Tietosuojavaltuutettu: Myös suomalaisten pitää ottaa oppia Ruotsin viranomaisen tietosuojamokasta

Ruotsin salaisten agenttien henkilöllisyydet ovat saattaneet vaarantua ajokorttirekisterin ulkoistamisen vuoksi.

tietoturva
Reijo Aarnio
Tietosuojavaltuutettu Reijo Aarnio on pyytänyt Digilta Mindsia tekemään selvityksen tavastaan tehdä persoonallisuusanalyysejä työnhakijoista.Matti Hämäläinen / Yle

Tietosuojavaltuutetun mukaan myös Suomen viranomaisten ulkoistuksia tulisi tarkastella Ruotsissa vellovan tietovuotoskandaalin vuoksi.

– Myös suomalaisten viranomaisten pitää analysoida äärimmäisen tarkkaan tämä mikä Ruotsissa on tapahtunut ja vastata sen jälkeen kysymykseen, onko luotu sellainen systeemi, että tällainen emämoka ei pääse tapahtumaan Suomessa, sanoo tietosuojavaltuutettu Reijo Aarnio.

Viime viikolla uutisoitiin, että Ruotsissa salaisten agenttien henkilöllisyydet ovat saattaneet vaarantua tietovuodon vuoksi.

Tietovuodon mahdollisti se, että Ruotsin liikennevirasto on ulkoistanut ajokorttirekisterinsä teknologiayritys IBM:lle Tšekkiin. Tšekkiläisillä it-teknikoilla on ollut pääsy rekistereihin, vaikka heistä ei ole koskaan tehty turvatarkastuksia.

Tietosuojavaltuutetun mukaan myös Suomen viranomaisilla on ulkoistettu järjestelmiä, joita hoitavat monikansalliset yritykset.

– Yritykset, jotka ovat hajauttaneet toimintaansa eri maihin, joiltain osin jopa Euroopan ulkopuolellekin, tuottavat valtiolle palveluita.

Aarnion mukaan järjestelmän ulkoistaminen ei automaattisesti ole kuitenkaan tietoturvariski. Päinvastoin. Teknologiayrityksellä voi olla parempi osaaminen tietoturvan huolehtimisesta kuin virastolla.

– Lähtökohtaseseti valtionvirasto saa ulkoistaa järjestelmiä, jos se ei uhkaa kansallista turvallisuutta tai vaaranna henkilötietojen suojaa.

Aarnio uskoo, että Ruotsissa paljastunut tietovuoto aiheuttaa toimenpiteitä myös Suomessa.

– Eiköhän tilanne analysoida. Suomessa on vuosikaudet tehty erilaisia säännönmukaisia selvityksiä ja tutkimuksia, että mikä on valtion ja kuntapuolella on turvallisuustilanne. Yksityinen sektori ei ole siinä ihan yhtä edistynyt.

"Turvallisuussopimus on hyvä käytäntö"

Suomessa julkisen hallinnon digitaalisen turvallisuuden kehittämisestä vastaa valtiovarainministeriö. Ministeriön asettaman julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) pääsihteeri Kimmo Rousku sanoo, että varsinaisiin toimenpiteisiin ei Ruotsin tapauksen vuoksi ryhdytä, mutta kaikki tapauksen opit tullaan hyödyntämään.

– Meillä on jo ohjeistus ulkoistettuihin hankintoihin. Ohjeistuksessa turvallisuusselvitykset ja henkilöstön vaitiolositoumukset ovat olleet vakiovaatimuksia.

Rouskun mukaan Suomessa julkisella sektorilla on ollut jo pitkään käytössä niin sanottu turvallisuussopimus, jolla pyritään varmistamaan se, ettei tieto joudu vääriin käsiin ulkoistuksen yhteydessä.

– Aina, kun on jotain salassa pidettävää tietoa, niin toimittajan kanssa tulee tehdä turvallisuussopimus. Sopimuksessa määritellään, kuka tai ketkä tietoon voivat päästä kiinni, millä tavalla ja missä tietoa käsitellään. Turvallisuussopimusmalli on ollut erittäin hyvä käytäntö jo pitkään.

Rouskun mukaan Ruotsissa esiin tulleet tapaukset ovat kuitenkin hyvä muistutus julkiselle sektorille siitä, että tietoturvaan tulee kiinnittää erityistä huomiota ulkoistuksien yhteydessä.

– Varmasti kuntia ja valtionhallinnon viranomaisia tullaan muistuttamaan toimittajaketjun hallinnasta. Saattaa olla, että on sovittu jotain, mutta käytäntö on voinut jäädä unholaan. Palautetaan mieleen, mitä sopimuksissa on sovittu.

Rousku ei muista, että Suomessa julkisen sektorin ulkoistuksiin olisi jouduttu puuttumaan tietoturvapuutteiden vuoksi.

– En ole [Ruotsin tapausta] vastaavaan esimerkkiin törmännyt Suomessa, mikä ei tietenkään tarkoita, etteikö sitä pääsisi tapahtumaan. Missä tahansa valtiossa tämä on mahdollista.