perjantai 25. helmikuuta 2022

Henkilötunnukset eivät ole loppumassa

Väitetään, että henkilötunnukset (HETU) olisivat loppumassa, ja tunnukset pitäisi sen vuoksi uusia. Loppuminen ei pidä paikkaansa - kyse on itseaiheutetusta ongelmasta. Tunnusten muuttaminen sukupuolineutraaleiksi on erillinen asia; sen taustalla on lähinnä poliittisia tekijöitä. 

Tässä päivän Helsingin Sanomissa julkaistu kirjoitukseni aiheesta. 

Henkilötunnukset eivät ole loppumassa

Kansalaisten yksilöintiin on oltava jokin tunniste, mutta sen muoto ei ole ratkaisevaa. Tärkeintä on tunnuksen oikea käyttö.

HENKILÖTUNNUKSEN uudistamista on perusteltu sillä, että tunnukset ovat loppumassa. Se ei pidä paikkaansa. Jokaisella päivällä on tilaa 897 henkilölle, mikä riittää mainiosti, sillä Suomessa syntyy 150–200 vauvaa vuorokaudessa. Edes maahanmuutto tai tilapäiset työntekijät eivät saa tunnuksia loppumaan.

Koska syntymäajan ja yksilöintinumeron välissä olevaa erotinmerkkiä ei huomioida, uudet yksilöintinumerot joudutaan valitsemaan niin, etteivät ne mene päällekkäin 1800- ja 1900-luvulla syntyneiden kanssa.

Eri vuosisatoina syntyneiden tunnukset 230222+123A (syntymävuosi 1822), 230222-123A (1922) ja 230222A123A (2022) ovat kaikki erilaisia ja yksilöllisiä, mutta joissakin tietojärjestelmissä erotinmerkkiä ei käsitellä lainkaan, ja siksi aiempien henkilöiden yksilöintinumeroita ei haluta käyttää uudelleen. Taustalla on itse aiheutettu ongelma.

Miksei erotinmerkkiä käsitellä? Se ei ole mukana tarkistusmerkin laskentakaavassa, mikä voi teoriassa lisätä virheiden mahdollisuutta. Mutta miksi erotinmerkkiä ylipäätään vaihdetaan vuosisadan mukaan, jos sillä ei ole mitään vaikutusta mihinkään? Erottimen vaihdon miinuksesta A-kirjaimeksi vuonna 2000 oli tarkoitus erotella 2000-luvulla syntyneet 1900-luvulla syntyneistä.

Helppo ratkaisu olisi muokata tietojärjestelmiä niin, että ne käsittelisivät henkilötunnukset kokonaisina, jolloin itse tunnukseen ei tarvitsisi koskea lainkaan. Nyt tekeillä on muutos, joka uudistaisi erotinmerkit ja tarkistusmerkin laskennan, mikä pakottaa muuttamaan kaikki tietojärjestelmät.

Henkilötunnuksen uudistamisesta sukupuolineutraaliksi on jo sovittu, ja se toteutuu vuodesta 2027 alkaen. Sen jälkeen tunnuksen toiseksi viimeisestä merkistä (parillinen vai pariton) ei voi enää päätellä sukupuolta. Tämä uudistus lähtee lähinnä poliittisista tarpeista.

Jotkut ovat halunneet luopua myös syntymäaikaan perustuvasta numeroinnista ja siirtyä täysin keinotekoisiin tunnuksiin. Sillekin on löydettävissä perusteluja, mutta toisaalta muistamisen helppouden, turvallisuuden ja identiteettivarkauden torjumisen kannalta nykyinen käytäntö on parempi.

Kansalaisten yksilöintiin on oltava jokin tunniste, mutta sen muoto ei ole ratkaisevaa. Tärkeintä on tunnuksen oikea käyttö. Henkilötunnusta alettiin virheellisesti käyttää todentamiseen, eikä muodon vaihtaminen poista tätä ongelmaa.

Petteri Järvinen

Espoo

21 kommenttia:

Anonyymi kirjoitti...

