Kela: verkkosivusto keräsi kävijätietoja ilman lupaa

Kela kertoo tiedotteen muodossa, että Kela.fi-verkkosivustolla on ollut 28.3.–19.4.2022 evästeitä, jotka ovat keränneet kävijöiden IP-osoitteita, vaikka suostumusta evästeiden käyttämiseen ei olisi annettu.

Kela.fissä on ollut kyseisellä aikavälillä noin 1,25 miljoonaa kävijää.

Evästeitä käytetään yleisesti eri verkkosivustoilla. EU:n yleinen tietosuoja-asetus edellyttää, että niiden käyttöön pyydetään suostumus. Kela kertoo, että evästeillä on seurattu esimerkiksi, miten kävijät ovat liikkuneet kela.fissä ja kela.fihin ohjaavan mainonnan tuloksia.

Sivustoilla tulee olla kysely, johon kävijä voi valita, mihin evästeisiin hän antaa suostumuksen. Kelan mukaan kävijätietoja seuraava sovellus on kuitenkin siihen tehdyn päivityksen jälkeen alkanut kerätä tietoja jo ennen kuin suostumusta on annettu tai kun kävijä on jo kieltäytynyt evästeistä.

Evästeet on poistettu kela.fistä 19.4.2022. OmaKelassa ei ole ollut kolmansien osapuolien evästeitä.

"Olemme erittäin pahoillamme. Selvitämme asian perinpohjaisesti ja valvomme evästeprosessimme aukottomuutta entistäkin huolellisemmin jatkossa", kertoo viestintäpäällikkö Päivi Bergman.

Tapahtunut on käsitelty Kelassa tietoturvaloukkauksena ja siitä on tehty ilmoitus tietosuojavaltuutetun toimistolle.

• evästeet
• Kela