Hallituksen esitys eduskunnalle laiksi väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista annetun lain muuttamisesta

Oikeuskansleri kannatti hallituksen esityksestä antamassaan lausunnossa ehdotettua muutosta. Tietoturvaloukkauksen uhrin mahdollisuus saada henkilötunnuksensa vaihdettua edistää yksilön oikeuden turvallisuuteen sekä henkilötietojen suojan toteutumista nykyiseen tietojenkäsittelyyn sisältyviä riskejä ja erityisesti Suomessakin yhä merkittävämmäksi arvioitavaa identiteettivarkauden riskiä vastaan. Lisäksi muutos osaltaan tukee tietoturvaloukkausten uhreiksi joutuneiden turvallisuuden tunnetta sekä yleistä luottamusta siihen, että oikeusjärjestelmä suojaa tietomurtojen kohteeksi joutuneita.

Tehokkain keino vähentää uhreille aiheutuvia vahinkoja olisi se, ettei henkilötunnusta eri palveluissa käytettäisi tavoilla jotka antavat tunnuksen tietävälle mahdollisuuden tunnuksen väärinkäyttämiseen. Tietoturvaloukkausten aiheuttamaa riskiä tuleekin järjestelmällisesti vähentää laajentamalla riittävän luotettavien, varsinaisten tunnistamisen keinojen käyttöä ja edellyttämällä sitä lainsäädännössä. Erityisesti hyödykesidonnaisten luottosopimusten edellyttämän tunnistamisen sääntely on tässä kiireinen ja tärkeä lainsäädäntötoimien selvittämisen kohde. Olennaisen tärkeää on kehittää myös yleisesti tietoturvan ja kyberturvallisuuden tasoa koko yhteiskunnassa. Henkilötunnusten käytöstä tunnistamisen apuvälineenä luopuminen edellyttää muutoksia monien toimijoiden käytännössä, minkä vuoksi myös henkilötunnuksen väärinkäytöltä suojaaminen henkilötunnuksen vaihtamisen mahdollisuutta helpottamalla on perusteltua. Se ei kuitenkaan saa jäädä ainoaksi toteutettavaksi keinoksi vähentää tietoturvaloukkausten aiheuttamaa vahinkoa ja riskiä.

Oikeuskansleri katsoi, että tietoturvaloukkauksen uhrille ei voi asettaa korkeaa selvitysvelvoitetta sen osoittamiseksi, että henkilötunnuksen väärinkäyttö on ilmeistä tai että henkilötunnuksen muuttaminen suurella todennäköisyydellä estäisi merkittävät haitalliset seuraamukset ja piti välttämättömänä, että selvitysvastuu asetetaan pääsääntöisesti viranomaiselle ja että ratkaisun tekevälle viranomaiselle myös annetaan riittävä tiedonsaantioikeus tuon arvion tekemiseksi.

Oikeuskansleri piti myös tärkeänä, että ehdotetun lainsäädännön toimeenpanossa huolehditaan tietoturvaloukkausten uhrien riittävästä neuvonnasta.