Psykoterapiakeskus Vastaamon tietomurron seuraamusten lieventämisen keinoja pohdittaessa on kysytty, voisiko Digi- ja väestötietovirasto muuttaa tietovuodossa osallisena olleiden henkilötunnukset. Tietovuodon seurauksena virastolle on jo tehty kymmeniä hakemuksia henkilötunnuksen muuttamiseksi. Jokainen hakemus käsitellään tapauskohtaisesti.

Henkilötietojen käsittelyn on oltava huolellista ja lainmukaista. Digi- ja väestötietovirastokaan ei voi poiketa lain säädöksistä, kun se käsittelee henkilötietoja ylläpitäessään väestötietojärjestelmää ja tekee kansalaisten tietoihin muutoksia. 

Väestötietojärjestelmästä säädetyn lainLinkki toiselle sivustolle mukaan henkilötunnus voidaan muuttaa siinä olevan virheen korjaamisen tai sukupuolen juridisen vahvistamisen lisäksi myös seuraavissa tilanteissa:

• henkilön terveyteen tai turvallisuuteen kohdistuu ilmeinen ja pysyvä uhka: tällä tarkoitetaan käytännössä esimerkiksi sitä, että henkilö on todellisessa ja akuutissa vaarassa joutua henkirikoksen tai pahoinpitelyn uhriksi. 
• joku muu on käyttänyt henkilötunnusta toistuvasti väärin, ja tästä on aiheutunut todellista taloudellista tai muuta haittaa. 

Identiteettivarkaustapauksissa henkilötunnuksen muuttaminen voi siis tulla kysymykseen, jos toisen henkilön henkilötunnusta väärin käyttämällä on aiheutettu hänelle konkreettista, toteen näytettävissä olevaa vahinkoa, esimerkiksi siten, että hänen nimissään on nostettu luottoa tai tehty verkkokauppaostoksia, nostettujen rahojen tai hankittujen tavaroiden päätyessä rikollisten käsiin ja uhrin jäädessä maksajan rooliin. 

Vastaamon tapauksessa ei kuitenkaan tiettävästi ainakaan vielä ole ollut kysymyksessä henkilötunnusten ym. henkilötietojen varastaminen siinä tarkoituksessa, että näitä tietoja käytettäisiin esimerkiksi luottojen nostamiseen tai verkkokauppaostosten tekoon. Rekisterinpitäjää (Vastaamo) ja sittemmin rekisteröityjä on kiristetty uhkaamalla näitä arkaluontoisten henkilötietojen paljastamisella potentiaalisesti laajalle joukolle sivullisia, mikä onkin useiden satojen henkilöiden kohdalla jo toteutunut.

Henkilötunnusten muuttamisen lailla säädetyt edellytykset eivät siis Vastaamon tapauksessa valitettavasti näyttäisi täyttyvän.  Kaikki muutosasiat käsitellään kuitenkin tapauskohtaisesti asianomaisen hakemuksesta. 

Henkilötunnuksen muuttaminen tarkoittaa käytännössä myös vaivaa ja kustannuksia, eli esimerkiksi henkilöllisyystodistusten (passi, henkilökortti, ajokortti) uusimista. 

Miten viranomaiset ja yritykset voivat estää identiteettivarkauksia?

Vastaamon tapauksen, kuten yleisemmin kaiken muun henkilötietojen vääriin käsiin joutumisen negatiivisia vaikutuksia voitaisiin tehokkaimmin vähentää huonontamalla identiteettivarkauksien onnistumisen mahdollisuuksia ainakin kahdella tavalla. 

• Lainsäädännöllä voitaisiin edellyttää vahvaa tunnistautumista eli pankkitunnusten tai mobiilivarmenteen käyttöä kaikessa verkossa tapahtuvassa luoton myöntämisessä. 
• Kaikessa liike- ja viranomaistoiminnassa pitäisi noudattaa asiakkaan henkilöllisyydestä varmistumisen hyviä käytäntöjä eli henkilötunnusta ei pitäisi käyttää tunnistautumiskeinona.

On selvää, ettei valtiovallan tule liiallisesti puuttua yksityisten toimijoiden väliseen kaupantekoon asettamalla lainsäädännön keinoin suhteettomia rajoituksia. Digitalisaatio muuttaa talouden toimintaympäristöä, tuo siihen uusia mahdollisuuksia ja uhkia. Tämä vaatii myös viranomaisilta hallintakeinojen uudistamisen tarpeen tarkastelua. Esimerkiksi mahdollisuuksia siirtää vastuuta asiakkaan heikosta tunnistamisesta entistä selvemmin ostajalta myyjälle on aiheellista selvittää. 

Asiakkaan vahva tunnistaminen voi vähentää tehokkaasti identiteettivarkauksien onnistumisen mahdollisuuksia ja siten vähentää rikollisten motiiveja varastaa henkilötietoja.

Blogin kirjoittaja Timo Salovaara on Digi- ja väestötietoviraston ylijohtaja. Twitterissä @TimoSalovaaraLinkki toiselle sivustolle