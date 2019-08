Tuukka Tuomasjukka

Verohallinnon tämänviikkoinen tietoturvaloukkaus on luonteeltaan vakava, arvioi apulaistietosuojavaltuutettu Jari Råman.

Verohallinto on tämänhetkisen tiedon mukaan lähettänyt jopa 27 000 hengelle virheellisiä, toisten ihmisten henkilötietoja sisältäviä verokirjeitä. Råmanin mukaan määrä on merkittävä.

– Tässä on luotettavana pidetty valtionhallinnon toimija, jonka on oletettu olevan tarkka tällaisissa asioissa. Siinä mielessä tämä on poikkeuksellista.

Råmanin mukaan suuri osa tietosuojavaltuutetulle ilmoitetuista tietoturvaloukkauksista koskee nimenomaan henkilötietojen lähettämistä väärään osoitteeseen.

Verohallinnon tietoturvaloukkauksen kohteiden määrä on kuitenkin poikkeuksellisen suuri, sillä yleensä kohteena olleiden henkilöiden määrä on suuruusluokaltaan korkeintaan muutama tuhatta henkilöä.

– Yleisemmin näitä lähetetään yhteen väärään paikkaan eikä näin laajalle joukolle. Suomessa ei ole aikaisemmin lähetetty näin ison joukon tietoja näin isolle määrälle vääriä vastaanottajia.

Suurten tietomäärien tarkastelumahdollisuuksia on toki ollut aiemmissakin tietovuodoissa. Viimeisimpänä esimerkkinä Råman mainitsee Liikenteen turvallisuusvirasto Trafin, jonka sähköisessä asiointipalvelusta oli viime vuoden lopulla julkaistu enemmän tietoja kuin laki määritti.

Tällöin tietosuojavaltuutettu Reijo Aarnio kertoi julkisuudessa, että on mahdollista, että tietoja on käytetty lainvastaisiin tarkoituksiin, kuten identiteettivarkauksiin.

Erona Verohallinnon tietoturvaloukkaukseen on kuitenkin se, että Trafin palvelusta tietoja piti hakea erikseen, kun Verohallinto on lähettänyt tietoja koteihin kirjeitse.

Råmanin mukaan tietosuojavaltuutetun toimisto oli perjantai-iltapäivällä julkisen tiedon varassa ja odotti ilmoitusta tietoturvaloukkauksesta, jonka tekemiseen on ilmitulon jälkeen aikaa 72 tuntia.

Hän ei lähde arvioimaan mahdollisten jatkotoimenpiteiden tarvetta.

– Harvassa tapauksessa sen enempää toimenpiteitä on tarvittukaan. Yleensä rekisterinpitäjät ovat arvioineet toimintojen riittävyyden, ja asian käsittely päättyy, kun toteamme, että kaikki tarvittavat toimenpiteet on tehty.

Entä voiko kansalainen luottaa että jatkossa henkilötietoja käsitellään turvallisesti? Råman uskoo tarkkuuden lisääntyvän ja kääntää keskustelun avoimuuteen.

– Jos itse ajattelen asemaani kansalaisena, minä ainakin jatkan luottavaisin mielin siitä, että viranomaiset ja valtionhallinto toimivat näissä asioissa entistäkin huolellisemmin.

Mainos (Teksti jatkuu alla)

– Tämä tapaus osoittaa vain sen, että tiedottamislinja on huomattavan erilainen. Näistä tullaan julkisuuteen ja kerrotaan avoimesti. Se on erittäin hyvä linja, ja se kertoo vastuullisesta käyttäytymisestä. Virheitä sattuu.

Verohallinnon kehitys- ja tietohallintojohtaja Jarkko Levasman mukaan tietosuojavaltuutetulle on annettu perjantai-iltapäivänä ilmoitus tietoturvaloukkauksesta.

Levasma ei lähde arvioimaan, miten paljon tulosteissa on esimerkiksi henkilötunnuksia. Virheitä on hänen mukaansa niin veropäätöksissä kuin myös verokorteissa.

– Läheskään kaikissa ei ole vaarallisia henkilötietoja, mutta niitäkin löytyy joukosta.

Verohallinto ei toistaiseksi ole ilmoittanut asiasta niille henkilöille, joiden tietoja on joutunut väärille vastaanottajille. Tällä hetkellä selvitetään, mitä tietoja on lähetetty ja kenelle.

– Tässä menee aikaa, kun massat ovat niin suuria. Tietoja pitää käydä manuaalisesti läpi, jotta asia selviää, tai sitten pitää keksiä jokin toinen analysointitapa.

Levasman mukaan ongelma tapahtui yllättäen. Verohallinnossa selvitetään nyt, mistä tulostusvirhe johtui ja kuinka ongelmat voitaisiin estää jatkossa.

– Historiassa on tietenkin ollut jonkin verran pienempiä ongelmia, kun toisten asiakkaiden papereita on yhdistynyt kuoritusvaiheessa, mutta tämän kokoluokan tulostusongelmia ei ole tapahtunut.

Verohalinto on kehottanut tuhoamaan vääriä henkilötietoja sisältävät kirjeet. Levasman mukaan kirjeitä voi vielä saapua postissa jakeluviiveen takia.

– Jos olen rehellinen, tällaisia voi sattua missä tahansa. Tätäkin järjestelmää on käytetty miljooniin tulosteisiin, ja ilman mitään muutoksia aiheutui näin totaalinen tilanne.

Aiemmin Verohallinnon viestintä on ollut esillä humoristisen luonteensa takia, kun viranomainen on reagoinut internet-ilmiöihin ja soveltanut niitä veromaailman kysymyksiin.

Nyt tilanne on myös Levasman mukaan vakava.

– Aina kun tietoa salassapidettävää tietoa menee väärään osoitteeseen, virhe on vakava, ja tässä volyymitkin ovat isot. Tämä on ilman muuta vakava tilanne, ja satsaamme äärettömän suurella panostuksella sen korjaamiseen.