Koronapassin QR-koodista ei kannata jakaa kuvaa esimerkiksi sosiaalisessa mediassa, vaikka koodi ei paljastakaan ihmisestä arkaluontoista tietoa.
Koronapassin tarkastaja esimerkiksi ravintolan ovella lukee passin Terveyden ja hyvinvoinnin laitoksen hyväksymällä sovelluksella. Sovellus näyttää joko vihreää tai punaista väriä. Hyväksytyn tuloksen yhteydessä ruudulle tulee näkyviin myös koronapassin käyttäjän nimi.
Jos QR-koodi joutuu vääriin käsiin, siitä on mahdollista selvittää ihmisen koko nimi ja syntymäaika, kertoo tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen. Muita henkilötietoja koodi ei sisällä.
– Ei niitäkään tietysti kannata levitellä, mutta ei niillä vielä kauhean pitkälle pötkitä, Hyppönen sanoo.
Koodi sisältää myös tiedon siitä, onko ihminen saanut koronarokotteet, saanut negatiivisen testituloksen vai sairastanut koronan. Rokotteiden kohdalla koodi kertoo lisäksi, minkä valmistajan rokotteesta on kyse sekä milloin annokset on saatu ja missä sairaanhoitopiirissä.
Lue myös: Viranomainen vinkkaa: Koronapassin lataamista ei kannata jättää baarin jonoon
Väärentäminen "ei käytännössä mahdollista"
Koronapassin mahdollinen väärinkäytön riski liittyykin Hyppösen mukaan passin joutumiseen väärän ihmisen käyttöön, ei niinkään henkilötietojen vaarantumiseen.
– Siinä on ihan oikea terveysriski, että rokottamattomat voivat yrittää mennä muiden passeilla tiloihin, mihin heidän ei pitäisi mennä, Hyppönen sanoo.
– Se yksinään on jo oikein hyvä syy olla jakamatta QR-koodiaan verkkoon.
Samasta syystä on tärkeää, että ihmiseltä kysytään passia tarkastaessa myös henkilöllisyystodistus. Näin voidaan varmistua, että koronapassissa on oikean ihmisen nimi.
QR-koodin sisältävän koronapassin väärentäminen ei Hyppösen mukaan ole käytännössä mahdollista siinä käytetyn digitaalisen allekirjoitustekniikan ansiosta.
Verkossa myydään jonkin verran laittomia kopioita koronapasseista, mutta ne ovat Hyppösen mukaan yleensä muissa maissa aiemmin käytössä olleita passeja, joissa QR-koodia ei ole.