Vastuulliset energiayhtiöt ottavat tietosuojan erittäin vakavasti
Savon Sanomissa julkaistiin 24.1.2019 kolumni ”Löysää tietoturvaa” ja samana päivänä lehden verkkouutisissa tähän liittyen juttu, jossa kyseenalaistettiin henkilötunnuksen antamisen tarpeellisuus asioitaessa energiayhtiön kanssa. Tämä blogissamme oleva vastine julkaistiin lehdessä 27.1.2018.
Tietoturva ja henkilötunnuksen käyttö yksilöintitietona energiayhtiöissä
Aihe on erityisen ajankohtainen jo siksi, että helmikuun alusta voimaan astuva Sähkömarkkinalain muutos edellyttää sähköyhtiöitä pyytämään sähköverkkosopimuksen ja -myyntisopimuksen syntymistä varten henkilötunnuksen ”loppukäyttäjän” yksilöintitietona.
Henkilötunnuksen pyytäminen sähköyhtiön toimesta on toki aiemminkin ollut tarpeellista siksi, että sähkön ostaminen on luotolla tehtävää kaupankäyntiä: sähkö toimitetaan ja kulutetaan ennen kuin se laskutetaan.
Henkilötunnusta käytetään asiakkaan luotettavaan yksilöimiseen, mutta puhelussa soittajan tunnistamisen varmennukseen yhdistetään aina muitakin häntä koskevia tietoja. Nimen ja henkilötunnuksen lisäksi puhelimitse kysyttäviä ja käsiteltäviä tunnistamista vahvistavia tietoja ovat sähkönkäyttöpaikkaa koskevat tiedot, soittajan puhelinnumeron yhdistyminen automaattisesti olemassa oleviin asiakastietoihin, asiakasnumero sekä muut mahdolliset asiakkuuteen liittyvät tiedot. Ainoa virallinen ja lainsäädännön tarkoittama yksilöivä henkilötunniste on kuitenkin henkilötunnus.
Pian voimaan tulevalla sähkömarkkinalain muutoksella valmistaudutaan vuonna 2021 käyttöönotettavaan kansalliseen toimialan datahubiin, jossa tuolloin sijaitsevat Suomen kaikkien noin 2,3 miljoonan sähkönkäyttöpaikan tiedot. Koska sähköyhtiöiltä edellytetään henkilötunnuksen sisällyttämistä asiakastietoihin, antaa tuleva lainmuutos sähköyhtiöille oikeuden saada asiakkaan henkilötunnus ja muut tarpeelliset henkilötiedot Väestörekisterikeskuksesta, aiemmin näin ei ollut.
Toimittajan kirjoituksessa asiakaskokemus sai alkunsa hänen yrittäessään rekisteröityä Savon Voiman asiakkaana uuteen, PriWatin korvanneeseen, Väppi-palveluun. Väppi on Väreen ja sen omistajayhtiöiden yhteinen palvelualusta, jossa asiakas voi selata kulutus- ja muita asiakkuustietojaan. Lainsäädäntö määrittelee kulutustiedot henkilötietoihin rinnastettaviin tietoihin ja siksi olemme halunneet toteuttaa palveluun kirjautumisen niin sanotun vahvan tunnistautumisen taakse. Tämä tarkoittaa Väppi-palveluun rekisteröitymistä pankkitunnuksilla, mitä varten tarvitaan myös energiayhtiön asiakastietoihin henkilötunnus.
Tietosuojatyö ei loppunut GDPR:n myötä, se vain nosti vahvemmin esille sen, että vastuullisten toimijoiden on tehtävä jatkuvaa kehitystyötä tietosuojatoimenpiteiden parissa.