19.8.2022

Henkilötietojen käsittelyn turvallisuus ajanvarausjärjestelmässä

Apulaistietosuojavaltuutetun päätös

Asia

Henkilötietojen käsittelyn turvallisuus (yleisen tietosuoja-asetuksen ((EU) 2016/679) 32 artiklan 1 ja 2 kohta)

Oikeudellinen kysymys

Asiassa on ratkaistavana

1. onko henkilötietojen käsittely rekisterinpitäjän ylläpitämässä verkkoajanvarausjärjestelmässä täyttänyt yleisen tietosuoja-asetuksen ((EU) 2016/679) 32 artiklan 1 ja 2 kohdassa asetetut vaatimukset.

Apulaistietosuojavaltuutetun päätös

1. Henkilötietojen käsittely rekisterinpitäjän ylläpitämässä verkkoajanvarausjärjestelmässä ei ole täyttänyt yleisen tietosuoja-asetuksen ((EU) 2016/679) 32 artiklan 1 ja 2 kohdassa asetettuja vaatimuksia.

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 32 artiklan 1 ja 2 kohdan rikkomisen seuraamukseksi yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisesti huomautuksen.

Apulaistietosuojavaltuutetun päätöksen perustelut

Sovellettavat säännökset

Yleisen tietosuoja-asetuksen ((EU) 2016/679) (jäljempänä ”tietosuoja-asetus”) 32 artiklan 1 kohdan mukaan ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten

a) henkilötietojen pseudonymisointi ja salaus;

b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen ja teknisen vian sattuessa;

d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Tietosuoja-asetuksen 32 artiklan 2 kohdan mukaan asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

Tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaan jokaisella valvontaviranomaisella on toimivalta antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tietosuoja-asetuksen säännösten vastaisia.
Tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaan jokaisella valvontaviranomaisella on toimivalta määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tietosuoja-asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa.

Tietosuojalain (1050/2018) 8 §:n mukaan tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusministeriön yhteydessä on tietosuojavaltuutettu.

Rekisterinpitäjältä saatu selvitys
Rekisterinpitäjän selvitys 13.12.2019

Rekisterinpitäjän 13.12.2019 antaman selvityksen mukaan käyttäjä kirjautuu verkkoajanvaraukseen henkilötunnuksella ja etu- ja sukunimellä. Verkkoajanvaraus tarkistaa käyttäjän antamat tiedot vertaamalla niitä potilastietojärjestelmään tallennettuihin tietoihin. Käyttäjän antaman henkilötunnuksen muoto tarkistetaan. Jos henkilötunnus löytyy potilastietojärjestelmästä, tarkistetaan täsmääkö käyttäjän antama sukunimi täysin ja etunimen ensimmäinen kirjain potilastietojärjestelmään tallennettuun tietoon. Jos henkilötunnusta ei löydy potilastietojärjestelmästä, käsitellään käyttäjää uutena asiakkaana.

Selvityksen mukaan järjestelmä estää ajan varaamisen, jos varausten maksimimäärä on täynnä, verkkoajanvaraus on estetty, asiakkaalla on maksuhäiriömerkintä, nimitietojen tarkistus epäonnistuu tai henkilötunnuksen muototarkistus epäonnistuu. Potilastietojärjestelmään voidaan selvityksen mukaan tallentaa henkilötunnuskohtainen verkkoajanvaraus estetty -tieto sekä maksuhäiriötieto, jotka estävät kirjautumisen verkkoajanvaraukseen ja aikojen varaamisen verkosta. Jos käyttäjä yrittää varata verkosta aikaa ja hänen tiedoissaan on jompikumpi edellä mainituista tiedoista, sisäänkirjautuminen ei onnistu ja käyttäjää ohjataan soittamaan asiakaspalveluun syytä kertomatta. Jos taas käyttäjän antamat kirjautumistiedot eivät etu- ja sukunimen osalta täsmää potilastietojärjestelmässä kyseisellä henkilötunnuksella oleviin tietoihin, käyttäjää ohjataan tarkistamaan kirjautumistiedot. Jos käyttäjän antaman henkilötunnuksen muototarkistus epäonnistuu, käyttäjää ohjataan korjaamaan tiedot ilmoituksella ”henkilötunnus on väärää muotoa”.

