Uusi yksilöintitunnus kaipaa tarkempaa analyysia
- Finanssiala ry:n mielestä ehdotettu tapa henkilötunnuksen sukupuoli-sidonnaisuudesta luopumiseksi nykyisen henkilötunnuksen sukupuoli-päättelystä luopumalla on sellaisenaan kannatettava ja kustannustehokas.
- Uuden yksilöintitunnuksen luomiselle ei mielestämme ole tässä vaiheessa pakottavaa tarvetta eikä riittäviä perusteluita, eikä sitä niin ollen tule tehdä ennen kuin käyttöönoton kustannukset ja hyödyt on perinpohjaisesti arvioitu.
- Henkilötunnusten korvaamisesta yksilöintitunnuksella aiheutuvat ongelmat ja kustannukset ohitetaan esityksessä esittämällä yksilöintitunnusta vain nykyisen henkilötunnuksen rinnalla käytettäväksi. Kustannus-hyöty -analyysi lopullisen käyttöönoton osalta jää näin ollen tekemättä. Tunnusten rinnakkaiskäytön hyödyt jäävät ohuiksi.
- Rinnakkaiskäytössä on olemassa riski, että yksilöintitunnuksen käyttöön liu’utaan täysin hallitsemattomasti, mikäli jokin suuri valtiollinen toimija, esim. verohallinto päättää ottaa sen käyttöönsä tiedonvälityksen avaimena. Mikäli ehdotus yksilöintitunnuksen osalta hyväksytään, ehdotammekin uuden 29b §:n lisäämistä lakiin väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista henkilötunnuksella tapahtuvan tietojenvaihdon turvaamiseksi.
- Etärekisteröintimenettelyä varten luotu tekninen kyvykkyys tulisi avata myös yksityisten yritysten käyttöön.
Finanssiala ry kaipaa tarkempaa analyysia ehdotetun uuden yksilöintitunnuksen käyttöönoton tarpeellisuudesta ja vaikutuksista ja ehdottaa sitä koskevien pykälien poistamista. Vähintään tulisi tunnuksen käytön vapaaehtoisuus todeta lain tasolla. FA toivoo myös, että etärekisteröintiä varten luotava tekninen ratkaisu annettaisiin myös yksityisten yritysten käytettäväksi.
HE 132/2022 vp
1. Yleiset huomiot esityksestä
Esityksen yhtenä tavoitteena on luoda väestötietojärjestelmään henkilötunnuksen rinnalle kokonaan henkilötietoriippumaton yksilöintitunnus. Esityksen mukaan uusi yksilöintitunnus mahdollistaisi henkilöiden yksilöinnin yhteiskunnassa nykyistä paremmin tietosuojavaatimukset toteuttavalla tavalla.
Esityksen sivulla 1 todetaan vuonna 2017 aloittaneen henkilötunnuksen uudistamista suunnitelleen työryhmän osalta seuraavasti: ”Saatujen lausuntojen ja valtiovarainministeriössä virkamiestyönä tehdyn jatkotyön perusteella työryhmän ehdotusta (uusimuotoisesta henkilötunnuksesta) sellaisenaan ei voitu pitää toteuttamiskelpoisena. Lausuntopalautteen pohjalta .. jatkettiin … valmistellen kohdennetumpia ja rajatumpia muutoksia, joissa henkilötunnuksen nykyinen muoto säilytettäisiin.”
Käsittääksemme tilanne ei ole edellä kuvatusta ajan kuluessa muuttunut. Hankkeen elokuussa 2022 suorittaman vaikutusarviokyselyn vastauksista käy myös ilmi, että iso osa vastaajista ei edelleenkään näe uusimuotoisen yksilöintitunnuksen käyttöönotossa hyötyjä. Tästä huolimatta esitys sisältää myös ehdotuksen yksilöintitunnuksesta.
