15. joulukuuta 2021 | Max Atallah
Lokitiedot kuuluvat tietoturvaloukkausten dokumentointivelvollisuuden piiriin
Tietosuojavaltuutetun toimisto muistutti 15.11.2021 julkaisemallaan tiedotteella rekisterinpitäjiä siitä, että henkilötietoihin kohdistuvan tietoturvaloukkauksen yhteydessä kerätyt lokitiedot on säilytettävä osana EU:n yleisen tietosuoja-asetuksen (679/2016) (jäljempänä ”tietosuoja-asetus”) dokumentointivelvollisuutta. Näin ollen tietosuoja-asetuksen 5 artiklan tarkoittaman osoitusvelvollisuuden täyttämiseksi rekisterinpitäjien tulee säilyttää tietoturvaloukkauksen tapahtuma-ajalta kerätyt lokitiedot.
Tähän liittyen, tietosuojavaltuutetun toimiston tiedote ohjeistaa tarkastamaan Traficomin alaisuudessa toimivan Kyberturvallisuuskeskuksen ohjeet lokitiedoista. Rekisterinpitäjille ohjeet ovat hyödyllisiä, sillä niiden avulla voidaan järjestää lokitietoihin ja varsinaiseen lokitukseen liittyvät käytänteet viranomaistasolla hyväksytylle tasolle – edistäen näin säännönmukaisuutta (ns. compliance) myös tietosuojavelvoitteiden (eritoten osoitusvelvollisuuden) osalta.
Kyberturvallisuuskeskuksen ohjeita käsitellään alla tarkemmin.
Kyberturvallisuuskeskuksen ohjeet lokitietojen keräämiseen ja käyttöön
Hyvän lokitiedon voi ytimekkäästi todeta muodostuvan seuraavista:
- Lokiin on kirjattu aikaleima
- Lokiin on kirjattu mitä tehtiin / yritettiin tehdä
- Lokiin on kirjattu kenen toimesta ja millä valtuuksilla toimittiin
- Lokiin on kirjattu lähde lokitiedolle ja mistä tapahtuma tehtiin
- Lokiin on kirjattu toimenpiteen onnistuminen / epäonnistuminen
Lokitietoja kerätessä tulee siis myös muistaa rekisteröityjen tietosuojaoikeudet sekä muun muassa tietosuoja-asetuksesta kumpuava periaate tietojen minimoinnista. Rekisterinpitäjän tulee kirjata lokiin vain asianmukaisia ja olennaisia tietoja, sekä muistaa rajata lokitettavat tiedot tarpeelliseen määrään rajoitettua tietoa. Tietojen minimointi palvelee myös itse tietojen keräävää ja käyttävää tahoa, sillä liian raskaat lokitiedot vaikeuttavat relevantin tiedon löytämistä tietokannoista ja tukkivat helposti järjestelmät.
Alla vielä muutamia poimintoja Kyberturvallisuuskeskuksen ohjeista:
- Muista luokitella erilaiset lokit – näin vältyt sekamelskalta.
- Laadi tarkoituksenmukaiset käytännöt ja sisäiset ohjeet lokitietojen keräämiselle – kerää vain tarvittava tieto ja tallenna se täsmällisesti.
- Älä pääsääntöisesti tallenna lokitietoihin henkilötunnuksia, arkaluonteisia tietoja, salasanoja tai viestiliikenteen sisältöä.
- Pohdi jo etukäteen erityyppisten lokitietojen säilytysaikoja ja automaattista poistamista – näin vältyt lokiähkyltä ja tarpeettomien tietojen säilyttämiseltä.
- Huolehdi tietoturvasta ja pääsyoikeuksista – järjestä pääsy lokitietoihin vain sellaisille henkilöille, joilla on työtehtäviensä puolesta perusteltu syy päästä käyttämään tai keräämään lokitietoja. Tarvittaessa rajaa pääsy erityyppisiin lokitietoihin organisaation sisällä.
Lopuksi
Lokitietoja voi ja kannattaa monessa yhteydessä kerätä – eritoten tietoturvaloukkauksen sattuessa. On kuitenkin syytä pitää mielessä, että jos lokitietoihin tallennetaan henkilötietoja, on kyseessä henkilötietojen käsittely, ja tällöin lokitietojen käsittelyyn soveltuvat myös tavanomaiset tietosuojalainsäädännöstä kumpuavat säännöt ja velvoitteet. Mitä tahansa lokitietoa ei kuitenkaan tule tallentaa, eikä pidä myöskään unohtaa sitä, että esimerkiksi tietyt organisaatioiden sisäisiin valvontatarkoituksiin kerätyt lokitiedot saattavat hyvinkin laukaista velvollisuuden käynnistää yhteistoimintamenettelyt ennen kuin tietoja voidaan ylipäänsä alkaa keräämään.
Hyvin suunniteltu on puoliksi tehty – ennen lokitietojen keräämisen aloittamista kannattaa siis suunnitella tarkasti mitä tietoja aletaan keräämään, minkä takia ja millä tavoin. Etukäteen asianmukaisiksi järjestetyt lokikäytännöt helpottavat arjen elämää ja jälkikäteisen selvitystyön suorittamista – näin säästyy sekä aikaa että rahaa.
Tietosuojaan erikoistuneena toimistona autamme sinua mielellämme järjestämään lokitietojen keräämiseen liittyvät käytänteesi mahdollisimman tehokkaiksi.
Artikkelin laadintaan osallistui lakimiesharjoittelijamme Jere Lehtimäki.
15.12.2021 MAX