Ministeriet fick det andra utlåtandet om dataskyddet och informationssäkerheten i Trafis e-tjänster

kommunikationsministeriet
Utgivningsdatum 19.12.2018 11.10
Pressmeddelande
Ett illustration (Bild: Shutterstock)
Ett illustration (Bild: Shutterstock)

Kommunikationsministeriet har av Kommunikationsverket fått det andra begärda expertlåtandet om dataskyddet och informationssäkerheten i Trafis webbtjänst.

I utlåtandet tog Kommunikationsverket särskilt ställning till om de digitala tjänsterna är utformade på tillbörligt sätt och om det efter att webbtjänsten öppnades har varit möjligt att få ut uppgifter som massutlämnande.

Den första preliminära bedömningen genomfördes i form av intervjuer med Trafis tjänstemän och företrädare för dess serviceproducenter. En del av bedömningen gjordes utifrån teknisk dokumentation.

På begäran av Kommunikationsverket beställde Trafi ytterligare en annan, mer omfattande uppföljning av bedömningen av service- och systemhelheten från Nixu Certification Oy, som är ett sådant bedömningsorgan som avses i lagen om bedömningsorgan för informationssäkerhet. Kommunikationsverket tillsatte en övervakare för bedömningen.

Kommunikationsverket har också utifrån information från Trafi gjort egna analyser för att bland annat utreda misstänkta massutlämnanden.

På basis av den information som har tillställts Kommunikationsverket ser det ut som om inget massutlämnande har skett.Trots vissa brister bedöms Trafis digitala tjänster hålla högre nivå än de flesta andra motsvarande system inom statsförvaltningen. Kommunikationsverket har enligt lag bedömt motsvarande system från och med 2012. Enligt Kommunikationsverkets bedömning är utformningen av Trafis e-tjänster för föraruppgifter dock inte till alla delar helt lyckad.

De frågor som gäller dataskyddet i Trafis e-tjänster hör till dataombudsmannens behörighet. Trafi, som den 1 januari 2019 blir en del av Transport- och kommunikationsverket, måste korrigera eventuella brister som dataombudsmannen upptäckt.

När öppnas tjänsterna?

De av Trafis e-tjänster som är viktiga för bilhandeln har öppnats. Ett flertal tjänster, bland annat tjänsten för föraruppgifter, öppnas tills vidare inte.

Tjänsten för föraruppgifter kommer inte att tas i bruk i sin nuvarande form. Enligt Kommunikationsverkets bedömning ska tjänsten vara sådan att det av uppgifterna endast framgår huruvida körrätten eller yrkeskompetensen är giltig. Detta är också utgångspunkten i lagen om transportservice.

Hur framskred ärendet?

Tidskriften Tekniikka ja talous gick fredagen den 7 december 2018 ut med nyheten om Trafis nya webbtjänst, i vilken det förutom uppgifter om förarnas körrätt även var möjligt att söka olika personuppgifter. Frågan fick under veckoslutet stor spridning även i andra massmedier och diskussioner på sociala medier. I diskussionen kritiserades det faktum att det i onödigt stor utsträckning var möjligt att få ut personuppgifter från tjänsten. När ministeriet fick höra om problemen vidtog det omedelbart åtgärder.

Söndagen den 9 december stängde Trafi alla sina digitala tjänster för att försäkra sig om att tillgången till tjänsten för föraruppgifter var spärrad för den tid saken utreds.

Kommunikationsministeriet bad måndagen den 10 december Kommunikationsverket att granska dataskyddet och informationssäkerheten i Trafis webbtjänst och att lämna ministeriet ett expertutlåtande om dem.  Ministeriet bad att bedömningen skulle genomföras i nära samarbete med dataombudsmannen.

Ministeriet bad Kommunikationsverket att i den första utredningen senast den 12 december ta ställning till om det, med undantag för de tjänster som innehåller föraruppgifter, är lagligt och med tanke på säkerheten tryggt att öppna tjänsterna på Trafiksäkerhetsverkets webbplats.

Trafi vidtog de åtgärder som Kommunikationsverket lyfte fram i sin preliminära bedömning, som blev klar den 12 december. Utifrån detta öppnade Trafi sina tjänster i begränsad utsträckning lördagen den 15 december 2018.

Ministeriet bad också Trafiksäkerhetsverkets generaldirektör att senast den 12 december lämna ett utlåtande om huruvida övriga tjänster än de som innehåller föraruppgifter kan tas i bruk på ett tryggt och lagligt sätt.

Ministeriet bad Kommunikationsverket att senast den 21 december 2018 lämna ett annat mer omfattande utlåtande om dataskyddet och informationssäkerheten i Trafis digitala tjänster. Kommunikationsverket lämnade in utredningen till ministeriet redan den 19 december 2018.

De begärda utredningarna har färdigställts och ministeriet bekantar sig med dem. Utifrån utredningarna fattas beslut om de fortsatta åtgärderna.

En del av Trafis e-tjänster öppnades på nytt lördagen den 15 december 2018. Tjänsten för föraruppgifter öppnas dock tills vidare inte förrän de ändringar som ska göras i tjänstens verksamhetsprinciper har gjorts.

Vad händer nu?

Ministeriet ska ta del av Kommunikationsverkets utredningar. Utifrån dem fattas beslut om eventuella mer omfattande fortsatta åtgärder.

Tills vidare publicerar ministeriet inte de utredningar som det fått och lämnar inte heller ut dem. De utredningar som ministeriet har fått innehåller uppgifter som enligt lagen om offentlighet i myndigheternas verksamhet är sekretessbelagda.

[Komplettering till pressmeddelandet 19.12.2018 kl. 15:10: Kommunikationsministeriet har tagit del av den utredning som Kommunikationsverket har lämnat. Ministeriet har publicerat de offentliga delarna i utredningen. Länk till utredningen finns nedan.]

Ytterligare information:
Laura Vilkkonen, avdelningschef, tfn 0295 34 2391