Digitoday

Trafi jakaa ihmisten tietoja luovutuskiellosta huolimatta – keneltäkään ei kysytty lupaa

Julkaistu: , Päivitetty:

Trafi
Aiemmasta tietojenluovutuskiellosta huolimatta Trafi luovuttaa kansalaisten tietoja eteenpäin.
Liikenteen turvallisuusvirasto Trafin sähköiset palvelut vuotavat tietojenluovutuskiellon alaisia tietoja.

Luovutuskiellon alaisten tietojen vuotamisen huomasi tietoturvayhtiö F-Securen tietoturvajohtaja Erka Koivunen.
Trafi avasi tietosuojakohun myötä suljetut sähköiset palvelunsa osittain uudelleen viikonloppuna. Käyttöön palautuivat vahvan tunnistautumisen takana olevat ajokorttipalvelut, ajoneuvoverotuksen palvelut ja ajoneuvojen rekisteröintipalvelut lukuun ottamatta rekisteröintitodistusten tilauspalvelua. Lisäksi uudelleen aukesivat ammattipätevyyspalvelut, vammaisten pysäköintilupahakemuspalvelut, alusten katsastustietoihin liittyvä palvelu sekä vesikulkuneuvojen rekisteröintipalvelut ja tunnistetun käyttäjän tietotuotteiden tilaukset.

Koivusen mukaan palveluun on ilmestynyt uusia tietojenluovutuskieltotyyppejä. Nämä on oletusarvoisesti jätetty ruksaamatta, eli kielto ei ole voimassa. Tämä tapahtuu siitä huolimatta, että palveluun on tehty aiemmin täysi tietojenluovutuskielto.
Mainos (Teksti jatkuu alla)
Mainos päättyy

– Olin tyrmistynyt huomatessani, että taannoinen totaalinen tietojenluovutuskieltoni oli korvautunut sillä, että tiedot saa luovuttaa rajapinnan läpi tai tuotekehitystarkoituksiin. Tämä ei ole lainkaan tietojenluovutuskiellon hengen mukaista, Koivunen sanoo.

Rajapinta tarkoittaa tietojärjestelmästä ulospäin toteutettua ”liitäntää”, joka mahdollistaa tietojen siirtämisen järjestelmästä ulkopuolisille ja päinvastoin.

Koivunen huomauttaa, että tietojenluovutuskieltojen pitäisi koskea tietoja ylipäätään, ei tapoja, joilla tietoja luovutetaan.

– Tämä on ihan pöyristyttävää! Trafilla on syvä haluttomuus ottaa lusikka kauniiseen käteen. En tiedä, onko järjestelmä rakennettu sellaiseksi, ettei se toimi, vai onko ymmärryksessä puutetta, Koivunen lataa.

Koivunen huomauttaa, että EU:n gdpr-tietosuoja-asetus asettaa sanktioita yksityisille yrityksille, mutta julkista sektoria tämä ei koske. Hänen mielestään näyttää siltä, että tätä vapautta käytetään nyt räikeästi väärin.

– Ei oteta tätä tosissaan, kun ei ole sanktioiden pelkoa. Nyt tämä näyttää juuri toteutuvan. En ole tyytyväinen veronmaksajana enkä pörssiyhtiön tietoturvavastaavana. Toiset pääsevät kuin koira veräjästä.

Trafi: Tietojenluovutus oletusarvoisesti päällä

Trafin viestintäjohtaja Marjo Jäppisen mukaan uudet tietojenluovutuskategoriat otettiin käyttöön kesällä Trafin kaikkien rekisterien yhdistämisen myötä. Niiden myötä tuotiin myös uusia mahdollisuuksia estää tietojen luovuttaminen.

– Kaikki vanhat kiellot siirrettiin vahvennettuna uusiin kieltoihin siten, että vanha kielto oli vähintään samansisältöinen kuin mitä aiemmissa lainsäädännöissä oli, Jäppinen sanoo.

Miten on mahdollista, että henkilö, joka luulee tietojenluovutuskiellon olevan voimassa, huomaakin hänen tietojensa olevan luovutettavissa avoimiin rajapintoihin ja tutkimustarkoituksiin?

– Kaikki kiellot on toteutettu siten, että ne eivät ole voimassa automaattisesti. Henkilöiltä on edellytetty erikseen tiedon lisäämistä.

– Avoimet rajapinnat ja tutkimustarkoitus ovat uusia kieltokategorioita, joten niiden osalta henkilön pitää ilmoittaa tiedonluovutuskielto itse. Kaikki tätä ennen voimassaolevat kiellot huomioitiin ja olivat voimassa henkilön tiedoissa samansisältöisenä käytännön vaikututuksensa osalta. Koska tietoja ei ole voinut aiemmin luovuttaa avoimessa rajapinnassa, niin myös tällaista kieltomahdollisuutta tai voimassaolevaa kieltoa ei ole ollut.

Onko ihmisille kerrottu, että heidän tiedoistaan on tehty luovutettavia, vai onko se tapahtunut vaivihkaa?