Yksilöintitunnuksen perusteluina mainittu tietosuojan parantaminen on tärkeä ja kannatettava tavoite, mutta mielestämme tulisi miettiä, voitaisiinko sitä parantaa muilla, vähemmän kustannuksia aiheuttavilla keinoilla. Toisella puolella vaakakupissa ovat erittäin suuret – Finanssiala ry:n arvion mukaan koko yhteiskunnan tasolla miljardiluokan – kustannukset (ks. liite 1) ja henkilötunnuksen korvaavan tunnisteen käyttöönoton käytännön vaikeudet. Hankkeessa nyt toteutettavat osittaismuutokset nykyisen henkilötunnuksen sukupuolisidonnaisuuden poistamiseksi ja riittävyyden takaamiseksi myös tuottavat kustannuksia, joten lopullinen hintalappu lopputulemasta, jossa henkilötunnuksen sijaan alettaisiin käyttää uutta yksilöintitunnusta, nousisi vielä alun perin arvioimaamme korkeammaksi. Henkilötunnuksen sukupuoli-sidonnaisuudesta luopumisen kustannuksista ei ole pystytty antamaan edes toimialakohtaisia arvioita, mutta esitetyistä esimerkinomaisista kustannusarvioista voi päätellä, että hintalappu nousee helposti yli sadan miljoonan.
Esitys lähtee siitä, että uusimuotoinen yksilöintitunnus tuotaisiin tässä vaiheessa väestötietojärjestelmän sisäiseen käyttöön ja että vapaaehtoiset organisaatiot voisivat halutessaan käyttää sitä yksilöivänä tunnisteena. Tunniste ei tulisi henkilöiden itsensä tietoon eikä käyttöön. Esitetyt hyödyt kuitenkin perustuvat pitkälti siihen, että yksilöintitunnus olisi otettu käyttöön henkilötunnuksen korvaavana ensisijaisena tunnisteena. Jää siis epäselväksi, mikä on se välitön hyöty tai välttämätön tarve, johon uutta yksilöintitunnusta tällä hetkellä tarvitaan.
Hankkeen kuluessa on useaan otteeseen esitetty epäilyksiä henkilötunnuksen ja yksilöintitunnuksen rinnakkaiskäytön toimivuudesta organisaatioiden välisessä tietojen vaihdossa. Finanssialalla ei myöskään nähdä, että yksilöintitunnuksen pakolliselle käyttöönotolle annettava pitkälle tulevaisuuteenkaan ulottuva käyttöönottoaikataulu olennaisesti vähentäisi käyttöönoton kustannuksia tai siitä aiheutuvia ongelmia.
On myös nähtävissä riski, että yksilöintitunnuksen käyttöön liu’utaan täysin hallitsemattomasti, mikäli esim. verohallinto päättää ottaa sen käyttöönsä tiedonvälityksen avaimena. Esityksen perusteluissa (s. 34) on todettu, että ”Ehdotetulla yksilöintitunnuksella ei siten olisi vaikutuksia niihin organisaatioihin, jotka eivät sitä ottaisi käyttöön. Yksilöintitunnuksen käyttöön ottava organisaatio vastaisi tiedonvaihdon järjestämisestä niiden organisaatioiden kanssa, jotka eivät omassa toiminnassaan käsittele yksilöintitunnusta.” Lakipykälien tasolle tätä velvoitetta ei ole kuitenkaan viety ja pelkkä maininta esityksen perusteluissa ei mielestämme riitä turvaamaan henkilötunnuksen avulla tapahtuvan tietojenvaihdon jatkuvuutta.
FA ehdottaakin, että tietosuojalakiin lisättäisiin uusi 29b §, joka kuuluisi näin: ”Sen, joka käyttää väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista annetun lain (661/2009) 11 a §:ssä tarkoitettua yksilöintitunnusta tietojärjestelmissään, tulee mahdollistaa henkilötietojen vaihto teknisen käyttöyhteyden kautta niiden yhteisöjen kanssa, jotka käyttävät henkilötunnusta yksilöintitunnuksena.”
