Hoppa till huvudinnehåll

Dataläckan från Vastaamo kan också leda till bedrägerier: "Det borde vara straffbart att använda personbeteckningar för att säkerställa vem en person är"

Fingrar på ett tangentbord.
Med inte mycket mer än en personbeteckning är det i vissa fall möjligt att ta krediter (illustrationsbild). Fingrar på ett tangentbord. Bild: Yle/ Eeva Kuivas datorer,tangentbord,social- och hälsovårdstjänster,datasystem

Vastaamo-läckan kan också få ekonomiska konsekvenser för offren. Personbeteckningar kan nämligen fortfarande missbrukas för att köpa varor på nätet i någon annan persons namn, och för att bekräfta vem man är per telefon. Man kan ändå skydda sig mot det.

Det finns sedan tidigare 16 000 personbeteckningar som har hamnat i brottsliga händer år 2011, från en dataläcka vid Östra Finlands universitet och utbildningsorganisationen Työtehoseura.

Personbeteckningar från den här läckan har efter det använts av kriminella, till exempel för att beställa varor på kredit.

Samma slags risker finns – åtminstone i teorin – med de tiotusentals uppgifter som har läckt från psykoterapicentret Vastaamo.

"Personbeteckningar används fel"

Elias Aarnio är vice ordförande vid Electronic Frontier Finland (Effi) som arbetar för finländares digitala rättigheter. Han har redan länge varit kritisk till hur personbeteckningar används i Finland.

– Det grundläggande problemet är det att man använder personbeteckningar på fel sätt i Finland.

Man använder dem för att autentisera personer, alltså för att säkerställa vem en viss person är. Det borde man inte alls göra, betonar han.

Porträtt på Elias Aarnio.
Elias Aarnio på föreningen Effi. Porträtt på Elias Aarnio. Bild: Timo Jakonen porträtt,Effi

Också Myndigheten för digitalisering och befolkningsdata (före detta Befolkningsregistercentralen) säger att en personbeteckning endast borde användas för att skilja åt en person från en annan som till exempel har samma namn.

En sådan rekommendation har gällt redan länge, påpekar Elias Aarnio på Effi, men det verkar inte räcka till. Han anser att man helt borde förbjuda autentisering med hjälp av personbeteckningar.

– Man borde göra det straffbart, säger Aarnio.

Kan missbrukas

Det kan i nuläget räcka med att man anger namn, personbeteckning och adress för att kunna ta en kredit i någon annans namn.

Dessutom kan man bekräfta vem man är hos flera företags kundtjänster genom att ange detsamma, när man ringer dit.

– Jag har i flera år klagat varenda en gång då man börjar med att be om personbeteckning och sen ber man om gatuadress. Sedan frågar jag efter det: varför gör ni så här? Det är ju inget bevis för att det faktiskt är rätt person ni pratar med.

Hur borde man göra istället?

– Man skulle kunna använda nån hemlig sak, bara en hemlighet som kunden och företaget vet.

Ett sätt att göra det på är att man kommer överens om nån viss fråga, och att företaget har ens svar på det i sitt register. Till exempel namnet på ens första husdjur, eller något liknande.

Det här är vanligt i flera andra länder – till exempel i Storbritannien. Där kan ett företag ställa flera olika säkerhetsfrågor för att komma fram till vem man är.

Stark autentisering ger bäst säkerhet

Aarnio säger att ett annat sätt att förbättra säkerheten kunde vara att företag till exempel autentiserar en (kontrollerar ens identitet) på ett starkt sätt, via nätbanken eller mobil ID.

Sådan här stark autentisering – eller stark identifiering som det ibland också kallas i folkmun – har blivit vanligare i näthandeln under det senaste året, efter att reglerna skärptes.

I september i fjol trädde nämligen ett nytt betaltjänstdirektiv i kraft. Det här direktivet kräver att det görs stark kundautentisering vid betalningstransaktioner på nätet.

Reglerna för kredittagning är däremot äldre. För att beviljas en kredit så krävs vanligen också stark autentisering. Däremot är engångskrediter som kopplas till en viss vara ett undantag, berättar Finansinspektionen.

Fortfarande kan man alltså beställa till exempel en dator eller mobiltelefon i någon annans namn, om man vet personens namn, personbeteckning och adress.

– Argumenten för det här undantaget har nog levt ut sin tid. De är minst 10 år gamla, och har blivit kvar i lagstiftningen, säger Sanna Atrila, som är ledande jurist på Finansinspektionen.

Hon säger att beslutsfattare borde titta närmare på den här frågan och ändra lagen, särskilt mot bakgrund att huvudregeln nu är att kräva stark autentisering vid köp på nätet.

– Ja, en sådan här förändring skulle vara på sin plats, tillägger Atrila.

Företag vill gärna att det ska vara så lätt som möjligt att köpa produkter på kredit, så att fler också gör det. Att erbjuda stark autentisering kostar också.

Samtidigt kan det bli stora problem för en konsument som råkar ut för att någon missbrukar hans eller hennes personbeteckning.

– Balansen är lite sned. Man har inte kunnat föra fram konsumenternas rättigheter i det här. Man borde börja tänka på det sättet att olika processer skulle vara bättre ur konsumentens synvinkel, säger Elias Aarnio.

Hur kan man skydda sig?

De som har drabbats av Vastaamo-läckan eller av andra läckor så att ens personbeteckning har läckt borde enligt Cybersäkerhetscentret noga överväga att ta ett kreditförbud, via både Suomen Asiakastieto och Bisnode Finland.

Dessutom kan det löna sig att aktivera ett skilt kreditförbud hos företaget Klarna, för det har inte hittills kollat efter sådana här förbud som konsumenten själv har registrerat hos andra aktörer.

Klarna har ändå lovat att snart börja använda sig av de uppgifter som registreras hos Suomen Asiakastieto och Bisnode Finland. Det uppgav tidningen Helsingin sanomat på tisdagen.

Om man aktiverar kreditförbud borde det inte gå att ta krediter i ens namn. Systemet är inte helt vattentätt, men skyddar mot en hel del krediter.

Det rekommenderas också att man förbjuder att flyttanmälan kan göras vid posten med en blankett. Det kan man göra via postens digitala tjänst Oma Posti.

Det finns också ytterligare spärrar det kan löna sig att aktivera om man har råkat ut för en dataläcka. Se artikeln Anvisningar och råd för den som råkat ut för dataintrånget på Vastaamo för mer mer information om det.

Att få en ny personbeteckning kunde vara ett alternativt sätt att skydda sig, men det är svårt i nuläget. Enligt lagen har man inte heller rätt att få en ny personbeteckning i förebyggande syfte, för att undvika att utsättas för brott.

Man kan få det först efter att ens personbeteckning har missbrukats upprepade gånger. Dessutom måste man ha utsatts för, som det heter, "betydande ekonomiska eller andra olägenheter".

En ändring kan också vara möjlig om den är absolut nödvändig "för att skydda personen i sådana situationer där hans eller hennes hälsa eller säkerhet är uppenbart och varaktigt hotad".

Artikeln uppdaterades 27.10.2020 kl. 10.46 med information om kreditföretaget Klarna.

Läs också