Petteri,

Hyvä kirjoitus ja olen aivan samaa mieltä kanssasi. Olen töissä tästä samasta aiheesta keskustellut useasti vuosien mittaan, tunnuksen muoto ei ole ongelma vain historiallisista syistä laiska käyttö.

Tarkistussumma ei tarkista välimerkkiä, mutta mitään vaaraa eri vuosisatoina syntyneiden sekottamisessa ei kuitenkaan ole koska vertailu tehdään aina merkkijono-vertailuna tarkoitetussa muodossa ja välimerkki on eri ('+','-','A'). Sukupuolikoodin käytöstä poistaminen on sopimusasia, mutta joihinkin järjestelmiin ehkä täytyy sitten lisätä koodia jos fyysisen ja ehkä myös henkisen sukupuolen erottaminen on tiedon käytön kannalta merkityksellistä.

Minusta nykymuotoinen, mutta oikein ohjelmistoissa käytetty HETU on aivan OK.

Mutta minusta olisi syytä miettiä sen käyttön sääntelyä. Onko järkevää, että siitä on tullut niin yleisesti käytetty avain henkilöön joka paikassa ja jonka väärinkäytön esto on vaikeaa jos se joutuu vääriin käsiin.

Sen vuoksi minusta olisi parempi jos HETU olisi ensisijainen ja jatkossa varattu mieluiten vain viranomaiskäyttöön, mutta HETU:n rinnalle luotaisiin rinnakkainen järjestelmä jossa ei olisi yhtä ja vain yhtä (kuin SATU) tunnusta vaan meillä olisi viranomaisen ylläpitämä järjestelmä jossa voitaisiin luoda uusia yksilöiviä tunnuksia jotka olisi yhdistettävissä yhteen ja vain yhteen henkilöön, mutta rajoitetulla voimassaoloajalla, viranomaisella kyky perua (revokoida) niiden jatkokäyttö muuhun kuin jo aiemmin voimassa ollessaan tehtyihin yksilöinteihin.

Näitä tunnisteita käytettäisiin sitten yleisissä tunnistamistarpeissa.

Anonyymi kirjoitti...

... jatko

Eli siis hieman samanlainen kun on X.509 varmenteet ovat ja sitten niihin liittyvät järjestelmät joita käytetään TLS/SSL tunnistuksessa.

Nyt joku ajattelee, että meillähän oli jo HST-kortit ja se lopetettiin kun järjestelmä oli kankea, kallis ylläpitää ja myös kallis ja hankala käyttäjille. Se vaati erillisen lukulaitteen jotta sillä saattoi todentaa itsensä jne.

Aivan aivan, mutta aikaa on kulunut ja nyt meillä on lähes kaikilla taskussa laitteita, joilla nämä tunnistamiset voidana tehdä, ei tarvita kortinlukijaa kännyköissä on kamerat, jotka voivat lukea QR-koodeja ja asennettu sovellus voi tarkistaa digitaalisen allekirjoituksen, kysyä livenä verkon kautta OCSP & LDAP-kyselyillä, ettei esitettävää varmennetta ole peruttu. Jos datayhteys ei toimi, niin kerran päivässä aamulla tai kun puhelin ensimmäistä kertaa käy verkossa, niin on ladattu CRL-lista hoitaa saman asian.

Läppärin Web-kamera kykenee samalla tavalla lukemaan QR-koodeja. Bluetooth ja USB-ladattavat pienen saippuan kokoiset viivakoodinlukijat maksavat muutaman kympin, painavat ehkä 50g ja toimivat 6-8 tuntia ilman latausta, toimii kännykän, PC:n jne. kanssa hyvin Toki kiinteää USB-liitäntäistä voi käyttää myös.

Toimii byvin myös asiakkailla joilla ei ole älykännykkää, QR-koodin voi tulostaa viranomaisen asiakirjaan tai paperille kuten COVID-19 rokotustodistuksessa.

Anonyymi kirjoitti...

... jatko

Kaikki tarvittava teknologia mitä tarvitaan on olemassa, pitäisi vain suunnitella tarkemmin yksytyiskohtia ja laittaa toimeksi.

