Uusi paljastus Trafin henkilötunnusten vuodosta: Ongelma oli tiedossa jo elokuussa – kansalainen ehdotti ratkaisua, mutta sitä ei aluksi kuunneltu

Jo 9. elokuuta tavallinen kansalainen lähetti Trafille sähköpostin, jossa hän kertoi suomalaisten henkilötunnusten olevan helposti saatavissa Trafin kuljettajatiedot-palvelusta.

Trafin lakimies Päivi Karkkola vastasi kansalaiselle 11 päivää myöhemmin, että "Trafin julkiset palvelut on rakennettu siten, että niiden kautta ei luovuteta henkilötunnuksia eikä niitä mitenkään pitäisi pystyä sieltä saamaan".

Lue myös: Tietosuojavaltuutettu jyrähtää kovin sanoin Trafin ajokorttijupakasta – pahimmillaan avasi jopa ovia rikollisille

Seuraavana päivänä palautteen antaja vastasi Karkkolalle näyttäen yksityiskohtaisella esimerkillä, kuinka esimerkiksi Karkkolan henkilötunnuksen sai palvelusta helposti, kunhan tiesi henkilön nimen ja paikkakunnan. Hänen kehitysehdotuksensa oli, että henkilötunnuksella haettaessa palvelu ei tarjoaisi mitään nimitietoja.

Pari päivää myöhemmin Karkkola vastasi palautteen antajalle, että palvelua muutetaan siten, että henkilön syntymäaikaa ei enää luovuteta.

Muutos ei merkittävästi vaikeuttanut henkilötunnusten kalastamista, sillä syntymävuoden ja ajo-oikeuden voimassaoloon liittyvistä päivämääristä oli helppo päätellä syntymäpäivä. Korjausehdotusta ei kuitenkaan toteutettu.

Palveluun muutoksia syksyllä

Vasta lokakuussa palvelusta poistettiin mahdollisuus saada henkilötunnuksella henkilön nimi. STT on nähnyt Karkkolan ja palautteen antajan viestinvaihdon.

– Asiakaspalautteiden kautta tietoon tulleet ongelmat eivät olleet (aiemmin) tiedossa, kun palvelu on tehty. Se noudattelee normaalia palvelun kehityskaarta, että ketterästi tehtäessä palvelua muutetaan aina tilanteen mukaisesti, jos ongelmia tai haasteita havaitaan, sanoo Trafin yksikönpäällikkö Hannu Parkkisenniemi.

Karkkola kertoo vieneensä palautteen eteenpäin Parkkisenniemelle, jonka mukaan tieto organisaatiossa on kulkenut hyvin myös eteenpäin.

Lue myös: Trafin pääjohtaja erosi ajokorttikohun takia, jäi kuitenkin töihin Trafiin – virka olikin valmiina

Trafin pääjohtaja Mia Nykopp irtisanoutui tietosuojajupakan vuoksi tehtävästään joulukuussa. Hän ei halunnut kommentoida Trafin päätöksentekoa.

Myös tietosuojavaltuutetun toimistosta lähetettiin saapuneisiin palautteisiin perustunut selvityspyyntö elokuussa.

Sinne tuli jo heinäkuussa palaute, jonka mukaan Trafin palvelussa oli kenen tahansa henkilötunnus haettavissa epäsuorasti syntymäajan ja yksinkertaisen haun avulla. Trafi vastasi selvityspyyntöön ensimmäisen kerran syyskuun alussa.

Palvelusta laajasti tietoa

Viime vuoden heinäkuun alussa voimaan tulleen liikennepalvelulain mukaan jokaisella on oikeus saada yksittäisluovutuksena tiedot henkilön oikeudesta kuljettaa liikennevälinettä tai muusta henkilöluvan voimassaolosta ja laajuudesta etu- ja sukunimen, henkilötunnuksen tai muun yksilöivän tunnuksen perusteella.

Lain esitöissä eli kyseistä kohtaa koskevassa hallituksen esityksessä mainitaan muun muassa, että tiedot ajo-oikeuden voimassaolosta koskisivat sitä, onko ajo-oikeus voimassa vai ei. Trafin palvelusta sai paljon enemmän tietoa.

Lue myös: Trafi aloittaa sisäisen selvityksen sähköisten palveluidensa tietosuojasta

– Edelleen käsityksemme on se, että meillä lainsäädäntö on mahdollistanut tällaisen palvelun toteuttamisen, Parkkisenniemi sanoo.

Heinäkuussa avatun palvelun ongelmat tavoittivat Trafin elokuussa, mutta palvelu suljettiin vasta joulukuussa.

– Se aiheuttaa korkean kynnyksen, että suoraan laissa säädettyä palvelua lähdetään sulkemaan. Syytä sulkemiselle ei ennen joulukuussa syntynyttä julkisuutta ollut, Parkkisenniemi sanoo.