I bank- och betalkontoregistret (Kontoregistret), som upprätthålls av Tullen som stöd för vissa behöriga myndigheters arbete, har man upptäckt en datasäkerhetsavvikelse. Extra personuppgifter har sparats i registret. Enligt uppskattningen har uppgifterna inte äventyrats och i och med lagändringarna kan största delen av dessa uppgifter redan hanteras. Registret är ännu inte i operativ användning.
Kontoregistret är ett register som upprätthålls av Tullen och avsikten är att främja och effektivera behöriga myndigheters arbete bl.a. att hindra penningtvätt. Tullen har upptäckt att man i systemet har överlåtit, mottagit och sparat personuppgifter och andra uppgifter i en större omfattning än vad Tullen har rätt att hantera. Extra uppgifter som sparats är t.ex. uppgifter som anknyter till personernas konton, såsom uppgifter om kontoinnehavare och dispositionsrätt. Uppgifterna anknyter inte till kontonas betalningstransaktioner. Inte alla extra uppgifter är personuppgifter, utan en del av dem gäller endast företag.
Datasäkerhetsavvikelsen upptäcktes den 2 november 2021 i Tullens egna utredningar. Den anses ha börjat den 1 september 2020, dvs. ända sedan det har varit möjligt att spara uppgifter i Kontoregistret. Kontoregistret är ännu inte i operativ användning, dvs. uppgifterna utnyttjas inte i nuläget och de behöriga myndigheterna använder ännu inte registret. Händelsen har inte påverkat myndigheternas verksamhet, till exempel myndigheternas rätt till upplysningar har inte begränsats.
Tullen förhåller sig allvarligt till hanteringen av personuppgifter och datasäkerhetsavvikelsen. Enligt Tullens preliminära riskbedömning finns det ingen orsak att misstänka att uppgifterna som angetts felaktigt har setts av utomstående eller behandlats på något sätt. Endast de tekniska systemutvecklarna vid Tullen och hos leverantören av drifttjänsten har haft tillgång till uppgifterna, vilket betyder mindre än 10 personer. Enligt den preliminära bedömningen berör dessa extra uppgifter som sparats 30 000 privatpersoner vilkas uppgifter fåtts från 12 företag. Tullen har kontaktat företagen gällande datasäkerhetsavvikelsen.
Dataombudsmannen informerades om datasäkerhetsavvikelsen den 18 november 2021.
Lagändringarna har utvidgat Kontoregistrets databehandlingsrättigheter
Lagstiftningen gällande Kontoregistret har uppdaterats det senaste året och man har fortfarande föreslagit ändringar till lagstiftningen. Största delen av de extra uppgifter som mottagits tidigare och som nu upptäckts, har man utgående från lagändringen kunnat spara och på annat sätt hantera i Kontoregistret. En del av uppgifterna har man dock inte ens efter lagändringen fått samla in.
Tullen har omedelbart inlett åtgärder för att radera extra uppgifter samt för att korrigera brister i systemet. Extra uppgifter har raderats i systemet och en systemversion som stoppar mottagandet av uppgifter har publicerats. De uppdaterade systemversionerna samt ändringarna till Tullens föreskrift gällande gränssnitten publiceras så fort som möjligt. Tullen utvärderar också sina interna processer, så att man undviker motsvarande situationer i framtiden. Tullen beklagar detta.
Mera information:
Information om Kontoregistret och övervakningssystem för bank- och betalkonton
tilirekisteri(at)tulli.fi
