Vastaamo on lähettänyt ainakin osalle asiakkaistaan sähköpostilla laskuja, joissa on ollut henkilötunnus suojaamatta.
Yle on nähnyt kaksi tällaista laskua, jossa henkilötunnus on ollut Y-tunnuksen paikalla. Toisessa kyseessä on ollut asiakas ja toisessa läheiselleen ajan varannut henkilö.
Tietosuojavaltuutettu (siirryt toiseen palveluun)Reijo Aarnion ohjeistuksen (siirryt toiseen palveluun) mukaan yritys ei saa käyttää henkilötunnusta laskuissa. Tiedossa ei ole, onko käytäntö Vastaamolla vielä käytössä tai kuinka laajaa osaa asiakkaista käytäntö koskee.
Vastaamo ei halunnut kommentoida asiaa keskiviikkona.
– Vastaamolla ei ole nyt aiheeseen uutta kommentoitavaa. Olemme viime päivinä kertoneet kaiken sen, mitä asiasta on tässä vaiheessa kerrottavaa, Vastaamon hallituksen puheenjohtaja Tuomas Kahri vastasi sähköpostilla.
Yle kysyi käytännöstä tietoturvaan perehtyneeltä Windows-asiantuntijalta Sami Laiholta. Myös hänen laskussaan on henkilötunnus näkyvillä.
– Henkilötunnuksen välittäminen sähköpostilla, täysin suojaamattomana, on vastoin kaikkia sääntöjä, Laiho kertoo.
Vastaamo kertoi viime viikolla, että siltä on viety asiakkaiden henkilökohtaisia tietoja. Tietomurron uhreja voi olla kymmeniätuhansia.
Tietosuojavaltuutettu: Ei saa käyttää laskuissa
Tietosuojavaltuutettu Reijo Aarnio kertoi kesällä määränneensä (siirryt toiseen palveluun) erään organisaation muuttamaan käytäntöä, jossa henkilötunnusta oli käytetty laskuissa asiakkaiden identifiointiin. Asiakkaille osoitettuihin laskuihin oli merkitty laskun saajan nimen lisäksi hänen henkilötunnuksensa.
Tietosuojavaltuutetun toimisto oli saanut kantelun käytännöstä, jossa organisaatio oli lisännyt vastaanottajien henkilötunnukset terveydenhuollon palvelua koskeviin laskuihin. Syy henkilötunnuksen merkitsemiseen on organisaation mukaan ollut henkilöiden yksilöiminen.
Tietosuojavaltuutetun mukaan tämä ei ole tietosuojalainsäädännön mukaista.
Valtiokonttori on antanut myyntilaskuja koskevan määräyksen, jossa todetaan, ettei henkilötunnusta tule merkitä laskulle. Tietosuojalaki puolestaan edellyttää, että henkilötunnusta ei tule merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.
Eduskunnan oikeusasiamies linjasi jo vuonna 2011 (siirryt toiseen palveluun), että salassapidettävä tietoja ei saa lähettää suojaamattomassa sähköpostissa.