Henkilötunnus vuotanut – 8 askelta, jotka kannattaa tehdä jo tänään
Kaksi maksutonta toimenpidettä kannattaa hoitaa ensimmäisenä, ennen kuin avaa pidempää tarkistuslistaa. Loput askeleet sulkevat ovet, joista identiteettivaras tyypillisesti yrittää sisään.
Tiivistelma
Kun oma henkilötunnus päätyy vuotaneen tiedon joukkoon, ensimmäiset minuutit kannattaa käyttää Postin muuttosuojaukseen ja Verohallinnon maksuttomaan luottokieltoon. Kahden tutun luottokieltorekisterin lisäksi Suomessa toimii nykyään kolmas, jota harva muistaa. Tämä ohje kokoaa kahdeksan askelta, jotka kannattaa käydä läpi heti tietovuodon jälkeen.
Tieto omasta henkilötunnuksesta vuotaneen aineiston joukossa saa monen pulssin nousemaan. Ensimmäinen reaktio on usein avata selain ja alkaa kaivaa ohjeita, vaikka juuri silloin kannattaisi tehdä kaksi asiaa hyvin nopeasti.
Loput voi hoitaa rauhassa saman päivän aikana. Tärkeintä on, että ovet kiinni menevät oikeassa järjestyksessä.
30 sekunnin ensiapu
- Aseta Postin maksuton muuttosuojaus päälle. Se estää sen, että joku tekee paperilomakkeella muuttoilmoituksen sinun nimissäsi.
- Hae Verohallinnon maksuton luottokielto Positiiviseen luottotietorekisteriin. Tehdään OmaVerossa, kestää alle minuutin.
Nämä kaksi vektoria ovat tällä hetkellä Suomen suosituimmat. Postin paperinen muuttoilmoitus on edelleen aktiivisesti käytetty väylä, ja siihen riittää pelkkä henkilötunnus. Postin sähköinen muuttosuojaus puolestaan estää sen, että huijari muuttaa osoitteen omaan postilokeroonsa ja kaappaa sieltä uudet pankkikortit, viranomaiskirjeet ja luottotiedot.
8 askelta tietovuodon jälkeen
Kun ensiapu on hoidettu, käy seuraava lista läpi järjestyksessä. Suurin osa kohdista on maksuttomia ja vie muutaman minuutin per kohta.
- Aseta luottokielto kaikkiin kolmeen rekisteriin. Moni tietää kaksi, mutta kolmas yllättää.
- Verohallinnon Positiivinen luottotietorekisteri, maksuton, käytössä 1.4.2024 alkaen. vero.fi
- Suomen Asiakastieto, Oma luottokielto, 19,95 € / 2 vuotta. asiakastieto.fi
- Dun & Bradstreet, entinen Bisnode, maksullinen ja voimassa vuoden. my.bisnode.fi
- Aseta Postin muuttosuojaus ja DVV:n muuttoesto. Eri rekisterit, eri palvelut, molemmat maksuttomia. DVV:n muuttoesto löytyy osoitteesta dvv.fi/muuttoesto.
- Laita yhteystietojen luovutuskielto ja osoitetietojen suoja päälle Suomi.fi:n kautta. DVV ohjeistaa, että nämä rajaavat sitä, kenelle väestötietojärjestelmästä tietoja luovutetaan.
- Tee PRH-rekisteröintikielto. Se estää, että nimiisi perustetaan yritys tai sinut nimetään hallitukseen ilman lupaa. Maksuton, turvaviesti.prh.fi/rekisterointikielto.
- Ilmoita omaan pankkiin. OP, Nordea, Danske ja S-Pankki kertovat lisäävänsä tilille tarkennetun tunnistuksen merkinnän, joka nostaa kynnystä huijausyrityksissä.
- Vaadi vuodon tehneeltä organisaatiolta GDPR-tietoturvaloukkausilmoitus kirjallisesti. Tietosuojavaltuutettu muistuttaa, että asetuksen 34 artikla velvoittaa ilmoittamaan rekisteröidylle. Jos vastausta ei kuulu, valitus menee tietosuojavaltuutetulle.
