Riigikontrolli hinnangul tuleks rohkem kontrollida andmepäringute põhjendatust ja analüüsida logisid, et teada, kes, millal ja mis motiividel on andmeid kasutanud.

Auditeerimisel olid sotsiaalkaitse infosüsteem (SKAIS), sotsiaalteenuste ja -toetuste andmeregister (STAR), karistusregister (KARR), e-toimiku väärteomenetluse liides (VMP) ja arendamisel olev automaatse biomeetrilise isikutuvastuse süsteemi andmekogu (ABIS).

Riigikontrolör Janar Holm rõhutas, et tundlike andmete kasutajal peaks olema ligipääs just neile andmetele, mis puutuvad otseselt tema töösse ja mille teadmisvajadus tal on, kuid mitte rohkem.

Riigikontrolli hinnangul on aga kasutajate juurdepääs sotsiaalkindlustusameti andmekogude SKAIS1 ja STAR andmetele liiga ulatuslik ning see loob teatud riski andmete väärkasutamiseks.

Sotsiaalteenuste ja -toetuste andmeregistris STAR on omavalitsuse ametnikul võimalik pääseda ligi teiste omavalitsuste elanikega seotud menetlustele ja neis sisalduvatele andmetele.

Riigikontroll juhib tähelepanu, et STAR-is ei ole rakendatud logide analüüsimise ja päringute põhjendatuse kontrolliks vajalikke meetmeid. Menetluste hulk, millele kasutajatel on juurdepääs, on suhteliselt suur, sest sotsiaalteenuste ja -toetuste andmeregister STAR on kasutusel olnud alates aprillist 2010 ja sellest ajast saadik ei ole andmeid andmekogust välja viidud, näiteks arhiveeritud. See lisab suure hulga isikutega seotud andmete kaitsmise vajadusele veel suurema kaalu.

Riigikontrolli hinnangul peaksid STAR-i andmekogu kasutajad kohalikes omavalitsustes saama juurdepääsu enda omavalitsuses elavate inimeste andmetele. Kui aga vajatakse juurdepääsu teiste omavalitsuste elanikega seotud menetlustele, siis tuleks määrata kindlaks täiendava juurdepääsu valideerimise kontrolliprotseduur.

Riigikontroll on seisukohal, et juurdepääsuõiguste auditeerimine tuleks tundlike andmete korral edaspidi kohustuslikuks muuta, kuna see aitaks maandada andmete turvalisusega seonduvaid riske. Riigi andmekogudele kohustuslik infoturbe rakendamise audit oli tehtud viiest auditeeritud andmekogust neljas.

Riigikontroll märgib, et andmekogude logiandmeid on vaja pidevalt analüüsida, et võimalikult varakult avastada andmete väärkasutamine.

Riigikontroll tuvastas auditi käigus, et ehkki logiandmeid – infot andmekogus toimunud sündmuste kohta – küll koguti ja säilitati, ei toimunud logiandmete süsteemset ja pidevat analüüsi. Asutuste või andmekogude tegevust reguleerivates dokumentides polnud seatud ka logiandmete analüüsimise ja seiramise kohustust.

Ka ei viidud auditeeritud andmekogudes läbi andmepäringute põhjendatuse regulaarset ega süstemaatilist seiret või kontrolli. Seesuguste kontrollimiste tegemine oli täpsemalt reguleerimata ka asutuste või andmekogude tegevust reguleerivates dokumentides. Kontrolliti pigem ebaregulaarselt ning vaid avastatud intsidentide, andme­subjektide päringute/kaebuste või muude väliste sündmuste järel.