Blogi

Kohti tasavertaisempaa sähköistä tunnistautumista

Terhi Wathén
Kirjoittaja
Neuvonantaja

Suomi pärjää maavertailuissa yleensä hyvin, kun puhutaan viranomaisasioinnin sujuvuudesta verkossa.  Pääsy viranomaisten, kuten verottajan tai sairaanhoidon verkkopalveluihin edellyttää, että kirjaudumme palveluun vahvalla sähköisellä tunnistusvälineellä, kuten tilipankista saadulla tunnuksella ja tunnistussovelluksella. Järjestely toimii hienosti kotimaassa.

Entä sitten, kun haluamme asioida muiden maiden kuten Saksan viranomaisten kanssa? Käsi alkaa hamuta passia ja sähköisen asioinnin voi sitä myötä unohtaa. Näin käy usein myös ulkomaalaisille Suomessa: sähköistä asiointia varten tarvitaan sähköinen tunnistusväline, kuten pankkitunnukset, jotka edellyttävät tilipankin asiakkuutta Suomessa.

Euroopan parlamentin asetus sähköisestä tunnistamisesta (eIDAS) astui voimaan heinäkuussa 2016. Suomessa ja muissa Pohjoismaissa on ollut laajasti käytössä markkinaehtoiset sähköisen tunnistamisen menetelmät, joiden tarjonnassa pankeilla ja teleoperaattoreilla on merkittävä rooli. Nyt EU pyrkii poistamaan esteitä kansallisten sähköisen tunnistamisen menetelmien yhteen toimivuudelle.

Nykyisen lainsäädännön mukaan tiettyjä sähköisiä tunnistamismenetelmiä voidaan hyödyntää myös muissa jäsenvaltioissa, mutta Suomi ei ole toistaiseksi ilmoittanut https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Overview+of+pre-notified+and+notified+eID+schemes+under+eIDAStähän tarkoitukseen tunnistusjärjestelmää Euroopan komissiolle. Tanskasta tällainen ilmoitus on tehty ja myös Ruotsi ja Norja ovat askeleen tai kaksi meitä edellä. Suomen osalta tilanne johtuu lähinnä siitä, että valtion tarjoaman kansalaisvarmenteen käyttöaste on ollut matala ja toisaalta pankit tai teleoperaattorit eivät ole nähneet ilmoittamista liiketoiminnan näkökulmasta kannattavana.  Myöskään nykyiseen ilmoittamismenettelyyn sisältyvä toisten jäsenvaltioiden tekemä vertaisarviointi ei välttämättä kannusta toimijoita tekemään ilmoitusta.

 

Euroopan komissio ehdottaa digitaalista lompakkoa eurooppalaisille

Euroopan komissio julkaisi kesäkuussa luonnokset sähköistä tunnistamista koskevan asetuksen päivityksestäEUR-Lex - 52021PC0281 - EN - EUR-Lex (europa.eu) ja digitaalisesta lompakosta. Ehdotus on yksi Euroopan digitaalisen strategianEUR-Lex - 52020DC0067 - EN - EUR-Lex (europa.eu) toimenpiteistä. Ehdotuksessa luodaan yhteistä lainsäädäntöä eurooppalaiselle digitaalisen identiteetin lompakkosovellukselle. Lompakkosovelluksen avulla käyttäjät voisivat todistaa henkilöllisyytensä kaikkialla Euroopassa monissa erilaisissa palveluissa kuten asioinnissa viranomaisten kanssa tai lentojen lähtöselvityksessä. 

Digitaalisen lompakon tavoitteita ja aikataulua voidaan pitää vähintäänkin kunnianhimoisina. Tavoitteena on asetuksen hyväksyminen syksyllä 2022. Tämä tarkoittaisi, että kansallinen täytäntöönpano on tehtävä kesäkuuhun 2024 mennessä. Suomessa hallituksen esitys digitaalisesta henkilöllisyydestä on tarkoitus antaa ensi vuoden aikana.

Ehdotuksen mukaan jokaisella valtiolla tulee olla vähintään yksi tunnistamiseen käytettävä lompakkosovellus, joka voi olla yksityisen tai julkisen sektorin tuottama. Sovellus olisi tarjottava jäsenvaltion kansalaisten, asukkaiden sekä oikeushenkilöiden käyttöön. Suomen osalta tämä edellyttäisi oikeushenkilöiden vahvan sähköisen tunnistamisen palveluiden lisäämistä tarjontaan. Jäsenvaltiot voisivat jatkossa vertaisarvioinnin sijaan osoittaa lompakkosovelluksen vaatimustenmukaisuuden sertifiointimenettelyn avulla.

