Ylioppilastutkintolautakunta
Ylioppilastutkintolautakunta
YLIOPPILASTUTKINTOLAUTAKUNTA
Studentexamensnämnden

Tilausjärjestelmän henkilötietoja ollut ulkopuolisten saatavilla

Ylioppilastutkintolautakunnan tietoon on tullut, että todistusjäljennösten ja koesuorituskopioiden tilausjärjestelmästämme peräisin olevia henkilötietoja on ollut ulkopuolisten saatavilla verkon kautta. Tiedot ovat sijainneet palveluntarjoajan palvelimella erillään nykyisin käytössä olevasta tilausjärjestelmästä ja muista Ylioppilastutkintolautakunnan tietojärjestelmistä. Kyseessä ovat vuosina 2012–2016 tehtyjen todistusjäljennösten, käännöstodistusten ja koesuoritusten tilausten yhteydessä annetut tiedot.

 

Mitä on tapahtunut?

Ylioppilastutkintolautakunnan todistusten ja koesuoritusten tilausjärjestelmästä peräisin olevia henkilötietoja on ollut ulkopuolisten saatavilla verkon kautta. Ulkopuolisilla tahoilla on saattanut olla mahdollisuus päästä näkemään tietoja. Pääsy tietoihin estettiin välittömästi asian tultua palveluntarjoajan tietoon.

 

Miksi näin tapahtui?

Vaikuttaa siltä, että verkkosivujemme uudistamisen yhteydessä palveluntarjoaja siirsi vanhan tilausjärjestelmän yhteydessä olleet tiedot kehityspalvelimelle. Tiedot jäivät kehityspalvelimelle vielä sen jälkeen kun uudet verkkosivut ja uusi tilausjärjestelmä otettiin käyttöön helmikuussa 2017. Kehityspalvelimelle on ollut avoin pääsy verkon kautta 11.11.2017 lähtien palveluntarjoajamme tekemän inhimillisen virheen takia. Pääsy palvelimelle estettiin tammikuun lopussa 2018.

 

Mitä tietoja verkossa on ollut ulkopuolisten saatavilla?

Tilausjärjestelmästä peräisin olevat tiedot sisältävät vuosina 2012–2016 tehtyjä todistusjäljennösten, käännöstodistusten ja koesuorituskopioiden tilauksia. Ulkopuolisten saatavilla ovat olleet seuraavat tiedot: nimi, syntymäaika tai henkilötunnus, postiosoite, sähköpostiosoite, puhelinnumero, tilauksen päivämäärä, tutkinnon suorittamisen ajankohta ja lukion nimi. Kaikkiaan 6231 henkilön tiedot ovat olleet ulkopuolisten saatavilla.

 

Kuinka kauan tiedot ovat olleet verkossa ulkopuolisten saatavilla?

YTL sai 7.2.2018 ilmoituksen siitä, että tiedot olivat olleet ulkopuolisten saatavilla. Palveluntarjoaja oli estänyt pääsyn palvelimelle, jolla tiedot olivat, jo tammikuun lopussa. Saamiemme tietojen mukaan tiedot ovat olleet ulkopuolisten saatavilla 11.11.2017 lähtien.

 

Miksi tilausjärjestelmässä on käsitelty henkilötietoja?

Ylioppilastutkintolautakunnasta voi tilata kopioita koesuorituksista sekä jäljennöksiä ja käännöksiä ylioppilastutkintotodistuksista. Tilausjärjestelmässä kerättävät henkilötiedot tarvitaan tilauksen käsittelyä ja toimittamista varten.

 

Miten YTL on tiedottanut asiasta?

YTL julkaisi asiasta tiedotteen verkkosivuillaan 8.2.2018.

YTL on ollut asiasta yhteydessä Viestintävirastoon, Väestörekisterikeskukseen ja tietosuojavaltuutettuun.

Kaikki ne asianosaiset, joiden voimassa olevat osoitteet saatiin Väestörekisterikeskuksesta, saivat henkilökohtaisen kirjeen asiasta. Kirjeiden postitus aloitettiin 29.3.2018. Viimeiset kirjeet lähetettiin huhtikuun alkupuolella.

 

Mitä YTL on tehnyt asialle?

YTL sai 7.2.2018 ilmoituksen siitä, että henkilötietoja on ollut ulkopuolisten saatavilla. Pääsy palveluntarjoajan palvelimelle, jolla tiedot olivat, oli estetty jo tammikuussa 2018. YTL julkaisi asiasta tiedotteen verkkosivuillaan 8.2.2018.

