Yksityisten ihmisten verotietoihin liittyy tietoturva-ja väärinkäytösriskejä

Maanantai 2.11.2020 - Mia Laiho

Vastaamon tietoturvarikoksen myötä 40 000 ihmisen henkilötiedot ovat valuneet verkkoon. Pian tapahtuneen jälkeen eli 3.11 julkaistaan ihmisten verotiedot vuodelta 2019 kaikkien, myös rikollisten ulottuville. Verohallinto luovuttaa tiedotusvälineille listan niiden henkilöiden verotiedoista, joiden Suomeen maksetut ansio- ja pääomatulot olivat edellisvuonna yhteensä vähintään 100 000 euroa. Vetoankin verohallintoon, tiedotusvälineisiin ja hallitukseen, ettei tuloverotuksen tietoja vuodelta 2019 asetettaisi julkiseksi vielä 3.11 ja ilman kontrollointia. Listauksen julkistamiseen liittyy ihmisten turvallisuuteen ja yksityisyyteen liittyviä uhkia.

Tässä tilanteessa on erittäin kyseenalaista julkaista yksityisistä ihmisistä tällaisia tietoja, jotka sisältävät mm. ihmisten nimen, syntymäajan, tulotiedot ja asuinpaikan. On täysin mahdollista, että kiristys, uhkailu, ilkivalta ja varkaudet voivat kohdentua juuri verotietojen perusteella tehdyn listauksen kautta ihmisiin. Tällaista on tapahtunut myös Suomessa.

Vuonna 2009 tapahtui poikkeuksellinen kidnappaus ja kiristystapaus, jossa perheeltä kiristettiin miljoonia euroja tyttären vapauttamiseksi. Verotietojen julkistaminen sekä median julkaisemat nimi- ja kuvalistat kansalaisten tulotietoineen listaavat samalla tarjottimella rikollisille kidnappaus- ja kiristyskohteet. Tiedot ovat nykyisin vielä helpommin saatavilla, kun ne ovat sähköisessä muodossa ja napinpainalluksen takana.

Viime vuonna kansalaisille annettiin ensimmäistä kertaa mahdollisuus vastustaa tietojen luovuttamista ilmoittamalla verohallinnolle 1.10 mennessä kiellosta. Taustalla on EU:n yleinen tietosuoja-asetus GDPR.

Verohallinto päätti kyseisestä päivämäärästä käytännön syistä eli 1.10 päivämäärä ei perustu lakiin.

Omien tietojen julkistamisen kieltomahdollisuutta ei ole viestitty ihmisille juurikaan, eikä se enää hyödytä Vastaamon uhreja, koska Vastaamon tietoturvarikos nousi esille vasta 1.10 jälkeen, jolloin Verohallinto ei enää ota vastaan kieltoilmoituksia.

Verotietojen julkisuustietojen kielto pitäisi pystyä tekemään esim. veroilmoituksen täyttämisen yhteydessä. Harmaan talouden kitkemiseen ja julkisten virkojen palkkioiden esiin nostamiselle täytyy löytyä muitakin keinoja kuin kaikkien suomalaisten verotietojen julkisuus.

Vetoankin verovirastoon, hallitukseen ja mediaan, että tietojen julkistamisen kiellon määräaikaa pidennettäisiin, jotta kaikilla niillä kansalaisilla, joilla on siihen perusteltu tarve, ehtisivät tehdä kiellon. Myös Vastaamon tietoturvarikosten uhreja kohtaan on kohtuutonta lisätä yhteiskunnan taholta riskejä tulla hyväksikäytetyksi.

Tulevaisuudessa on myös syytä arvioida, liittyykö verohallinnon sähköiseen rekisteriin turvallisuusriskejä ja uudenlaisia uhkia ihmisten kannalta. Onko järkevää yhteiskunnan taholta tarjota kuin tarjottimella rikollisille kansalaistemme tulo- ja henkilötietoja ja lisätä tätä kautta riskejä hyväksikäytölle?

Verohallinnon olisi syytä merkitä myös ylös, kuka pyytää kenenkin tietoja. Jälkikäteen voisi tällöin esim. rikoksen sattuessa tarkastaa, kuka on käynyt tiedoissa. Tämä parantaisi uhrin asemaa.

Digitalisaation myötä yhteiskunta on muuttunut ja se asettaa haasteensa sekä tietoturvan tasolle, että ihmisten yksityisyydelle. Tämän takia nykyistä lainsäädäntöämme pitäisi pystyä arvioimaan uudelleen nykymaailman tietoturvallisuus uhkien valossa. Digitalisaatio on mennyt jättiloikin eteenpäin, mutta laki on jäänyt taakse. Ihmisen yksityisyyttä ja turvallisuusuhkia pitää pystyä ehkäisemään myös verkossa.

Jätin asiasta kirjallisen kysymyksen hallitukselle.