Lisäksi ehdotuksessa tuodaan uusina asioina lompakkosovelluksen laaja käytettävyys ja saatavuus, mikä tarkoittaa, että henkilö voi tunnistautua julkisen ja yksityisen sektorin sähköisissä asiointipalveluissa sekä fyysisessä käyntiasioinnissa sähköisen lompakon avulla. Aiemmin eIDAS-asetus on koskenut tunnistautumista vain julkisen sektorin tarjoamiin sähköisiin palveluihin.

Asetusehdotuksen mukaan lompakon varmuustasoa koskevat vaatimukset tulevat nousemaan pankkien ja mobiilioperattoreiden tunnistautumisvälineiltä nykyisin vaaditusta tasosta. Itsestään selvää on, että turvallisuuden on oltava kunnossa, mutta nykyisin edellytetyn korotetun varmuustason ylittämistä on silti mietittävä tarkoin. Lisäksi tulisi huomioida asetuksen täytäntöönpanolle asetettu haastava aikataulu.

Lompakkosovellusta hyödyntävän tahon, esim. verkkopalvelun, tulee ilmoittaa toimivaltaiselle viranomaiselle lompakkosovellukseen luottamisesta. Menettelyllä on tarkoitus varmistaa, että asiointipalvelut ovat luotettavia ja noudattavat lainsäädännön vaatimuksia.

Tietyillä tahoilla olisi lisäksi velvollisuus hyväksyä lompakkosovellus silloin, kun edellytetään vahvaa sähköistä tunnistamista.  Näihin kuuluvat julkisen sektorin sähköisten asiointipalveluiden lisäksi esimerkiksi yksityisen sektorin pankki- ja rahoituspalveluiden sähköiset asiointipalvelut. Lisäksi erittäin suurilla verkkoalustoilla, kuten Googlella, Amazonilla ja Facebookilla olisi velvollisuus hyväksyä lompakko silloin, kun palvelu edellyttää käyttäjän todentamista. Tällä pyritään myös vähentämään asiakkaiden verkkoalustoille luovuttamaa henkilötietojen määrää.

 

Pankkitunnusten käyttö ei mahdollista tasavertaista asiointia verkossa

Suomessa valtiovarainministeriö (VM) on lokakuussa 2020 asettanut hankkeen digitaalisen henkilöllisyyden ja sen hyödyntämistapojen kehittämiseksi Digitaalisen henkilöllisyyden hanke - Valtiovarainministeriö (vm.fi). Hankkeen tavoitteena on luoda kaikille yhteiskunnan palveluissa asioiville yhdenvertaiset edellytykset ja mahdollisuudet osoittaa viranomaisen vahvistamia tietoja henkilöllisyydestään digitaalisella menetelmällä. Hankkeessa pyritään myös huomioimaan EU-tason kehitystyö (eIDAS asetuksen päivitys), ja täten luomaan asetusehdotuksen mukainen valtion digitaalinen lompakko.

Jaamme VM:n näkemyksen, että nykyisten pankkitunnusten ja mobiilivarmenteen käyttämisen ongelma on, että ne on sidottu tunnusten myöntäjän asiakkuuteen, eikä kaikilla ole ollut tosiasiallisesti tasavertaisia mahdollisuuksia saada niitä käyttöönsä. Palvelut ovat kuitenkin niin digitalisoituneet Suomessa ja Euroopassa, että mahdollisuus luotettavaan sähköiseen tunnistautumiseen alkaa olla edellytys täysipainoiselle osallisuudelle yhteiskunnassa. Digitaalisen henkilöllisyyden hanke tuskin poistaa tarvetta pankkien ja mobiilioperaattoreiden vahvan sähköisen tunnistamisen palveluille myös jatkossa.

 

Suomeen valmistellaan valtion tarjoamaa digilompakkoa

Tässä vaiheessa tiedämme, että Suomessa valtio tulee tarjoamaan yhden ratkaisun päivitettävän eIDAS-asetuksen mukaisesta lompakkosovelluksesta. Monia asioita on kuitenkin vielä auki. Esimerkiksi lompakkosovelluksen toiminnalliset yksityiskohdat ja tekniset standardit ovat vielä kesken, ja ne tullaan vahvistamaan myöhemmin komission täytäntöönpanoasetuksessa. Nämä vaatimukset voivat vaikuttaa mm. siihen, mitkä toimijat ylipäätään harkitsevat lompakkosovelluksen tarjoamista.

Vuoden 2024 jälkeen näemme, mikä tulee olemaan pankkien ja mobiilioperaattoreiden rooli vahvan sähköisen tunnistamisen kentällä. Tunnistautumisvälineiden liikkeeseenlaskijoiden on harkittava omien tunnistautumisvälineidensä sertifiointia taloudellisesta näkökulmasta, varsinkin jos asetuksen mukaisen lompakon tulee täyttää korkean varmuustason vaatimukset ja täytäntöönpano tulee tehdä kesäkuuhun 2024 mennessä.

Takaisin ylös