Uusimuotoinen yksilöintitunnus kaipaa tarkempaa analyysia
- Finanssiala ry:n mielestä ehdotuksessa omaksuttu tapa henkilötunnuksen sukupuolisidonnaisuudesta luopumiseksi nykyisen henkilötunnuksen sukupuolipäättelystä luopumalla on sellaisenaan kannatettava ja kustannustehokas.
- Uuden yksilöintitunnuksen osalta valtavat kustannukset ja ongelmat henkilötunnuksen lopullisesta korvaamisesta ohitetaan esityksessä esittämällä yksilöintitunnusta vain nykyisen henkilötunnuksen rinnalla käytettäväksi. Kustannus-hyöty -analyysi lopullisen käyttöönoton osalta jää näin ollen tekemättä. Tunnusten rinnakkaiskäytön hyödyt jäävät varsin ohuiksi. On olemassa riski, että yksilöintitunnuksen käyttöön liu’utaan täysin hallitsemattomasti, mikäli esim. verohallinto päättää ottaa sen käyttöönsä tiedonvälityksen avaimena. Uuden yksilöintitunnuksen luomiselle ei mielestämme ole tässä vaiheessa riittäviä perusteluita eikä sitä tule tehdä ennen kuin lopullisen käyttöönoton kustannukset ja hyödyt on perinpohjaisesti arvioitu.
- Kaipaisimmekin perusteellista keskustelua siitä, minkä vuoksi Suomessa henkilötunnuksen tietosisältöön liittyvät tulkinnat sekä ikätiedon näkymisen että henkilötunnuksen osoittaman syntymäpäivän oikeellisuuden osalta ovat muodostumassa niin tiukoiksi, että niiden takia joudutaan tekemään suuria investointeja, joilta lainsäädännöltään ja kulttuuriltaan hyvin saman kaltaisessa naapurimaassa on säästytty pragmaattisten tulkintojen ja ratkaisujen avulla.
- Hanke on aiemmin esittänyt uusien välimerkkien lisäämistä nykyisiin henkilötunnuksiin niiden riittävyyden takaamiseksi. Jotta henkilötunnuksia hyödyntävät organisaatiot ehtisivät toteuttaa uusien välimerkkien käsittelyn tietojärjestelmissään ennen kuin uusilla välimerkeillä varustettuja tunnuksia aletaan laajemmin jaella, tulisi etärekisteröinnin ja muunkin henkilötunnusten jakelun laajentamisen käyttöönottoa lykätä suunnitellusta vähintään kahdella vuodella.
- Etärekisteröintimenettelyä varten luotu tekninen kyvykkyys tulisi avata myös yksityisten yritysten käyttöön.
- Käynnissä olevassa valtion Digitaalisen henkilöllisyyden kehityshankkeessa tulisi toteuttaa myös puhelinasiointiin soveltuva tunnistamisväline tai -tapa.
VN/25041/2020-VM-101
1 Luonnos hallituksen esitykseksi
1.1 Yleiset huomiot esityksen tavoitteista
Esityksen yhtenä tavoitteena on luoda väestötietojärjestelmään henkilötunnuksen rinnalle kokonaan henkilötietoriippumaton yksilöintitunnus. Esityksen mukaan uusi yksilöintitunnus mahdollistaisi henkilöiden yksilöinnin yhteiskunnassa nykyistä paremmin tietosuojavaatimukset toteuttavalla tavalla.
Esityksen sivulla 1 todetaan aiemman työryhmän osalta seuraavasti: ”Saatujen lausuntojen ja valtiovarainministeriössä virkamiestyönä tehdyn jatkotyön perusteella työryhmän ehdotusta (uusimuotoisesta henkilötunnuksesta) sellaisenaan ei voitu pitää toteuttamiskelpoisena. Lausuntopalautteen pohjalta henkilötunnusjärjestelmän uudistamista jatkettiin hankkeen toisessa vaiheessa valmistellen kohdennetumpia ja rajatumpia muutoksia, joissa henkilötunnuksen nykyinen muoto säilytettäisiin.”
