Valtion viraston salamyhkäiset toimet paljastuivat – Uusi käänne tapauksessa

Marraskuussa ilmi tullut Oikeuspalveluviraston (OPV) henkilökuntaa koskeva tietoturvaloukkaus alkoi jo vuosi ennen kuin siitä ilmoitettiin. Viraston johto tarkasti yli 600 työntekijän luottotiedot ilman perusteltua syytä.

OPV:n tietoturvaloukkausilmoituksen mukaan ensimmäinen luottotietoja koskeva loukkaus tapahtui jo marraskuussa 2024. Se koski 70 työntekijää.

OPV:n mukaan kaikkia työntekijöitä, joita ensimmäinen tapaus koski, ei informoitu asiasta, sillä työntekijät eivät enää marraskuussa 2025, kun asia tuli ilmi, olleet OPV:n palveluksessa. Viraston arvion mukaan luottotietojen hakeminen voi aiheuttaa heille mainehaittaa, mutta vaikutukset ovat vähäiset.

Asia käy ilmi tietosuojavaltuutetun toimistolle annetusta ilmoituksesta.

Massa-ajoja

Tietoturvaloukkaus havaittiin 14. marraskuuta 2025. Se oli alkanut 5. marraskuuta, kun työntekijöiden luottotiedot oli kerätty massa-ajolla Suomen Asiakastiedosta. Kerätyt tiedot poistettiin järjestelmistä, kun tietojen hakemisen ja säilyttämisen ymmärrettiin olevan tietoturvaloukkaus.

Tämän jälkeen huomattiin, että vastaava luottotietojen haku oli tehty osalle työntekijöistä jo edellisenä vuonna.

Vuoden 2024 tietoturvaloukkaus kohdistui silloisen Kaakkois-Suomen piirin henkilöstöön, jota käytettiin turvaselvityksen ja riskienhallinnan pilotoinnissa.

Oikeusministeriö oli suositellut tekemään virkamiehistä turvaselvitykset, mutta suojelupoliisi linjasi, ettei edunvalvonnan tai talousosaston virkamiesten turvaselvityksille ollut perusteita.

Riskienhallintaa päätettiin vahvistaa tarkastamalla henkilökunnan luottotiedot. Perusteena oli se, että edunvalvonnan ja talousosaston henkilöstö käsittelee edunvalvottavien omaisuutta ja taloudellisia asioita laajasti.

Toiminnan ongelmallisuus havaittiin omavalvonnassa vasta seuraavana syksynä. Ilmoituksen mukaan yhtiön lakimies arvioi marraskuun 2025 tietojen haun jälkeen, ettei luottotietoja olisikaan pitänyt tarkistaa.

Vain erityistilanteissa

Työsuojeluviranomaisen ohjeistuksen mukaan työnantaja saa tarkistaa työntekijän luottotiedot vain tilanteissa, joissa työtehtävät edellyttävät erityistä luotettavuutta. Ensisijaisesti selvitystä tulee pyytää työntekijältä, minkä lisäksi hänelle tulee kertoa, että luottotiedot tarkistetaan.

Tietosuojavaltuutetun toimiston mukaan tietoja ei myöskään saa säilyttää, vaan ne täytyy poistaa, kun tarkistus on tehty.

OPV:n mukaan tietoturvaloukkaus johtui virheellisestä laintulkinnasta. Jatkossa se aikoo tarkastaa luottotiedot ainoastaan rekrytointitilanteissa ja silloin, kun työntekijän työtehtävät vaihtuvat olennaisesti ja selvitys on tarpeen.

Tapausta käsitellään vielä tietosuojavaltuutetun toimistossa.