Kommentoi kirjoitusta. Avainsanat: Vastaamo, tietoturva, rikollisuus, identiteettuvarkaus, tietosuoja, vero

Terapiapalvelujen tietoturvarikos on uhrin henkinen raiskaus

Torstai 29.10.2020 - Mia Laiho

Terapiapalveluja tuottavan yrityksen laaja tietoturvamurto on nostanut esille huolen sosiaali- ja terveydenhuollon tietoturvan tasosta. Vastaamon tietoturvamurto ja kiristys ei koske vain uhreja, vaan myös ihmisten luottamusta potilastietojen tietoturvaan kaikkialla sosiaali- ja terveyspalveluissa. Jätin 26.10 hallitukselle kirjallisen kysymyksen sosiaali- ja terveydenhuollon tietoturvasta ja kyberturvallisuudesta. Halusin nostaa keskusteluun, kuinka varmistetaan, että terveydenhuollon digitalisaation myötä potilastietojärjestelmien, lääkinnällisten laitteiden, ohjelmistojen, etähallittavien laitteiden tietoturva ja siirrettävät sisällöt on huomioitu nykyisin ja miten tietoturva ja siihen liittyvät riskit on arvioitu suunnitellussa sote-uudistuksessa.

On huomioitava, että digitalisaatiossa on oltava korkeat laatuvaatimukset asiakkaan tietoturvan osalta. Tämä pätee niin sairaskertomuksia sisältävien potilastietojärjestelmien, etävastaanottojen että potilasvalvontajärjestelmien tietoturvaan sekä erilaisiin hälytyslaitteisiin liittyen. Ihmisten on voitava luottaa siihen, etteivät sosiaali-ja terveystiedot tiedot pääse ulkopuolisten käsiin.

Terveydenhuollon digitalisaatioon liittyy paljon muutakin kuin pelkät potilastiedot. Hoitotyötä helpotetaan monilla erilaisilla hälytys- ja valvontajärjestelmillä kuten diabeteksien ja sydämenrytmin etäseurannalla. Etävastaanottojen lisäksi etäyhteyksillä saadaan suorayhteys myös vanhusten koteihin, joten yksityisyydensuojan lisäksi myös tietoturvan tulee olla aukoton näissä palveluissa. Tärkeää on, että ihmiset voivat luottaa sosiaali- ja terveydenhuollon palveluihin ja ettei tietoturvavuodon pelossa jätetä apua hakematta.

Asiakastietolaissa tietojärjestelmät jaetaan valvonnan kannalta kahteen luokkaan. Kanta-palveluun liitetyt järjestelmät ovat ns. A-luokassa, ja kaikki muut luokassa B. Tietoturvakäytännöt ovat kuitenkin hyvin moninaiset ja Valviran mahdollisuudet valvoa kaikkia yrityksiä ovat riittämättömät.

Ne yritykset, jotka ovat pitkälti oman kontrollin luokassa eli B-luokassa, ovat tulevaisuudessakin korkeammassa riskissä tietoturvamurroille. Ihmisten henkilökohtaisia tietoja keräävät järjestelmät sekä digitaalisesti etäohjattavat hoitolaitteet tulisi mielestäni olla aina automaattisesti valvonnalta korkeammassa A-luokassa turvallisuusriskin takia.

Kyberturvallisuutta ei voi ajatella erillisenä tietoteknisenä kysymyksenä, vaan se on potilasturvallisuutta ja luottamusta yhteiskuntaamme ja sen palveluihin. Kyse on myös kansallisesta turvallisuudesta. SOTE-lakien valmistelussa olisi välttämätöntä olla tehtynä riskinarvio ja riskinhallintasuunnitelma liittyen hyvinvointialueiden tietojärjestelmiin ja tietoturvaan. Myös työntekijöiden tietoturva tulee varmistaa sote-alueen moninkertaiseksi kasvavan henkilöstöhallinnon myötä. Myös tietojen käsittelyä koskevan lainsäädännön uudistus olisi saatava nopealla aikataululla hallituksen työpöydälle.

Kun tällainen rikos on tehty, uhrien on saatava hoidettua rikosilmoitus, henkilötunnuksen vaihto, tietojenluovutuskielto, sekä vapaaehtoinen luottokielto ym. tärkeät yksityisyyttä suojaavat toimenpiteet nopeasti ilman hallinnollisia viiveitä. Näiden toimenpiteiden tulee myös olla tehtävissä ympäri vuorokauden ja ilman kuluja. Valtavan ahdistuksen, pelon ja epävarmuuden hoitoon tarvitaan myös tukea ja hoitoa. Terapiatietojen väärinkäyttöä voidaan pitää ihmisen henkisenä raiskauksena, josta voi jäädä pitkäkestoiset vauriot. Ihmisiä ei saa jättää yksin, oli sitten kyse käytännön järjestelyistä henkilötietorikoksen yhteydessä tai hoidon saamisesta tasapainoa järkyttäneessä tilanteessa ja sen jälkeen. Tietoturvarikoksen uhreja on Vastaamon yhteydessä tuhansia ja vaikutukset ovat laajat ja pitkäkestoiset. Toivottavasti tekijä saadaan oikeusteen vastuuseen teoistaan.

Sähköisen asioinnin käyttö, digitalisaatio ja robotiikka lisääntyy sosiaali- ja terveyspalveluissa koko ajan. On päättäjien, ministeriöiden, ja palveluja järjestäviä ja tuottavien toimijoiden vastuulla, että tietoturvasta on huolehdittu asianmukaisesti ja myös valvonnan resurssit ovat riittävät. Turvalliset tietoturvakäytänteet ovat myös meidän jokaisen vastuulla omassa toiminnassamme.

Kommentoi kirjoitusta. Avainsanat: Vastaamo, tietoturva, tietoturvarikos, psykoterapia