2. Etärekisteröintimenettelyä koskevat huomiot
Etärekisteröinnillä tavoitellaan esityksen mukaan hyötyjä paitsi julkishallinnolle, myös elinkeinoelämälle. Jotta myös elinkeinoelämä voisi saada tästä investoinnista täyden hyödyn, olisi etärekisteröintimenettelyä varten luotu tekninen kyvykkyys avattava myös yksityisten yritysten käyttöön. Käytön tulisi olla mahdollista myös ilman liityntää etätunnistetun henkilön rekisteröintiä väestötietojärjestelmään, eli yksityisten yritysten tulisi olla mahdollista etänä tunnistaa myös henkilöitä, jotka eivät ole muuttamassa Suomeen tai tarvitse suomalaista henkilötunnusta. Tämä valtion palvelun avaaminen yksityisten yritysten käyttöön palvelisi nimenomaan esityksen yhtenä tavoitteena olevaa Suomen digikyvykkyyksien parantamista.
3. Sukupuolineutraalia henkilötunnusta koskevat huomiot
Mielestämme ehdotuksessa omaksuttu tapa henkilötunnuksen sukupuolisidonnaisuudesta luopumiseksi nykyisen henkilötunnuksen sukupuolipäättelystä luopumalla on sellaisenaan kannatettava ja kustannustehokas. On tärkeää, että ne toimijat, jotka tarvitsevat sukupuolitietoa toiminnassaan, saavat sen edelleen haettua väestötietojärjestelmästä erillistietona.
Haluamme kuitenkin tuoda esille, että tämäkin muutos aiheuttaa kustannuksia, joiden Finanssialan osalta on aiemmin arvioitu nousevan vähintään 40 miljoonaan euroon. Tämänhetkinen arvio kuitenkin on, että kustannukset tulevat olemaan selvästi tätä suuremmat. Nämä kustannukset, samoin kuin uusien välimerkkien lisäämisestä nykyisiin henkilötunnuksiin aiheutuvat kulut, tulee mielestämme ottaa huomioon kokonaan uusimuotoisen yksilöintitunnuksen kustannus – hyöty -analyyseissa.
4. Uutta yksilöintitunnusta koskevat huomiot
4.1 Kustannus-hyöty-vertailu ontuu
Uuden yksilöintitunnuksen käyttöönoton kustannuksista ja hyödyistä ei ole tehty kattavaa arviota. Lisäksi uuden yksilöintitunnuksen käyttöön liittyvät toiveet ja edut vaikuttavat osin heikosti perustelluilta ja perusteluina käyttöönotolle on esitetty myös asioita, jotka toteutuvat muilla hankkeessa jo päätetyillä toimenpiteillä. Vaikutustenarviointi uuden yksilöintitunnuksen osalta on esityksessä tehty pelkästään tunnuksen vapaaehtoisen käyttöönoton osalta. Uuden yksilöintitunnuksen henkilötunnuksen korvaavan käyttöönoton haasteita tai kustannuksia ei esityksessä käsitellä, vaikka visio henkilötunnuksen korvaamisesta tulevaisuudessa on esityksestä selvästi luettavissa.
Esityksessä esim. todetaan (s.66): ”Yksilöintitunnuksen mahdollistamat tietosuojahyödyt ulottuisivat siten lähes kaikkiin julkisen ja yksityisen sektorin palveluihin… Täysi-ikäisyyden selvittämiseen lisäksi äärimmäisen harvoin liittyy minkäänlaista tarvetta samalla tietää henkilön sukupuoli”. Koska käsillä oleva esitys sisältää nykyisen henkilötunnuksen sukupuolisidonnaisuudesta luopumisen, on kummallista, että yksilöintitunnuksen sukupuoliriippumattomuus tuodaan esiin ikään kuin uutena hyötynä. On myös huomattava valtion toisen vireillä olevan, digitaalisen henkilöllisyyden kehittämisen, hankkeen suunnitelmat luoda tunnistusväline, jonka avulla käyttäjä voisi nimenomaan vahvistaa vain tiettyjä itseensä liittyviä tietoja, esim. täysi-ikäisyyden, kertomatta sen enempää henkilötietojaan.