Käsittääksemme tilanne ei ole edellä kuvatusta hankkeen kuluessa muuttunut. Hankkeen elokuussa suorittaman vaikutusarviokyselyn vastauksista käy myös ilmi, että iso osa vastaajista ei edelleenkään näe uusimuotoisen yksilöintitunnuksen käyttöönotossa hyötyjä.
Tietosuojan parantaminen on tärkeä ja kannatettava tavoite, mutta mielestämme tulisi miettiä, voitaisiinko sitä parantaa muilla, vähemmän kustannuksia aiheuttavilla keinoilla. Toisella puolella vaakakupissa ovat erittäin suuret – Finanssiala ry:n arvion mukaan koko yhteiskunnan tasolla miljardiluokan – kustannukset ja henkilötunnuksen korvaavan tunnisteen käyttöönoton käytännön vaikeudet. Hankkeessa nyt toteutettavat muutokset nykyisen henkilötunnuksen sukupuolisidonnaisuuden poistamiseksi ja riittävyyden takaamiseksi myös tuottavat kustannuksia, joten lopullinen hintalappu lopputulemasta nousisi vielä alun perin arvioitua korkeammaksi.
Vaikutustenarviointi uuden yksilöintitunnuksen osalta on esityksessä tehty pelkästään tunnuksen vapaaehtoisen käyttöönoton kustannuksista. Uuden yksilöintitunnuksen henkilötunnuksen korvaavan käyttöönoton haasteita tai kustannuksia ei esityksessä käsitellä. Toisaalta henkilötunnuksen vaihtamisen helpottamista koskevassa muistiossa on ansiokkaasti kuvattu niitä haittoja, vaikeuksia ja kustannuksia, joita organisaatioille ja henkilölle itselleen aiheutuisi siitä, että henkilötunnuksia vaihdettaisiin useammille henkilöille kuin nyt. Näiden painavien syiden takia on päädytty siihen, että yksittäisten henkilötunnusten vaihtamista ei tule lainsäädännöllä helpottaa. Yhteenvetona siitä, miksi henkilötunnuksen vaihtamista nykyistä laajemmin ei tule mahdollistaa, todetaan: ”Henkilötunnusten muuttamisen alentamiskynnyksen madaltamisen vaikutuksia ei ole voitu arvioida kattavasti. Kaikki vaikutukset eivät ole ennakoitavissa ja ne voivat olla arvaamattoman suuret. Henkilötunnusta käytetään yksilöintiin lähes kaikissa yhteiskunnan eri toiminnoissa ja palveluissa. Henkilötunnusjärjestelmän periaatteena on tunnuksen ainutkertaisuus ja muuttumattomuus ja sen varaan myös lähes kaikki nykyiset järjestelmät on rakennettu.”
Muistiossa esiin tuodut syyt epäilemättä pätevät myös tilanteeseen, jossa kaikkien rekisteröityjen henkilöiden henkilötunnukset vaihdettaisiin toisiin – ja volyymin kasvaessa vaihtamisen aiheuttamat vaikeudet todennäköisesti moninkertaistuvat.
Esitys lähtee siitä, että uusimuotoinen yksilöintitunnus tuotaisiin tässä vaiheessa väestötietojärjestelmän sisäiseen käyttöön ja että halukkaat organisaatiot voisivat halutessaan käyttää sitä yksilöivänä tunnisteena. Tunniste ei tulisi henkilöiden itsensä tietoon eikä käyttöön. Esityksessä uusimuotoisen tunnuksen hyödyt kuitenkin nojaavat vahvasti siihen, että se olisi otettu käyttöön henkilötunnuksen korvaavana ensisijaisena tunnisteena. Jää siis epäselväksi, mikä on se välitön hyöty tai välttämätön tarve, johon uutta yksilöintitunnusta tällä hetkellä tarvitaan.