Rekisterinpitäjän käsityksen mukaan verkkoajanvarauspalvelua on tietyin edellytyksin mahdollista käyttää hyväksi henkilötunnuksen loppuosan selvittämiseen. Lähtötietoina vaaditaan henkilön etu- ja sukunimi sekä syntymäaika. Henkilötunnusta ei rekisterinpitäjän mukaan käytetä ajanvarauksessa varaajan tunnistamiseen vaan varaajan yksilöintiin.

Selvityksen mukaan henkilötunnuksen loppuosan selvittäminen on mahdollista kokeilemalla henkilötunnuksen loppuosan kaikki eri vaihtoehdot joko ohjelmallisesti tai manuaalisesti. Ohjelmallisesti selvittäminen voidaan tehdä kohtalaisen nopeasti. Selvityksen mukaan rekisterinpitäjä on tietoturva-auditoinut palvelunsa, ja sen tuloksena rekisterinpitäjällä on tiedossaan komentoriviohjelmakoodi, jolla ohjelmallisesti raa’an voiman tekniikalla (ns. ”brute force -tekniikka”) henkilötunnuksen loppuosan selvittäminen testitunnukselle on onnistuneesti tehty.

Jos verkkoajanvarauspalvelu on yksittäisen henkilön osalta tarkoituksellisesti estetty, henkilötunnuksen oikeellisuuden selvittäminen ei selvityksen mukaan ole mahdollista. Palvelu antaa tällöin ilmoituksen ”Kirjautuminen ei onnistunut”.

Rekisterinpitäjän käsityksen mukaan henkilötunnuksen loppuosan selvittämistä voisi nykyratkaisussa pyrkiä estämään rajoittamalla virheellisesti syötettyjen tietojen uudelleenyrityksiä. Erityisesti ohjelmallisen selvittämisen estämisen tapoja voisivat olla esimerkiksi IP-osoitteiden hetkellinen estäminen, syötteenä annetun nimen viivästämiset tai lukitus tai CAPTCHA-teknologian käyttö. Selvityksen mukaan rekisterinpitäjä selvittää parhaillaan erilaisia ratkaisuvaihtoehtoja ja sitä, miten ne olisivat käytännössä toteutettavissa ilman, että palvelun käytettävyys heikentyy tai estyy. Koska selvitettävien vaihtoehtojen vaihtoehtoavaruus on suomalaisen henkilötunnuksen määräytymiskaavan vuoksi varsin pieni, ei viivästysmenetelmistä selvityksen mukaan välttämättä saada hyötyä. Selvityksen mukaan vaihtoehtoinen tapa olisi muuttaa palvelua siten, että käyttäjän täytyy tunnistautua palveluun ennen ajanvarausta joko vahvasti tai heikosti.

Selvityksen mukaan rekisterinpitäjä pystyy tutkimaan mahdollisia väärinkäytöksiä palvelusta kerätyistä lokitiedoista. Tyypillisesti selvitys tehdään, jos jokin kolmas osapuoli, kuten viranomainen tai rekisteröity itse sitä pyytää. Jos rekisterinpitäjä havaitsee lokitiedoista tai esimerkiksi järjestelmien toiminnan teknisen monitoroinnin yhteydessä mahdollisen väärinkäytöstilanteen, rekisterinpitäjä informoi siitä tarpeen mukaan asianosaisia ja/tai viranomaisia tekemällä esimerkiksi rikosilmoituksen poliisille. Lähtökohtaisesti julkiseen verkkoon auki olevan palvelun väärinkäyttäjän henkilöllisyyden selvittäminen pelkästään rekisterinpitäjän hallinnoimien tietojen perusteella ei selvityksen mukaan ole mahdollista.

