tulorekisteri-valtuutus

Palkkatiedot “julkisiksi” tulorekisteristä?

Helmikuussa 2019 Hila ja Vitkutin Oy:ssä syntyy kohu, kun yhtiön matkahallinnosta vastaava Eila kertoo kollegalleen tietävänsä kaikkien organisaation 300 työntekijän palkat. Miten tämä on mahdollista vaikka palkkahallinnon asiat eivät kuulu Eilan vastuulle? Eila kertoo näkevänsä kaikkien palkat uuden kansallisen tulorekisterin sähköisestä asiointipalvelusta. Mitä ihmettä? Luulisi ettei tärkeän kansallisen hankkeen tietoturvassa voi olla noin isoa ongelmaa! Sinnehän tulee kirjautua aina vahvasti tunnistautuneena ja valtuudet on erikseen myönnettävä niitä tarvitseville henkilöille yhtiön nimenkirjoitusoikeudellisen toimesta.

Toivottavasti kuvitteelliseksi jäävässä esimerkissä Tommi Toimitusjohtaja myönsi joulukuussa Eilalle suomi.fi -valtuudet palvelussa Palkkatietojen ilmoittaminen -valtuuden Hila ja Vitkutin Oy:n tietoihin. Mikä siis meni vikaan, eikö juuri näin kuulu toimiakin? Ongelma on siinä että valtuus myönnettiin koskemaan kaikkia ko. Y-tunnuksella ilmoitettuja tietoja ilman valtuuden rajausta. Tällä koko Y-tunnusta koskevalla valtuudella Eila näkee kaikki yrityksen tulorekisteriin ilmoittamat palkkatiedot, varsinaiset palkat, poissaolotiedot ja tietenkin myös verovapaat korvaukset. Siis kaiken, riippumatta siitä onko itse tulotietojen ilmoittamisessa käytetty aliorganisaation rajausta vai ei.

Ihminen on aina tietoturvan heikoin lenkki!

Miten valtuus tässä tapauksessa olisi pitänyt määritellä?

Eilan olisi pitänyt valtuuspyynnössä rajata valtuus aliorganisaation tunnisteella. Silloin Eila voi nähdä sähköisessä asiointipalvelussa vain ne tulotietoilmoitukset, jotka on tuotettu matka- ja kuluhallintajärjestelmästä, edellyttäen että aliorganisaation tunniste on määritelty sinne (maksajan oman koodiston mukaiseksi) tunnisteeksi. Lisäksi, jos palkkahallinnon henkilöiden ei kuulu nähdä tietoja Eilan vastuualueesen kuuluvista verottomista matkakustannusten korvauksista, tulee myös heidät valtuuttaa toisella aliorganisaation tunnisteella ja huolehtia että palkkatiedot ilmoitetaan tätä tunnistetta käyttäen.  

Muista nämä viisi asiaa, jotta vältät kiusalliset tietovuodot:

  1. Mieti onko syytä rajata tarvittava valtuus koskemaan vain matkahallintoa tai palkkahallintoa tai muuta organisaatiossasi olevaa tärkeää vastuualuetta
  2. Huolehdi että tarvitsemasi aliorganisaation tunnisteet määritellään käyttöön tulorekisteri-ilmoituksia tuottaviin järjestelmiin ennen vuodenvaihdetta
  3. Tee valtuuspyynnöt tarvitsemasi valtuuksista tarkenteineen suomi.fi -palvelussa (tai katso -palvelussa) hyvissä ajoin ja vinkkaa organisaatiosi nimenkirjoitusoikeudelliselle henkilölle palvelussa odottavasta valtuuspyynnöstä
  4. Huolehdi että perusteettomasti myönnetyt koko Y-tunnusta koskevat valtuudet poistetaan ennen vuodenvaihdetta
  5. Ihminen on aina tietoturvan heikoin lenkki!

About

Juha Kukko työskentelee Development Managerina Visma Labs Oy:ssä HRM liiketoiminta-alueen tuotteiden parissa. Työn vastapainoksi hän harrastaa liikuntaa monipuolisesti mm. pyöräillen, juosten ja hiihtäen.
Connect with Juha: