Henkilötunnuksen vaihtamisen helpottaminen saa täystyrmäyksen terveysviranomaisilta – Kela taas ei näe muutosta tehokkaana: "Potilasturvallisuus vaarantuu"

Lakihanke koskee mahdollisuutta vaihtaa henkilötunnusta entistä laajemmin ja useammissa tilanteissa. Työ liittyy psykoterapiakeskus Vastaamon tietomurron yhteydessä esiin nousseeseen tarpeeseen henkilötunnusten vaihtamiselle tietoverkkorikosten ja esimerkiksi identiteettivarkauksien yhteydessä.

Esitetyssä lakihankkeessa lähdetään siitä, että tietoturvaloukkausten uhreilla on mahdollisuus vaihtaa henkilötunnusta jo ennen kuin tunnusta on toistuvasti käytetty väärin ja väärinkäytöllä aiheutettu merkittävää vahinkoa.Terveyden ja hyvinvoinnin laitos (THL) arvioi, että henkilötunnusmuutosten lisääntyminen muodostaa riskejä muun muassa potilas- ja reseptitietojen osalta. THL pitää käsityönä asiakas kerrallaan tehtäviä muutoksia virhealttiina, mikä voisi vaikuttaa potilasturvallisuuteen.

– Olemassa olevissa tiedonhallintaratkaisuissa tai järjestelmissä ei ole kattavasti tehokkaita välineitä tai toimintoja suuren määrän tunnuksien muuttamiseen automatisoidusti eikä kaikkien tunnuksella yksilöityjen tietojen linkittämiseen uuteen tunnukseen, THL huomauttaa lausunnossaan.

Paljon asiakirjoja paperimuodossa

Helsingin ja Uudenmaan sairaanhoitopiirin (Hus) mukaan terveydenhoidossa on edelleen paljon asiakirjoja pelkästään paperimuodossa, joita ei voi jälkikäteen muuttaa.

– Kun kyseessä ovat potilastiedot, joudutaan niiden kohdalla toimimaan erityisen tarkasti, jotta henkilön potilasturvallisuus ei vaarannu ainakaan siksi, että jokin merkityksellinen potilasasiakirja jäisi muuttamatta uuden henkilötunnuksen mukaiseksi, Hus tähdentää.

Kela ei näe ehdotettua muutosta tehokkaaksi keinoksi vähentää tietoturvaloukkauksia ja niistä uhreille aiheutuvaa vahinkoa. Henkilötunnuksen muuttamisella olisi mahdollista jossain määrin rajoittaa, mutta ei kuitenkaan tehokkaasti ehkäistä väärinkäytöksiä ja niistä aiheutuvaa vahinkoa.

– Henkilötunnusten muutosten olennainen lisääntyminen edellyttäisi terveydenhuollolta merkittäviä lisäresursseja. Lisäresursseista huolimatta manuaalisesti tehtävät jopa tuhansien henkilötunnusten yhtäaikaiset muutokset vievät aikaa, Kela varoittaa.

Suojaa identiteettivarkauksia kohtaan

Oikeuskanslerinviraston mielestä esitetty lakihanke on puolestaan ehdottomasti perusteltu. Viraston mukaan uudistus edistäisi yksilön oikeutta turvallisuuteen sekä suojan toteutumista yhä merkittävämmäksi arvioitavaa identiteettivarkauden riskiä vastaan.

– Henkilötunnuksia käytetään laajasti tavoilla, joiden seurauksena henkilötunnuksen tietäminen antaa mahdollisuuden käyttää henkilötunnuksen haltijan tietoja väärin, ja tästä voi aiheutua huomattavaa haittaa ja vahinkoa henkilötunnuksen haltijalle, oikeuskanslerinvirasto kirjoittaa.

Virasto pitää hyvin tärkeänä samanaikaisesta huolehtimista siitä, ettei henkilötunnusta käytettäisi tunnistamisen välineenä. Samoin olennaisen tärkeää on kehittää yleisesti tietoturvan ja kyberturvallisuuden tasoa koko yhteiskunnassa.

Myös eduskunnan oikeusasiamiehen kanslia pitää laajennettua mahdollisuutta muuttaa henkilötunnusta perusteltuna ja henkilötunnuksen oikean haltijan oikeusturvaa parantavana.

Oikeusrekisterikeskuksenkin mielestä lakiehdotus on kannatettava ja hyvin perusteltu.

Ei auta rikosten ehkäisyssä

Keskusrikospoliisi (KRP) arvioi, että nyt lausuttavana oleva lainsäädäntöesitys antaa rikoksen uhrille mahdollisuuden muuttaa henkilötunnustaan nykyistä helpommin, mutta rikosten ennalta estämisen näkökulmasta muutos jää tyngäksi.

KRP painottaa, että henkilötunnuksen väärinkäytön ehkäisyssä ensisijaisen tärkeää on henkilötunnusten käyttäminen jatkossa ainoastaan henkilöiden yksilöintiin ja erotteluun, ei tunnistamiseen.

Suojelupoliisi huomauttaa, että henkilötunnuksen muuttamisella ei vaikuteta tietojen lainvastaiseen käsittelyyn eikä myöskään aukottomasti poisteta petosten tekomahdollisuutta varastetulla identiteetillä, sillä myös muutettu henkilötunnus on altis väärinkäytöksille.

Muutokset vaikuttavat lukuisiin asioihin

Valtion tieto- ja viestintätekniikkakeskus Valtori arvioi, että henkilötunnuksen uusiminen on yksi keino turvata tietosuojarikoksen uhria. Se ei saa kuitenkaan olla ainoa keino, vaan lainsäädännössä pitää ehkä aiempaakin tarkemmin rajata niitä tahoja, joilla on oikeus henkilötunnuksen tallentamiseen tietojärjestelmiinsä.

Valtori huomauttaa, että vahvalla tunnistautumisella henkilö voidaan tunnistaa ilman henkilötunnusta.

Lisäksi on syytä edellyttää viranomaisilta aina neuvontaa muutosta hakeville, jotta hakija ymmärtää kaikki muutoksen vaikutukset. Henkilötunnuksen vaihtaminen vaikuttaa muun muassa passiin, ajokorttiin, omakantaan, pankkikortteihin ja niiden tunnuksiin sekä opintotodistuksiin.

Ei estä aukottomasti väärinkäytöksiä

Finanssivalvonta (Fiva) pitää ehdotettua lakimuutosta sinänsä perusteltuna, mutta henkilötunnuksen vaihtaminen ei kuitenkaan ole kokonaisuutena tarkastellen paras tapa suojata rikoksen uhriksi joutuneiden henkilöiden asemaa ja taloudellista turvallisuutta.

Fivan mukaan hallituksen esitysluonnoksessa henkilötunnuksen vaihtaminen aiheuttaa huomattavan määrän ylimääräistä työtä sekä henkilötunnusta vaihtavalle henkilölle itselleen että viranomaisille ja muille henkilötunnusta hyödyntäville tahoille, eikä henkilötunnuksen vaihtaminen silti estä aukottomasti vanhan henkilötunnuksen väärinkäyttöä. Verohallinnon mukaan asiakkaan kannalta henkilötunnuksen muuttamisella on vain vähäisiä vaikutuksia veroasioiden hoitamiseen. Verohallinto yhdistää asiakkaan veroasiat myös muuttuneelle henkilötunnukselle.