– Viestinnässä voidaan varmasti aina parantaa, erityisesti tällaisessa asiassa. Liikenneasioiden rekisterin tietosuojaseloste on saatavilla Trafin internet-sivuilla ja selosteella kerromme henkilön mahdollisuudesta kieltää tietojensa luovuttaminen. Olemme myös toteuttaneet sähköiseen asiointiimme mahdollisuuden tarkastaa omien tiedonluovutuskieltojen voimassaolo, lisätä uusia kieltoja tai ottaa kielto pois voimasta.

Tiedot sanotaan siirretyn uuteen palveluun vahvennettuna, mutta näin ei vaikuttaisi todellisuudessa tapahtuneen. Tietoturva-ammattilainen on siinä uskossa, ettei hänen tietojaan luovuteta, mutta asia onkin toisin.

– Henkilöllä aiemmin voimassa olleet tiedonluovutuskiellot säilyvät edelleen voimassa vaikutukseltaan samanlaisena. Koska tietojen luovutusta ei ollut uusissa kategorioissa, ei tällaista kieltomahdollisuutta tai voimassaolevaa kieltoa ollut. Henkilö pystyy päivittämään omia kieltojaan sähköisessä asioinnissamme. Ja myönnän, että viestinnässä olisimme voineet toimia tehokkaammin, erityisesti tällaisessa asiassa.

Kun uusia luovutuskategorioita tulee, onko oikein toimittu, että tiedot ovat oletusarvoisesti luovutettavissa eikä salaisia, vaikka aiemmat tiedot on salattu? En nyt tarkoita lainsäädäntöä, vaan etiikkaa.

– Olemme pyrkineet tekemään kiellon tarkistamisen, lisäämisen tai poistamisen mahdollisimman helpoksi esimerkiksi sähköisessä asioinnissa. Kielloista itsessään säädetään laissa, mutta keskustelu tästä asiasta on erittäin tervetullutta.

Mitkä kaikki tahot saavat tietoja avoimen rajapinnan kautta? Voiko kuka tahansa tunnistautunut käyttäjä saada kenen tahansa tiedot?

– Kyseessä oleva liikennelupien avoin rajapintatoteutus on nimenomaan kaikille tarkoitettu avoin rajapinta liikennelupatietoihin. Sieltä on saatavilla tieto liikenneluvista, kuten taksilupien voimassa olosta ja haltijasta. Olemme kyllä teknisesti rajoittaneet tehtäviä kutsuja, mutta rajapinta on tarkoitettu nimenomaan tietojen avointa ja tehokasta ohjelmallista käyttöä varten. Tämä kyseinen avoin rajapintatoteutus on otettu pois käytöstä toistaiseksi viime viikolla. Haluamme varmistaa tietosuojan toteutumisen myös sen osalta.

Korjaus kello 14.03: Kyseessä ei ole kuljettajatietopalvelu, vaan tunnistautumisen takana olevat sähköiset palvelut.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt
    Tuoreimmat
    1. Juuri nyt
    2. Syksyllä havaittu radio­­aktiivinen päästö saattoi olla peräisin luultua pahemmasta INES 5 -tason turmasta
      Ulkomaat
    3. AFP: R&B-laulaja Chris Brown vapautettu ilman syytettä Ranskassa – väitettiin syyllistyneen raiskaukseen
      Viihde
    4. Huumeparoni El Chapon puolustus­asianajajan matalalla äänellä lausumat sanat käynnistivät spekulaatiot: ”Se olisi ennenkuulumatonta”
      Ulkomaat
    5. Nuorten MM-kultamitalisti loukkaantui pahannäköisesti SM-liigassa – Jukka Rautakorvella selvä näkemys tilanteesta
      SM-liiga
    6. Tunti sitten
    7. Lottoaja oli lunastamassa voittoaan, kun hänellä välähti – voittokuvasta tuli somehitti: ”Olen yllättynyt, ettei kukaan muu ole tehnyt tätä”
      Viihde
    8. Uusi paljastuskirja Valkoisesta talosta – Trumpin ex-avustaja kuvailee ilmapiiriä kaoottiseksi ja vilpilliseksi
      Ulkomaat
    9. Eduskuntaan pyrkivä rehtori pisti koulun oppilaat liimaamaan vaalimainoksia Alajärvellä – ”Siinä oli enemmän innostusta kuin harkintaa”
      Kotimaa
    10. Kuvat ja video: Osa Niagaran putouksista jäätyi paukkupakkasissa – maisema kuin Disneyn sadusta
      Ulkomaat
    11. Kommentti: Ville Niinistö on kuin Soinin ”vanha isäntä Reinoissa” – ja se on ongelma Pekka Haavistollekin
      Politiikka
    12. 2 tuntia sitten
    13. Olli Herman bongasi uuden rakkaansa sosiaalisesta mediasta: Tällaiset olivat rokkikukon ja ”kakkukaunottaren” ensitreffit
      Viihde
    14. Näytä lisää