Sähköinen tunnistaminen

Vahvalla sähköisellä tunnistamisella voi todentaa henkilöllisyyden sähköisessä asioinnissa. Tunnistuspalveluiden vaatimuksista säädetään laissa. Suomeen sijoittuneiden palvelun tarjoajien on ennen toimintansa aloittamista tehtävä kirjallinen ilmoitus Liikenne- ja viestintävirastolle (Traficom). Viraston Kyberturvallisuuskeskus valvoo vaatimusten noudattamista, antaa lakia tarkentavia määräyksiä ja ylläpitää julkista rekisteriä vaatimukset täyttävistä tunnistuspalvelun tarjoajista.

Vahvat sähköiset tunnistuspalvelut

Vahvalla sähköisellä tunnistamisella tarkoitetaan henkilöllisyyden todentamista sähköisesti. Vahvan sähköisen tunnistamisen avulla kuluttajat voivat turvallisesti vahvistaa henkilöllisyytensä erilaisissa sähköisissä palveluissa ja sähköisten asiointipalveluiden tarjoajat voivat tunnistaa asiakkaansa.

Suomessa on kahdenlaisia vahvan sähköisen tunnistamisen palveluntarjoajia

  • Tunnistusvälineen tarjoaja tarjoaa tunnistusvälineitä käyttäjille
  • Tunnistusvälityspalvelu myy tunnistuspalvelua asiointipalveluille
  • Sama palveluntarjoaja voi halutessaan toimia sekä välineen että välityspalvelun tarjoajana.

Vahva sähköinen tunnistuspalvelu voi olla varmuustasoltaan joko korotettu tai korkea.

Vahvoja sähköisiä tunnistuspalveluita ovat 

  • pankkien verkkopankkitunnukset
  • teleyritysten mobiilivarmenteet
  • Väestörekisterikeskuksen kansalaisvarmenne poliisin myöntämällä henkilökortilla ja eräät muut tunnistusvarmenteet
  • erilaisilla organisaatiokorteilla rekisteröidyt tunnistusvälityspalvelut

Tunnistusmenetelmät

Vahva sähköinen tunnistus voi perustua teknisesti eri menetelmiin.

Yhteistä menetelmille on se, että niissä on käytettävä vähintään kahta seuraavista todentamistekijöistä ja dynaamista todentamismekanismia:

  • tiedossa oloon perustuva todentamistekijä, jonka henkilön on osoitettava olevan tiedossaan (esim. salasana, PIN-koodi)
  • hallussapitoon perustuva todentamistekijä, jonka henkilön on osoitettava olevan hallussaan (esim. tunnuslukulaite, mobiilisovellus, tunnuslukulista)
  • luontainen todentamistekijä, joka perustuu johonkin luonnollisen henkilön fyysiseen ominaisuuteen (esim. sormenjälki, iiris)
  • Dynaamisella todentamisella tarkoitetaan sähköistä prosessia,
  • jossa käytetään salausta tai muita tekniikoita,
  • joiden avulla voidaan pyynnöstä luoda sähköinen todiste siitä, että henkilöllä on hallinnassaan tai hallussaan tunnistetiedot, sekä
  • muuttaa sitä jokaisessa uudessa henkilön ja hänen henkilöllisyytensä varmentavan järjestelmän välillä tapahtuvassa todentamisessa.

Varmenne

Osa vahvan sähköisen tunnistamisen menetelmistä perustuu varmenteisiin. Yleisesti varmenteita tarvitaan tietoverkkojen kautta tapahtuvassa tunnistamisessa, salauksessa ja sähköisen allekirjoituksen tekemisessä. Varmenne on luotettavan organisaation sähköisesti allekirjoittama todistus, joka todentaa varmenteen omistajan henkilöllisyyden.

Varmenne sisältää julkisen avaimen, jolla varmenteen omistajan voi tunnistaa. Julkisen avaimen lisäksi varmenne sisältää muita tietoja, kuten

  • henkilön tai organisaation nimen
  • varmenteen myöntämispäivän
  • viimeisen voimassaolopäivän tai
  • yksilöllisen sarjanumeron.

Tunnistamisessa käytettävän varmenteen tietosisällöstä on säädetty tunnistus- ja luottamuspalvelulaissa.

