Ministeriö sai toisen arvion Trafin palveluiden tietosuojasta ja -turvasta
Liikenne- ja viestintäministeriö on saanut Viestintävirastolta pyytämänsä toisen asiantuntija-arvion Trafin sähköisten palvelujen tietosuojasta ja tietoturvallisuudesta.
Arviossa otettiin kantaa erityisesti siihen, onko sähköisten palveluiden määrittely tapahtunut asianmukaisesti ja onko henkilötietoja ollut palvelun käyttöönoton jälkeen mahdollista saada massaluovutuksena.
Ensimmäinen alustava arviointi toteutettiin Trafin virkamiehiä ja sen palvelutuottajien edustajia haastattelemalla. Lisäksi arvioinnissa tutustuttiin tekniseen dokumentaatioon.
Viestintäviraston pyynnöstä Trafi tilasi toisen laajemman palvelu- ja järjestelmäkokonaisuuden jatkoarvioinnin Nixu Certification Oy:ltä, joka on tietoturvallisuuden arviointilaitoksista annetussa laissa tarkoitettu arviointilaitos. Viestintävirasto osoitti arvioinnille valvojan.
Lisäksi Viestintävirasto on suorittanut omia, Trafin toimittamaan tietoon perustuvia, analyysejä muun muassa epäiltyjen massaluovutuksien selvittämiseksi.
Viestintävirastolle toimitettujen tietojen perusteella vaikuttaa siltä, että massaluovutusta ei ole tapahtunut.
Puutteista huolimatta Trafin asiointipalvelun arvioidaan olevan paremmalla tasolla kuin useat muut vastaavat valtionhallinnon järjestelmät. Viestintävirasto on arvioinut vastaavia järjestelmiä lakisääteisesti vuodesta 2012 lähtien. Viestintäviraston arvion mukaan Trafin sähköisten kuljettajatieto-palveluiden määrittely ei kuitenkaan ole kaikilta osin onnistunut.
Trafin sähköisten palveluiden tietosuojaan liittyvät kysymykset kuuluvat tietosuojavaltuutetun toimivallan piiriin. Trafin tai 1.1.2019 jälkeen Liikenne- ja viestintäviraston on korjattava mahdolliset tietosuojavaltuutetun havaitsemat puutteet.
Palveluiden avautuminen
Autokaupan kannalta keskeiset Trafin sähköiset palvelut on avattu. Useita palveluita, mm. kuljettajatiedot-palvelua, ei kuitenkaan vielä toistaiseksi avata.
Kuljettajatiedot-palvelua ei palauteta käyttöön nykymuodossaan. Viestintäviraston arvion mukaan palvelu tulisi toteuttaa niin, että tiedoista selviää ainoastaan ajo-oikeuden tai ammattipätevyyden voimassaolo. Tämä on ollut myös liikennepalvelulain lähtökohta.
Miten asia eteni?
Tekniikka ja talous -lehti uutisoi perjantaina 7.12. Trafin uudesta verkkopalvelusta, josta voitiin hakea kuljettajien ajo-oikeuden lisäksi erilaisia henkilötietoja. Aihe levisi viikonlopun aikana laajasti myös muihin tiedotusvälineisiin ja some-keskusteluihin. Keskusteluissa kritisoitiin sitä, että palvelusta oli mahdollista saada henkilötietoja tarpeettoman laajasti. Ministeriö ryhtyi heti ongelmista kuultuaan toimenpiteisiin.
Sunnuntaina 9.12.2018 Trafi otti kaikki sähköiset asiointipalvelunsa pois käytöstä varmistaakseen kuljettajatiedot-palvelun sulkeutumisen asian selvittelyn ajaksi.
Liikenne- ja viestintäministeriö pyysi maanantaina 10.12. Viestintävirastoa tarkastamaan ja antamaan ministeriölle asiantuntija-arvionsa Trafin sähköisten palveluiden tietosuojasta ja tietoturvasta. Arvio pyydettiin tekemään läheisessä yhteistyössä tietosuojavaltuutetun kanssa.
Ministeriö pyysi Viestintävirastoa ottamaan ensimmäisessä selvityksessä 12.12. mennessä kantaa siihen, voidaanko Liikenteen turvallisuusviraston verkkosivustojen muut kuin kuljettajatietopalvelu laillisesti ja turvallisesti avata.
Trafi toteutti Viestintäviraston alustavassa 12.12. valmistuneessa arviossa esiin nostettuja toimenpiteitä. Tämän perusteella Trafi avasi palveluita rajoitetusti lauantaina 15.12.2018.
Ministeriö pyysi Liikenteen turvallisuusviraston pääjohtajalta arviota 12.12. mennessä siitä, ovatko muut kuin kuljettajatietopalvelut käyttöönotettavissa laillisesti ja turvallisesti.
Ministeriö pyysi Viestintäviraston toista laajempaa arviota Trafin sähköisten palveluiden tietosuojasta ja tietoturvasta 21.12.2018 mennessä. Viestintävirasto toimitti tämän selvityksen ministeriöön jo 19.12.2018.
Pyydetyt selvitykset ovat valmistuneet ja ministeriö tutustuu niihin. Selvitysten perusteella tehdään päätöksiä jatkotoimenpiteistä.
Osa Trafin sähköisistä palveluista on avattu uudelleen lauantaina 15.12.2018. Kuljettajatiedot-palvelua ei kuitenkaan toistaiseksi avata ennen sen toimintaperiaatteisiin tehtäviä muutoksia.
Mitä seuraavaksi?
Ministeriö tutustuu Viestintäviraston selvityksiin. Selvitysten perusteella tehdään päätökset laajemmista jatkotoimenpiteistä.
Ministeriö ei toistaiseksi julkaise tai luovuta saamiaan selvityksiä. Ministeriön saamat selvitykset pitävät sisällään viranomaisten toiminnan julkisuudesta annetun lain mukaan salassa pidettäviä tietoja.
[Täydennys tiedotteeseen 19.12.2018 klo 15:10: Liikenne- ja viestintäministeriö on tutustunut Viestintäviraston toimittamaan selvitykseen. Ministeriö on julkaissut 19.12. toimitetun selvityksen julkiset osat. Linkki selvitykseen lisätty alle.]
Lisätietoja:
osastopäällikkö Laura Vilkkonen, p. 0295 34 2391
hallintojohtaja Jussi Luomajärvi (asiakirjojen julkisuuteen liittyvät tiedustelut), p. 040 827 7676
Tiedote 14.12.2018: Ylen uutisen johdosta
Tiedote 14.12.2018: Trafin sähköiset asiointipalvelut avataan osittain 15.12.2018
Tiedote 13.12.2018: LVM:n arvio selvityksistä – Trafin palveluita pyritään avaamaan mahdollisimman pian
Tiedote 12.12.2018: Ministeriö sai selvitykset Trafin palveluiden tietosuojasta ja -turvasta
Tiedote 10.12.2018: Ministeriö on pyytänyt selvitystä Trafin palveluiden tietosuojasta ja –turvasta