Minut pantiin nettiin

Jyväskylän yliopisto - työnantajani ja opiskelupaikkani - kertoi keskiviikkona asianosaisille ja eilen julkisesti, että reilun 4800 opiskelijan nimet ja henkilötunnukset olivat päässeet lipsahtamaan julkiseen verkkoon eli käytännössä siis webbiin. Yliopiston kansainvälisten palveluiden työntekijä oli erehdyksessä tallentanut ko. tiedot sisältävän tiedon väärään hakemistoon. Ymmärrän hyvin, kuinka tällainen virhe on voinut tapahtua: me kaikki yliopiston järjestelmiä käyttävät olemme törmänneet Windows-koneissa vierekkäin nököttäviin U- ja W-asemiin. U-asemalle tallennettu tavara on omassa kotihakemistossa ja W-asema on käytännössä WWW-kotihakemisto. Tallennusvirheen tekijää on siis mielestäni turha syyllistää mistään.

Vakavamman pohdinnan paikka minusta on kuitenkin se, miksi tuollainen tiedosto ylipäätään oli olemassa. Tai tarkemmin: miksi tiedostossa oli myös vaihdossa olleiden opiskelijoiden henkilötunnukset. Niiden käyttötarkoitusta on vaikea ymmärtää. Tiedostossa on varmasti ollut myös samannimisiä henkilöitä, mutta heidätkin olisi voinut erottaa toisistaan vaikka pelkällä syntymäajalla - ilman niitä kriittisiä viimeistä neljää merkkiä.

Henkilötunnuksen sisällyttäminen tällaiseen listaukseen kertoo yleisemminkin suomalaisessa hallinnossa vallitsevasta kulttuurista: kun meillä nyt kerran on tällainen yksityisyyden yleisavain, niin käytetään sitä. Jyväskylän yliopistossa henkilötunnus tuntuu olevan poikkeuksellisen vaikea pala: 1990-luvulla kohistiin siitä, että opintotietojärjestelmän tenttitulosilmoituksiin tulostui automaattisesti myös henkilötunnus. Se katosi lopullisesti tulosteista vasta, kun tietosuojavaltuutettu huomautti asiasta. Myöhemminkin on tullut esille yksittäistapauksia, joissa henkilötunnuksia on roikkunut yliopiston tenttitulosilmoitustauluilla, eikä ne sinne toimittanut tentaattori ole välttämättä edes tajunnut, missä ongelma on, jos häneen on ollut yhteydessä.

Yliopiston lupaamalle lisäkoulutukselle on varmaan tarvetta koko yliopistolla. Yllättävintä minusta kuitenkin on se, että tällainen lapsus (henkilötunnusten sisällyttäminen vaihdossa olleiden listaan) tapahtui nimenomaan hallintokeskuksessa: siellä jos missä pitäisi homman olla hanskassa, sillä hallintokeskus käsitellee opiskelijoiden ja henkilökunnan henkilötietoja huomattavasti laitoksia ja tiedekuntia enemmän.

Hieman asiassa ihmetytti myös yliopiston viestintä sattumuksesta.

Asianosaisille - siis meille, joiden henkilötunnukset oli vuodettu maailmalle - tiedotettiin asiasta keskiviikkona, reilu kuukausi sen jälkeen, kun virhe oli huomattu. Selitys siitä, että tiedotuksen käynnistämisessä odotettiin tietojen poistumista verkosta ja välimuisteista, on täysin hyväksyttävä: jos tiedosto haettiin nyt pari sataa kertaa, niin nopeammalla tiedottamisella se olisi haettu varmaan ainakin pari tuhatta kertaa.

En kuitenkaan ymmärrä, miksei yliopisto julkistanut asiasta mediatiedotetta ja nyt olemassa olevaa FAQ-sivua sillä samalla hetkellä, kun tieto vuodosta kerrottiin asianosaisille: nythän Turun Sanomat sai asiasta käytännöstä täysin ansiottoman skuupin, kun joku tiedon saanut asianosainen - ehkä nykyinen Turun Sanomien toimittaja - kertoi siitä julkisuuteen.

Kriisiviestintä on vaikea laji. Siksi onkin yllättävää, että kun ko. teemaa käsitellään paljon myös Jyväskylän yliopiston omassa viestintätieteiden opetuksessa, opit eivät aina näy omassa toiminnassa: nytkin oman medioille suunnatun viestinnän kanssa oltiin noin vuorokausi myöhässä. Ja se on nykyisin paljon.