Mutta se olennainen seikka mikä tässä minun esityksessä on, mikä jää muuten helposti kaiken muun alle on se, että ei ole järkevää yrittää luoda järjestelmää jossa on joku tai jotain kiinteitä koodeja joita ei voida myöhemmin helposti vaihtaa. On parempi varautua siihen, että tunnisteeen vaihto voidaan tehdä helposti ja nopeasti.

Sekä sitten, että sen tunnsteen esittäminen ja tarkistaminen olisi helppoa.


Sikäli kun joku miettii, että miten (varmenteen) QR-koodi luetaan esim. puhelimessa?

Hyvä kysymys Watson: Varmenteen haltija lukee QR-koodin alle luettavaan muotoon selkeästi tulostettun tiivisteen.

Puhelimessa sitten koodin vastaanottava naputtelee sen koodin ja kone tarkistaa, että se on oikea. Hakee siihen liittyvän varmenteen Digiviraston palvelusta verkon kautta ja sen jälkeen kaikki sujuu yhtä helposti kun jos QR-koodin olisi esitetty käyttäjään toimesta livenä. Näitä kirjastoja ja ohjelmistoja, joilla tämä voidaan tehdä ei tarvitse ohjelmistokehittäjen itse koodata, niitä on avoimiman ohjelmistoina käytettävissä.

Näitä esittämiäni asioita kannattaisi pitää esillä yrittää saada viranomaistaho ymmärtämään mahdollisuudet mitä nyt on käytettävissä eikä luoda valmiiksi jo kankeaa vanhanaikaista järjestelmää.

Anonyymi kirjoitti...

... jatko

Jaa, niin unohdin mainita, että tämä varmenne sitten viittaisi siihen HETU:n, jota viranomainen käyttäisi.

Mitään teknistä rajoitetta ei sille ole, ettei henkilöllä voisi olla vaikka useampiakin varmenteita rinnakkain käytössä jos sille nähtäsiin olevan tarvetta.

Varmeiteita soveltamalla kuten koronatodistuksessa, nämä henkilötunnusten väärinkäytöt ym. saadaan ratkaistua. Tarvittava teknologia on olemassa ja suurimmalla osalla taskussa. Ne joilla ei ole eikä halua että on jatkossa, voivat käyttä paperitulostetta tai viranomaisen asiakirjaa josta saman tiedon saa ja josta sen voi luovuttaa eteenpäin ilman että tarvitsee luovuttaa HETU:a enää muille kun viranomaisille.

Siinä tiivistetysti DR:TL; versio :)

Anonyymi kirjoitti...

Ja vielä yksi asia, joka voi tulla jonkun varmenteiden kanssa toimineen mieleen asiaa miettiessä.

Eihän tuohon QR-koodina esittettävään varmenteseen liity avainta, jolla voisi varmenten haltija allekrijoittaa tai todentaa vahvasti olevansa se joka sen esittää.

Aivan, ei voi. Mutta ei voi HETU:llakaan sen paremmin, eikä sillä mitä viranomaisen mietintö esitti.

Toki varmeneilla vaikkapa tämän kanssa rinnakkaisilla tai tätä täydentävillä sellaisen voisi tehdä ja käyttää kännykäää allekirjoittamiseen, kuten mobiilivarmenteilla tehty pitkän.

No miksi sitten tehtäisi vain sellaista suoraan? Siksi koska sitä on vaikea toteuttaa pelkkään paperitulosteeseen tai viranomaisen asiakirjaan, joka toimii ilman sähköä, ei mene rikki pudotessaan lattialle tai vessanpönttöön jne.

HETU:n ja SATU:n korvikkeena siis, aivan kuten koronatodistuksessa digitaalisesti allekirjoitettuna todisteena kuitenkin olisi jo sellaisenaan paljon etuja jonkun staattisen yksilöivän sijaan, jonka vaihtaminen ei olisi yhtään sen helpompaa kun on HETU:n vaihtaminen kun se vuotaa ja ryhdytään väärinkäyttämään.

