Lausunto henkilötunnusjärjestelmän uudistamisesta

Lausunto löytyy kokonaisuudessaan myös lausuntopalvelusta.


Electronic Frontier Finland – Effi ry

Asia: VN/25041/2020 (Hankesivu)

Lausunto 04.03.2022

Henkilötunnusjärjestelmän uudistamista koskevat säädös- ja muut ehdotukset

Luonnos hallituksen esitykseksi

Yleiset huomiot esityksen tavoitteista

Yleisenä huomiona lausuntopalvelusta, kansalaistoiminnan kannalta vastaukset voisi pyytää toimittamaan sunnuntai-iltaan klo 23.59 tai maanantai-aamuun klo 08.00 mennessä eikä perjantai- iltapäivään klo 16.15. Vapaaehtoistyötä tehdään paljon viikonloppuisin eikä vain virka-aikaan.

Nykyisin on paljon tilanteita, joissa kysytään henkilötunnusta (puhelinpalveluissa, terveydenhuollossa, lääkärillä, verikokeissa, veripalvelussa…). Tällaisten tilanten osalta vaatinee pohdintaa, miten etenkin puhelinpalvelutilanteet on tarkoitus hoitaa jatkossa, jos tunnus ei ole helposti muistettava? Kaikki eivät kykene tai halua käyttää puhtaasti sähköisiä palveluita tai tekemään ohessa pankkitunnistautumista tai jotain muuta korvaavaa ratkaisua.

Huomiot mahdollisuuteen saada henkilötunnus jo Suomessa oleskeluun oikeuttavaa lupaa tai rekisteröintiä koskevan hakemuksen perusteella (1. lakiehdotuksen 9 ja 22.2 §)

Pidämme uudistusta hyvänä. Yhteiskunta toimii niin paljon henkilötunnuksen varassa, että on huomattavan hankalaa, jos sitä joutuu odottamaan.

Huomiot mahdollisuudesta tallettaa ulkomaalaisen henkilön tiedot väestötietojärjestelmään ulkoisen palveluntarjoajan oleskelulupa-asiassa tekemän henkilöllisyydestä varmistumisen perusteella (1. lakiehdotuksen 22.3 §)

Pidämme uudistusta hyvänä. Yhteiskunta toimii niin paljon henkilötunnuksen varassa, että on huomattavan hankalaa, jos sitä joutuu odottamaan.

Etärekisteröintimenettelyä koskevat huomiot (1. lakiehdotuksen 9 a–9 d ja 34 a §)

Ehdotus on periaatteessa hyvä, vaikka olemmekin huolissamme biometriikan käytön yleistymisen riskeistä. Ehdotuksen aiheuttamat muutostarpeet tietojärjestelmille saattavat myös olla yllättävän suuria ja kalliita.

Sukupuolineutraalia henkilötunnusta koskevat huomiot

Näemme positiivisena asiana sen,että uudesta tunnuksesta ei enää kävisi ilmi henkilön ikä, syntymäaika, sukupuoli tai muuta henkilöön liittyvää tietoa. Ylipäänsä tietojen näkyvyys pitäisi aina minimoida. Kokisimme paremmaksi, jos kaikki tuodaan jonkinlaisella siirtymäajalla uuden järjestelmän piiriin, eikä vain vuodesta 2027 alkaen järjestelmään tulevat uudet ihmiset. Järjestelmät on joka tapauksessa pakko tehdä yhteensopiviksi.

Käytännössä henkilötunnuksen käyttöä jatkettaisiin luultavasti kaikissa yhteyksissä, joissa ihmisen pitää itse tunnuksensa muistaa, uusi yksilöintitunnus olisi vaikea muistettava eivätkä ihmiset montaa pitkää tunnusta muista. Vanhoissa henkilötunnuksissa sukupuoli tosiasiallisesti säilyisi helposti havaittavana, vaikka ne lain mukaan olisivatkin sukupuolineutraaleja. Siten sukupuolisyrjintään muutos vaikuttaisi vain hyvin pitkällä, vuosikymmenten viiveellä.

Yksi vaihtoehtoinen malli voisi olla henkilötunnuksen muuttaminen siten, että toiseksi viimeisen, nyt sukupuolen osoittavan numeron paikalle tulisi kirjain. Tämä olisi teknisesti tehtävissä suhteellisen pienellä muutoksella tietojärjestelmiin, tietokantoihin ei tarvitsisi tallentaa useita tunnuksia (edellyttää pientä matemaattista oivallusta, mutta vähän koodia) eikä uuden tunnuksen opetteleminen olisi ihmisille liian vaikeaa. Henkilökortteja, passeja jne ei tarvitsisi uusia ennen kuin ne muutenkin vanhenisivat. Tämä vaikuttaisi sukupuolisyrjintään nopeasti, eikä tunnuksia tarvitsisi vaihtaa sukupuolen vaihtuessa. Syntymäajankin voisi poistaa uusista tunnuksista. Tarkisteen laskutapaa pitäisi muuttaa, mutta tarvittava koodimuutos olisi helppo. Sivutuotteena virhesyöttöjenkin mahdollisuus pienenisi.

Uutta yksilöintitunnusta koskevat huomiot

Perustelut miksei SATUa voisi käyttää uuden tunnisteen asemesta vaikuttavat ohuilta. Sitä olisi ehkä syytä harkita uudestaan, se saattaisi helpottaa tarvittavia tietojärjestelmäuudistuksia merkittävästi. Sukupuolisyrjintään se ei vaikuttaisi sen paremmin kuin ehdotettu uusi yksilöintitunnuskaan.

Muut hallituksen esitystä ja alustavaa asetusluonnosta koskevat huomiot

Henkilötunnusuudistus vaatii koordinointia ainakin näiden hankkeiden kanssa

Henkilötunnuksen muuttamisesta seuraisi paljon muutoksia olemassaoleviin tietojärjestelmiin. Uusien järjestelmien kohdalla olisi hyvä tuoda tietoisuuteen tarve varautua uuteen tunnisteeseen. Olemassaolevien järjestelmien kartoittaminen ja niiden yhteensopiviksi saattaminen vaatii paljon työtä. Kartoitus ja huolellinen siirtymäsuunnitelma kaikille keskeisimmille tietojärjestelmille on tarpeen. Jo keskipitkälläkin aikajänteellä tämä malli todennäköisesti aiheuttaisi luultavasti enemmänkin työtä tietojärjestelmien päivittämisessä kuin aikaisempi esitys.

Kysymys vain ministeriöille: Seuraako esitykseen sisältyvistä muutosehdotuksista muutostarpeita hallinnonalanne lainsäädäntöön? Jos kyllä, mihin lakeihin muutoksia on tarpeen tehdä ja onko muutokset tarpeen sisällyttää esitykseen liitelakeina?


Informaatio-ohjauksen suunnitelma

Ovatko toimenpidesuositukset oikean suuntaisia? Mitä pidätte erityisen hyvänä tai mitä pidätte tarpeettomana?

Suositukset ovat oikeansuuntaisia mutta riittämättömiä. Kansalaisviestintää tarvittaisiin jo alkuvaiheessa eikä vasta kun ratkaisut ja tulokset ovat selviä: kansalaisten mielipiteen pitäisi voida vaikuttaakin ratkaisuihin.

Millä muilla toimenpiteillä henkilötunnuksen kysymistä ainoana tunnistustapana voitaisiin ehkäistä sähköisessä asioinnissa, käyntiasioinnissa ja puhelinasioinnissa?

Kielto käyttää pelkkää hetun tietämistä ainoana tunnistustapana ainakin taloudellisia seuraamuksia sisältävissä asioissa. Kieltoa voisi tehostaa säätämällä tunnistajalle ankara vastuu väärinkäytöksistä.

Mitä säädösmuutostarpeita tai ohjeistuksia tunnistatte eri toimialoilla tai palveluissa, jotta henkilötunnuksen kysymistä ainoana tunnistustapana voitaisiin ehkäistä?

Hetut vuotavat niin helposti, että hetun ongelmakäytöstä pitäis päästä eroon. Luotollisten maksujen kielto ilman vahvaa tunnistautumista hoitaisi käsittääksemme edelleen kohtalaisen suuren siivun ongelmista. Vastuulliset toimijat vaativatkin jo vahvoja tunnistautumisia, mutta koska kaikki (esim. Klarna, pikavippifirmat) eivät sitä vapaaehtoisesti tee, tähän pitäisi velvoittaa lainsäädännöllä. Kuluttajaluottosäännösten uudistamista koskevan hankkeen yhteydessä tulee siis tiukentaa sääntelyä kuluttajansuojalain 7 luvun lainanhakijan henkilöllisyyden todentamisesta laajentamalla se koskemaan kaikkien kuluttajaluottosopimusten tekemistä.

Vastaamon tietomurtouhrien suositukset käyttöön kaikille soveltuvilta osin, mitä voi tai ei voi tehdä ilman vahvaa tunnistautumista (Suomi.fi:n opas) Huomioita suosituksista:

  • Luottokieltorekisteröinti on nykyisin maksullinen. Tulevassa viranomaisen positiivinen luottotietorekisterin yhteydessä ilmeisesti ollaankin luomassa siihen mahdollisuus tallettaa tieto luonnollisen henkilön ilmoittamasta vapaaehtoisesta luottokiellosta. Toivottavasti tieto on mahdollista tallentaa ilman kuluja. Tämä on hyvä kehitys.
  • PRH-rekisteröinnit voisivat oletuksena vaatia suostumuksen, samoin muuttotiedot.

Mitä säädösmuutostarpeita tunnistatte, että tunnistustapahtuma olisi tarpeeksi luotettava palvelutapahtumaan nähden ja näettekö tarvetta velvoittaa laajemmin vahvan sähköisen tunnistamisen käyttöön (millä toimialoilla, missä palveluissa)?

Ks. myös edellinen kohta.

Yksilöiden lisäksi yritystunnistautumisessa voisi olla tarpeen vahvempi tunnistautuminen esim. PRH- muutoksissa huijausten välttämiseksi.

Henkilötunnuksen vaihtamiskynnyksen madaltamista koskeva arviomuistio

Kommentit muistioon

Henkilötunnuksen vaihtamiskynnyksen madaltamistarvetta voitaisiin vähentää muuttamalla kaikki henkilötunnukset näkyvästi sukupuolineutraaleiksi esimerkiksi edellä sukupuolineutraalia henkilötunnusta koskevissa huomioissa esitetyllä tavalla. Väärinkäytösten osalta vaihtamistarve kadonnee tai ainakin vähentynee merkittävästi, jos väärinkäyttötavat tukitaan.

Tarvainen Tapani
Electronic Frontier Finland – Effi ry

Leave a Comment

Your email address will not be published.