Luottamusverkosto

Vahvan sähköisen tunnistuspalvelun tarjoajat, jotka ovat tehneet tunnistus- ja luottamuspalvelulain (617/2009) mukaisen ilmoituksen ja jotka täyttävät lain vaatimukset, muodostavat suoraan lain nojalla 1.5.2017 alkaen sähköisen tunnistamisen luottamusverkoston.

Luottamusverkoston toimintamallin tavoitteena on, että sähköiset asiointipalvelut voivat hankkia sähköistä tunnistamista asiointipalveluunsa keskitetysti tunnistusvälityspalvelulta tarvitsematta tehdä sopimuksia kaikkien tunnistusvälineen tarjoajien kanssa. Mallin toivotaan helpottavan ja lisäävän vahvan tunnistamisen hyödyntämistä asiointipalveluissa.

Luottamusverkostossa on kaksi erilaista tunnistuspalveluiden tarjoamisen roolia. Tunnistuspalvelun tarjoaja voi tarjota sähköisiä tunnistusvälineitä loppukäyttäjille (välineen tarjoaja) tai se voi välittää tunnistustapahtumia sähköisten palveluiden tarjoajille (tunnistusvälityspalvelu). Tunnistusvälineen tarjoaja voi harjoittaa myös välitystoimintaa eli tunnistuksen tarjontaa asiointipalveluille.

Luottamusverkoston toimintamallin mukaan tunnistusvälineen tarjoajalla on velvoite antaa tunnistusväline välitettäväksi kaikille rekisteröidyille tunnistusvälityspalveluille laissa säädetyllä hinnalla.  Toisin sanoen tunnistusvälineen tarjoajan tulee mahdollistaa se, että tunnistusvälityspalvelu tarjoaa luottavalle osapuolelle eli sähköisen asiointipalvelun tarjoajalle mahdollisuuden tunnistaa asiakkaansa vahvalla sähköisellä tunnistusvälineellä. Välitys perustuu kahdenvälisiin sopimuksiin.

Luottamusverkoston yhteistoimintaryhmä

Viestintävirasto asetti 30.5.2017 valtioneuvoston asetuksen 169/2016 mukaisen luottamusverkoston yhteistoimintaryhmän. Kokouksiin kutsutaan vain ryhmän jäsenet. Yhteistoimintaryhmässä toimijoilla on mahdollisuus edistää rekisteröityjen tunnistuspalveluntarjoajien tiedonvaihtoa ja yhteissääntelyä.

Työryhmässä käsitellään kansalliseen tunnistuspalveluntarjoajien luottamusverkostoon liittyviä asioita. Työryhmässä vaihdetaan tietoa toimialan teknisestä ja muusta kehityksestä.

Tunnistuspalveluiden valvonta

Liikenne- ja viestintäviraston kyberturvallisuuskeskus valvoo sähköisen tunnistamisen palveluja.

  • Valvonnan tarkoitus on varmistaa, että tunnistuspalveluiden tarjonta on luotettavaa ja tietoturvallista.
  • Tarkistamme, että palvelut täyttävät niille säädetyt vaatimukset ja merkitsemme palvelut rekisteriin.
  • Toimimme myös valitusviranomaisena asioissa, jotka koskevat tunnistuspalvelun tarjoajien toimintaa.
  • Virasto ei kuitenkaan ole toimivaltainen ratkaisemaan sopimusriitoja.

