Ohje testiaineiston anonymisoinnista

Antopäivä
8.5.2024
Diaarinumero
VH/5518/06.00.00/2023
Voimassaolo
8.5.2024 - Toistaiseksi

1 Keskeiset termit

Anonymisointi Anonymisointi tarkoittaa henkilötietojen käsittelyä niin, että henkilöä ei enää voida tunnistaa tiedoista missään tilanteessa. Tietoja ei myöskään voida enää minkään tiedon avulla palauttaa takaisin tunnistettaviksi.

Pseudonymisointi Pseudonymisointi tarkoittaa henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn henkilöön käyttämättä lisätietoja. Tämä edellyttää sitä, että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietoja voi yhdistää tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön.
Pseudonymisoidut tiedot ovat yhä henkilötietoja, joiden käsittelyssä on sovellettava tietosuojasäännöksiä. Henkilö voidaan siis edelleen yksilöidä yhdistämällä eri tietoaineistossa olevia tietoja, vaikka tiedot on pseudonymisoitu.

Tietosuoja-asetus EU:n yleinen tietosuoja-asetus (EU general data protection regulation 2016/679).

2 Ohje testiaineiston anonymisoinnista

Tässä ohjeessa on tarvittavat tiedot testauksessa käytettävän testiaineiston anonymisointiin. Ohjeet on tarkoitettu Positiivisen luottotietorekisterin sidosryhmätestaukseen osallistuville.

Testauksessa käytettävä aineisto ei saa olla yhdistettävissä luonnollisiin henkilöihin tai heidän tietoihinsa. Anonymisoinnissa aineisto muutetaan tunnistamattomaksi niin, ettei henkilöä enää voida tunnistaa aineistosta missään tilanteessa eikä aineistoa voida palauttaa alkuperäiseksi millään keinolla. Henkilötunnusten lisäksi mitään muutakaan luonnollisiin henkilöihin yhdistettävää aineistoa ei missään tilanteessa saa lähettää testiaineistona, vaan testiaineiston on oltava aina anonymisoitua.

Jos tiedot pystytään palauttamaan salausavaimella tai yhdistelemällä niitä, kyseessä oleva aineisto olisi pseudonymisoitua. Tietosuoja-asetuksen mukaan sellaiset pseudonymisoidut henkilötiedot, jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietoja käyttämällä, on katsottava tiedoiksi, jotka koskevat tunnistettavissa olevaa luonnollista henkilöä. Pseudonymisointi ei siis riitä, vaan kaiken testiaineiston tulee olla täysin anonymisoitua.

Sidosryhmätestauksessa testitunnuksina käytetään ensisijaisesti hankkeen tarjoamia keinotekoisia organisaatiotunnisteita ja henkilötunnuksia, jotka positiivisen luottotietorekisterin ylläpitäjä toimittaa sidosryhmätestauksen aloitusilmoituksen täyttäneelle henkilölle.

Sidosryhmän testauksessaan tuottamia ja rajapintaan lähettämiä aineistoja ei anonymisoida miltään osin hankkeessa. Sidosryhmät ovat vastuussa oman testiaineistonsa anonymisoinnista kaikilta osin.

3 Testauksessa käytettävät tunnisteet

Testaukseen osallistuville annetaan käyttöön

keinotekoisia henkilötunnuksia eli testiasiakastunnuksia

keinotekoisen Y-tunnuksen ja siihen liittyvän keinotekoisen organisaation nimen

keinotekoisia organisaatiotunnisteita, joita voidaan käyttää siirronsaajan tunnisteena.

Testauksessa pitää ensisijaisesti käyttää edellä mainittuja keinotekoisia henkilötunnuksia, Y-tunnuksia tai ulkomaisia organisaatiotunnisteita. Luonnollisten henkilöiden oikeita alkuperäisiä henkilötietoja ei saa missään tilanteessa käyttää testaamisessa. Testaamisessa ei saa myöskään käyttää mitään sellaisia tunnisteita, jotka voitaisiin jollakin keinolla yhdistää luonnollisiin henkilöihin. Tämän takia myös muiden testauksessa käytettävien tunnisteiden, kuten esimerkiksi Y-tunnusten, pitää olla keinotekoisia.

Jos sidosryhmä haluaa saamiensa keinotekoisten tunnisteiden lisäksi tai niiden sijaan käyttää omia tunnisteitaan testauksessa, sidosryhmä voi toimittaa positiivisen luottotietorekisterin ylläpitäjälle tunnisteet anonymisoituna, elleivät ne ole keinotekoisia. Tunnisteet voivat olla keinotekoisia tai anonymisoituja henkilötunnuksia, Y-tunnuksia ja muita organisaatiotunnisteita. Toimitettuja aineistoja ei anonymisoida hankkeessa miltään osin. Sidosryhmät ovat vastuussa oman testiaineistonsa anonymisoinnista kaikilta osin. Anonymisointi pitää toteuttaa tämän ohjeen mukaisesti.

