Verottajalta lähtenyt jopa 27  000 virheellistä kirjettä – apulaistietosuojavaltuutetun mukaan täyttää tietoturvaloukkauksen piirteet

HELSINKI

Verottaja on lähettänyt asiakkailleen arviolta noin 27  000 virheellistä päätöskirjettä, kertoo Verohallinnon kehitys- ja tietohallintojohtaja Jarkko Levasma STT:lle.

Levasman mukaan virhe ilmeni siten, että tulostusjärjestelmä sekoitti yksittäisten asiakkaiden tietoja ja yhdisteli niitä väärin. Virhe on tunnistettu, ja se koski ilmeisesti vain 6. elokuuta lähetettyjä kirjeitä.

Levasman mukaan aiemmin luultiin, että virheitä oli vain verotuspäätöksissä, mutta niitä oli myös verokorteissa ja muissa tulosteissa. Virheitä on noin 16  800 päätöksessä.

Levasma sanoo, ettei myöskään voida sulkea pois sitä, että virheellisten kirjeiden määrä tarkentuu vielä.

–  Tällä hetkellä on lähdettävä siitä, että ne kaikki 27  000 kirjettä ovat virheellisiä.

STT uutisoi eilen, että verottaja olisi mahdollisesti lähettänyt noin 60  000 virheellistä verokirjettä, mutta Levasman mukaan kirjeiden määrää on nyt saatu rajattua käymällä kirjeitä läpi.

Virheet eivät koske ennen 8. elokuuta postitettuja kirjeitä. Esimerkiksi elokuussa maksetut veronpalautukset ja jäännösverot ovat olleet asiakkaiden saamissa kirjeissä oikein. Kaikki tiedot ovat oikein verotusjärjestelmässä ja OmaVero-palvelussa.

Vaimolla olikin vaimo

Virheellisten kirjeiden saajat ovat Levasman mukaan enimmäkseen yksittäisiä kansalaisia, mutta joukossa on myös muutamia yrityksiä ja yhdistyksiä.

Väärän verotuspäätöksen saanut suomalaismies kertoo STT:lle, että hänen saamansa noin viisisivuinen päätöskirje oli ensimmäiseltä sivulta alkaen "aika sekaisin".

–  Näki selkeästi, että tämä ei ole nyt onnistunut, koska siinä oli päällekkäisiä tekstejä, mies kuvailee.

Hänen mukaansa virheitä oli nimenomaan veropäätöksessä. Miehen päätoimiset tulot oli korvattu jonkun toisen ihmisen tuloilla. Lisäksi päätöksessä näytti olevan jonkun toisen metsänhoidollisia vähennyksiä, joita mies ei tunnistanut omikseen.

Miehen vaimo oli puolestaan yllättynyt, kun tämän päätöksessä oli naisen nimi puolison kohdalla.

Miehen mukaan hänen omat osakeomistuksensa olivat päätöksessä pääsääntöisesti oikein, ja verotodistus täsmäsi myös. Myös OmaVero-palveluun kirjautumalla tiedot näkyivät oikein.

Kolme päivää aikaa

Apulaistietosuojavaltuutettu Jari Råman kertoo STT:lle, että ilmi tulleiden tietojen perusteella tapaus täyttää tietoturvaloukkauksen piirteet. Muutoin Råman ei vielä spekuloi tapauksen seurauksia, koska verottaja ei ole vielä tehnyt asiasta ilmoitusta. Hän ei myöskään osaa ottaa kantaa, millaiset riskit tietojen väärinkäyttöön on.

–  Tässä vaiheessa emme vielä tiedä, mitä tietoja on luovutettu, missä muodossa ja ovatko ne helposti väärinkäytettävissä, Råman kertoo.

Råmanin mukaan verottajalla on tapahtuneen havaitsemisesta kolme vuorokautta aikaa tehdä ilmoitus tietoturvaloukkauksesta. Verottajan pitää arvioida, millaiset riskit tietojen väärin luovuttamisesta on aiheutunut ja mihin toimenpiteisiin se ryhtyy.

Tämän jälkeen tietosuojavaltuutettu arvioi, onko riskit arvioitu oikein ja ovatko keinot riittäviä.

–Tarvittaessa annetaan ohjausta. Monet näistä keisseistä päättyvätkin niin, että rekisterinpitäjä (verottaja) arvioi riskit ihan oikein ja riittävästi.

"Ei missään nimessä saa julkaista"

Verottajan Jarkko Levasman mukaan verottaja ilmoittaa tapahtuneesta tietosuojavaltuutetulle. Lisäksi Verohallinto lähettää kirjeen kaikille asiakkaille, joita virhe on koskenut tai joiden tietoja on mennyt virheellisiin kirjeisiin. Asiakkaiden ei tarvitse tehdä itse mitään.

Levasman mukaan uusia samasta virheestä johtuvia kirjeitä ei enää lähetetä, mutta vanhoja virheellisiä kirjeitä voi yhä tulla postitse tänään ja myöhemmin tällä viikolla.

–  Niitä ei missään tapauksessa saa lähteä julkaisemaan. Oikea tapa on hävittää kirje. Tiedämme kyllä, mitkä kirjeet ovat olleet virheellisiä, kunhan ne on käyty läpi, Levasma vakuuttaa.

Verottaja lähettää virheellisten kirjeiden saajille ohjeet ja uuden päätöskirjeen postitse. Levasman mukaan täytyy vielä varmistaa, keitä asiakkaita virhe koski.

–  Tulemme lähestymään heitä ja kertomaan, mitä heidän pitäisi tehdä asialle. Tämä on tietosuoja-asetuksen mukainen toiminto.

Levasman tiedossa ei ole, että turvakiellossa olevien henkilöiden tietoja olisi päätynyt vääriin käsiin. Turvakiellolla suojataan väestötietojärjestelmän osoite- ja kotikuntatiedot silloin, kun ihmisellä on perusteltu syy epäillä itsensä ja perheensä terveyden ja turvallisuuden tulevan uhatuksi.

Virheen aiheuttaja yhä epäselvä

Levasma ei muista toista vastaavaa tapausta, ja hänen mukaansa virhe on vakava ja poikkeuksellinen.

–  Virhe on saatu toistettua eli tiedetään, missä kohtaa se tapahtui, mutta vielä ei toki tiedetä, että mikä sen aiheutti. Se on tapahtunut hyvin yllättävässä kohdassa.

Hän pitää kuitenkin tietojen väärinkäytön riskiä pienenä.

–  Täytyy arvioida varsinaisten vahinkojen potentiaalia. Tässä on yksittäisille asiakkaille mennyt toisten yksittäisten asiakkaiden tietoja, ja ne eivät ole ainakaan toistaiseksi millään tavalla levinneet julkisuuteen. Mahdollisuus siihen, että tiedot olisivat päätyneet sellaiselle henkilölle, joka haluaisi niitä väärinkäyttää, on pieni.

KommentoiLuetuimmat talousuutiset
  • Päivä
  • Viikko
  • Kuukausi