävirheiden analysoinnin ja tietojen eheyden todentamisen. EDPB:n mukaan lokitiedot tulisi suojata viipymättä erillisellä teknisellä ratkaisulla, kuten keskitetyn lokipalvelimen avulla, johon pääsy on rajoitettu ja suojattu pääsynhallinnalla (ENISA, "Guidelines for Securing Log Files", 2016). Lokien eheyttä tulee valvoa muun muassa kryptografisin keinoin ja käyttöoikeusvalvonnalla.

Tietojen säilytysaika ja käyttötarkoituksen rajoitus
GDPR:n 5 artiklan 1 kohdan e-alakohdan mukaan henkilötietoja saa säilyttää ainoastaan niin kauan kuin on tarpeellista niiden käsittelyn tarkoitusten toteuttamiseksi. Tämän periaatteen mukaan lokitietojen säilytys tulee rajata selkeästi. Esimerkiksi Kansallinen Terveysarkisto (Kanta) säilyttää potilastietojen lokitietoja 12 vuotta (10 + 2 vuotta) Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 159/2007 mukaan (18 §).

Tietojärjestelmien virheenkorjaukseen liittyvät lokit voidaan säilyttää lyhyemmän ajan, usein vain muutamasta päivästä muutamaan kuukauteen, riippuen käsittelytarkoituksesta ja riskiarvioinnista (Tietosuojavaltuutetun toimisto, 2020). Myös erityiskäsittelyä vaativien tietojen, kuten turvakiellon alaisten henkilötietojen, säilytysaikaa säädellään kansallisessa lainsäädännössä (Laki Digi- ja väestötietovirastosta 304/2019, 18 §).

Rekisteröidyn oikeudet ja tarkastusoikeus
GDPR:n 15 artikla antaa rekisteröidylle oikeuden saada pääsy omiin henkilötietoihinsa. Tämä ulottuu myös lokitietoihin, mikäli ne liittyvät häneen. Suomessa sosiaali- ja terveydenhuollon sektorilla tarkastusoikeus perustuu myös lakiin 159/2007 (22 §). Esimerkiksi Kanta-palveluissa henkilö voi pyytää nähtäväkseen lokitiedot siitä, kuka on käsitellyt hänen potilastietojaan.

Tietosuojavaltuutettu on katsonut, että tarkastusoikeuden estäminen vetoamalla esimerkiksi "tekniseen mahdottomuuteen" ei ole hyväksyttävää (Tietosuojavaltuutetun ratkaisu 3241/163/18). Lokit muodostavat siten henkilötietojen käsittelyrekisterin, josta tulee ylläpitää tietosuojaselostetta (GDPR 30 artikla).

Tietoturvaloukkausten valvonta ja jälkikäteinen vastuun osoittaminen
GDPR:n 33 ja 34 artiklat velvoittavat ilmoittamaan tietoturvaloukkauksista valvontaviranomaiselle ja rekisteröidyille. Lokitietojen avulla voidaan jäljittää, onko tapahtunut käsittely ollut luvallista, ja missä määrin mahdollinen väärinkäyttö on vaikuttanut rekisteröityihin. Esimerkiksi jos oikeutettu käyttäjätunnus on käytetty väärin, ilman lokitietoja vastuun osoittaminen olisi mahdotonta.

ENISA ja EDPB ovat korostaneet, että toimiva tapahtumaloki on osa laajempaa riskienhallintamallia ja tietoturvan hallintajärjestelmää (ENISA, "Technical Guideline on Security Measures", 2021).
Ohita valikko
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön