Tulostusversio

2/2011

Tunnistaminen: Laki avasi tietä uusille palveluille

Teksti: Kirsi Miettinen

Ajan tasalle saatettu lainsäädäntö on vakiinnuttanut vahvan sähköisen tunnistamisen perusedellytykset ja avannut tietä uusille palveluille. 

Suomi on ensimmäisenä maailmassa luonut selkeästi osoitettavissa olevan vahvan sähköisen tunnistamisen infrastruktuurin. Se perustuu etenkin syyskuussa 2009 voimaantulleeseen lakiin vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (tunnistamislaki). Laki korvasi sähköisistä allekirjoituksista annetun lain.

Mikä on muuttunut tunnistamislain voimaantulon jälkeen? 

Loppukäyttäjälle asti muutokset eivät vielä juurikaan näy. Ensimmäiset "varhaiset linnut" ovat ehkä ehtineet hankkia mobiilivarmenteen, mutta suurin osa meistä käyttää edelleen tuttuja pankkitunnisteita tunnistautuakseen sähköisessä maailmassa.

Silti pinnan alla on tapahtunut varsin suuria asioita.

Pelisäännöt selviksi

Tunnistamislaki vakiinnutti useita vallinneita käytäntöjä ja selkiytti näin oikeustilaa.

Aiemmin määritelmissä oli epäselvyyksiä. Laissa yläkäsitteeksi valittiin tunnistaminen, jonka yhtenä osatekijänä on aina myös todentaminen eli tunnistuksen varmistaminen. Laki vakiinnutti myös vahvan sähköisen tunnistamisen käsitteen, joka perustuu kansainvälisesti käytössä olevaan määritelmään.

Verkkopankki- eli Tupas-tunnusten asema vahvana sähköisenä tunnistamisena vahvistettiin myös lain avulla. Samoin vahvistettiin käytäntö, jonka mukaan oikeustoimia voi tehdä sähköisesti vahvan sähköisen tunnistamisen välineiden, kuten verkkopankkitunnusten avulla.

Palveluntarjoajista luottamusverkosto

Tunnistamislain mukaan tunnistamispalveluja tarjoavien tahojen on tehtävä toiminnastaan ilmoitus Viestintävirastolle. Vahvan sähköisen tunnistamisen infrastruktuuri sai muotonsa, kun näitä palveluja jo ennen lain voimaantuloa tarjonneet tahot tekivät ilmoituksensa helmikuun loppuun 2010 mennessä.

Viestintäviraston ylläpitämä rekisteri vahvan sähköisen tunnistuspalvelun tarjoajista on viraston verkkosivuilla. Listalla on yhteensä yli 80 palvelutarjoajaa. Suuri määrä johtuu siitä, että paikalliset osuus- ja säästöpankit muodostavat niin sanotun 4-pankkiryhmän, jotka ovat tehneet yhteisen ilmoituksen tunnistamislain sallimalla tavalla. Lisäksi ilmoituksen tekivät kaikki Tupas-palveluita tarjoavat pankit ja Väestörekisterikeskus.

Myöhemmin ilmoituksen ovat uusina palveluntarjoajina tehneet kolme mobiilivarmenteita tarjoavaa teleoperaattoria.

Lähtökohtana on, että kaikki rekisteröidyt palveluntarjoajat noudattavat tunnistuslakia ja Viestintäviraston sen nojalla antamia määräyksiä, ja Viestintävirasto valvoo niiden toimintaa. Näin ollen palveluntarjoajat voivat luottaa toistensa palveluihin.

Käytännössä esimerkiksi jokainen mobiilivarmennetta tarjoava teleoperaattori on itsenäinen palveluntarjoaja, joka kilpailee muiden operaattorien kanssa. Käyttäjän tarvitsee kuitenkin tehdä sopimus vain yhden operaattorin kanssa saadakseen kaikkien palvelut käyttöönsä.

Tämänkaltaisten sopimusmallien yleistyminen olisi omiaan vauhdittamaan tunnistuspalveluiden yleistymistä, sillä se takaa järjestelmän helppouden niin kuluttajille kuin palveluntarjoajillekin.

Palveluiden kehittäminen nyt helpompaa

Tunnistamislakia koskevan hallituksen esityksen antamisen aikoihin nähtiin, että olennaisinta olisi saada aikaan kilpailua tunnistusmarkkinoille. Syksyn 2009 kuluessa ryhdyttiin kuitenkin ymmärtämään, että tärkeintä onkin vahvalla sähköisellä tunnistamisella edistää uusien ja uudenlaisten palveluiden syntymistä.

