Tulostusversio

3/2009

Sähköinen liiketoiminta: Laki tuo Viestintävirastolle uutta valvottavaa

Teksti: Marjo Rautvuori

Vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettu laki tuli voimaan syyskuussa. Lain mukaisia tunnistus- ja varmennepalvelujen tarjoajia valvoo Viestintävirasto.

Laille vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista on määritelty kaksi valvovaa viranomaista: Viestintävirasto ja tietosuojavaltuutettu.

Viestintäviraston tehtävänä on valvoa pääsääntöisesti vahvan tunnistamispalvelun tarjoajia ja laatuvarmentajia sekä sitä, että ne noudattavat laissa asetettuja velvollisuuksia.

Henkilötietojen käsittelyä koskevien säännöksien noudattamisen valvonta on tietosuojavaltuutetun tehtävä.

Koska tavallaan koko tunnistaminen on henkilötietojen käsittelyä, lakimies Eeva Lantto Viestintävirastosta myöntää, että välillä voi olla vähän hankala ratkaista, kumman viranomaisen toimialaan asia kuuluu.

"Ehkä se, miten henkilötietoja saa käsitellä ja mihin niitä saa luovuttaa, on selkeimmin tietosuojavaltuutetun toimialaa. Muuten turvallisuus- ja luotettavuusvaatimukset kuuluvat Viestintävirastolle", Lantto miettii.

Ilmoitus riittää

Viestintäviraston tehtävänä on uuden lain mukaan pitää yllä julkista rekisteriä toimijoista, jotka tarjoavat vahvan sähköisen tunnistamisen palveluita tai laatuvarmenteita.

Ennen toiminnan aloittamista toimijoiden pitää tehdä Viestintävirastolle aloitusilmoitus, samaan tapaan kuin tehdään esimerkiksi yleisen teletoiminnan harjoittamisesta. Kyse ei siis ole lupamenettelystä.

"Toimijan täytyy antaa riittävät tiedot, jotta voimme päätellä, onko kyseessä sellainen palvelu, joka täyttää lain vaatimukset. Lisäksi tarvitaan yhteystiedot. Myös kaikkien relevanttien, Viestintäviraston määräyksessä tarkemmin määriteltyjen tietojen ja toiminnan muutoksista pitää ilmoittaa", Lantto kertoo.

Palveluntarjoajien luotettavuus- ja tietoturvavaatimuksia sekä ilmoitusvelvollisuutta koskevat määräykset löytyvät Viestintäviraston nettisivuilta. Sieltä löytyvät jatkossa myös tiedot vahvan sähköisen tunnistamisen palvelujen tarjoajista sekä esimerkiksi tiedot näiden peruutuspalveluista eli tieto, mihin kuluttajan pitää ottaa yhteyttä, jos hänen tunnistamisvälineensä on vaarantunut.

Tarvittaessa Viestintävirasto voi antaa teknisiä määräyksiä tunnistuspalvelun tarjoajien ja laatuvarmentajien toiminnan luotettavuus- ja tietoturvallisuusvaatimuksista sekä ilmoitusvelvollisuudesta.

Toimintakieltokin mahdollinen

”Toiminnan voi aloittaa heti ilmoituksen annettuaan, mutta toimijan kannattanee varmistua siitä, että toiminta täyttää vaatimukset ennen kuin palvelua alkaa markkinoida käyttäjille vahvan sähköisen tunnistamisen palveluna”, Lantto sanoo.

Viestintävirasto tutkii, että palvelun toteuttamisessa noudatetaan lakia. Jos virasto havaitsee virheitä, se pyytää muuttamaan toteuttamista tai pahimmassa tapauksessa kieltää tarjoamasta palvelua vahvana sähköisenä tunnistamisena.

Viestintäviraston määräykset valmistuivat myöhään, mikä johtuu siitä, että lakikin vahvistettiin vasta elokuun alussa. Eeva Lantto ei usko alkuun tulevan ryntäystä ilmoitusten tekemisessä. Tulevista ehdokkaistakaan ei ole tietoa. Toimijoiden kenttä selkiytynee ajan kuluessa.

Turvallisuus etusijalla

Vahvan tunnistamisen palveluita koskevat monelta osin lähes vastaavat vaatimukset kuin laatuvarmentajiakin, mutta ne eivät ole Lanton mukaan ihan yhtä tiukkoja. Samat asiat, eli toiminnan yleinen tietoturvallisuus ja luotettavuus kuitenkin nousevat esiin.

