Kelan verkkosivustolla on ollut 28.3.–19.4.2022 välisenä aikana evästeitä, jotka ovat keränneet kävijöiden tietokoneiden ja mobiililaitteiden IP-osoitteita, vaikka suostumusta evästeiden käyttämiseen ei olisi annettukaan. Kela.fissä on ollut kyseisellä aikavälillä noin 1,25 miljoonaa kävijää.
Evästeillä on seurattu esimerkiksi, miten kävijät ovat liikkuneet kela.fissä ja kela.fihin ohjaavan mainonnan tuloksia. Lisäksi evästeiden keräämää tietoa on voitu käyttää verkkomainonnan kohdentamiseen, jolloin tietoja on luovutettu kolmansille osapuolille. Vastaavia evästeitä käytetään yleisesti eri verkkosivustoilla. EU:n yleinen tietosuoja-asetus edellyttää, että niiden käyttöön pyydetään suostumus.
Evästeet on poistettu kela.fistä 19.4.2022. OmaKelassa ei ole ollut kolmansien osapuolien evästeitä.
Kela.fissä on ollut käytössä suostumuksenhallintatyökalu, jonka avulla kävijä voi valita, mihin evästeisiin hän antaa suostumuksen. Kävijätietoja seuraava sovellus on kuitenkin siihen tehdyn päivityksen jälkeen alkanut kerätä tietoja jo ennen kuin suostumusta on annettu tai kun kävijä on jo kieltäytynyt evästeistä.
– Olemme erittäin pahoillamme. Selvitämme asian perinpohjaisesti ja valvomme evästeprosessimme aukottomuutta entistäkin huolellisemmin jatkossa, kertoo viestintäpäällikkö Päivi Bergman.
Tapahtunut on käsitelty Kelassa tietoturvaloukkauksena ja siitä on tehty ilmoitus tietosuojavaltuutetun toimistolle.
Kela.fissä on viittomakielisiä videoita, jotka on upotettu sivustolle Youtubesta. Myös nämä videot ovat voineet kerätä evästeiden avulla kävijätietoja ilman suostumusta.