Hankkeen kuluessa on useaan otteeseen esitetty epäilyksiä rinnakkaiskäytön toimivuudesta organisaatioiden välisessä tietojen vaihdossa. Finanssialalla ei myöskään nähdä, että yksilöintitunnuksen pakolliselle käyttöönotolle annettava pitkälle tulevaisuuteenkaan ulottuva käyttöönottoaikataulu olennaisesti vähentäisi käyttöönoton kustannuksia tai ongelmia. On myös olemassa riski, että yksilöintitunnuksen käyttöön liu’utaan täysin hallitsemattomasti, mikäli esim. verohallinto päättää ottaa sen käyttöönsä tiedonvälityksen avaimena.
1.2 Huomiot mahdollisuuteen saada henkilötunnus jo Suomessa oleskeluun oikeuttavaa lupaa tai rekisteröintiä koskevan hakemuksen perusteella (1. lakiehdotuksen 9 ja 22.2 §)
Tavoite on ymmärrettävä, mutta aikataulutusta tulee vielä harkita. Hanke on aiemmin esittänyt uusien välimerkkien lisäämistä nykyisiin henkilötunnuksiin niiden riittävyyden takaamiseksi. Asiaa koskeva asetus on tulossa voimaan 1.1.2023 ja uusia välimerkkejä alettaisiin jaella Digi- ja väestötietoviraston arvion mukaan v 2023 lopussa tai 2024 alussa. Asetuksen lausuntokierroksella useat lausunnonantajat totesivat, että tarvittavien järjestelmämuutosten tekeminen ei tässä aikataulussa onnistu.
Koska asetuksen antaminen on viivästynyt, on muutosten toteutusaika lyhentynyt entisestään. Jos muutoksia ei saada tehtyä ajoissa, pitää uusilla välimerkeillä varustettuja henkilötunnuksia käsitellä poikkeusprosessein. Tästä voi aiheutua hankaluuksia henkilöiden tietojen eheyteen ja organisaatioiden väliseen tietojenvaihtoon.
Henkilötunnusten aiempaa laajempi jakelu oletettavasti lisää myös uusilla välimerkeillä varustettujen henkilötunnusten tarvetta. Jotta henkilötunnuksia hyödyntävät organisaatiot ehtisivät toteuttaa uusien välimerkkien käsittelyn tietojärjestelmissään ennen kuin uusilla välimerkeillä varustettuja tunnuksia aletaan laajemmin jaella, tulisi henkilötunnusten jakelun laajentamisen käyttöönottoa lykätä suunnitellusta vähintään kahdella vuodella.
1.3 Huomiot mahdollisuudesta tallettaa ulkomaalaisen henkilön tiedot väestötietojärjestelmään ulkoisen palveluntarjoajan oleskelulupa-asiassa tekemän henkilöllisyydestä varmistumisen perusteella (1. lakiehdotuksen 22.3 §)
Ei lausuttavaa.
1.4 Etärekisteröintimenettelyä koskevat huomiot (1. lakiehdotuksen 9 a–9 d ja 34 a §)
Etärekisteröinnillä tavoitellaan esityksen mukaan hyötyjä paitsi julkishallinnolle, myös elinkeinoelämälle. Jotta myös elinkeinoelämä voisi saisi tästä investoinnista täyden hyödyn, olisi etärekisteröintimenettelyä varten luotu tekninen kyvykkyys avattava myös yksityisten yritysten käyttöön. Tämä valtion palvelun avaaminen yksityisten yritysten käyttöön myös ilman liityntää etätunnistetun henkilön vtj-rekisteröintiin palvelisi nimenomaan esityksen tavoitteena olevaa Suomen digikyvykkyyksien parantamista.
Kannatamme esitettyä ratkaisua, jossa etärekisteröityjen henkilöiden rekisteritiedot ovat erotettavissa kasvokkain tunnistettujen tiedoista.
Etärekisteröintimenettelyn käyttöönottoaikataulu on mielestämme huomattavan tiukka. Henkilötunnusten riittävyyttä turvaavat uudet välimerkit on tarkoitus säätää käyttöön otettavaksi samaan aikaan etärekisteröintimenettelyn aloittamisen kanssa eli vuoden 2023 alusta lähtien. Etärekisteröinnin käyttöönotto mitä suurimmalla todennäköisyydellä lisää jaettavien henkilötunnusten määrää ja siten aikaistaa uusilla välimerkeillä varustettujen henkilötunnusten jakelua.