Kaikille niille asianosaisille, joiden voimassa olevat osoitteet saatiin Väestörekisterikeskuksesta, lähetettiin henkilökohtainen kirje.

 

Ovatko minun henkilötietoni vaarassa?

Kaikille niille, joiden tietoja on ollut löydettävissä ja joiden osoitteet on saatu Väestörekisterikeskuksesta, on lähetetty henkilökohtainen kirje. Kirjeessä on kerrottu asiasta tarkemmin ja annettu ohjeita jatkotoimenpiteistä.

Mitään tietoja ei ole ollut ulkopuolisten saatavilla suoraan YTL:n järjestelmistä. Tapahtuneella ei ole vaikutusta Ylioppilastutkintolautakunnan muiden tietojärjestelmien, kuten ylioppilastutkinnon koejärjestelmän, lukioille suunnatun sähköisen asioinnin, Abitti-kurssikoejärjestelmän tai tutkintorekisterin tietoturvaan tai toimintaan.

Toukokuussa voimaan tulevan uuden EU:n tietosuoja-asetuksen mukaan tietovuodon kohteille on ilmoitettava asiasta.  Nyt ilmoittaminen on harkinnanvaraista.  YTL halusi kuitenkin kertoa asiasta, jotta riskit tulisivat asianosaisten tietoon.

 

Mitä seurauksia tästä voi olla niille henkilöille, joiden tiedot ovat olleet ulkopuolisten saatavilla? Voiko joku käyttää tietoja väärin?

YTL:n tiedossa ei ole, että kukaan olisi käyttänyt verkossa saatavilla olleita tietoja väärin.

Olemme lähettäneet henkilöille, joiden tiedot ovat olleet ulkopuolisten saatavilla, ohjeet seurata omia lasku-, luotto- ja pankkikorttitietoja, mikä yleensäkin on hyvä käytäntö. 

Mikäli huomaat epäselvyyksiä maksutiedoissasi, ota heti yhteyttä laskuttajaan tai pankkiin. Voi olla mahdollista, että joku saattaa yrittää käyttää tietojasi esimerkiksi tilausten tekemiseen. Mikäli epäilet, että tietojasi on käytetty väärin, ota yhteyttä poliisiin.

 

Miten YTL pyrkii jatkossa estämään tällaiset virheet?

YTL:lle tietosuoja on erityisen tärkeää.  Olemme käyneet läpi kaikkien palveluntarjoajiemme kanssa tietoturvamääräyksiä, tietojärjestelmiä ja henkilötietojen käsittelyä varmistaaksemme, ettei vastaavaa pääse tapahtumaan uudelleen. 

 

Voinko tiedustella YTL:ltä, ovatko minun tietoni olleet ulkopuolisten saatavilla?

YTL ei voi antaa yksittäistä henkilöä koskevia tietoja puhelimitse tai sähköpostitse, koska kysyjän henkilöllisyyttä ei voi varmistaa. Kaikille niille, joiden tietoja on ollut löydettävissä ja joiden osoitteet on saatu Väestörekisterikeskuksesta, on lähetetty henkilökohtainen kirje. Tarvittaessa voit ottaa yhteyttä lautakuntaan ja sopia ajankohdan, jos haluat tulla keskustelemaan tapahtuneesta tarkemmin henkilökohtaisesti.

 

Ovatko tutkintorekisterissä olevat tietoni vaarassa?

Mitään tietoja ei ole ollut ulkopuolisten saatavilla suoraan YTL:n järjestelmistä. Tapahtuneella ei ole vaikutusta Ylioppilastutkintolautakunnan muiden tietojärjestelmien, kuten ylioppilastutkinnon koejärjestelmän, lukioille suunnatun sähköisen asioinnin, Abitti-kurssikoejärjestelmän tai tutkintorekisterin tietoturvaan tai toimintaan.

 

Keneltä voin kysyä asiasta?

Jos sinulla on tapahtuneesta kysyttävää, voit soittaa puhelinnumeroon p. 029 5338 230 (arkisin klo 10.00–15.00) tai lähettää sähköpostia info@ylioppilastutkinto.fi.

 

Median tiedusteluihin vastaa pääsihteeri.  

 

UKK-listaa päivitetään tarvittaessa. Viimeisin päivitys 7.5.2018. klo 13.50.