Selvityksen mukaan verkkoajanvaraukseen sisältyy riski siitä, että järjestelmää käyttävän henkilön henkilötunnus on mahdollista selvittää ns. ”brute force -tekniikalla”. Henkilötunnuksen selvittämisestä voi aiheutua mahdollinen riski sille, että henkilö voi joutua identiteettivarkauden kohteeksi, jos henkilötunnusta käytetään identiteettivarkauden täyttävän teon tunnusmerkistön mukaisesti. Selvityksen mukaan rekisteröidyn oikeuksille ja vapauksille aiheutuvaa riskiä arvioitaessa on huomioitava, ettei muiden henkilötietojen selvittäminen tai arkaluonteisten tietojen selvittäminen verkkoajanvarausjärjestelmän kautta ole mahdollista. Henkilötunnusta ei ole mahdollista nähdä suoraan palvelusta, vaan sen selvittäminen vaatii edellä kerrottuja toimenpiteitä ja tiedon tarkoituksellista selvittämistä. Selvityksen mukaan rekisterinpitäjän tiedossa ei ole yhtään raportoitua tapausta, jossa henkilötunnus olisi selvitetty kyseistä järjestelmää käyttäen, tai että henkilö olisi joutunut identiteettivarkauden kohteeksi. Henkilötietoja ei ole mahdollista muuttaa, tuhota, hävittää tai luvattomasti luovuttaa kyseisen järjestelmän kautta. Arvioinnissa on selvityksen mukaan otettava huomioon myös se, että rekisteröidyn yksilöintiä oikein voidaan pitää rekisteröidyn edun mukaisena. Selvityksen mukaan on lisäksi huomioitava, että henkilötunnus voi olla usein tiedossa myös muilla henkilöillä kuin asianomaisella itsellään. Kokonaisuudessaan rekisterinpitäjä arvioi riskin olevan todennäköisyydeltään ja vakavuudeltaan vähäisen ja kohtalaiseksi luokitellun riskin välillä.

Selvityksen mukaan riskejä on pyritty vähentämään muun muassa keräämällä lokitietoja kirjautumisista ja ryhtymällä selvittämistoimenpiteisiin, jos näihin liittyviä väärinkäytösepäilyjä ilmenee. Verkkoajanvaraus on mahdollista estää teknisesti, jolloin ajanvarausta ei voi tehdä. Ajanvarauksen estämistä on rekisteröidyllä aina oikeus myös pyytää. Verkkoajanvaraukselle suoritetaan riskien vähentämiseksi säännöllisesti tietoturva-auditoinnit. Selvityksen mukaan rekisterinpitäjällä on käytössä vaaratapahtumailmoitusjärjestelmä, johon raportoidaan tietosuojaan liittyvät vaaratapahtumat.

Selvityksen mukaan verkkoajanvarauksen turvallisuuden on tähän saakka arvioitu vastaavan tietosuoja-asetuksen 32 artiklassa tarkoitetulla tavalla niitä riskejä, joita henkilötietojen käsittelystä aiheutuu. Verkkoajanvarausjärjestelmä on ollut yhtenä osana vaikutustenarviointia, joka on suoritettu sähköisen asioinnin palveluihin vuosina 2017–2018.

Selvityksen mukaan verkkoajanvarausjärjestelmä ja siihen liittyvä henkilötunnuksen selvittämismahdollisuus on ollut rekisterinpitäjän tietosuojaryhmän käsiteltävänä syksyllä 2019, ja siihen liittyvien mahdollisten muutostarpeiden arviointi on aloitettu.

Rekisterinpitäjän tietoturvaloukkausta koskeva ilmoitus 31.1.2020 ja lisätiedot 2.2.2020

Rekisterinpitäjä on tehnyt tietosuojavaltuutetun toimistolle 31.1.2020 tietoturvaloukkausta koskevan ilmoituksen, jonka mukaan rekisterinpitäjän verkkoajanvarausjärjestelmään on kohdistunut tietojenkalastelua. Tietojenkalastelu on tullut ilmi rekisterinpitäjän saaman kiristysviestin perusteella. Rekisterinpitäjän tietosuojavaltuutetun toimistolle 2.2.2020 toimittamien lisätietojen mukaan verkkoajanvarausjärjestelmän kautta on saatu selvitettyä henkilötunnuksia.

Rekisterinpitäjän lisätiedot 6.2.2020

Rekisterinpitäjän tietosuojavaltuutetun toimistolle 6.2.2020 toimittamien lisätietojen mukaan rekisterinpitäjä on siirtynyt vahvaan tunnistautumiseen sähköisessä ajanvarauksessa 6.2.2020.

