Mitä laki tarkalleen sanoo kunnan velvollisuudesta ”vieraskäyttöisten” koneiden käyttäjien todentamisesta? Ja päteekö sama esimerkiksi kirjaston asiakaskoneille? Millä tavalla laki vaatii, että asiakaskoneiden käyttäjät tunnistetaan?
Koska kysymyksessä on siis palvelu, jota kirjasto tarjoaa, ja asiakkaat itse tulostavat nämä tulosteet, joissa saattaa olla henkilötietoja, ei kirjasto itse ole tapauksessa henkilötietojen käsittelijä. Katseet kohdistuvatkin tietosuojan sijaan tietoturvaan.
Tiedonhallintalaki asettaa tiettyjä velvoitteita tietoturvallisuuden osalta. Lain 13 § säätää mm., että tiedonhallintayksikön on varmistettava tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko niiden elinkaaren ajan.
Vaikka pääasiassa tiedonhallintalaki koskee kunnan omaa tiedonhallintaa, tämän voisi tulkita soveltuvan myös tässä tilanteessa, kun kirjasto tarjoaa tulostuspalvelua asiakkaalleen. Tosiaan tarkoituksenmukaisin keino ei tässä ole poistaa tulostimia kokonaan. Joissain kirjastoissa on jo otettu käyttöön turvatulostus eli tulosteen saa tulostimesta ulos vasta, kun tulostimelle kirjaudutaan esimerkiksi kirjastokortin avulla. Suosittelisin tietoturvan kannalta siirtymistä kohti turvatulostusta.
Viranomaisen yleisön saataville asettamien tietojärjestelmien tulee olla tietoturvallisia, vaikka asiakkaat tulostaisivat sieltä henkilökohtaisia papereitaan. Toki asiakkaalla säilyy oma huolellisuusvelvoitteensa. Tässä tapauksessa kirjaston johto oli havainnut tietojenkäsittelyyn kohdistuvat riskit, mutta ei selvinnyt, olivatko he tehneet asiassa riskiarvioinnin, tai kuuluuko se suunnitelmaan jossain vaiheessa. Ainakin johto oli pyrkinyt toimillaan ennaltaehkäisemään vastaavien tietoturvaa loukkaavien tapausten uusiutumista, mikä oli sinänsä hyvä asia.
Osaa tulostinlaitteista ollaan vaihtamassa ja uusienkin laitteiden yhteydessä ”viranomaisen on varmistettava hankinnoissaan, että hankittavaan tietojärjestelmään on toteutettu asianmukaiset tietoturvallisuustoimenpiteet.” (13 § 4 mom.)
Lain 5 §:n mukainen tiedonhallintamallin toteuttaminen tullee ajankohtaiseksi kirjastoissa jossain aikavälillä – tämän vuoden loppuun mennessä (2021) määrätty aikataulu (30 §) lienee optimistinen, mutta edelleen mahdollinen.
Tähän tapaukseen soveltuvat myös nuo tiedonhallintalain vaatimukset. Etenkin tässä tapauksessa pitäisi tehdä 13 §:n mukainen riskiarvio ja sitä kautta arvioida 16 ja 17 §:n mukaisesti tunnistautumisen ja lokitietojen keräämisen tarve. Jonkin tasoinen tunnistautuminen olisi tässä tapauksessa kyllä perusteltua. Riskiarvioinnista sitten riippuu, riittääkö esimerkiksi käyttäjätunnusten luominen vai tarvitaanko ihan vahva tunnistautuminen.
Aiheesta lisää verkkopalvelussamme
Sinua saattavat kiinnostaa myös nämä kysymykset
- Olenko lautakunnan jäsenenä esteellinen osallistumaan lausunnon käsittelyyn, kun olen itse tehnyt oikaisuvaatimuksen?
- Virkamiesyhdistyksen pääluottamusmies on paikallisneuvotteluissa ehdottanut eräiden viranhaltijoiden palkkojen tarkistamista. Voiko hän käsitellä tätä asiaa myös kunnanhallituksessa?
- Sivistyslautakunta käsittelee koulun lakkauttamista. Yhdellä lautakunnan jäsenellä on lapsi tässä lakkautusuhan alla olevassa koulussa. Onko päättäjä esteellinen käsittelemään tätä asiaa?