Psykoterapiakeskus Vastaamoon tehdyssä tietomurrossa rikollisten käsiin päätyi mahdollisesti jopa 45 000 ihmisen potilastiedot. Näitä tietoja voidaan nyt käyttää identiteettivarkauksissa – myös kirkosta eroamiseen.
Vapaa-ajattelijoita lähellä olevan Vakaumusten tasa-arvo VATA ry:n ylläpitämän eroakirkosta.fi -palvelun avulla on 17 vuoden aikana eronnut kirkosta yli 750 000 suomalaista. Palvelua voi käyttää sekä evankelis-luterilaisesta kirkosta että ortodoksisesta kirkosta eroamiseen.
Aiemmin eroilmoitukset käsiteltiin maistraateissa. Tämän vuoden alussa maistraatit yhdistettiin Väestörekisterikeskuksen kanssa Digi- ja väestötietovirastoksi (DVV).
Eroakirkosta.fi -palvelu ei varmenna käyttäjän henkilöllisyyttä. Digi- ja väestötietoviraston palvelut -osaston ylijohtaja Timo Salovaara kertoo, että myös kirkosta eroamisen tunnistautumiskäytännöt saattavat tulla uuteen tarkasteluun.
– Vastaamon tietomurron jälkeen on nopeasti alettu selvittää, missä palveluissa vuodettuja henkilötietoja mahdollisesti voitaisiin käyttää väärin. Kirkosta eroaminen ja tietojenluovutuskiellon ilmoittaminen sekä esimerkiksi äidinkielen vaihtaminen ovat palveluja, joiden tietoturvaa pitää nyt tarkastella uudelleen, Salovaara sanoo.
Miten eroakirkosta.fi-palvelun kautta tulleet eroilmoitukset käsitellään?
– Yhdistyksellä ei ole suoraa yhteyttä väestötietoihin. Jokainen sieltä tuleva ilmoitus tulostetaan erikseen paperilla arkistoitavaksi ja syötetään manuaalisesti järjestelmään.
Timo Salovaara vahvistaa, ettei eroakirkosta.fi-palvelun käyttäjien henkilöllisyyttä tarkasteta.
– Käsittelijä arvioi tiedot silmämääräisesti. Siinä verrataan nimeä ja henkilötunnusta väestötietoihin ja jos kokonaisuus epäilyttäisi, ilmoituksen todenperäisyys tarkastettaisiin erikseen.
Yhdeksän vuoden takainen päätös: Kirkosta eroamista ei saa hallinnollisin vaatimuksin hankaloittaa
Käytäntö perustuu apulaisoikeusasiamies Maija Sakslinin vuonna 2011 tekemään päätökseen. Suomen evankelis-luterilainen kirkko oli pyytänyt selvittämään, tuleeko maistraattien ylipäätään käsitellä eroakirkosta.fi-sivuston kautta tulleita eli allekirjoittamattomia eroilmoituksia. Kirkko pyysi oikeusasiamiestä selvittämään myös, tulisiko lainsäädäntöä muuttaa siten, että sähköisessä palvelussa edellytettäisiin aina vahvaa sähköistä tunnistautumista.
Apulaisoikeusasiamies Maija Sakslinin päätöksen mukaan oikeus erota uskonnollisesta yhdyskunnasta on perusoikeus, jonka käyttämistä ei saa hallinnollisin vaatimuksin hankaloittaa. Päätöksen mukaan viranomainen ei voi vaatia asiakirjaan allekirjoitusta, ellei sillä ole syytä epäillä asiakirjan aitoutta.
Vastaamon tietomurron jälkeen julkaisemassaan blogikirjoituksessa Salovaara esittää, että viranomaistoiminnassa pitäisi aina varmistua asiakkaan henkilöllisyydestä ja että henkilötunnuksen käyttö tunnistautumiskeinona lopetettaisiin kaikkialla.
Salovaaran ehdotus edellyttäisi lakimuutosta. Digi- ja väestötietoviraston omassa palvelussa kirkosta eroaminen edellyttää jo nyt tunnistautumista esimerkiksi pankkitunnusten avulla.
– Palvelumme on täysin automatisoitu. Koska näitä eroilmoituksia ei erikseen kukaan lue, olemme katsoneet vahvan tunnistautumisen välttämättömäksi.
– Niiden, jotka haluavat esimerkiksi erota uskonnollisesta yhdyskunnasta tai ilmoittaa äidinkielensä, kannattaisi ehdottomasti käyttää DVV:n tarjoamaa palvelua. Meidän palvelumme on turvallinen, ja tällöin ei tarvita erillisiä varmistuskyselyjä postin kautta tai puhelimitse. Digitaalinen asiointi on myös nopeampaa, tietojen muutokset tulevat voimaan välittömästi.
Suurin osa kirkosta eroamisista tapahtuu eroakirkosta.fi-sivuston kautta, sillä Digi- ja väestötietoviraston palvelua ei tunneta laajasti eikä viranomainen käytännössä voisi tätä palvelua erikseen mainostaakaan.
Eroakirkosta.fi-palvelu haluaa pitää kirkosta eroamisen helppona
Vakaumusten tasa-arvo VATA ry ei pidä vahvaa tunnistautumista tarpeellisena. Yhdistyksen edustaja Jori Mäntysalo viittaa apulaisoikeusasiamiehen vuoden 2011 päätökseen ja pitää sitä yksiselitteisenä: tunnistautumista ei tarvita.
