1. yle.fi
  2. Uutiset
  3. tietoturva

Postissa matkaa vuosittain miljoonia Kela-kirjeitä täynnä arkaluonteista tietoa – "Se tullaan kieltämään tietosuojasyistä", sanoo juristi

Monille Kelan etuushakemuksille ei löydy sähköistä lomaketta, vaikka se olisi sekä juristin että Kela-päällikön mielestä paljon kirjepostia tietoturvallisempi ratkaisu. Harva tietää, että lomakkeet voi silti täyttää ja lähettää sähköisesti.

Kelalle voi toimittaa paperisia lomakkeita postissa tai Kelan toimipisteiden laatikoihin. Molemmista on kadonnut kirjeitä matkan varrella. Kuva: Simo Pitkänen / Yle

Postissa risteilee vuosittain miljoonia kirjeitä Kelaan ja Kelalta. Kirjeet ovat täynnä arkaluonteisia ja salassapidettäviä tietoja. Ne sisältävät etuushakemuksia, lääkäreiden lausuntoja, nimiä, osoitteita ja henkilötunnuksia.

Toisinaan kirjeet katoavat. Tiedot voivat joutua vääriin käsiin, ja se on tietoturvariski.

– Potilasasiakirjojen lähettäminen kirjepostilla tullaan kieltämään tietoturvasyistä jossain vaiheessa. Todennäköisesti tulkintamuutos tulee Euroopan unionin tasolta, toteaa Suomen Kuntoutusyrittäjien lakimies Juhani Saarinen.

Sähköiset järjestelmät korvaavat lopulta kirjepostin kokonaan, Saarinen uskoo. Aikataulua hän ei halua spekuloida.

Kirjepostin tietosuojaongelmat myöntää myös Kelan etuuspalveluiden kehittämisyksikön päällikkö Heli Kauhanen.

– Verkkoasiointi olisi ehdottomasti kirjepostia tietoturvallisempi tapa toimittaa tiedot. Postiin liittyy riskejä. Toki kyse on myös asiakaskokemuksesta, Kauhanen sanoo.

Terapeutti: "Minun täytyy luottaa Kelaan"

Onko asiakkaiden henkilöturvatunnusten lähettely kirjepostilla eettisesti oikein? Sitä miettii jyväskyläläinen psykoterapeutti Carita Kuhanen.

Psykoterapeutit toimittavat Kelalle laskutuksia ja palautteita terapian edistymisestä. Palautteet voi nykyään lähettää suojatulla sähköpostilla, mutta tilitykset pitää toistaiseksi hoitaa paperilomakkeella.

Kuhanen kirjaa laskutuksiin asiakkaastaan ainoastaan nimen ja henkilöturvatunnuksen, kuten Kela pyytää. Palautteet hän toimittaa sähköisesti, koska se on helpompaa ja Kela suosittelee sitä.

– Kela antaa ohjeet, ja me toimimme niiden mukaan. Minun täytyy luottaa Postiin, jos Kela on päättänyt, että se on luotettava kanava. Meillä on myös viestintäsalaisuus, eli toiselle osoitetun kirjeen avaaminen on rikos, sanoo Keski-Suomen Psykoterapeuttiyhdistyksen puheenjohtajana toimiva Kuhanen.

Kela-hakemuksiin pitää täyttää esimerkiksi nimi, osoite ja henkilötunnus. Vääriin käsiin päätyessään tiedot altistavat identiteettivarkaudelle. Kuva: Simo Pitkänen / Yle

Kuhasen mielestä on myös terapeutin vastuulla, mitä tietoja hän kirjaa Kelan lomakkeisiin. Itse hän täyttää palautteet hyvin lyhyesti: Ahdistus on helpottanut. Mieliala on jo parempi.

– Kela ei tarvitse yksityiskohtaisia tietoja. Toki nämäkin tiedot ovat salassapidettäviä, mutta psykoterapeutti voi kuitenkin harkita, miten arkaluonteista tietoa kirjoittaa Kelan lomakkeisiin.

Laillisuus on osittain tulkintakysymys

Kela ei periaatteessa riko postikäytännöissään lakia tai asetuksia, juristi Juhani Saarinen sanoo. Osin se on tulkintakysymys.

Euroopan unioinin tietosuoja-asetuksen mukaan henkilötietojen käsittelijän pitäisi käyttää aina nykyteknologian tietoturvallisinta järjestelmää, mikäli sen kustannukset ovat kohtuulliset.

