Elektronisk identifiering

Genom stark autentisering är det möjligt att verifiera identiteten vid elektroniska tjänster. Kraven på identifieringstjänster fastställs i lag. Leverantörer av identifieringstjänster som är etablerade i Finland ska göra en skriftlig anmälan till Transport- och kommunikationsverket (Traficom) innan verksamheten inleds. Cybersäkerhetscentret vid Traficom övervakar att kraven följs, meddelar föreskrifter som preciserar lagen samt för ett offentligt register över de leverantörer av identifieringstjänster som uppfyller kraven.

Tjänster för stark autentisering

Med stark autentisering avses att identiteten verifieras elektroniskt. Stark autentisering ger konsumenterna ett tryggt sätt att bekräfta sin identitet i olika elektroniska tjänster. Leverantörer av elektroniska ärendehanteringstjänster kan för sin del identifiera sina kunder.

I Finland finns två typer av leverantörer av tjänster för stark autentisering

  • Leverantören av identifieringsverktyg tillhandahåller användare identifieringsverktyg
  • Tjänsten för identifieringsförmedling säljer identifieringstjänster till ärendehanteringstjänster
  • Ett och samma leverantör kan tillhandahålla både verktyg och förmedlingstjänst.

Tillitsnivåerna för stark autentisering är väsentlig och hög.

Tjänster för stark autentisering är 

  • bankernas nätbankskoder
  • teleföretagens mobilcertifikat.
  • medborgarcertifikat från Myndigheten för digitalisering och befolkningsdata, identitetskort med medborgarcertifikat utfärdat av polisen och vissa andra identifieringscertifikat som finns i olika organisationskort för registrerade leverantörer av identifieringstjänster

Identifieringsmetoder

Stark autentisering kan basera sig på tekniskt olika metoder.

Gemensamt för metoderna är att man måste använda minst två av följande autentiseringsfaktorer och en dynamisk autentiseringsmekanism:

  • en kunskapsbaserad autentiseringsfaktor som personen måste kunna visa att den har kunskap om (t.ex. lösenord, PIN-kod)
  • en innehavsbaserad autentiseringsfaktor som personen måste kunna visa att den innehar (t.ex. kodkalkylator, mobilapplikation, kodtabell)
  • en egenskapsbaserad autentiseringsfaktor som utgår från en kroppslig egenskap hos en fysisk person (t.ex. fingeravtryck, iris)
  • Med dynamisk autentisering avses en elektronisk process
  • som använder kryptering eller andra metoder
  • för att på begäran skapa ett elektroniskt bevis för att en person har kontroll över eller är i besittning av identifieringsinformationen, och
  • som ändras vid varje auktorisering mellan personen och det system som kontrollerar personens identitet.

Certifikat

En del av metoderna för stark autentisering baserar sig på certifikat. Certifikat behövs i allmänhet för identifiering, kryptering och elektroniska signaturer i olika datanät. Ett certifikat är ett intyg som en tillförlitlig organisation har undertecknat elektroniskt. Intyget verifierar identiteten för certifikatinnehavaren.

Certifikatet innehåller en öppen nyckel genom vilken certifikatinnehavaren kan identifieras. Utöver den öppna nyckeln innehåller certifikatet andra uppgifter, såsom

  • namnet på personen eller organisationen
  • datum när certifikatet beviljats
  • den sista giltighetsdagen eller
  • certifikatets serienummer.

Om uppgifter om innehållet i certifikat som används vid identifieringen bestäms i lagen om stark autentisering och betrodda elektroniska tjänster.

Förtroendenät

Leverantörer av stark autentisering som gjort en anmälan enligt lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) bildar direkt ett förtroendenät för elektronisk identifiering.

Syftet med verksamhetsmodellen för förtroendenätet är att elektroniska tjänster för ärendehantering kan anskaffa elektronisk identifiering till sina e-tjänster centraliserat från tjänster för identifieringsförmedling utan att de behöver ingå avtal med alla leverantörer av identifieringsverktyg. Den nya modellen förväntas göra användningen av stark autentisering i e-tjänster lättare än vad det är i dag.

I förtroendenätet finns två olika roller för tillhandahållande av identifieringstjänster. Leverantörer av identifieringstjänster kan tillhandahålla slutanvändare elektroniska identifieringsverktyg (leverantör av verktyg) eller förmedla identifieringstransaktioner till leverantörer av elektroniska tjänster (tjänster för identifieringsförmedling). Leverantörer av identifieringsverktyg kan också utöva förmedlingsverksamhet, dvs. tillhandhålla tjänster för ärendehantering identifiering.

