Tietoturvaloukkaus on voinut koskea erityisesti hyvinvointialueen työntekijöitä, opiskelijoita, vuokratyöntekijöitä, ostopalvelutuottajia ja päättäjiä, jotka ovat vaihtaneet hyvinvointialueen salasanan itselleen Passu-palvelussa yhteiskäyttöisellä laitteella ajalla 11.6.2024. - 30.1.2025. Kaikkiaan palvelua on käyttänyt ajanjakson aikana noin 3500 henkilöä, joista 2000 voidaan tavoittaa suoraan henkilökohtaisesti.
Palvelussa olleesta virheestä on voinut olla käyttäjälle haittaa, jos käyttäjä ei ole poistanut yhteisesti käytetyn laitteen (puhelin, tietokone) selaustietoja ja sulkenut käyttämäänsä selainta salasanan vaihdon jälkeen. Kirjautuminen on jäänyt voimaan, vaikka käyttäjä olisi kirjautunut ulos palvelusta Kirjaudu ulos -painikkeen kautta ja selain olisi ilmoittanut, että uloskirjautuminen on onnistunut.
Jos sen sijaan on käyttänyt Passu-palvelua aina henkilökohtaisella laitteella, virheen hyödyntämismahdollisuus on hyvin pieni.
Mitä haittaa virheestä on ollut?
Virheen vuoksi joku on voinut nähdä käyttäjän sellaisia luottamuksellisia tietoja, jotka ovat verkossa suomi.fi-kirjautumisen takana, koska toinen henkilö on voinut jatkaa työskentelyä samalla selaimella 32 minuutin sisällä kirjautumisesta.
Miten toimia, jos virhe on omalla kohdalla todennäköinen?
Digi- ja väestötietovirastolta (DVV) voi pyytää suomi.fi-palvelun omia käyttölokitietoja. Vapaamuotoisen käyttölokitietopyynnön voi toimittaa Digi- ja väestötietoviraston kirjaamoon sähköpostilla tai kirjepostina. Digi- ja väestötietoviraston kirjaamon yhteystiedot löytyvät täältä: https://dvv.fi/dvv-viralliset-yhteystiedot
Lokitietopyynnöstä tulisi käydä ilmi:
- Mitä tietoja pyyntö koskee
- Asiointipalvelu, johon liittyvät tunnistustapahtumat pyydetään selvittämään, eli mihin palveluun (esim. Pirkanmaan hyvinvointialueen sähköinen asiointi) käyttäjä on kirjautunut käyttäen suomi.fi-tunnistusta
- Miltä aikaväliltä tietoja pyydetään
- Mihin tarkoitukseen tietoja pyydetään
- Pyynnön esittäjän yksilöinti- ja yhteystiedot (nimi ja syntymäaika/hetu ja sähköpostiosoite tai kirjepostiosoite)
Jos riski identiteettivarkaudelle on kohonnut esimerkiksi ammatin tai julkisen aseman vuoksi, tai huomaa henkilötietojesi käsittelyssä jotain normaalista poikkeavaa, tietoja suojatoimista saa Tietosuojavaltuutetun toimiston sivuilta.
Passu-palvelu on korjattu
Passu-palvelussa havaittu virhe korjattiin helmikuun alussa ja Passu otettiin testauksen jälkeen uudelleen käyttöön 6.2.2025. Hyvinvointialue on tehnyt tietoturvaloukkauksesta ilmoituksen valvontaviranomaisena toimivalle tietosuojavaltuutetulle 4.2.2025.