Anonyymi kirjoitti...

Harmillista, että henkilötunnuksessa ei alunperin ollut mukana vuosisataa. Ajoittain sukututkimusta harrastavana antaisin mielelläni (koordinoidusti yhdessä muiden sukututkimusharrastajien kanssa) henkilötunnuksen myös edeltäneinä vuosisatoina eläneille. Siitä olisi ensinnäkin apua tietysti itse sukututkimukselle. Toisekseen tulevaisuudessä esi-isien tunnistamiselle saattaa olla tarvetta myös (geenitutkimuksen edetessä) esimerkiksi sairauksien ennustamiselle ja ehkäisylle.

Anonyymi kirjoitti...

Tiedä vaikka henkilötunnuksia vapautuisi lähitulevaisuudessa enemmänkin. Näin käydessä on ensiarvoisen tärkeää uusien henkkarien täyttävän kaikki syrjimättömyyden ehdot kuten maininta sukupuolesta. Yksi aikamme suurimmista vääryyksistä on korjattava.

Petteri Järvinen kirjoitti...

Ajoittain sukututkimusta harrastavana antaisin mielelläni (koordinoidusti yhdessä muiden sukututkimusharrastajien kanssa) henkilötunnuksen myös edeltäneinä vuosisatoina eläneille. Siitä olisi ensinnäkin apua tietysti itse sukututkimukselle.

Sukututkijat voisivat itse numeroida ennen 1800-luvun loppua syntyneitä ihmisiä. Voisi valita vaikka kauttaviivan(/) 1700-luvulla syntyneille ja risuaidan (#) 1600-luvulla syntyneille. Alan harrastajat, ottakaapa tästä koppi! Ei tarvitse sitten enää väittää, että "tunnukset loppuvat kesken". Eivät lopu.

Zarr kirjoitti...

Petteri, minä en ymmärrä miksi tuosta uudistuksesta on haluttu tehdä niin vaikea. Kovinkaan suuria tietojärjestelmäpäivityksiä ei tarvitsisi tehdä jos sovitaan yksinkertainen malli: Uusi erotinmerkki (vaikka 'Z') ja sen jälkeen todetaan että meillä on käytettävissä 9 numeroa ja tarkistussumma.

Numero arvotaan syntymässä jokaiselle ja se voi sisältää siis 1000000000 erilaista arvoa. Erotinmerkki 'Z' kertoo lukijalle että numerot ovat täysin satunnaisia eikä pitäisi enää päätellä syntymäaikaa. Uudistus on ilmeisesti tehty tällä mallilla vaikkapa Latviassa:

https://www.pmlp.gov.lv/en/change-personal-identity-number

Jos mulla on "henkilötunnus" 123456Z789E niin se on tarkistussumma-algoritmin kannalta täysin validi. Mihinkään tietojärjestelmään ei tarvitse koskee.

Ainoa vain on että pitää tehdä tiettäväksi että kyse ei ole enää syntymäajasta. Voitaisiin esimerkiksi sopia että kolmas merkki joka on syntymäajoissa nykyään aina 0 tai 1 ei saisi enää olla tuollainen. Jos kaikki ovat syntyneet jossain "kuussa" jonka numero on >=20 niin siitä näkee jo suoraan että kyse ei ole syntymäajasta. Välttyy tällaisilta tilanteilta: https://notalwaysright.com/time-to-pull-out-the-get-off-my-lawn-voice/252681/

Nykyiset hetut voisi halutessaan vaihtaa oma-aloitteisesti yhden kerran uuden mallin mukaisiksi.

Ainoa ongelma joissakin tietojärjestelmissä on että ne *olettavat* että kuusi ensimmäistä numeroa tosiaan ovat sopiva päivämäärä (eli käytännössä neljää ensimmäistä numeroa rajoitetaan, vuosihan voi olla mikä vain 00-99). Tämän ei luulisi olevan mikään massiivinen ongelma koska kyse on yhden tarkistuksen *poistamisesta*, ja en usko että tuota on tarkistettu minään tietokantatason constrainttina vaan enemmän tietojensyöttökäyttöliittymissä.