Jos sidosryhmä haluaa käyttää omia tunnisteitaan testauksessa, se ilmoittaa tästä sidosryhmätestauksen yhteydenottolomakkeella ja saa sitä kautta tarkemmat ohjeet tunnisteiden toimittamiseen.

Testauksessa ei voi käyttää sellaisia sidosryhmän omia keinotekoisia tai anonymisoituja tunnisteita, joita ei ole erikseen toimitettu positiivisen luottotietorekisterin ylläpitäjälle ja viety testausympäristöön.

Tarkemmat ohjeet tunnisteiden anonymisointiin ovat luvussa 6.

4 Rekisteriin ilmoitettavat luottojen tiedot

Testauksen aikana sidosryhmät lähettävät testiympäristöön keinotekoisiin tai anonymisoituihin henkilötunnuksiin liitettyä testiaineistoa rajapintojen kautta. Kaiken rajapintoihin lähetettävän testiaineiston pitää olla keinotekoista tai anonymisoitua tämän ohjeen mukaisesti. Henkilötunnuksen lisäksi myös esimerkiksi luoton numero, luotonantajan markkinointinimi ja siirronsaajien yksilöintitiedot pitää anonymisoida.

Tarkemmat ohjeet tietosisältöjen anonymisointiin ovat luvussa 6.

5 Muut tilanteet

Jos sidosryhmä haluaa ilmoittaa omille testiasiakastunnuksilleen tulotietoja, jotka näkyvät luottotietorekisteriotteessa, myös nämä tiedot pitää anonymisoida. Ohjeet tulotietojen toimittamiseen saa myös täyttämällä sidosryhmätestauksen yhteydenottolomakkeen.

6 Anonymisoitavat tiedot ja esimerkit anonymisoinnista

Seuraavassa taulukossa on anonymisoitavat tietosisällöt ja mahdolliset anonymisoinnissa huomioitavat erityispiirteet, kuten erilaiset muotovaatimukset. Kaikki taulukossa olevat tiedot pitää anonymisoida. Jäljempänä olevassa taulukossa on myös joitakin esimerkkejä anonymisoinnista.

Taulukko 1. Anonymisoitavat tiedot, vaatimukset ja syyt anonymisoinnille.

Täytä tähän taulukon kuvaus, esteettömyyttä silmälläpitäen, ei näy kuin ruudunlukijoille
Tiedot
Anonymisoinnissa huomioitava erityisesti
Syy anonymisointiin
Henkilötunnus (IdCode) Henkilötunnus on muutettava kokonaan. Henkilötunnuksen loppuosan pitää olla 900-sarjaa (ks. esimerkki taulukosta 2). Henkilötunnuksen muotovaatimus täyttyy, mutta kyseessä ei ole oikea henkilötunnus. Henkilötunnuksen avulla henkilö voidaan yksilöidä. Tämä koskee sekä luotonsaajaa että takaajaa.

Luoton numero
(Number)