Esityksessä tuodaan esille hyötyjä, jotka olisivat saavutettavissa vasta, kun tunnus on laajasti korvannut henkilötunnuksen ja jätetään tuomatta esiin korvaamisen aiheuttamat suuret kustannukset ja vaikeudet. Tällä tavalla uuden yksilöintitunnuksen varsinaisen, vaikkakin epämääräiseen tulevaisuuteen jäävän, käyttöönoton kustannus-hyöty -vertailu jää kokonaan tekemättä.
Yksilöintitunnuksen luomisen välittömistä kustannuksista on todettava, että alkuvuodesta 2022 lausunnolla olleessa HE-luonnoksessa on väestötietojärjestelmän osalta todettu näin: ”Kustannusten toteuma riippuisi yksilöintitunnuksen toteutustavasta. Kustannuksen arvioidaan olevan noin 300 000 euroa.” Käsillä olevassa esityksessä todetaan: ”Valtion viranomaisista Digi- ja väestötietoviraston olisi luotava yksilöintitunnukselle väestötietojärjestelmään tietokenttä ja tarvittavat tunnuksen ylläpitoon ja luovuttamiseen liittyvät toiminnot, minkä kertaluonteisten kustannusten arvioidaan olevan 682 000 euroa.” Dvv:n kustannusarvio on siis reilussa puolessa vuodessa yli kaksinkertaistunut.
4.2 Henkilötunnusten korvaamisen vaikeus ja kustannukset
Vuonna 2022 lausuntokierroksella olleessa henkilötunnuksen vaihtamisen helpottamista koskevassa arviomuistiossa on laajasti tuotu esille ongelmia, joita jo useampien yksittäisten henkilötunnusten muuttamisesta voisi aiheutua. Esim. ”Toimintaympäristön moninaisuuden vuoksi lisääntyneillä henkilötunnusmuutoksilla saattaisi olla useita ennalta arvaamattomia vaikutuksia tiedon hyödyntäjien toimintaan ja tiedonhallintaan.” sekä ”.. vaikutukset voivat olla merkittävät tietojen yhdistämisestä uudelle henkilötunnukselle.” Muistiossa on tuotu esille myös konkreettisia uhkia esim. terveydenhuollon toimivuudelle sekä suuria kustannuksia, jotka aiheutuisivat esim. Kanta-järjestelmän tietojen siirtämisestä uusille tunnuksille.
Muistiossa esiin tuodut ongelmat koskevat nykyistä laajempaa henkilötunnusten vaihtamisesta toiseen henkilötunnukseen. Ongelmat on nähty niin suuriksi, että esitystä henkilötunnusten vaihtamisen helpottamisesta ei ole tehty. On vaikea nähdä, miksi kuvatut vaikeudet eivät pätisi myös tilanteeseen, jossa kaikkien rekisteröityjen henkilöiden henkilötunnukset vaihdettaisiin yksilöintitunnuksiin.Päinvastoin todennäköisintä on, että mitä suurempi on vaihdettavien tunnusten määrä, sitä suuremmat ovat myös vaikeudet ja kustannukset.
4.3 Ruotsissa ja Norjassa ei kalliita henkilötunnusremontteja
Esityksen vertailussa Ruotsiin käy ilmi, että vaikka Ruotsin henkilönumero sisältää samat tiedot kuin Suomen henkilötunnus, sitä käytetään siellä laajasti yksilöintitunnuksena eri tahojen rekistereissä. Henkilönumero ei ole Ruotsissa salassa pidettävää tietoa ja toisen henkilön henkilönumero on suhteellisen helppo selvittää. Tämä on erittäin mielenkiintoinen ero, etenkin kun EU:n tietosuojasääntely koskee myös Ruotsia. Ruotsissa henkilönumeroiden riittävyysongelma on myös ratkaistu niin, että henkilölle voidaan antaa henkilönumero läheisiltä päiviltä, jos syntymäpäivän henkilönumerot ovat loppuneet. Myös Norjassa henkilötunnuksen tietosisältö on Suomen kaltainen ja sielläkin on tyydytty ratkaisemaan riittävyysongelmat nykyisen henkilötunnusformaatin sisällä.