Asian arviointi

Tietosuoja-asetuksen 32 artikla edellyttää rekisterinpitäjän toteuttavan teknisiä ja organisatorisia toimenpiteitä, joiden avulla rekisterinpitäjä voi varmistaa, että henkilötietojen käsittelyn turvallisuus vastaa henkilötietojen käsittelystä rekisteröityjen oikeuksille ja vapauksille aiheutuvia riskejä. Asianmukaisen turvallisuustason arvioimisessa rekisterinpitäjän on kiinnitettävä huomiota muun ohella luvattomasta luovuttamisesta tai henkilötietoihin pääsystä rekisteröidyille aiheutuviin riskeihin (tietosuoja-asetuksen 32 artiklan 2 kohta). Rekisterinpitäjä voi pyrkiä pienentä-mään riskejä muun ohella kyvyllä taata henkilötietojen käsittelyyn käytettävien tietojärjestelmien ja palveluiden jatkuva luottamuksellisuus (tietosuoja-asetuksen 32 artiklan 1 kohdan b alakohta).

Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole kyennyt takaamaan ylläpitämänsä verkkoajanvarausjärjestelmän jatkuvaa luottamuksellisuutta. Verkkoajanvarausjärjestelmää on rekisterinpitäjän antaman selvityksen mukaan ollut mahdollista käyttää henkilötunnuksen loppuosan selvittämiseen. Selvittäminen on ollut mahdollista joko ohjelmallisesti tai manuaalisesti, ja ohjelmallisesti selvittäminen on voitu tehdä kohtalaisen nopeasti. Rekisterinpitäjän tietoturva-auditoinnin yhteydessä henkilötunnuksen loppuosa on saatu testitunnukselle onnistuneesti selvitettyä. Henkilötunnuksia on saatu selvitettyä ajanvarausjärjestelmästä myös ulkopuolisen tahon tekemän hyökkäyksen seurauksena.

Henkilötunnus ei ole tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettu erityisiin henkilötietoryhmiin kuuluva tieto, jonka käsittely on lähtökohtaisesti kielletty. Ulkopuolisen tahon haltuun joutuneet henkilötunnukset voivat kuitenkin levitä laajalle joukolle, ja niitä voidaan käyttää toistuvasti väärin esimerkiksi petos- ja häirintätarkoituksissa. Väärinkäytöksistä voi aiheutua tietovuodon kohteeksi joutuneille henkilöille niin aineellista kuin aineetontakin vahinkoa. Vahingon määrää voi lisätä se, että tietovuodon havaitsemiseen voi kulua aikaa, jolloin rekisteröidyt eivät pysty suojautumaan väärinkäytöksiltä heti tietovuodon tapahduttua. Rekisterinpitäjän on tullut ottaa nämä seikat huomioon arvioidessaan henkilötietojen käsittelystä rekisteröidyille aiheutuvia riskejä.

Riskien lisäksi rekisterinpitäjän on tullut toteuttamiensa teknisten ja organisatoristen toimenpiteiden asianmukaisuutta arvioidessaan huomioida myös uusin tekniikka ja toteuttamiskustannukset sekä henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset (tietosuoja-asetuksen 32 artiklan 1 kohta). Rekisterinpitäjän selvityksen mukaan rekisterinpitäjä on pystynyt selvittämään verkkoajanvarausjärjestelmän väärinkäytöksiä lokitiedoista. Tyypillisesti selvitys on tehty kolmannen osapuolen pyynnöstä. Rekisterinpitäjä viittaa selvityksessään myös järjestelmien toiminnan tekniseen monitorointiin, mutta selvityksessä ei tuoda esille, kuinka nopeasti rekisterinpitäjä on teknisen monitoroinnin avulla pystynyt saamaan tietoonsa verkkoajanvarausjärjestelmään kohdistuneet mahdolliset väärinkäytökset. Verkkoajanvarausjärjestelmään kohdistunut tietojenkalastelu on tullut rekisterinpitäjän mukaan ilmi kiristysviestin kautta.