Välimerkkiasetusta koskevalla lausuntokierroksella useat lausunnonantajat toivat ilmi, että suunniteltu aikataulu on liian tiukka eikä uusien välimerkkien käsittelyä tietojärjestelmissä ehditä toteuttaa v 2023 alkuun mennessä. Muutosten toteuttaminen v 2023 alkuun mennessä ei olekaan suurimmalle osalle organisaatioista pakollista, mutta ne, jotka eivät saa muutoksia toteutettua ajoissa, joutuvat käyttämään poikkeusprosesseja niiden henkilöiden tietojen käsittelemiseen, jotka ovat saaneet uusilla välimerkeillä varustetun henkilötunnuksen. Sen lisäksi, että poikkeusprosessit ovat hankalia ja kalliita, niihin sisältyy myös riski virheistä ja henkilöä koskevien tietojen vaihdon estymisestä. Tämän vuoksi tulisikin etärekisteröinnin ja muunkin henkilötunnusten jakelun laajentamisen käyttöönottoa lykätä suunnitellusta vähintään kahdella vuodella.
1.5 Sukupuolineutraalia henkilötunnusta koskevat huomiot
Mielestämme ehdotuksessa omaksuttu tapa henkilötunnuksen sukupuolisidonnaisuudesta luopumiseksi nykyisen henkilötunnuksen sukupuolipäättelystä luopumalla on sellaisenaan kannatettava ja kustannustehokas.
On tärkeää, että ne toimijat, jotka tarvitsevat sukupuolitietoa toiminnassaan, saavat sen edelleen haettua väestötietojärjestelmästä erillistietona.
Haluamme kuitenkin tuoda esille, että tämäkin muutos aiheuttaa kustannuksia, joiden Finanssialan osalta on aiemmin arvioitu nousevan vähintään 40 miljoonaan euroon. Tämänhetkinen arvio kuitenkin on, että kustannukset tulevat olemaan selvästi tätä suuremmat. Nämä kustannukset, samoin kuin uusien välimerkkien lisäämisestä nykyisiin henkilötunnuksiin aiheutuvat muutoskulut, tulee mielestämme ottaa huomioon kokonaan uusimuotoisen yksilöintitunnuksen kustannus – hyöty -analyyseissa.
1.6 Uutta yksilöintitunnusta koskevat huomiot
Uuden yksilöintitunnuksen laajempi, nykyisen henkilötunnuksen korvaava käyttöönotto jää esityksessä auki. Kuitenkin uuden yksilöintitunnuksen esitetyt hyödyt, esimerkiksi sen väitetty identiteettivarkauksia tai ikä- ja sukupuolisyrjintää estävä vaikutus, liittyvät nimenomaan tilanteeseen, jossa yksilöintitunnus on korvannut nykyisin käytössä olevan henkilötunnuksen.
Nämä uuden yksilöintitunnuksen käyttöön liittyvät toiveet ja hyödyt vaikuttavat osin heikosti perustelluilta ja perusteluina käyttöönotolle on esitetty myös asioita, jotka toteutuvat muilla hankkeessa jo päätetyillä toimenpiteillä.
Esityksessä esim. todetaan: ”Yksilöintitunnuksen mahdollistamat tietosuojahyödyt ulottuisivat siten lähes kaikkiin julkisen ja yksityisen sektorin palveluihin… Täysi-ikäisyyden selvittämiseen lisäksi äärimmäisen harvoin liittyy minkäänlaista tarvetta samalla tietää henkilön sukupuoli”. Koska käsillä oleva esitys sisältää nykyisen henkilötunnuksen sukupuolisidonnaisuudesta luopumisen, on kummallista, että uuden yksilöintitunnuksen sukupuoliriippumattomuus tuodaan esiin ikään kuin henkilötunnuksen käsittelyyn verrattuna saavutettavana uutena hyötynä. Tässä yhteydessä ei myöskään tuoda esille valtion toisen vireillä olevan, digitaalisen henkilöllisyyden kehittämisen, hankkeen suunnitelmia luoda tunnistusväline, jonka avulla käyttäjä voisi nimenomaan vahvistaa vain tiettyjä itseensä liittyviä tietoja, esim. täysi-ikäisyyden, kertomatta sen enempää henkilötietojaan.