– Lähtötilannehan on se, että kirkkoon liitetään lapsia jo vauvana ja tästä tulee kirkolla eräänlainen maksuautomaatti. Pikemminkin pitäisi velvoittaa kirkko lähettämään vuosittain jäsenilleen jokin maksulappu, niin kuin muutkin yhdistykset tekevät tai ainakin edellyttää erillistä jäsenyyden vahvistamista, kun lapsi kasvaa täysi-ikäiseksi.
Mäntysalon mukaan palvelun käyttäminen ilkivaltaan ei ole merkittävä riski.
– Koko palvelun historian aikana ei ilkivaltaisia ilmoituksia ole ollut montaakaan. Rikosilmoituksia on tehty korkeintaan yksi sataa tuhatta ilmoitusta kohti. Kirkosta eroamisestahan tulee lisäksi kotiin kirje, eli ei se jää keneltäkään huomaamatta. Jokainen voi myös halutessaan ilmoittaa tietonsa erilliselle estolistalle, jos haluaa estää palvelun käytön kohdallaan.
Mäntysalo myöntää, että eroakirkosta.fi-palvelun tavoitteena on saada mahdollisimman moni eroamaan kirkosta. Siksi eroamisen pitää olla mahdollisimman helppoa.
– Kirkon tekemä kanteluhan oli yritys hankaloittaa palvelumme toimintaa. Lopulta se kuitenkin toi yhdistykselle ilmaista mainosta. Aiemmin jokaista kirkkoon ja etenkin kirkosta eroamiseen liittyvää uutista on seurannut jonkinlainen eropiikki. Nykyisin näin ei kuitenkaan näyttäisi olevan.
Vahva tunnistautuminen on myös kustannuskysymys.
– Jos vuonna 2011 olisi vaadittu vahvaa tunnistautumista, se olisi kyetty toteuttamaan, mutta silloin kustannukset olisivat olleet yhdistykselle kohtuuttomat. Nykyisin vahvan tunnistautumisen toteuttaminen on helpompaa ja edullisempaa.
”Olisiko liikaa vaadittu, että kirkosta eroavan henkilöllisyys varmistettaisiin?”
Oulun hiippakunnan piispa Jukka Keskitalo toivoo, että osana Vastaamon tietomurron jälkipyykkiä tarkasteltaisiin digitaalisten palveluiden tietoturvaa laajemminkin.
– Kirkosta eroamisen pitäisi edellyttää allekirjoitusta tai vahvaa sähköistä tunnistamista. Kun nykyinen liitykirkkoon.fi-palvelu vuonna 2016 avattiin, oli päivänselvää, että kirkkoon liittymisessä edellytetään vahvaa tunnistautumista. On ennenkin ihmetelty, miten eroaminen on mahdollista ilman allekirjoitusta, pelkällä henkilötunnuksella.
Piispa Keskitalo toivoo, että kirkosta eroamisessa edellytettäisiin samaa tietoturvaa kuin kirkkoon liittymisessäkin.
– Kirkosta eroaminen on merkittävä henkilökohtainen ratkaisu, aivan kuten kirkkoon liittyminenkin. Vapaa-ajattelijoiden tavoitteena on ollut tehdä kirkosta eroaminen mahdollisimman helpoksi, mutta viimeistään nyt on hyvä kysyä, olisiko liikaa vaadittu, että kirkosta eroavan ihmisen henkilöllisyys varmistettaisiin.
Piispa Keskitalon mukaan psykoterapiakeskus Vastaamoon tehty tietomurto osoittaa, miten haavoittuvia digitaaliset palvelut ovat silloin, kun henkilötunnusta käytetään tunnistautumisen välineenä. Hän kuitenkin muistuttaa, että kaikkein päällimmäinen huoli Vastaamon tietomurron yhteydessä ei liity digitaaliseen asiointiin.
– Rikollisen viikonloppuna lähettämät tuhannet kiristyskirjeet ovat aiheuttaneet valtavasti pelkoa ja ahdistusta. On järkyttävää, että kymmenet tuhannet suomalaiset joutuvat nyt pelkäämään henkilökohtaisten, salaisina pitämiensä asioiden vuotamista julkisuuteen tai erilaisilla nettisivustoilla pilkattavaksi. Kirkon työntekijät ovat koko viikon kuunnelleet seurakuntalaisten huolia tietomurron jälkeen.
Vastaamon tietomurto on herättänyt huolen kaikkien sähköisissä palveluissa säilytettävien tietojen turvallisuudesta.
– Näyttää siltä, että mikään järjestelmä ei ole murtamaton. Toivottavasti myös eroakirkosta.fi-palvelun tietoturvasta on huolehdittu eikä tietoja tarpeettomasti säilytetä.
Teksti: Samuli Suonpää
Lue myös:
Vastaamon tietomurron uhri: ”Mikä on minulle kipeää ja salaista, on nyt toisten riepoteltavana
Kirkko tarttui Vastaamon kriisiin lupaamalla keskusteluapua, lohtua ja tietosuojaa
Pääkirjoitus: Hävettävää on vain rikoksen tekijöillä
***
Seuraa Kotimaata Facebookissa ja Twitterissä.
Jos et ole vielä Kotimaan tilaaja, voit tilata lehden tai näköislehden täältä.