Zarr kirjoitti...

Ai niin, jos tietojärjestelmät tosiaan eivät katso sitä erotinmerkkiä, niin tuo ajatus että jos tosiaan sovittaisiin että "uudet" tunnukset ovat muuten vapaavalintaisia mutta kolmannen numeron pitää aina olla väliltä 2-9, niin se on myös toinen mahdollisuus tietojärjestelmille käsittää että kyse on uudesta vs. vanhasta tunnuksesta. Numeroavaruus ei siitä merkittävästi pienene.

Esko Särkkälä kirjoitti...

Sukututkijat voisivat itse numeroida ennen 1800-luvun loppua syntyneitä ihmisiä. Voisi valita vaikka kauttaviivan(/) 1700-luvulla syntyneille ja risuaidan (#) 1600-luvulla syntyneille.

1700-luvulla syntyneille välimerkki voisi olla 7, 1600-luvulla syntyneille 6 jne. Helpompi muistaa kuin risuaita ja muut. 1800-luvulta alkaen käytettäisiin tietysti nykyisiä.

Menneinä aikoina nimiä on vaihdettuja, suomalaistettu, niiden kirjoitusasut, jopa aakkostot, ovat vaihtuneet. Numerotunniste auttaisi mm. yhdistämään sukupuita toisiina.

Anonyymi kirjoitti...

On surullista, miten Suomessa ei noudateta ISO 8601 -päivämäärästandardia. Se poistaisi monet ongelmat mm. henkilötunnuksessa. Ruotsissahan henkilönumeron alku on vuosiluvulla alkava eikä näin ollen tarvitse miettiä mitään -+a-zydeemejä.

Ei voi muuta kuin ihmetellä miksi Suomessa asiantuntiat sosiaaliturvatunnusta kehittäessään eivät voineet ajatella tulevaisuutta. Tuotakin typeränpää on, että mitään valmiina olevia ratkaisuja ei mietitä vaan tehdään aina uusi systeemi kuten tuo sukumonioneutraalius.

Jonkun saamelaiskakaran isukki vaati, että lapsen nimi pitää kirjoittaa erikoismerkkeineen ja kantelu aiheuttaa tälläkin hetkellä satojen tuhansien työn pakottamalla suoraan sanoen tarpeettomasti päivittämään merkkijärjestelmää ikivanhoihin järjestelmiin. Asia koskee vain Suomea, mutta mitäs sitten kun piltti aikoo matkustaa ja lentolipussa onkin "väärä" kirjain, tuskin Amadeusia aletaan päivittää joutavan takia.

Markus kirjoitti...

Itse ihmettelen lähinnä kustannuksista mouruamista. Kaiken maailman veronumeroita, SATU-numeroita, tulorekistereitä sun muita on kuitenkin saatu aikaiseksi ilman tuota samaista mouruamista.

Järjestelmiä uusitaan joka tapauksessa. Hommanhan voi tehdä niinkin, että siihen laitetaan selkeä pitkä siirtymäaika jolloin molemmat numerot on yhtä kelvollisia ja sitten on se vuosi kun järjestelmien pitää olla uudistettuja.

20-vuotta sitten - maailmassa ei tällaista mouruamista jokaisen uudistuksen kustannuksesta ollut. Näin se kansa happanee. Innokkaasta uutta kokeilevasta tällaiseksi mausoleumiksi.

Petteri Järvinen kirjoitti...

Ruotsin henkilötunnus on ongelmallisempi kuin Suomen, sillä erotinmerkki vaihtuu miinuksesta plussaksi kun ihminen täyttää sata vuotta.

Samuli Laine kirjoitti...

Valtio voisi ratkaista HETUn väärinkäytön yksinkertaisesti julkaisemalla kaikkien henkilötunnuksen saaneiden kansalaisten nimi+HETU -parit netissä. Näin kukaan ei voisi väittää että tieto on salainen tai että sitä voisi käyttää tunnistautumiseen.