Vahvan sähköisen tunnistuspalvelun tarjoajia koskee

  • ilmoitusvelvollisuus. Suomeen sijoittautuneen tunnistuspalvelun tarjoajan on ennen toimintansa aloittamista tehtävä kirjallinen ilmoitus Liikenne- ja viestintävirastolle.
  • auditointivelvollisuus. Vahvan sähköisen tunnistuspalvelun tarjoajan on liitettävä aloitusilmoitukseensa tarkastuskertomus vaatimustenmukaisuuden arvioinnista. Toiminnan vaatimustenmukaisuutta on arvioitava säännöllisesti ja tarkastuskertomus on voimassa enintään kaksi vuotta. 
  • tarjontakielto. Jos tunnistuspalvelu ei täytä säädettyjä vaatimuksia, Liikenne- ja viestintävirasto kieltää tunnistuspalveluntarjoajaa tarjoamasta tunnistuspalveluaan vahvana sähköisenä tunnistamisena. 
  • muutosilmoitusvelvollisuus. Tunnistuspalvelun tarjoajan on ilmoitettava kaikissa aloittamisilmoituksen tiedoissa tapahtuneista muutoksista. Myös toiminnan lopettamisesta sekä toimintojen siirtymisestä toiselle palveluntarjoajalle on ilmoitettava.
  • häiriöilmoitusvelvollisuus. Palveluntarjoajan on ilmoitettava palvelun tietoturvaan ja toimivuuteen kohdistuvista merkittävistä uhkista ja häiriöistä sekä näiden korjaamiseksi tehdyistä toimenpiteistä.
  • valvontamaksut. Aloitusilmoituksesta on maksettava rekisteröintimaksu. Tunnistuspalvelurekisteriin merkityn toimijat on maksettava vuotuinen valvontamaksu. Maksuista säädetään tunnistus- ja luottamuspalvelulain 47 §:ssä.
  • sopimisvelvollisuus luottamusverkostossa. Tunnistusvälineen tarjoajien täytyy sopia tunnistusvälityspalveluiden kanssa sitä, että nämä voivat tarjota asiointipalveluille tunnistusvälinettä käyttävien asiakkaiden tunnistusta.  

Muut valvontaviranomaiset

Vahvan sähköisen tunnistamisen yleinen ohjaus ja kehittäminen kuuluvat liikenne- ja viestintäministeriölle. Julkishallinnon sähköisen asioinnin ohjaus kuuluu valtiovarainministeriölle. Julkishallinnon suomi. -tunnistuksesta vastaa Väestörekisterikeskus.

Tietosuojavaltuutettu valvoo tunnistus- ja luottamuspalvelulain henkilötietoja koskevien säännösten noudattamista. Finanssivalvonta valvoo maksupalvelulain mukaista vahvaa tunnistusta. Kilpailu- ja kuluttajavirasto valvoo markkinoiden ja kilpailun toimivuutta sekä kuluttajansuojaa. Liikenne- ja viestintävirasto ja tietosuojavaltuutettu toimivat valvontatehtäviä hoitaessaan tarvittaessa yhteistyössä myös Finanssivalvonnan sekä Kilpailu- ja kuluttajaviraston kanssa.

Rekisteri tunnistuspalvelun tarjoajista

Liikenne- ja viestintävirasto ylläpitää rekisteriä Suomeen sijoittuneista vahvaa sähköistä tunnistamista tarjoavista palveluntarjoajista sekä niiden tarjoamista palveluista.

Rekisteriin (Excel) on merkitty ne tunnistuspalvelun tarjoajat, jotka 

  • ovat ilmoittautuneet Liikenne- ja viestintävirastolle ja
  • täyttävät tunnistus- ja luottamuspalvelulaissa vahvalle sähköiselle tunnistamiselle säädetyt vaatimukset

Rekisteriin on kirjattu

  • palveluntarjoajan yhteystiedot
  • sulkupalvelun yhteystiedot ja
  • linkki palveluntarjoajan tunnistusperiaatteisiin.

Kunkin palveluntarjoajan tunnistusperiaatteissa määritellään tarkemmin, miten kyseinen palveluntarjoaja täyttää tunnistus- ja luottamuspalvelulaissa tarkoitetut velvollisuutensa.

Tunnistusvälineen katoamisesta tai oikeudettomasta käytöstä voi tehdä ilmoituksen tunnistamispalvelun tarjoajan sulkupalveluun

Kattavan tunnistuspalvelurekisterin lisäksi voit nopeasti tarkistaa tiedostosta "Toimijat, rajapinnat ja kontaktitiedot" kaikki hyväksytyt luottamusverkoston toimijat, välitysstatuksen (vain oma, oma + muiden välitys, muiden välitys). Kyseisestä tiedostosta löydät myös helposti kaupalliset ja tekniset kontaktitiedot.

Ilmoitukset ja maksut Liikenne- ja viestintävirastolle

Suomeen sijoittuneiden vahvan sähköisen tunnistuspalvelun ja luottamuspalvelujen tarjoajien on ennen toimintansa aloittamista tehtävä kirjallinen ilmoitus Liikenne- ja viestintävirastolle.