- Seuraa aktiivisesti. Käy parin viikon välein OmaVero, OmaKanta, pankkitilit, Asiakastieto- ja D&B-merkinnät sekä syötä sähköpostiosoitteesi HaveIBeenPwned-palveluun. Kaupallisia "darknet-seurantapalveluita" ei oikeastaan tarvita tämän rinnalle.
- Tee rikosilmoitus vasta, kun tietoja on käytetty väärin. Pelkkä vuoto ei vielä riitä rikosnimikkeen täyttymiseen. Lomake löytyy osoitteesta asiointi.poliisi.fi.
Taustalla vaikuttaa myös vuoden 2023 hetu-laki.
Hetu-laki 1.10.2023 – mihin henkilötunnusta enää saa käyttää
Lokakuussa 2023 voimaan tullut lakimuutos kieltää henkilötunnuksen käytön yksinomaisena tunnistautumiskeinona. Tunnistautumiseen vaaditaan vahva tunnistautuminen, esimerkiksi pankkitunnukset tai mobiilivarmenne. Vastuu tunnistautumisen turvallisuudesta siirtyi palveluntarjoajalle.
Kolmas rekisteri on uusi tulokas
Vanha tieto kuuluu, että luottokielto kannattaa hakea Asiakastiedosta ja Bisnodelta. Verohallinnon Positiivinen luottotietorekisteri tuli käyttöön 1.4.2024, ja sinne tehty kielto on todella tehokas, koska luotonantajat ovat lain mukaan velvollisia tarkistamaan rekisterin ennen kuluttajaluoton myöntämistä. Sama kielto kattaa myös tilausluotot ja monet osamaksusopimukset.
Käytännön ero on melko yksinkertainen. Asiakastiedon ja D&B:n merkinnät ovat luotonantajille vahva suositus, kun taas Verohallinnon rekisterin kielto pysäyttää hakemuksen heti alkumetreillä. Kahden vanhan rekisterin merkintä kannattaa silti pitää voimassa, koska kaikki rahoituslaitokset eivät käytä Positiivista rekisteriä päätöksenteon ainoana lähteenä.
Entä miksi henkilötunnuksen kokonaisuudistus ei tätä ongelmaa ratkaissut? Hanke sukupuolineutraalista tunnuksesta ja erillisestä yksilöintitunnuksesta kaatui edellisellä vaalikaudella, eikä se ole Orpon hallitusohjelmassa. Toteutui vain välimerkkiuudistus 1.1.2023, jossa 1900-luvulla syntyneille otettiin käyttöön Y-, X-, W-, V- ja U-välimerkit ja 2000-luvulla syntyneille kirjaimet B–F. Vanhat tunnukset eivät muutu, joten kerran vuotanut hetu on vuotanut pysyvästi.
Milloin rikosilmoitus kannattaa tehdä?
Identiteettivarkaus on kriminalisoitu rikoslain 38 luvun 9 a §:ssä 4.9.2015 alkaen. Kyseessä on asianomistajarikos. Tunnusmerkistö edellyttää, että toinen henkilö erehdytetään ja että uhrille aiheutuu vähäistä suurempaa haittaa tai taloudellista vahinkoa. Pelkkä tietovuoto ilman väärinkäyttöä ei vielä täytä tunnusmerkistöä, joten rikosilmoituksen kanssa kannattaa odottaa konkreettista tapahtumaa, kuten nimiin avattua tiliä tai tehtyä luottohakemusta.
Toistaiseksi paras suoja on kerroksellinen. Yksi luottokielto ei riitä, kun rekistereitä on kolme, ja muuttosuojaus toimii vain Postin järjestelmässä. Kun nämä kahdeksan kohtaa on käyty läpi, suurin osa tyypillisistä väärinkäytöistä jää käytännössä kiinni jo yritysvaiheessa.
Kalenteriin kannattaa tehdä merkintä noin kahden vuoden päähän. Asiakastiedon Oma luottokielto vanhenee silloin automaattisesti, ja D&B:n vuoden mittainen suoja pitää joka tapauksessa uusia tätä useammin. Verohallinnon kielto pysyy voimassa, kunnes sen itse poistaa OmaVerossa.