Eduskunnan kanslia peitti kansanedustajien kotiosoitteet teipillä – sisältö paljastui valokuvaamalla
Suomen lainsäädäntövaltaa käyttävän instituution oma kanslia luotti analogiseen anonymisointiin, eikä se kestänyt edes puhelimen kameran kohdistamista. Kyse on jo toisesta kansanedustajien tietosuojakohusta vuoden sisällä.
Tiivistelma
Eduskunnan kanslia tiedotti 27.5.2026, että kansanedustajien kulukorvauksiin liittyviä vuokrasopimuksia ja kauppakirjoja oli ollut yleisön nähtävillä kanslian kirjaamossa. Asiakirjoista oli peitetty kansanedustajan nimeä lukuun ottamatta muut tiedot teipillä, jonka alta sisältö paljastui valokuvaamalla. Eduskunta ottaa yhteyttä asianosaisiin henkilökohtaisesti.
Tavallinen toimistoteippi paperin päällä. Sen alta puhelimen kameralla otetussa kuvassa erottuvat kansanedustajan kotiosoite, vuokranantajan nimi ja sopimusehdot. Juuri tällä tasolla oli järjestetty arkaluonteisten henkilötietojen suoja Suomen eduskunnan kanslian kirjaamossa.
Eduskunnan kanslia tiedotti tapauksesta torstaina 27. toukokuuta. Yle kertoo, että nähtävillä olleet asiakirjat liittyivät kansanedustajien kulukorvauksiin ja koostuivat pääkaupunkiseudun toissijaisten asuntojen vuokrasopimuksista ja kauppakirjoista. Asiakirjat ovat julkisuuslain mukaan lähtökohtaisesti julkisia, mutta arkaluonteiset henkilötiedot olisi pitänyt poistaa ennen yleisön nähtäville asettamista.
Sen sijaan kanslia oli päätynyt yksinkertaisempaan ratkaisuun. Kansanedustajan nimeä lukuun ottamatta muut tunnistetiedot oli yritetty piilottaa teippaamalla.
– Henkilötietojen tietoturva on vaarantunut, koska tietojen poisto ei ole tapahtunut tietoturvallisella tavalla, eduskunnan kanslia toteaa tiedotteessaan.
Samassa tiedotteessa kanslia muotoilee asian myös toisin. Yksilöityä tietosuojaloukkausta ei ole voitu varmuudella todentaa.
Kaksi lausetta vetävät eri suuntiin. Suojaus petti, mutta vuotanutta sisältöä ei ole vielä noussut julkisuuteen.
Miksi teippi ei riitä
Miksi paperiteippi sitten ei kelpaa? Teippi tai musta tussi paperin pinnalla on kosmeettinen kerros, ei poisto. Vahva valo, vinosti otettu kameran salama tai pelkkä paperinvalo läpikuultavan teipin takaa riittää usein paljastamaan alla olevan tekstin.
Vuokrasopimuksessa tai kauppakirjassa tämä on iso ongelma. Yhdellä asiakirjalla saattaa olla kansanedustajan kotiosoite, vuokranantajan nimi ja yhteystiedot, hintatiedot ja sopimusehdot.
Mihin näitä tietoja voi käyttää väärin? Kansanedustajien nimissä lähetettyihin tekeytymisviesteihin, kohdistettuun häirintään ja pahimmillaan fyysisen turvallisuuden uhkaan. Riski on siis varsin konkreettinen, vaikka todennettua vuotoa ei vielä olisi.
Redaktointi vs. peitto
Tietoturvallisessa redaktoinnissa luottamuksellinen sisältö poistetaan asiakirjasta pysyvästi. Paperilla se tarkoittaa uudelleentulostettua versiota, jossa peitetyt kohdat on korvattu mustilla suorakaiteilla jo ennen tulostusta. Digitaalisesti pelkkä grafiikkaelementti tekstin päällä ei kelpaa, vaan tekstikerros on poistettava. Teippi tai tussi paperitulosteen päällä on peittoa, ei redaktointia.
Toinen kohu samana keväänä
Eduskunnan tietosuojaongelmat eivät rajoitu tähän tapaukseen. Maaliskuussa 2026 Protonin tilaama tutkimus paljasti, että lähes puolen kansanedustajan tietoja oli löydetty pimeästä verkosta kolmansien osapuolten palveluista vuotaneina. Tuolloin vastuu jakautui ulkoisille palveluntarjoajille, eikä eduskunnan oma tietoturva ollut vaarantunut.
Nyt vastuu on eduskunnan kanslian omissa kuluraportointiprosesseissa. Kahden kuukauden välein tapahtuneet kohut osuvat samaan kansanedustajien tietosuojan kokonaisuuteen, vaikka tekninen lähtökohta on eri.
Maaliskuun tapauksessa ratkaisuna pidettiin parempaa salasanahygieniaa ja palveluntarjoajien valintaa. Toukokuun tapauksessa ratkaisu on yksinkertaisempi mutta vaivalloisempi. Kanslian on opeteltava redaktoimaan oikein.
Kanslia kertoo poistaneensa riskin ja olevansa yhteydessä asianosaisiin henkilökohtaisesti. Eduskunta ei ole kertonut, kuinka montaa edustajaa tapaus koskee. Tiedotteessa ei myöskään käy ilmi, onko tapahtumasta tehty ilmoitusta tietosuojavaltuutetulle, vaikka GDPR edellyttää henkilötietojen tietoturvaloukkauksen ilmoittamista 72 tunnin kuluessa havaitsemisesta.
Mitä tehdä
- Kansanedustajille ja muille mahdollisille asianosaisille: odota eduskunnan kanslian yhteydenottoa. Älä reagoi tuntemattomien lähettämiin viesteihin, joissa vedotaan vuokrasopimukseen tai kotiosoitteeseesi.
- Yleisesti kansalaisille: jos koet, että kotiosoitteesi pitäisi olla suojatumpi, voit hakea maistraatista turvakieltoa väestötietojärjestelmään.
- Varo jälkihuijauksia: vuotaneita tietoja saatetaan käyttää kansanedustajien nimissä tehtyihin kalasteluviesteihin ja puhelinhuijauksiin. Suhtaudu epäluuloisesti viesteihin, joissa vedotaan "edustajan asiointiin" tai pyydetään vahvistamaan tietoja.
- Organisaatioille: älä luota teippiin tai tussiin redaktoinnissa. Tulosta sensuroitu versio uudelleen tai käytä digitaalista redaktiotyökalua, joka poistaa tekstikerroksen.
- Tietoturvaloukkauksen ilmoittaminen: henkilötietoja koskevista loukkauksista voi ja pitää ilmoittaa tietosuojavaltuutetulle 72 tunnin kuluessa osoitteessa tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta.
Eduskunnan kanslian tutkinnan etenemisestä ei tätä artikkelia kirjoitettaessa ole tarkempaa tietoa. Toistaiseksi vastaamatta on myös perimmäinen prosessikysymys: kuka kanslian sisällä on hyväksynyt teipin riittäväksi suojakeinoksi, ja onko vastaavaa menettelyä käytetty muissakin asiakirjanipuissa.