Esityksessä on valittu lähestymistapa, jossa uuden yksilöintitunnuksen osalta tuodaan esille hyötyjä, jotka olisivat saavutettavissa vasta, kun tunnus on laajasti korvannut henkilötunnuksen ja jätetään tuomatta esiin korvaamisen aiheuttamat suuret kustannukset ja vaikeudet. Tällä tavalla uuden yksilöintitunnuksen varsinaisen, vaikkakin epämääräiseen tulevaisuuteen jäävän, käyttöönoton kustannus-hyöty -vertailu jää kokonaan tekemättä.
Henkilötunnuksen vaihtamisen helpottamista koskevassa muistiossa sen sijaan on laajasti tuotu esille ongelmia, joita jo useampien yksittäisten henkilötunnusten muuttamisesta voisi aiheutua. Esim. ”Toimintaympäristön moninaisuuden vuoksi lisääntyneillä henkilötunnusmuutoksilla saattaisi olla useita ennalta arvaamattomia vaikutuksia tiedon hyödyntäjien toimintaan ja tiedonhallintaan.” sekä ”..tietoja luovuttavilta toimijoilta saatavien tietojen osalta, erityisesti jos henkilötunnustiedon ajantasaisuus poikkeaa luovuttavan ja vastaanottavan toimijan rekistereissä, vaikutukset voivat olla merkittävät tietojen yhdistämisestä uudelle henkilötunnukselle.” Edelleen: ” Niiltä osin, kun toiminnassa tarvittavat tietoaineistot eivät ole digitaalisessa muodossa tai niitä ei ole mahdollista muuttaa, tulee viranomaisten tietojen eheyden varmistamiseksi ylläpitää uuden ja vanhan henkilötunnuksen välisen yhteyden hallintaa”. Muistiossa on tuotu esille myös konkreettisia uhkia esim. terveydenhuollon toimivuudelle: ”…mikäli tieto muuttuneesta henkilötunnuksesta päivittyy tietojen luovuttajan rekistereihin tiedonsaajan rekisteriä myöhemmin, tai päinvastoin, voi muutosvaiheessa syntyä tilanteita, joissa uudella henkilötunnuksella tehty tiedustelu ei kohtaa tiedonantovelvollisen rekisterissä olevia, vanhaan henkilötunnukseen liittyviä tietoja. … saattaa henkilötunnusten muuttuminen aiheuttaa tilanteita, jossa terveydenhuollon toimintayksilöiden välillä lähetetyt lähetteet eivät kohdennu automaattisesti oikeaan henkilöön tietoja vastaanottavassa päässä.” Ja edelleen ”…terveydenhuollon viranomaisilla on edelleen tietoa paperimuodossa … aiheuttaa lisätyötä tietojen löytämiseksi sekä kehitystarpeita tietojärjestelmiin uuden ja vanhojen henkilötunnusten välisten linkityksen ylläpitoa varten. Myös sähköisessä muodossa oleviin tietoihin saattaa liittyä tilanteita, jossa tietoa ei ole mahdollista muuttaa jälkikäteen.” Kanta-palvelujen osalta on todettu: ”Tapauksessa, jossa potilaan henkilötunnus muuttuu, joudutaan kertaalleen toimitetut asiakirjat versioimaan ja lähettämään uudelleen uudella henkilötunnuksella. Joillakin henkilöillä näitä dokumentteja arvioidaan olevan jopa tuhansia ja henkilötunnuksen muutostilanteessa nämä lähetykset voidaan joutua tekemään käsityönä potilaskohtaisesti.” ja sähköisen asioinnin osalta todetaan: ”…tunnistuspalvelun muuttaminen toimimaan siten, että loppuasiakaan vahva tunnistautuminen palauttaisi palveluntarjoajalle myös aikaisemmat henkilötunnukset, edellyttäisi palvelun kehittämistä ja vaatisi investointeja. Yhteistä palvelua merkittävämmät kustannukset aiheutuisivat kuitenkin siitä, että palveluntarjoajat muuttaisivat tietojärjestelmänsä vastaanottamaan toiminnallisuuksiltaan ja käsittelemään aikaisempia henkilötunnuksia ja tunnuksille liitettäviä tietoja asioinnin asettamien vaatimusten edellyttämällä tavalla.”