Yksilöintiin se toimisi edelleen yhtä hyvin kuin nykyiselläänkin.

Petteri Järvinen kirjoitti...

Kiinnostava ehdotus. Jos tunnukset olisivat synteettisiä numeroita, ne voisi julkaista - itse asiassa sähköinen asiointitunnus (SATU) toimii juuri niin. Hakupalvelun osoite on https://dvv.fineid.fi/certificate-search.

Nykyisten HETUjen massajulkaiseminen olisi kyseenalaista, koska kaikki eivät halua syntymäaikansa olevan julkista tietoa. Joillakin jopa sukupuoli saattaa olla salattava tieto.

Luulen, että aiheesta liikkuu vääriä uskomuksia. Pelkällä HETUlla ei voi enää tehdä vahinkoa entiseen malliin, koska käytännöt ovat kiristyneet kaikkialla. HETU on yksi henkilötieto muiden joukossa. Mitä useampia rikollisella on hallussaan, sitä todennäköisemmin tilauspetokset ja identiteettivarkaudet onnistuvat.

Anonyymi kirjoitti...

Minä antaisin halukkaille mahdollisuuden tallentaa väestörekisteriin henkilökohtainen PIN-koodi, jonka voisi myös vaihtaa. PIN-koodia voitaisiin kysyä esim. puhelimessa nykyisen henkilötunnuksen sijasta.

Jos henkilötunnuksen käyttö tunnistamiseen on ongelma, se voidaan kieltää lainsäädännöllä.

En ymmärrä mikä idea on että jokaisessa paikassa tulee henkilöllisyys olla 100% tiedossa. Jos esim. kanta.fi-tiedot hakkeroidaan, niin siitä olisi vähemmän haittaa jos tiedot olisi yksilöity jollain sisäisellä numerolla jonka yhteys todelliseen identiteettiin ei olisi heti selvä.

Anonyymi kirjoitti...



Eikö ne voi numeroittaa myös välimerkkiä tulevaisuudessa? Vai eikö merkkisarjaan voi sisällyttää kuin 10 merkkiä?

Anonyymi kirjoitti...

Pelkällä HETUlla ei voi enää tehdä vahinkoa entiseen malliin, koska käytännöt ovat kiristyneet kaikkialla.

Paitsi Klarnalla. Edelleen.

Anonyymi kirjoitti...

Ei kai sukututkijoiden tarvitse keksityille hetuille mitään erityisiä välimerkkejä kehittää, kirjoittaa vain vuosiluvun kokonaisuudessaan.
Eihän näitä historialliseen tutkimukseen "päästä repäistyjä" tunnisteita kuitenkaan syötetä muihin kuin sukututkimus ohjelmistoihin joten turha orjailla oikeiden hetujen vaatimusmäärittelyjä ja riidellä mikä vinksvonks -merkki millekin vuosisadalle annetaan :)

Petteri Järvinen kirjoitti...

Jos muutostyöt ja kustannukset halutaan minimoida, HETUn pituutta ei voi muuttaa. Erotinmerkkiä voi kuitenkin vaihtaa vapaasti. Ehdotus vanhoista vuosisadoista suoraan numeroilla (7 = 1700-luku jne) oli ihan toimiva. Varjopuoli tietysti on, että koska erotinmerkkiä ei huomioida tarkistusmerkissä, näppäilyvirheet eivät ehkä paljastu. Tai sitten vanhoissa vuosisadoissa erotinnumeroa voisi käsitellä muiden tapaan ja mod 31 -laskusääntö toimisi edelleen.

Klarna kysyy HETUn luottokaupassa, mutta sen tietäminen ei takaa, että tilaus onnistuisi.

Sukututkimuskäytössä voisi toki luoda ihan oman SUTU-tunnuksen (SukuTutkimus), jossa olisi koko vuosiluku ja esim. 0000 alku kertomassa, että syntymäpäivää ei tiedetä. HETUn näköinen formaatti olisi kuitenkin kaikille tuttu ja ainakin kotimaisissa tietokantaohjelmissa sille on valmis tietotyyppi.