Palveluntarjoajien on ilmoitettava tunnistus- ja luottamuspalvelulain mukaisesti myös toimintansa muutoksista ja häiriöistä.

Ilmoitusten sisällöstä on lisätietoja ohjeessa 214/2016 O sähköisten tunnistus- ja luottamuspalveluiden ilmoituksista. Liikenne- ja viestintävirastolle maksettavista rekisteröinti- ja valvontamaksuista säädetään tunnistus- ja luottamuspalvelulain 47 §:ssä (Ulkoinen linkki)

Rajat ylittävä tunnistaminen ja eIDAS-asetus

EU:n eIDAS-asetuksessa säädetään rajat ylittävästä sähköisestä tunnistamisesta. Kansallinen tunnistusmenetelmä voidaan notifioida EU:n komissiolle ja jos se läpäisee jäsenvaltioiden vertaisarvioinnin, tunnistusvälineellä voi tunnistautua julkishallinnon palveluissa EU:n jäsenvaltioissa. eIDAS-asetus on vaikuttanut myös kansalliseen tunnistuspalveluiden sääntelyyn.

eIDAS-asetus tuli voimaan 1.7.2016 ja se toi muutoksia myös kansalliseen sähköiseen tunnistamiseen. Tunnistus- ja luottamuspalvelulain vaatimuksia muutettiin vastaamaan EU-sääntelyä. Suomessa on käytössä kaksi eIDAS-asetuksen mukaista tunnistuksen vahvuustasoa: korotettu ja korkea. Tavoitteena on, että toimijoiden on helppo hakea halutessaan EU-notifiointia missä tahansa vaiheessa, kun ne täyttävät kansallisesti asetetut vaatimukset. Tunnistuspalvelun tarjoajien ei tarvitse laatia erillistä tunnistusratkaisua rajat ylittäviä tilanteita ja kansallista tunnistamista varten.

Kansallisesti vaatimukset täyttävän sähköisen tunnistuspalvelun tunnistaa siitä, että se löytyy Liikenne- ja viestintäviraston rekisteristä. Korotetun ja korkean tason tunnistuspalvelun tarjoaja voi halutessaan hakea EU-notifiointia. Notifioinnissa ja siihen liittyvässä jäsenvaltioiden tekemässä vertaisarvioinnissa sovelletaan eIDAS-asetusta ja EU:n komission täytäntöönpanosäädöksiä.

Notifioitujen tunnistuspalveluiden käyttäjien pitäisi viimeistään 2018 syksystä lähtien pystyä tunnistautumaan julkishallinnon palveluihin koko EU:ssa. Yksinkertaistettuna tämä tarkoittaa esimerkiksi sitä, että komissiolle ilmoitetut ruotsalaiset vahvat sähköiset tunnisteet kelpaavat suomalaisiin julkishallinnon palveluihin ja vastaavasti suomalaiset notifioidut tunnistamisen välineet hyväksytään ruotsalaisiin julkishallinnon palveluihin. eIDAS-asetus velvoittaa julkishallinnon toimijat tunnustamaan notifioidun tunnistuksen, mutta itse asioinnin toteutuksesta ja edellytyksistä ei säädetä eIDAS-asetuksessa.

Tunnistamistapahtumat Suomen ja muiden maiden välillä tullaan välittämään Väestörekisterikeskuksen hallinnoiman kansallisen solmupisteen kautta. Kansallisen solmupisteen yhteentoimivuus- ja turvallisuusvaatimukset säädetään komission asetuksessa (EU) 2015/1501.

Ulkomaiseen julkisen sektorin asiointipalveluun tunnistaminen suomalaisella välineellä tapahtuu tunnistusvälineen tarjoajalta tunnistusvälityspalvelun ja kansallisen solmupisteen kautta. Ulkomaisella tunnistusvälineellä tunnistaminen suomalaiseen julkisen sektorin palveluun tapahtuu kansallisen solmupisteen ja suomi.fi -tunnistuksen kautta.

Rajat ylittävä tunnistaminen yksityisissä palveluissa

Kansallisessa solmupisteessä keskitytään ensi vaiheessa tunnistamiseen julkishallinnon asiointipalveluihin ja vasta seuraavassa vaiheessa arvioidaan yksityiskohtaisemmin mahdollisuudet toteuttaa tunnistaminen yksityisiin asiointipalveluihin.