Esityksen vertailussa Ruotsiin on mielenkiintoista, että vaikka Ruotsin henkilönumero sisältää samat tiedot kuin Suomen henkilötunnus, sitä käytetään Ruotsissa laajasti yksilöintitunnuksena eri tahojen rekistereissä. Henkilönumero ei ole Ruotsissa salassa pidettävää tietoa, minkä takia toisen henkilön henkilönumero on suhteellisen helppo selvittää, jopa kaupallisista verkkopalveluista. Tämä on erittäin mielenkiintoinen ero, etenkin kun EU:n tietosuojasääntely koskee myös Ruotsia. Ruotsissa henkilönumeroiden riittävyysongelma on myös ratkaistu niin, että henkilölle voidaan antaa henkilönumero läheisiltä päiviltä, jos syntymäpäivän henkilönumerot ovat loppuneet. Myös Norjassa henkilötunnuksen tietosisältö on Suomen kaltainen ja sielläkin on tyydytty ratkaisemaan riittävyysongelmat nykyisen henkilötunnusformaatin sisällä. Kaipaisimmekin perusteellista keskustelua siitä, minkä vuoksi Suomessa henkilötunnuksen tietosisältöön liittyvät tulkinnat sekä ikätiedon näkymisen että syntymäpäivän oikeellisuuden osalta ovat muodostumassa niin tiukoiksi, että niiden takia joudutaan tekemään suuria investointeja, joilta lainsäädännöltään ja kulttuuriltaan hyvin saman kaltaisessa naapurimaassa on säästytty pragmaattisten tulkintojen ja ratkaisujen avulla.
Tietosuojalakiin esitetään lisättäväksi uusi 29a §, joka mahdollistaa uuden yksilöintitunnuksen käsittelemisen, jos käsittely on tarpeen henkilön yksiselitteiseksi yksilöimiseksi. Esityksen perusteluista ei käy ilmi, miksi käsittelyperusteeksi ei esitetä myös suostumusta vastaavasti kuin TSL 29 §:ssä henkilötunnuksen käytön osalta. TSL 29 a §:än ehdotettu kielto yksilöintitunnuksen käytöstä tunnistamiseen jää myös kevyesti perustelluksi. Yksilöinnin ja tunnistamisen raja on käytännön toiminnassa häälyvä eikä kieltoa ole millään tavalla sanktioitu, joten se jää helposti kuolleeksi kirjaimeksi. Mikäli laissa olevan kiellon oletettaisiin olevan tehokas, olisi loogista ulottaa se myös nykyisiin henkilötunnuksiin. Tällaista ei kuitenkaan ole esitetty.
1.7 Muut hallituksen esitystä ja alustavaa asetusluonnosta koskevat huomiot
Henkilötunnuksen merkitystä finanssialan yritysten palveluissa on käsitelty esityksessä useaan otteeseen:
s. 21 on todettu: ”käytännössä esimerkiksi pankkitilin avaaminen tai tiettyjen vakuutusten saaminen voi tosiasiallisesti osoittautua ilman henkilötunnusta mahdottomaksi.”
s. 22: “Henkilötunnuksen puute voi vaikeuttaa mm. pankkitilin avaamista… Myöskään pankkitunnusten ja niiden kautta vahvaan sähköiseen tunnistautumiseen vaadittavan välineen saaminen ei onnistu ilman henkilötunnusta.”
s 38: “Vastaavia haasteita aiheutuu myös yleisessä edunvalvonnassa, jossa henkilötunnuksen puute voi estää esimerkiksi pankkitilin avaamisen asiakkaalle.”