Enligt verksamhetsmodellen för förtroendenätet är leverantörer av identifieringsverktyg skyldiga att tillhandahålla sina verktyg till alla registrerade tjänster för identifieringsförmedling för att förmedlas till det pris som anges i lag.  Leverantörer av identifieringsverktyg ska med andra ord möjliggöra att tjänster för identifieringsförmedling tillhandahåller förlitande parter, alltså leverantörer av tjänster för elektronisk ärendehantering, en möjlighet att identifiera sina kunder med ett starkt elektroniskt identifieringsverktyg. Förmedlingen baserar sig på bilaterala avtal.

Samarbetsgruppen för förtroendenätet

Kommunikationsverket tillsatte 30.5.2017 en samarbetsgrupp för förtroendenätet i enlighet med statsrådets förordning 169/2016. Endast gruppmedlemmarna kallas till mötena. Aktörerna i samarbetsgruppen kan främja utbyte av information mellan de registrerade leverantörerna av identifieringstjänster om frågor i anslutning till förtroendenätets verksamhet och samreglering.

Arbetsgruppen behandlar frågor som gäller det nationella förtroendenätet för leverantörer av identifieringstjänster. Utbyte av information om såväl den tekniska som annan utvecklingen är viktigt i arbetsgruppen.

Tillsyn över identifieringstjänster

Cybersäkerhetscentret vid Transport- och kommunikationsverket utövar tillsyn över tjänster för elektronisk identifiering.

  • Syftet med tillsynen är att säkerställa att utbudet av identifieringstjänster är tillförlitligt och informationssäkert.
  • Vi kontrollerar att tjänsterna uppfyller de föreskrivna kraven och för tjänsterna in i ett register.
  • Vi är också en besvärsmyndighet i ärenden som hänför sig till verksamhet som bedrivs av leverantörer av identifieringstjänster.
  • Verket är dock inte behörig myndighet när det gäller att lösa avtalstvister.

För leverantörer av stark autentisering gäller följande skyldigheter:

  • anmälningsskyldighet. En leverantör av identifieringstjänster som är etablerad i Finland ska göra en skriftlig anmälan till Transport- och kommunikationsverket innan verksamheten inleds.
  • skyldighet att göra en kvalitetsrevision. En leverantör av tjänster för stark autentisering ska i sin anmälan om inledande av verksamhet innehålla en inspektionsberättelse om bedömning av överensstämmelse. Verksamhetens överensstämmelse med krav ska bedömas regelbundet och inspektionsberättelsen är i kraft högst i två år. 
  • förbud mot tillhandahållande. Om identifieringstjänsterna inte uppfyller uppställda krav, förbjuder Transport- och kommunikationsverket leverantören att tillhandahålla sina identifieringstjänster som tjänster för stark autentisering. 
  • skyldighet att anmäla ändringar. En leverantör av identifieringstjänster måste underrätta Transport- och kommunikationsverket om alla ändringar i de uppgifter som lämnats i anmälan om inledande av verksamhet. Anmälan måste göras också om att verksamheten upphör samt att verksamheten överförs till en annan tjänsteleverantör.
  • skyldighet att anmäla störningar. Tjänsteleverantören ska underrätta Transport- och kommunikationsverket om betydande hot eller störningar som riktas mot tjänsternas informationssäkerhet och funktion samt om de åtgärder som vidtagits för att avhjälpa dem.
  • tillsynsavgifter. En registreringsavgift ska betalas för en anmälan om att verksamheten inleds. Aktörer som förts in i ett register över leverantörer av identifieringstjänster ska betala en årlig tillsynsavgift. Närmare bestämmelser om avgifterna finns i 47 § i autentiseringslagen.
  • skyldighet att ingå avtal i förtroendenätet. Leverantörer av identifieringsverktyg ska avtala med leverantörer av tjänster för identifieringsförmedling om att de kan tillhandahålla identifiering av kunder som använder identifieringsverktyg vid tjänster för ärendehantering. 

Övriga tillsynsmyndigheter

Kommunikationsministeriet svarar för den allmänna styrningen och utvecklingen av stark autentisering. Finansministeriet svarar för styrningen av tjänsterna inom den offentliga förvaltningen. Myndigheten för digitalisering och befolkningsdata svarar för Suomi.fi-identifikationen.

