Kansanedustaja Jyrki Kasvi (vihr.) katsoo blogissaan, että Trafin ajokorttitietopalvelun tietoturvariskianalyysi on ollut puutteellinen, mikäli sellaista on ylipäätään tehty.
– Ilmeisesti järjestelmästä ei ehditty louhia suuria määriä henkilötietoja, mutta yksittäisiä henkilötietoja on voitu käyttää identiteettivarkausrikoksissa. Sitä on mahdotonta tietää, Jyrki Kasvi kirjoittaa.
Trafin tapaus alleviivaa Kasvin mukaan myös Suomen tuoreen tietosuojalain erästä yksityiskohtaa, sillä EU:n gdpr-asetus ei Suomessa tuo tietoturvalaiminlyönneistä määrättäviä hallinnollisia seuraamusmaksuja julkishallinnon organisaatioille. Jäsenvaltiot saavat asetuksen mukaan itse määritää, koskevatko maksut niitä.
– Suomen tietosuojalain mukaan hallinnollinen seuraamusmaksu voidaan määrätä vain yritykselle, ei valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle.
Kasvi pohtii, mitä liikenne- ja viestintäministeri Anne Bernerin (kesk.) eduskunnan kyselytunnilla antama arvio Trafin ”tietoturvanäkökulmasta keskimääräistä paremmista” palveluista tarkoittaa. Lausunto perustui Bernerin mukaan Trafin sähköisten palveluiden auditointiin.
– Jos tämä pitää paikkansa, millä tasolla muiden viranomaisten sähköisten palveluiden tietoturva mahtaakaan olla? Jos Suomen gdpr-valvontaviranomainen eli tietosuojavaltuutettu pystyisi määräämään myös julkishallinnon organisaatioille hallinnollisia maksuja, hän ilmeisesti hukkuisi töihin.
Kasvin mukaan ”kun ajokorttitietopalvelu lopulta päätettiin sulkea, se epäonnistui, ja lopulta kaikki Trafin sähköiset palvelut jouduttiin sulkemaan, eikä muita palveluita pystytty palauttamaan kuin vasta vajaa viikko myöhemmin. Tämä teki esimerkiksi käytettyjen autojen kaupasta hankalaa ellei mahdotonta”.
– Miten Trafi on voinut hyväksyä sovellusarkkitehtuurin, jossa yhden sähköisen palvelun sulkeminen on mahdotonta ilman kaikkien muiden sähköisten palveluiden sulkemista? Kuinka monen muun viranomaisen palvelut on rakennettu samalla periaatteella?
