Suomessa miljoona henkilörekisteriä: ”Isoilta ruumiilta vältytty”

Reijo Aarnio
Teksti
Juho Salminen
Julkaistu yli kolme vuotta sitten

Jos henkilötiedot vuotavat, rekisterinpitäjän ei tarvitse kertoa siitä. Uusi EU-säännös voi muuttaa tämän, sanoo tietosuojavaltuutettu Reijo Aarnio.

Henkilörekisterit

Käyttääkö joku henkilötietojasi väärin? Marraskuun alkupuolella asiaa on riittänyt: “Poliisi vuoti tietoja laittomasti“, “Vartijaa epäillään vankitietojen väärinkäytöstä Riihimäellä“, “16 000 suomalaisen tiedot vuotaneet nettiin“.

Kun tuhansien suomalaisten henkilötiedot vuodettiin verkkoon, kyse oli siitä, että joku käytti henkilörekistereitä laittomasti. Vielä ei ole selvää, miten vuoto tapahtui.

Suomessa on erilaisia henkilörekistereitä yli miljoona, arvioi tietosuojavaltuutettu Reijo Aarnio. Aarnio sanoo, että viranomaisilla rekisterit ovat pääosin hyvässä kunnossa eli asianmukaisesti järjestetty ja suojattu luvattomalta käytöltä.

Sen sijaan yksityisellä puolella on Aarnion mukaan enemmän ongelmia. Tämä johtuu siitä, että yksityiset rekisterinpitäjät voivat olla mitä tahansa suuresta yrityksestä pieneen yhdistykseen. Kyse on myös kulttuurista, jolla tietoturvaa käsitellään.

“Tyypillinen ongelma on, että johto ja tietoturvasta vastaavat ovat liian kaukana toisistaan. Ajatellaan, että kyllä atk-osasto hoitaa”, Aarnio sanoo.

Tietosuojavaltuutetun toimisto käsittelee tänä vuonna noin sata tapausta, jossa henkilötietoja on käytetty väärin. Yleensä kyse on siitä, että luvallinen käyttäjä on tehnyt luvattomia tekoja, kuten katsellut muiden tietoja edistääkseen omaa asiaansa, tai uteliaisuuttaan. Ulkopuolisen tekemät tietomurrot ovat Suomessa harvinaisempia.

Usein arkaluonteisimmat tiedot ihmisistä ovat terveydenhuollon potilasrekistereissä. Ne ovat 99-prosenttisesti sähköisiä. Tämä on Aarnion mukaan siinä mielessä hyvä asia, että sähköisten rekisterien käyttöä on helpompi valvoa kuin paperisten. Jokainen voi selvittää, kuka on käsitellyt hänen potilastietojaan ja mihin tietoja on luovutettu.

Jos sähköinen rekisteri päätyy hakkerien käsiin, vahingot kasvavat. Suomessa on tapahtunut joitain tietomurtoja ja -vuotoja. Esimerkiksi tammikuussa 2010 helsinkiläisestä liikkeestä vietiin 100 000 ihmisen luottokorttitiedot. Aarnion mukaan pahemminkin voisi olla.

“Täytyy koputtaa puuta: olemme Suomessa välttyneet isoilta ruumiilta aika hyvin”, Aarnio sanoo.

Ilmoitusvelvollisuus kaikille?

Tuorein tietovuototapaus sattui lauantaina 5. marraskuuta. Se herätti laajaa epätietoisuutta: Ovatko tietoni listalla? Mistä voin tarkistaa asian?

Suomen laissa ei tällä hetkellä määrätä tietovuodon kohdetta kertomaan asiakkailleen, jos heitä koskevat rekisteritiedot ovat vuotaneet. Nyt tällainen velvoite koskee vain teleoperaattoreita.

Tähän on tulossa muutos, Reijo Aarnio sanoo. Euroopan komissio tehnee tammikuussa 2012 aloitteen, joka saattaa laajentaa ilmoitusvelvollisuuden kaikkiin rekisterinpitäjiin. Yhdysvalloissa velvoite on käytössä yleisesti.

“Se on johtanut siihen, että tietoturvan ja tietosuojan status organisaatiossa on noussut johtokuntatasolle”, Aarnio sanoo.

Hän korostaa, että tällainen velvoite parantaisi tietoturvakulttuuria Suomessa – ja sitä tarvitaan.

“Päätä Karjalan mäntyyn”

Marraskuun tietovuodon jälkeen poliisi julkaisi listan, jolta omia tietojaan saattoi etsiä. Tämä tapahtui, kun tietovuoto oli ollut otsikoissa kaksi päivää. Kävijäryntäys kaatoi poliisin verkkosivut pitkäksi aikaa. Muun muassa tietokirjailija Petteri Järvinen kritisoi poliisin toimintaa ja valmiuksia.

Pian vuodon paljastumisen jälkeen yksityiset aktiivit perustivat verkkoon palveluita, joista pystyi katsomaan, ovatko omat tiedot vuodettujen joukossa.

Voisivatko viranomaiset siis tehdä yhteistyötä tällaisten aktiivisten ja nopeiden ihmisten kanssa? Esimerkiksi kertoa kansalaisille, kuka tekee moisia palveluita luotettavasti?

Periaatteessa, sanoo Aarnio. Hän kuitenkin osoittaisi tiedotusvastuun ennen kaikkea niille, jotka rekistereitä ylläpitävät ja joilta tiedot ovat karanneet.

“Tietovuodon jälkeen pitää saada nopeasti pystyyn jonkinlainen help desk niille, jotka ovat joutuneet vuodon kohteeksi.”

Koska ilmoitusvelvoitetta ei Suomessa vielä ole, se heikensi Aarnion mukaan tiedotuksen onnistumista marraskuisessa tietovuodossa. Hän sanoo näin “byrokraatin kaapu päällään”.

Kilpajuoksu tietoturvauhkien ja rekisterinpidon välillä on jatkuvaa. Aarnion mukaan kaikkien olisi hyvä ymmärtää, että tietoturva ei synny vain määräyksillä ja käskyillä.

“Jos haluamme ottaa digitaalisesta maailmasta hyödyn irti, on huono lähtökohta, jos kuluttajat pelkäävät. Yritysten pitäisi muuttaa omassa ajattelussaan se, että kyse ei ole vain velvoitteista. Tietoturva on niiden omissa intresseissä, se on hyvää asiakaspalvelua.”

Joskus tietosuojasta ja -turvasta puhuminen turhauttaa tietosuojavaltuutettuakin.

“Välillä se on kuin päätään hakkaisi Karjalan mäntyyn. Suomalainen kun lukee uudesta pykälästä, ajatellaan että ‘taas tulee joku tyhmä velvoite’, eikä nähdä syytä ja motiivia taustalla.”

Tietosuojavaltuutetun opas: Tietosuojan ja tietoturvan “tee se itse” – tarkastus (pdf-tiedosto)