Dataskyddsombudsmannen övervakar att bestämmelserna om personuppgifter i lagen om stark autentisering iakttas. Finansinspektionen övervakar stark autentisering enligt betaltjänstlagen. Konkurrens- och konsumentverket övervakar fungerande marknader och konkurrens samt konsumentskyddet. Transport- och kommunikationsverket och dataombudsmannen samarbetar vid behov även med Finansinspektionen samt Konkurrens- och konsumentverket.

Register över leverantörer av identifieringstjänster

Transport- och kommunikationsverket för ett register över de tjänsteleverantörer av stark autentisering som är etablerade i Finland samt över de tjänster som de tillhandahåller.

I registret (Excel) uppges de leverantörer av identifieringstjänster som

  • har gjort en anmälan till Transport- och kommunikationsverket och
  • uppfyller kraven på stark autentisering i lagen om stark autentisering och betrodda elektroniska tjänster

I registret antecknas

  • tjänsteleverantörens kontaktuppgifter
  • kontaktuppgifterna tilll spärrtjänsten och
  • en länk till tjänsteleverantörens principer för identifiering.

Varje tjänsteleverantör specificerar närmare i sina principer för identifiering hur den uppfyller sina skyldigheter som avses i lagen om stark autentisering och betrodda elektroniska tjänster.

    Leverantörer av identifieringstjänster har en spärrtjänst för anmälningar ifall identifieringsverktyget har försvunnit eller om det har använts obehörigt.

    Utöver det heltäckande registret över leverantörer av identifieringstjänster kan du snabbt kika i filen ”Toimijat, rajapinnat ja kontaktitiedot” och se alla godkända aktörer i förtroendenätet jämte förmedlingsstatus (endast egna verktyg, förmedling av egna och andras verktyg, förmedling av andras verktyg). I filen hittar du också kontaktuppgifterna för kommersiella och tekniska aktörer.

    Anmälningar och avgifter till Transport- och kommunikationsverket

    Leverantörer av stark autentisering och betrodda elektroniska tjänster som är etablerade i Finland måste göra en skriftlig anmälan till Transport- och kommunikationsverket innan verksamheten inleds.

    Leverantörerna ska också i enlighet med lagen om stark autentisering och betrodda elektroniska tjänster göra en anmälan om ändringar och störningar i verksamheten.

    Närmare information om innehållet i anmälningarna finns i anvisningen 214/2016 O Anmälningar om identifieringstjänster och betrodda tjänster. Bestämmelser om registrerings- och tillsynsavgifter till Transport- och kommunikationsverket finns i 47 § i lagen om stark autentisering och betrodda elektroniska tjänster (Extern länk).

    Gränsöverskridande identifiering och eIDAS-förordningen

    Gränsöverskridande elektronisk identifiering föreskrivs i EU:s eIDAS-förordning. Det är möjligt att anmäla en nationell identifieringsmetod till EU-kommissionen. Om den klarar sakkunnighetsbedömningen, kan man identifiera sig i olika offentliga tjänster i EU-medlemsstaterna. eIDAS-förordningen har även inverkat på den nationella regleringen av identifieringstjänster.

    eIDAS-förordningen trädde i kraft den 1 juli 2016 och medförde ändringar även i nationell elektronisk identifiering. Kraven i lagen om stark autentisering och betrodda elektroniska tjänster ändrades så att de motsvarar EU-regleringen. Finland har infört två identifieringstillitsnivåer enligt eIDAS: väsentlig och hög. Målet är att det ska vara enkelt för aktörerna att ansöka om att få sitt system anmält till EU i vilket skede som helst när de uppfyller de nationella kraven. Leverantörerna av identifieringstjänster behöver inte ta fram särskilda identifieringslösningar för gränsöverskridande situationer och nationell identifiering.

    En elektronisk identifieringstjänst uppfyller kraven nationellt om leverantören av tjänsten hittas i Transport- och kommunikationsverkets register. En leverantör med tillitsnivån väsentlig eller hög kan ansöka om att få sitt system anmält till EU. Vid anmälningen och sakkunnighetsbedömningen tillämpas eIDAS-förordningen och EU-kommissionens genomförandeakter.