s. 39:” Aikaisemmassa vaiheessa saatava henkilötunnus mahdollistaisi vahvan sähköisen tunnistamisvälineen saamisen ja voisi helpottaa ja nopeuttaa muun muassa pankkitilin avaamista,”
On huomattava, että useinkin ongelma ei ole henkilötunnuksen, vaan sen osoittamisen puute. Pankkitili sekä pelkästään pankkiasiointiin kelpaavat pankkitunnukset voidaan myöntää ja myönnetäänkin myös ilman henkilötunnusta. Usein isoin ongelma pankin näkökulmasta on se, ettei suomalaisen hetun ja pankissa esitettävän ulkomaisen henkilöllisyystodistuksen välillä ole mitään yhteyttä niin, että ne voitaisiin yhdistää samaan henkilöön. Pankkiasioinnin kannalta siis tärkeää olisi, että henkilötunnuksen saaneelle henkilölle myös myönnetään pikaisesti suomalainen henkilöllisyystodistus (ulkomaalaisen henkilökortti). Pelkän henkilötunnuksen myöntäminen ilman mahdollisuutta sen luotettavaan osoittamiseen ei siis auta.
2 Informaatio-ohjauksen suunnitelma
2.1 Ovatko toimenpidesuositukset oikean suuntaisia? Mitä pidätte erityisen hyvänä tai mitä pidätte tarpeettomana?
Identiteettivarkauksien estämisessä henkilötunnuksen käytön estämiseen keskittyvä lähestymistapa ei mielestämme ole hedelmällisin. Parempi tavoite voisi olla herättää asiointipalvelut asioivan henkilön henkilöllisyyden riittävään varmistamiseen.
Mikäli lähdettäisiin sääntelemään henkilötunnuksen tunnistamiskäyttöä, tulisi lainsäädännössä pystyä riittävällä tarkkuudella kuvaamaan, milloin on kyseessä henkilön yksilöinti ja milloin tunnistaminen. Tällaisen määrittelyn tekeminen voi olla haasteellista. Esim. suunnitelmassakaan ei ole apteekkiasioinnin osalta selkeää, katsotaanko Kela-kortin esittäminen olevan tunnistamista vai yksilöintiä: ”Selvityksen perusteella Kela-korttia käytetään usein apteekeissa ja julkisessa terveydenhuollossa henkilön tunnistamisessa (yksilöinnissä).”
Suunnitelmassa mainittuun omien tietojen hallintaan liittyvän varoitusmerkinnän hyödyllisyyteen liittyy mielestämme useita kysymyksiä, jotka tulisi tarkoin selvittää ennen kuin voidaan tehdä mahdollista päätöstä merkinnän toteuttamisesta. Ensinnäkin mikäli varoitusjärjestelmä toteutettaisiin vapaaehtoisena, voisi sen käyttö asiointipalveluissa jäädä vähäiseksi. Toisaalta varoituksen pakolliseksi tekemisen tueksi tulisi olla näytettävissä selkeitä käyttökohteita ja sellaisia hyötyjä, joita ei jo käytössä olevilla varoitus- ja kieltomerkinnöillä voida saavuttaa. Toisaalta tulisi tarkastella myös niitä hankaluuksia, joita yksilöimättömästä ja seurauksiltaan tarkemmin määrittelemättömästä varoituksesta voi aiheutua sekä varoituksen asettaneelle henkilölle itselleen että palvelun tarjoajille erilaisissa palvelutilanteissa.
2.2 Millä muilla toimenpiteillä henkilötunnuksen kysymistä ainoana tunnistustapana voitaisiin ehkäistä sähköisessä asioinnissa, käyntiasioinnissa ja puhelinasioinnissa?
Henkilötunnuksen kysymisessä voi olla kyse joko tunnistamisesta tai henkilön yksilöinnistä. Rajanveto yksilöinnin ja tunnistamisen välillä voi olla häälyvä. Tekstissä on suoraan todettu, että henkilötunnusta harvoin käytetään ainoana tunnistamistapana. Samoin lausuntokierroksella olevassa VTJ-lain muuttamista koskevassa HE:ssä on todettu näin: ”Tosiasiallisesti keskeisin riskinhallintakeino olisi puuttua mahdollisuuksiin hyödyntää toisen henkilön identiteettiä väärinkäytösten välineenä. Käytännössä tältä osin monia toimenpiteitä on jo toteutettu ja väärinkäytökset ovat jo nykyään suhteellisen harvinaisia ja pienimuotoisia.”