Rekisterinpitäjä on selvityksessään katsonut, että henkilötunnuksen loppuosan selvittämistä verkkoajanvarausjärjestelmästä voitaisiin pyrkiä estämään rajoittamalla virheellisesti syötettyjen tietojen uudelleenyrityksiä. Vaihtoehtoisesti verkkoajanvarausjärjestelmässä voitaisiin edellyttää joko vahvaa tai heikkoa tunnistautumista. Apulaistietosuojavaltuutettu katsoo, että verkkoajanvarausjärjestelmän haavoittuvuus olisi näin ollen rekisterinpitäjän antaman selvityksen perusteella ollut mahdollista korjata. Vahvaan tai heikkoon tunnistautumiseen siirtyminen ei apulaistietosuojavaltuutetun näkemyksen mukaan olisi tarkoittanut toteuttamiskustannuksiltaan kohtuutonta taakkaa rekisterinpitäjälle. Ottaen edellä mainittujen seikkojen lisäksi huomioon myös sen, että verkkoajanvarausjärjestelmässä on käsitelty henkilötunnuksia laajamittaisesti , ei rekisterinpitäjän toteuttamia teknisiä ja organisatorisia toimenpiteitä ja henkilötietojen käsittelyn turvallisuuden tasoa voida verkkoajanvarausjärjestelmän osalta pitää tietosuoja-asetuksen 32 artiklan 1 ja 2 kohdassa tarkoitetulla tavalla asianmukaisina.

Edellä mainituilla perusteilla apulaistietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 32 artiklan 1 ja 2 kohdan rikkomisen seuraamukseksi tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisesti huomautuksen.

Rekisterinpitäjän tietosuojavaltuutetun toimistolle 6.2.2020 toimittaman tiedon mukaan rekisterinpitäjä on ottanut verkkoajanvarausjärjestelmässään käyttöön vahvan tunnistautumisen 6.2.2020. Koska rekisterinpitäjä on näin ollen jo korjannut verkkoajanvarausjärjestelmän turvallisuutta heikentävän puutteen, ei apulaistietosuojavaltuutetulla ole aihetta määrätä rekisterinpitäjää saattamaan käsittelytoimiaan tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdassa tarkoitetulla tavalla tietosuoja-asetuksen säännösten mukaisiksi.

Sovelletut lainkohdat

Päätöksen perusteluissa mainitut.

Muutoksenhaku

Tähän päätökseen saa hakea muutosta tietosuojalain (1050/2018) 25 §:n 1 momentin mukaisesti valittamalla hallinto-oikeuteen siten kuin oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n 1 momentin mukaisesti postitse saantitodistusta vastaan.

Päätös on lainvoimainen.

Apulaistietosuojavaltuutetun ohjaus rekisterinpitäjälle

Tunnistamiseen käytettävät menetelmät

Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain eli asiakastietolain (784/2021) 17 §:n 1 momentin mukaan asiakas on asiakastietojen sähköisessä käsittelyssä tunnistettava luotettavasti. Säännöksen perusteluiden mukaan tunnistaminen voisi tapahtua esimerkiksi henkilöllisyyden todentamisessa käytetyn asiakirjan tai muun tunnistetiedon perusteella. Etäpalveluiden yhteydessä luotettavana tunnistamismenetelmänä pidetään Sosiaali- ja terveysalan lupa- ja valvontaviraston ja Asiakas- ja potilasturvallisuuskeskuksen mukaan ainakin vahvaa tunnistamista.

Digi- ja väestötietovirasto on antanut 2.11.2020 vahvan suosituksen, jonka mukaan kaikissa verkkopalveluissa tulisi käyttää henkilöllisyyden varmistamisen hyviä käytäntöjä eli vahvaa tunnistautumista joko pankkitunnuksilla tai mobiilivarmenteella. Tietosuojavaltuutetun vakiintuneen kannan mukaan henkilöiden tunnistamista yksinomaan henkilötunnuksen ja nimen perusteella ei voida pitää luotettavana menetelmänä, koska henkilötunnus ja nimi voivat olla myös muiden henkilöiden tiedossa.

Tähän apulaistietosuojavaltuutetun ohjaukseen ei voi hakea valittamalla muutosta.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.