    Det borde vara möjligt för användare av anmälda system för identifieringstjänster att senast från hösten 2018 identifiera sig i den offentliga förvaltningens tjänster i hela EU. Förenklat innebär detta till exempel att de svenska starka elektroniska identifierare som anmälts till kommissionen kan användas för finska tjänster för offentlig förvaltning och på motsvarande sätt godkänns de finländska anmälda identifieringsverktyg för svenska tjänster för offentlig förvaltning. eIDAS-förordningen förpliktar aktörerna inom den offentliga förvaltningen att erkänna en anmäld identifiering, men innehåller inte några bestämmelser om hur själva tjänsten ska genomföras eller vilka är förutsättningarna för tjänsten.

    Identifieringstransaktionerna mellan Finland och de övriga länderna kommer att förmedlas via en nationell nod som administreras av Myndigheten för digitalisering och befolkningsdata. Kraven på interoperabilitet och säkerhet vid den nationella noden finns i kommissionens förordning (EU) 2015/1501.

    Identifiering med finländska verktyg i en ärendehanteringstjänst för en utländsk offentlig sektor sker från leverantör av identifieringsverktyg via tjänster för identifieringsförmedling och den nationella noden. Identifiering med utländska identifieringsverktyg i en tjänst för finländsk offentlig sektor görs via den nationella noden och via Suomi.fi-identifieringen.

    Gränsöverskridande identifiering i privata tjänster

    I den nationella noden fokuseras det först på identifiering i offentliga tjänster för ärendehantering och i följande fas görs en mera detaljerad bedömning av möjligheterna att genomföra identifiering i privata tjänster för ärendehantering.

    Eftersom den nationella noden ännu inte kan användas för identifiering i privata tjänster för ärendehantering kan kunder som använder utländska identifieringsverktyg identifieras i finländska tjänster för ärendehantering utifrån avtal på samma sätt som identifiering med finländska identifieringsverktyg i en tjänst för en utländsk privat sektor. Tillförlitligheten i utländska identifieringstjänster kunde konstateras på basis av anmälningar, eventuell reglering i identifieringstjänstens hemstat eller avtal.

    Om en identifieringstjänst som hör till förtroendenätet vill börja förmedla stark autentisering också till utlandet, omfattas gränssnittet och avtalsförhållandet mellan identifieringstjänsten och tjänster för ärendehantering av samma krav som vid tillhandahållandet till finländska tjänster för ärendehantering samt av de krav på identifieringsförmedling som ingår i Kommunikationsverkets föreskrift 72.

    Författningar och andra dokument om stark autentisering

    På denna sida hittar du material som gäller elektronisk identifiering, såsom författningar, föreskrifter, tillsynsbeslut, rekommendationer, tolkningspromemorior, anvisningar och publikationer.

    Författningar

    • EU-kommissionens genomförandeförordning (EU) 2015/1502 (Extern länk) (”förordning om tillitsnivåer”) om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU)

    Författningar - gränsöverskridande identifiering

    • Europaparlamentets och rådets förordning (EU) nr 910/2014 (Extern länk) av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (eIDAS-förordningen)
      • EU-kommissionens genomförandebeslut (EU) 2015/296 (Extern länk) (”beslut om samarbetsnätverk”) om inrättande av förfaranden för samarbete mellan medlemsstaterna om elektronisk identifiering i enlighet med artikel 12.7 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden
      • EU-kommissionens genomförandeförordning (EU) 2015/1501 (Extern länk) (”interoperabilitetsförordning”) om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden
      • EU-kommissionens genomförandeförordning (EU) 2015/1502 (Extern länk) (”förordning om tillitsnivåer”) om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden
      • Bestämmelser om vilka uppgifter som ska lämnas i anmälan ingår i kommissionens genomförandebeslut (EU) 2015/1984) (Extern länk) (”beslutet om anmälningsförfarande”) om förutsättningar, format och förfaranden för anmälan enligt artikel 9.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

    Anvisningar och rekommendationer

    Publikationer

    Olli Norros, jur.dr, professor i juridik vid Helsingfors universitet, har gjort denna skadeståndsjuridiska utredning på begäran av Kommunikationsverket. Syftet med utredningen är att stöda ingående av avtal i det nationella förtroendenätet för stark autentisering.

    Utredningen gäller rättsgrunden och den juridiska systematiken när det gäller att identifiera skadeståndsnormer och att tillämpa dem samt att betrakta deras ömsesidiga relationer. 

    Utredningen omfattar:

    • centrala begrepp (avsnitt 2)
    • översikt över eventuella skadeståndsnormer (avsnitt 3)
    • tillämpning av normer i olika personrelationer och i synnerhet normernas ömsesidiga relationer (avsnitt 4) och
    • granskning av konkreta skadeståndssituationer (avsnitt 5)