Keskeinen viesti asiassa tulisi mielestämme olla raportissakin mainittu: ”Asiointitilanteessa hyödynnettävän tunnistusmenetelmän valinta edellyttää palveluntarjoajalta asiointitilanteeseen liittyvien riskien arvioimista ja riskien riittävää hallintaa.” Riskien tunnistamiseen ja arviointiin liittyvien mallien tuottaminen olisi mielestämme hyödyllisempää kuin henkilötunnuksen käytön yksiselitteinen kieltäminen tai tiettyjen tunnistustapojen pakolliseksi määrääminen.
2.3 Mitä säädösmuutostarpeita tai ohjeistuksia tunnistatte eri toimialoilla tai palveluissa, jotta henkilötunnuksen kysymistä ainoana tunnistustapana voitaisiin ehkäistä?
Tarvittaisiin tarkempaa analyysia siitä, millaisissa tilanteissa asiointi tapahtuu pelkästään henkilötunnuksen perusteella ja millaista riskiä tällaiseen käytäntöön ko. asiointitilanteessa liittyy.
2.4 Mitä säädösmuutostarpeita tunnistatte, että tunnistustapahtuma olisi tarpeeksi luotettava palvelutapahtumaan nähden ja näettekö tarvetta velvoittaa laajemmin vahvan sähköisen tunnistamisen käyttöön (millä toimialoilla, missä palveluissa)?
Suunnitelmassa todetaan: ”Vastausten mukaan suuren riskin asiointitapahtumat ovat yleisesti ottaen asetettu vahvan tunnistamisen taakse. Tapahtumissa, joissa vahvaa tunnistamista ei käytetä, ovat vastaajien mukaan väärinkäytöksen riskit hyvin pieniä.” Käytettävän tunnistamistavan vahvuus tulisikin suhteuttaa asiointitapahtumaan liittyvään riskiin. Mielestämme ei ole järkevää velvoittaa vahvaan tunnistamiseen sellaisissa palveluissa ja tilanteissa, joihin sisältyvä riski on pieni.
Puhelinasioinnin osalta suunnitelmassa todetaan tunnistamisen jäävän usein heikoksi. Ennen kuin velvoittavaa sääntelyä puhelinasioinnissa voidaan edes harkita, tulisi siihen olla käytettävissä välineitä. Mielestämme käynnissä olevassa Digitaalisen henkilöllisyyden kehityshankkeessa tulisikin toteuttaa myös puhelinasiointiin soveltuva tunnistamisväline tai -tapa.
3 Henkilötunnuksen vaihtamiskynnyksen madaltamista koskeva arviomuistio
3.1 Kommentit muistioon
Muistiossa on todettu: ”Muutos voisi aiheuttaa arvaamattomia vaikutuksia henkilötunnuksen käyttämiseen koko yhteiskunnassa sekä ongelman henkilötunnusten riittävyydelle.”
Kuitenkin Henkilötunnusjärjestelmän uudistamista koskevat säädös- ja muut ehdotukset sisältävässä HE-luonnoksessa todetaan seuraavasti: ”Asetuksella muutetaan henkilötunnuksen rakennetta siten, että syntymäajan perässä oleva välimerkki yhdistetään osaksi yksilönumeroa, jolloin välimerkistä tulee yksilöivä osa tunnusta. Samalla otetaan käyttöön yhteensä kymmenen uutta välimerkkiä, jotka lisäävät merkittävästi käytettävissä olevien henkilötunnusten määrää. Kuvatun ratkaisun perusteella henkilötunnusten riittävyys on pystytty varmistamaan pitkälle tulevaisuuteen.”
FINANSSIALA RY
Hannu Ijäs
Jäikö kysyttävää?
|Ota yhteyttä aiheen asiantuntijaan