Vastaamon tietomurto on pannut alulle useita henkilö­tunnukseen liittyviä uudistuksia, mutta säännöt eivät toistaiseksi ole muuttuneet. Henkilötunnuksen käyttö ainoana tunnistautumistapana on kielletty.

Psykoterapiakeskus Vastaamoon tehdyn tietomurron yhteydessä vuodettiin esimerkiksi ihmisten henkilötunnuksia ja muita tunnistetietoja, joiden avulla on mahdollista tehdä petoksia. Viime vuonna julkisuuteen noussut tapaus nostatti keskustelun muidenkin palvelujen tietosuojasta ja henkilötunnuksen hauraasta asemasta tunnistautumisvälineenä.

Tapauksen myötä ministeriöt ryhtyivät toimiin. Oikeusministeriö kertoi marraskuussa käynnistävänsä lainvalmistelua, jonka seurauksena verkossa edellytettäisiin kaikkien kuluttajaluottosopimusten tekemisessä vahvaa tunnistautumista. Myös henkilötunnuksen vaihtamisen mahdollisuuksien laajentamista alettiin valmistella.

Valtiovarainministeriö käynnisti loppuvuonna hankkeen henkilötunnuksen uudistamiseksi ja valtion takaaman identiteetin kehittämiseksi. Ministeriö haluaa muun muassa ehkäistä henkilötunnuksen käyttöä henkilöiden tunnistamisessa.

Lakien valmistelu on kesken, eikä mikään ole vielä Vastaamon jälkeen varsinaisesti muuttunut. Tietosuojavaltuutettu Anu Talus muistutti jo lokakuussa, että tunnistaminen ainoastaan henkilötunnuksen ja nimen perusteella esimerkiksi puhelimessa tai verkkokaupassa on jo kiellettyä.

”Perustavanlaatuinen ongelma on, että henkilötunnus ja nimi voivat olla erinäisistä syistä muiden kuin henkilön itsensä tiedossa”, Talus sanoo HS:lle.

Lokakuussa Talus myös totesi, että henkilötunnuksen käyttöön liittyvien linjausten tiukentamista pitäisi selvittää.

”Olemme arvioineet sitä talon sisällä ja tulleet tulokseen, että nykyinen linjamme on aika hyvin vastannut tarpeisiin”, hän sanoo nyt.

Ei ole kuitenkaan yksiselitteisesti niin, että henkilötunnus olisi täysin kielletty. Henkilötunnuksen avulla voidaan yksilöidä ihmisiä esimerkiksi laskujen perinnässä, palkanmaksussa ja terveydenhuollossa.

”Rekisterinpitäjän näkökulmasta on niin, että hänellä on vastuu varmistua siitä, että kyseessä on oikea henkilö. Ei ole poissuljettua, että henkilötunnus on siellä mukana arvion tekemisessä, mutta sen ja nimen lisäksi arviossa pitää olla muitakin tietoja”, Talus sanoo.

Palveluissa on isoja eroja siinä, mitä tietoja vaaditaan tunnistautumiseen. Verotietoihin tai verkkopankkiin pääsee vain vahvalla tunnistautumisella, mutta osassa palveluista luotetaan muihin tunnistautumistapoihin. Tällä hetkellä velvollisuus todentaa henkilöllisyys huolellisesti koskee esimerkiksi pikaluottoja mutta ei kertaluottoja tai laskutuspalveluja.

”Ylipäänsä olisi hyvin suositeltavaa, että vahvaa tunnistautumista käytettäisiin”, Talus sanoo.

Tiedon yksityisyyden ongelma pätee henkilötunnuksen lisäksi esimerkiksi puhelinnumeron, sähköpostin tai kotiosoitteen kohdalla. Nämäkin tiedot voivat ja ovatkin muiden kuin henkilön itsensä hallussa, mutta niitä voidaan käyttää henkilön tunnistamiseksi yhdessä muiden tietojen kanssa.

”Voi itse arvioida, käytetäänkö tunnistautumiseen sellaisia tietoja, jotka voivat helposti olla jonkun muun hallussa”, Talus toteaa.

Kansalaisella on aina oikeus saada tietää, mitä varten hänen tietojaan kerätään ja mitä tietoja hänestä ylipäänsä kerätään. Palveluntarjoajalla on velvollisuus pystyä perustelemaan, minkä vuoksi henkilötunnus kysytään.

”Punainen lanka on, että ihmisten henkilötietoja kerättäisiin mahdollisimman vähän”, Talus sanoo.

”Jos rekisterinpitäjällä ei kuitenkaan ole esimerkiksi laskutuksen oikein kohdentamisen vuoksi tarvetta kysyä henkilötunnusta, sitä ei pitäisi kysyä.”