Kaipaisimmekin perusteellista keskustelua siitä, minkä vuoksi Suomessa henkilötunnuksen tietosisältöön liittyvät tulkinnat sekä ikätiedon näkymisen että syntymäpäivän oikeellisuuden osalta ovat muodostumassa niin tiukoiksi, että niiden takia joudutaan tekemään suuria investointeja, joilta lainsäädännöltään ja kulttuuriltaan hyvin saman kaltaisessa naapurimaissa on säästytty pragmaattisten tulkintojen ja ratkaisujen avulla.
5. Yksilöintitunnuksen käsittelyperusteet
Tietosuojalakiin esitetään lisättäväksi uusi 29a §, joka mahdollistaa uuden yksilöintitunnuksen käsittelemisen, jos käsittely on tarpeen henkilön yksiselitteiseksi yksilöimiseksi. Esityksen perusteluista ei käy ilmi, miksi käsittelyperusteeksi ei esitetä myös suostumusta vastaavasti kuin tietosuojalain 29 §:ssä henkilötunnuksen käytön osalta.
6. Henkilötunnuksen käsittelyn rajoittaminen rekisteröityä tunnistettaessa
Tietosuojalain 29 §:än ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 12 §:ään ehdotetaan lisättäväksi säännökset kiellosta tunnistaa rekisteröity yksinomaan henkilötunnuksella tai henkilötunnuksen ja rekisteröidyn nimen yhdistelmällä.
FA haluaa tuoda esille, että henkilöiden erottelusta toisistaan ja asioivan henkilön henkilöllisyyden varmistamisesta eri lainsäädännössä käytetty terminologia on horjuvaa.
Lain vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (7.8.2009/617; tunnistuslaki) 2 §:ssätunnistaminen tarkoittaa sekä henkilön yksilöintiä että todentamista ”1) vahvalla sähköisellä tunnistamisella sellaista henkilön, oikeushenkilön tai oikeushenkilöä edustavan luonnollisen henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttäen, joka täyttää sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 8 artiklan 2 kohdan b alakohdassa tarkoitetun korotetun varmuustason tai mainitun kohdan c alakohdassa tarkoitetun korkean varmuustason vaatimukset;”
Laki rahanpesun ja terrorismin rahoittamisen ehkäisemisestä (28.6.2017/444; rahanpesulaki) 4 § määrittelee näin: ”6) tunnistamisella asiakkaan henkilöllisyyden selvittämistä asiakkaan toimittamien tietojen perusteella; 7) henkilöllisyyden todentamisella asiakkaan henkilöllisyyden varmistamista luotettavasta ja riippumattomasta lähteestä peräisin olevien asiakirjojen tai tietojen perusteella;”
Tietosuojalaissa ei ole määritelty yksilöintiä, tunnistamista tai todentamista. Onkin jonkin verran hämmentävää, että tunnistaminen-termiä käytetään suomalaisessa lainsäädännössä sekä rahanpesulain mukaisessa suppeassa, pelkästään henkilön yksilöintiä tarkoittavassa merkityksessä, että tunnistuslain mukaisesti laajana kattaen sekä yksilöinnin että henkilöllisyyden todentamisen. Terminologian selventäminen tietosuojalain osalta olisi nähdäksemme tarpeen.
FINANSSIALA RY
Hannu Ijäs
Liite: Finanssiala ry:n kustannusarvio yksilöintitunnuksen käyttöönotosta henkilötunnuksen korvaajana
Jäikö kysyttävää?
|Ota yhteyttä aiheen asiantuntijaan