Koska kansallinen solmupiste ei ole toistaiseksi käytettävissä yksityisiin asiointipalveluihin tunnistamisessa, ulkomaisia tunnistusvälineitä käyttävien asiakkaiden tunnistaminen suomalaisiin asiointipalveluihin voi tapahtua sopimusperusteisesti, samoin kuin suomalaisella tunnistusvälineellä tunnistautuminen ulkomaisessa yksityisen sektorin palvelussa. Ulkomaisen tunnistuspalvelun luotettavuus voisi olla todettavissa notifioinnin perusteella, tunnistuspalvelun kotivaltion mahdollisen sääntelyn ja valvonnan perusteella tai sopimusperusteisesti.

Jos jokin luottamusverkostoon kuuluva tunnistuspalvelu haluaa ryhtyä välittämään vahvaa tunnistusta myös ulkomaille, tunnistusvälityspalvelun ja asiointipalvelun rajapintaa ja sopimussuhdetta koskevat samat vaatimukset kuin kotimaisille asiointipalveluille tarjottaessa. ja Viestintäviraston määräyksen 72 vaatimukset tunnistusvälitykselle.

Säädökset ja muut asiakirjat vahvasta sähköisestä tunnistamisesta

Tähän on koottu sähköiseen tunnistamiseen liittyvät säädökset, määräykset ja muut julkaistut asiakirjat kuten valvontapäätökset, suositukset, tulkintamuistiot, ohjeet ja julkaisut.

Säädökset

  • EU:n komission täytäntöönpanoasetus (EU) 2015/1502  (Ulkoinen linkki) (nk. varmuustasoasetus) teknisten vähimmäiseritelmien ja -menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan mukaisesti

Säädökset - rajat ylittävä tunnistaminen

  • EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) N:o 910/2014 (Ulkoinen linkki), annettu 23 päivänä heinäkuuta 2014, sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluistasisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta (nk. Eidas-asetus)
    • EU:n komission täytäntöönpanopäätös (EU) 2015/296  (Ulkoinen linkki) (nk. yhteistyöverkostopäätös) menettelyä koskevien järjestelyjen vahvistamisesta sähköiseen tunnistamiseen liittyvää jäsenvaltioiden välistä yhteistyötä varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 12 artiklan 7 kohdan mukaisesti
    • EU:n komission täytäntöönpanoasetus (EU) 2015/1501  (Ulkoinen linkki) (nk. yhteentoimivuusasetus) yhteentoimivuusjärjestelmän vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 12 artiklan 8 kohdan mukaisesti
    • EU:n komission täytäntöönpanoasetus (EU) 2015/1502  (Ulkoinen linkki) (nk. varmuustasoasetus) teknisten vähimmäiseritelmien ja -menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan mukaisesti
    • EU:n komission täytäntöönpanopäätös (EU) 2015/1984  (Ulkoinen linkki) (nk. notifiointimenettelypäätös) olosuhteiden, muotoseikkojen ja menettelyjen määrittelemisestä sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 9 artiklan 5 kohdan mukaisesti

Ohjeet ja suositukset

Julkaisut

Helsingin yliopiston oikeustieteen professori, OTT Olli Norros on laatinut tämän vahingonkorvausoikeudellisen selvityksen Viestintäviraston pyynnöstä. Selvityksen tarkoitus on tukea sopimusten solmimista vahvan sähköisen tunnistamisen kansallisessa luottamusverkostossa.

Kansalliseen luottamusverkostoon liittyvä selvitys käsittelee normipohjaa ja oikeudellista systematiikkaa vahingonkorvausnormien tunnistamisessa ja niiden soveltumisen sekä keskinäisten suhteiden tarkastelussa. 

Selvityksessä käydään läpi:

  • keskeisiä käsitteitä (jakso 2)
  • yleiskatsaus mahdollisista vahingonkorvausnormeista (jakso 3)
  • normien soveltuminen eri henkilörelaatioissa ja erityisesti normien keskinäiset suhteet (jakso 4) ja
  • konkreettisten vahinkotilanteiden tarkastelu (jakso 5).