  Luoton numero on mahdollista yhdistää luonnolliseen henkilöön.
Bruttotulo
(GrossIncomeOnFile)
  Poikkeuksellisten tulotietojen, kuten esimerkiksi poikkeuksellisen korkean palkan tai etuuden perusteella pystytään yksilöimään tiettyjä henkilöitä.
Nettotulo
(NetIncomeOnFile)
  Poikkeuksellisten tulotietojen, kuten esimerkiksi poikkeuksellisen korkean palkan tai etuuden perusteella pystytään yksilöimään tiettyjä henkilöitä.
Y-tunnus (IdCode) Y-tunnuksen on oltava muodoltaan oikea, eli tarkistusmerkin pitää olla laskennallisesti oikea. (Ks. jäljempänä oleva esimerkki, taulukko 2) Joillakin yrityksillä on vain vähän asiakkaita. Tällöin Y-tunnuksen avulla voi olla mahdollista yhdistää luoton tiedot luonnolliseen henkilöön.
Luotonantajan markkinointinimi
(LenderMarketingName)
Luotonantajan markkinointinimi pitää muuttaa kokonaan.  Luotonantajan markkinointinimi voi viitata esimerkiksi pieneen luotonantajaan, joten sen perusteella henkilöitä voi olla mahdollista tunnistaa.
Siirronsaajan tunniste (IdCode) Jos kyseessä on Y-tunnus, sen pitää olla muodoltaan oikea eli tarkistusmerkin pitää olla laskennallisesti oikea. Joillakin yrityksillä on vain vähän asiakkaita. Tällöin tunnisteen avulla voi olla mahdollista päätellä luonnollinen henkilö, johon tiedot liittyvät.
Siirronsaajan nimi (Name) Siirronsaajan nimi pitää muuttaa kokonaan. Siirronsaajan nimi voi viitata esimerkiksi pieneen luotonantajaan, joten sen perusteella henkilöitä voi olla mahdollista tunnistaa.
Siirronsaajan maakoodi (CountryCode) Maakoodin pitää vastata ISO 3166 -standardin mukaista kaksikirjaimista koodia.  Joissakin maissa voi olla vain vähän toimijoita, joille luotto on voitu siirtää. Tällöin maakoodin avulla on mahdollista päätellä henkilö, johon tiedot liittyvät.
Ulkomainen organisaatiotunniste (IdCode)   Joillakin yrityksillä on vain vähän asiakkaita. Tällöin ulkomaisen organisaatiotunnisteen avulla voi olla mahdollista päätellä henkilö, johon tiedot liittyvät.
Luottosopimuksen tekopäivä (ContractDate)   Tietojen tai niiden yhdistelmien avulla on mahdollista selvittää henkilö, johon tiedot liittyvät.
Maksettu lyhennys (AmortizationPaid)   Tietojen tai niiden yhdistelmien avulla on mahdollista selvittää henkilö, johon tiedot liittyvät.
Maksettu korko
(InterestPaid)
  Tietojen tai niiden yhdistelmien avulla on mahdollista selvittää henkilö, johon tiedot liittyvät.
Muut maksetut luottokustannukset
(OtherExpenses)
  Tietojen tai niiden yhdistelmien avulla on mahdollista selvittää henkilö, johon tiedot liittyvät.
Luoton saldo (Balance)   Tietojen tai niiden yhdistelmien avulla on mahdollista selvittää henkilö, johon tiedot liittyvät.
Luotosta käytetty määrä (Balance)   Tietojen tai niiden yhdistelmien avulla on mahdollista selvittää henkilö, johon tiedot liittyvät.
Maksuerästä maksamatta oleva määrä
(DelayedInstalment)
  Tietojen tai niiden yhdistelmien avulla on mahdollista selvittää henkilö, johon tiedot liittyvät.
Viivästyneen maksuerän alkuperäinen eräpäivä
(OriginalDueDate)
  Tietojen tai niiden yhdistelmien avulla on mahdollista selvittää henkilö, johon tiedot liittyvät.
Lyhennysvapaat
(DefermentPeriods)
  Tietojen tai niiden yhdistelmien avulla on mahdollista selvittää henkilö, johon tiedot liittyvät.
Leasing – Kuukausittainen maksuerä
(MonthlyInstalment)
  Tietojen tai niiden yhdistelmien avulla on mahdollista selvittää henkilö, johon tiedot liittyvät.
Leasing – Sopimuskauden alkupäivä
(ContractPeriodStartDate)
  Tietojen tai niiden yhdistelmien avulla on mahdollista selvittää henkilö, johon tiedot liittyvät.
Erilaiset tulotiedot Kaikki testauksessa käytettäville keinotekoisille henkilötunnuksille ilmoitettavat tulotiedot on muutettava kokonaan. Poikkeuksellisten tulotietojen, kuten esimerkiksi poikkeuksellisen korkean palkan tai etuuden perusteella pystytään yksilöimään tiettyjä henkilöitä.

Seuraavassa taulukossa on esimerkkejä anonymisoinnista. Taulukon ensimmäisessä sarakkeessa on tietosisällön alkuperäinen arvo, keskimmäisessä sarakkeessa anonymisointiohje ja kolmannessa sarakkeessa onnistuneen anonymisoinnin lopputulos esimerkkinä.

Taulukko 2. Esimerkkejä anonymisoinnista.

Täytä tähän taulukon kuvaus, esteettömyyttä silmälläpitäen, ei näy kuin ruudunlukijoille

Tieto

Alkuperäinen arvo

Anonymisointi Lopputulos
Henkilötunnus Henkilötunnus muutetaan kokonaan, eli syntymäaika ja loppuosa muuttuvat. Henkilötunnuksen pitää kuitenkin vastata suomalaisen henkilötunnuksen muotoa, jotta se läpäisee muototarkistuksen. Lisäksi tunnuksen pitää olla 900-sarjaa, eli tunnuksen loppuosan ensimmäisen merkin pitää olla numero 9. 251159-945P
Y-tunnus
0245458-3
Y-tunnus anonymisoidaan siten, että Y-tunnus on muodoltaan oikea, eli tarkistusmerkki on laskennallisesti oikea. 8351634-3
Luoton numero
FI5992954118737928

Luoton numero pitää muuttaa kokonaan niin, ettei se ole tunnistettavissa, myös luotonantajan yksilöivä osa luoton numerossa, jos sellainen on.

Luoton numerossa ei ole muotovaatimusta.

123456789
Sivu on viimeksi päivitetty 6.4.2023