”Palvelun turvallisuus tarkoittaa sitä, että se on turvallisesti toteutettu ja siinä käytetään tietoturvallista tekniikkaa. Mukana on myös ensitunnistamista koskevia vaatimuksia. Lain perusteluissa mainitaan pankkitunnisteet ja mobiilivarmenteet. Kuvittelisin, että jotain varmennepohjaisia tunnistamisvälineitä sekä mahdollisesti pankkitunnistevälineitä tarjoavia yrityksiä ilmoittautuu, ehkä muitakin tekniikoita kehitellään.”

Ulkomaisia toimijoita ei Lantto usko Suomeen tulevan – ainakaan heti. Suomen vahvan sähköisen tunnistaminen sääntely lienee tällä hetkellä ainutkertaista maailmassa. Se ei perustu mihinkään direktiiviin, kuten laatuvarmenteita koskeva sääntely. Ulkomaisten toimijoiden valvonta olisi käytännössä vaikeaa, sillä valvontaviranomaisen toimivalta pakkokeinojen suhteen pysähtyy valtakunnan rajoille.

”Lisääntyviä tietoturvahaittoja yritetään minimoida katsomalla, että palveluja tarjoavat luotettavat toimijat ja niiden käyttämät järjestelmät ovat lähtökohtaisesti tietoturvalliset. Jotta määräyksiä ei jouduta muuttamaan ja päivittämään jatkuvasti, niissä liikutaan ilmaisuissa aika yleisellä tasolla.”

Valvontakeinot riittävät

”Media ja käyttäjät huomannevat ripeästi, jos jokin palvelu ei ole turvallinen. Samalla tavalla tavallaan toimii teleyritysten valvonta, jossa Viestintäviraston toimenpiteet käynnistyvät yleensä ulkopuolelta tulleesta vihjeestä”, Lantto kertoo.

Myös Viestintävirasto havainnoi kenttää ja tietoturvallisuusasioiden kehittymistä. Jos esimerkiksi tulee tietoon, että palveluntarjoaja käyttää tiettyä tekniikkaa, johon tiedetään liittyvän joku haavoittavuus, virasto voi puuttua asiaan.

Tarpeen vaatiessa Viestintävirasto voi vaatia toimijaa korjaamaan tilanteen sellaiseksi kuin laissa velvoitetaan. Jos korjauskehotus ei johda tuloksiin, toiminnan jatkaminen voidaan kieltää. Pääsääntöisesti toimintaa yritetään yleensä parantaa yhteistyöllä ilman sanktiouhkia. Harvoin joudutaan antamaan velvoittavia päätöksiä.

Laatuvarmennetoiminta pitää tarkastaa vuosittain. Tunnistuspalvelun tarjoajan tarkastus on mahdollinen, mikäli on syytä epäillä vakavia puutteita toiminnassa.

Valvonnan keinomäärä on Lanton mielestä riittävä Viestintäviraston resursseihin nähden.

Lisää teknisiä määräyksiä

Tähän mennessä virastolla on ollut ainoastaan yksi valvottava, Väestörekisterikeskus. Siltä on peritty vuodessa valvontamaksuna 80 000 euroa. Jatkossa laatuvarmentajan valvontamaksu puolittuu.

”Lisää maksuja ei voida periä ennen uuden lain mukaisia tunnistuspalvelun tarjoajien aloitusilmoituksia. Työtä kuitenkin riittää, ja tarkasteltavina ovat täysin uudet tekniikat, joista meillä ei ole erityisosaamista. Teknisiä määräyksiä pitäisi kuitenkin valmistella lisää. Ja kun palveluntarjoajien määrä kasvaa ja palvelujen käyttö lisääntyy, lisääntyvät todennäköisesti myös aikaavievät asiakasvalitukset. Tiukilla ollaan, mutta nyt alussa yritetään tähän panostaa. Aika näyttää, mihin resurssit riittävät”, Lantto pohtii.

Toimijoilta perittävät maksut on määritelty laissa. Tunnistuspalvelun tarjoajan rekisteröimismaksu on 5 000 euroa ja vuosittainen valvontamaksu 12 000 euroa.

Kuluttaja voi valittaa

Kuluttaja, jonka näkemyksen mukaan vahva sähköinen tunnistaminen ei toimi niin kuin pitäisi, voi ilmoittaa asiasta Viestintävirastoon. Se voi tutkia ja antaa päätöksen siitä, onko palveluntuottaja noudattanut tunnistamislaissa asetettuja vaatimuksia.

”Vahingonkorvausvaatimukset sen sijaan eivät kuulu Viestintäviraston ratkaistaviksi. Niistä päätöksen antaa viime kädessä käräjäoikeus”, Lantto toteaa.

Lue myös

Sähköinen liiketoiminta: Toisen nimissä netissä »
Sähköinen liiketoiminta: Yksityisyys säilyy yhteisössäkin »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.