– Tällä hetkellä asetusta tulkitaan niin, että paperipostille ei ole kohtuullisen kustannuksen vaihtoehtoja, vaikka kyllähän niitä on, kuten suojattu sähköposti. Postia saa vielä käyttää, mikä aiheuttaa tietoturvariskin henkilötiedoille, Saarinen sanoo.

Suomen Kuntoutusyrittäjien lakimies Juhani Saarinen toteaa, että tietoturva ei tule koskaan valmiiksi. Hän suosittelee sähköisen potilastietojärjestelmän käyttöä. Kuva: Jetro Staven

Väärissä käsissä Kela-kirjeiden tiedot voivat johtaa identiteettivarkauteen tai kiristykseen.

Identiteetin kaappaava rikollinen voi vaikkapa nostaa lainoja toisen nimissä. Esimerkiksi lääkärinlausuntojen tai kuntoutushakemusten arkaluonteisilla tiedoilla rikollinen saattaa kiristää rahaa, kuten kävi Vastaamon tietovuototapauksessa viime syksynä.

Kymmeniä kirjeitä katoaa vuosittain

Kelan kirjepostia katoaa silloin tällöin, myöntää laitoksen Posti-yhteyksistä vastaava Matti Happonen. Yleisimmin kadonnut kirje on jaettu väärään osoitteeseen.

Kelalta asiakkaille lähtevää postia häviää joitakin kymmeniä vuodessa. Kelalle suunnattuja kirjeitä katoaa selvästi harvemmin. Jälkimmäiset päätyvät Happosen mukaan varmemmin perille, koska Kelan postiosoitteita on vähemmän kuin asiakkaiden.

Esimerkiksi psykoterapeuttien Kelaan lähettämiä kirjeitä on hävinnyt, kertoo EFPP:n Suomen kansallisen verkoston puheenjohtaja Kirsi Huttula. EFPP on eurooppalainen psykoanalyyttisten terapeuttien järjestö.

Matkan varrelle on hukkunut myös psykoterapeuttien Kelan toimistojen postilaatikkoihin jättämiä lomakkeita.

Kelaan postitetaan yli miljoona kirjettä vuosittain. Kela puolestaan lähettää noin 14 miljoonaa kirjettä joka vuosi.

– Katoavien kirjeiden osuus on häviävän pieni. Toki jokainen tapaus on liikaa, Happonen toteaa.

Esimerkiksi Kirsi Huttulalta on kadonnut vain yksi Kela-kirje koko 20-vuotisen uran aikana.

Yleensä kadonneista kirjeistä koituu harmia siksi, että tiedot viivästyvät ja tapahtuneen selvittely vie aikaa.

– Suurin osa väärin jaetun postin vastaanottajista on vastuullisia ja huolehtii kirjeen takaisin postin kantoon, Juhani Saarinen sanoo.

Rikolliset saattavat varastaa kirjeitä tarkoituksellakin, mutta se on Saarisen mukaan harvinaista.

– Kirjeiden varastaminen on työläs keino rikolliseen rahantekoon. Lisäksi siitä jää melkein aina kiinni.

Paperi ei pidä kirjaa lukijoistaan

Kadonneet Kela-kirjeet eivät ole johtaneet vakaviin väärinkäytöksiin tai tietovuotoihin, sanovat sekä Kelan Happonen että juristi Saarinen.

Molemmat pitävät silti hyvin toteutettua verkkolomaketta kirjepostia luotettavampana.

– Kirjepostissa sattuu verkkolomaketta helpommin vahinkoja, kuten kirjeiden väärin jakamista. Toisaalta systemaattinen urkkiminen on kirjepostista vaikeampaa kuin sähköisistä tiedoista, Happonen sanoo.

Saarinen huomauttaa, että useimpiin sähköisiin tietojärjestelmiin kirjautuvat tiedot kaikista käyttäjistä. Se helpottaa väärinkäytösten selvittämistä. Paperi ei pidä kirjaa lukijoistaan eikä rajoita uusien kopioiden ottamista.

– Tietoturva ei tule koskaan valmiiksi. Suosittelen sähköisen potilastietojärjestelmän hankkimista. Se helpottaa arkistointia ja keventää käyttäjän taakkaa pidemmän päälle, Saarinen toteaa.

Väliaikainen ratkaisu nettihakemuksiin

Kela elää vielä vahvasti paperiaikaa. Hakemuksista noin neljännes saapuu kirjeitse.

Kaikkiin Kelan etuuksiin ei löydy hakemusta verkosta. Tällaisia ovat muun muassa kuntoutushakemukset, alle 16-vuotiaiden vammaistuki, koulumatkatuki, perhe-eläkkeet ja kelakortti. Esimerkiksi opintotukea sen sijaan on voinut hakea verkkolomakkeella jo kolmetoista vuotta.

– Kyse on resursseista, sanoo Kela-päällikkö Heli Kauhanen.

Kelaan saapui reilut 14 miljoonaa hakemusta viime vuonna. Sähköisten hakemusten osuus oli hieman aiempia vuosia suurempi. Kuva: Tiina Paju / Yle

Kela ohjaa nettisivuillaan lähettämään kirjepostilla hakemukset, joihin ei löydy valmista verkkolomaketta.

Oikeasti nekin voi täyttää ja lähettää sähköisesti, vinkkaa Kauhanen. Harva tietää, että Kelan nettisivuilta voi ladata pdf-lomakkeen, jonka saa täyttää tietokoneella ja lähettää sitten OmaKela-palvelussa viestin liitteenä.

– Olemme tehneet tällaisen väliaikaisen ratkaisun, jotta kaikki hakemukset voi toimittaa sähköisesti, Kauhanen sanoo.

Kelan verkkopalvelu uudistuu

Koko Kelan asiointipalvelu on nyt uudistumassa. Ensimmäinen askel oli vastikään julkaistu OmaKela-sivusto, jossa voi täyttää verkkolomakkeita ja lähettää viestejä salatulla yhteydellä.

Nyt työn alla on vanhojen verkkohakemusten uudistus. Loputkin lomakkeet aiotaan sähköistää, mutta Kauhanen ei osaa kertoa tarkkaa aikataulua. Tänä vuonna se ei vielä toteudu.

Kela laati nettilomakkeet ensimmäisenä etuuksille, joilla on eniten käyttäjiä. Näitä ovat opintoetuudet, työttömyysturva, asumisen tuet ja toimeentulotuki.

Kela uudistaa sähköisiä palveluitaan. Jossain vaiheessa kaikille etuuksille löytyy verkkohakemus. Kuva: Simo Pitkänen / Yle

Myös käyttäjien halukkuus ja valmius verkkoasiointiin vaikutti valintoihin. Opiskelijoille oli helppo tuottaa verkkopalveluita, Kauhanen kuvaa.

– Myönnän kyllä, että se ei ole mikään peruste jättää verkkohakemusta toteuttamatta, ettei hakijoilla olisi halua ja kykyä asioida verkossa. Varmasti on, Kauhanen sanoo.

Päätökset lähetetään yhä postissa

Kela lähettää vielä kaikki päätöksensä yksityishenkilöille kirjepostilla, koska laki vaatii sitä. Jatkossa päätökset saattaa saada halutessaan sähköisesti, sillä laki muuttuu kesäkuussa.

Matti Happonen kertoo, että myös sähköisiä päätöksiä kehitetään.

Esimerkiksi työnantajat voivat jo pyytää päätöksiä vaikkapa sairausvakuutuksen päivärahasta sähköisesti.

– Tilanne ei ole täysin yhdenmukainen. Etuudet ja niiden käsittelyjärjestelmät poikkeavat toisistaan, Happonen sanoo.

"Verkkolaskutus on tätä päivää"

Palveluntuottajat kuten psykoterapeutit voivat pian hoitaa laskutukset sähköisesti. Kela kehittää siihen parhaillaan nettipalvelua, jonka on tarkoitus tulla käyttöön tänä vuonna.

Jyväskyläläinen Carita Kuhanen ottaa sähköisen laskutusjärjestelmän ilolla vastaan.

– Se on tätä päivää. Verkkolaskutus nopeuttaa asiointia ja vähentää välikäsiä.

Suurin osa psykoterapeuteista näyttää pitävän sähköistä palvelua turvallisempana kuin perinteistä kirjepostia, Kirsi Huttula kertoo.

– Se olisi myös ekologisempaa, Huttula lisää.

Vastaamon syksyinen tietovuoto on kuitenkin yhä tuoreessa muistissa. Siksi sähköiset järjestelmät huolestuttavat osaa psykoterapeuteista.

– Sataprosenttisen varmaa tiedonsiirtotapaa tuskin on olemassa. Uskon, että Kelan järjestelmä on Vastaamon systeemiä luotettavampi, Huttula toteaa.

Voit keskustella aiheesta 5.6. klo 23.00 saakka.