Palveluiden kehittämistä helpottaa olennaisesti lain voimaantulon jälkeen syntynyt tunnistusinfrastruktuuri.

Jatkokehityksen kannalta erityisen merkittävä esimerkki on sähköisestä asioinnista viranomaistoiminnassa annetun lain muutos, joka tuli voimaan joulukuussa. Lainmuutoksen mukaan viranomainen voi antaa päätöksensä tiedoksi kansalaiselle myös sähköisesti. Sähköinen tiedoksianto edellyttää vahvan sähköisen tunnistamisen käyttöä. Esimerkiksi kansalaisen asiointitiliin yhdistettynä sähköinen tiedoksianto tekee mahdolliseksi laajan ja turvallisen sähköisen asioinnin viranomaisen ja kansalaisen välillä.

Myös mobiilivarmenteet viitoittavat tietä uudenlaisille palveluille. Teleoperaattoreiden tärkein peruste mobiilivarmenteen tarjoamiselle on toisten yritysten sähköiset palvelut. Tämä kannustaa operaattoreita kehittämään mobiilivarmennetta tavalla, joka tukee uusien ja erilaisten palveluiden kehittämistä. Palveluntarjoajat saattavat esimerkiksi tarvita tunnistamista, jossa välitetään ainoastaan osa henkilötiedoista, kuten ikä tai sukupuoli. Lisäksi mahdollisuus palveluiden liikkuvaan käyttöön lisää jo itsessään yhden elementin palveluntarjonnan palettiin. Edelleen odotettavissa on uudenlaisia palveluita esimerkiksi viestinvälityksessä.

Omien tietojen hallinnalle tarvetta

Jokaisesta meistä kertyy huomattava määrä tietoa julkisiin ja yksityisiin rekistereihin, kuten väestötietojärjestelmään, ajokorttitietokantaan, luottotietorekisteriin sekä opiskelu- ja työpaikkojen tietojärjestelmiin. Mahdollisuus hallita omia henkilötietoja tarjoaa mielenkiintoisia näkymiä hyödyntää vahvan sähköisen tunnistamisen infrastruktuuria. 

Internetissä laajeneva ilmiö on yksityisten henkilöiden tarve osoittaa luotettavuuttaan toisille yksityisille henkilöille esimerkiksi sosiaalisessa mediassa tai sähköisissä kauppapaikoissa. Tähän saakka meillä ei ole ollut tarjota keinoja, joiden avulla ihmiset voisivat itse hyödyntää ja hallita omia tietojaan luotettavalla tavalla. Tunnistamisinfrastruktuurin päälle rakentuva palvelukerros mahdollistaa tämän.

Vastaavalla tavalla nousussa on myös yritysten tarve näyttää sähköisessä maailmassa roolitietojaan toisille yrityksille. Erityisesti kysymys on asemavaltuutuksista ja valtakirjoista.

Henkilöt voisivat näyttää valvottujen palveluntarjoajien avulla haluamiaan henkilötietoja varmennettuina toisille henkilöille ja yrityksille. Olennaista tällöin olisi, että henkilö itse päättäisi mitä tietoja minnekin antaa. Järjestelmässä ei kertyisi tietoa keskitettyihin tietokantoihin, vaan tiedot noudettaisiin aina tarvittaessa ajantasaisina sieltä, missä niitä säilytetään.  

Rajat ylittävä tunnistaminen tulossa

Edellä kuvatun henkilötietojen välityspalvelun toteuttaminen vaatii palveluntarjoajien välisen luottamusverkoston jalostamista vielä pidemmälle. Mallia, jossa tunnistamissanomien lisäksi voitaisiin välittää mitä tahansa muuta tietoa, voitaisiin kutsua vaikkapa yhden sopimuksen malliksi.

Palveluntarjoajien luottamusverkostoa tulisi voida laajentaa myös EU-tasolle ja kenties jopa kansainvälisesti niin, että erityistä luottamusta vaativien sähköisten palveluiden käyttö olisi mahdollista myös rajat ylittävällä tavalla.

EU:ssa uudistetaan parhaillaan sähköisten allekirjoituksien puitteista annettua direktiiviä. Sen yhteydessä pohditaan myös sähköistä tunnistamista. Muun muassa komission digitaalisessa agendassa on tunnustettu se lähtökohta, että EU tarvitsee rajat ylittäviä sähköisen tunnistamisen ja allekirjoittamisen ratkaisuja. Samoin on tunnustettu se tosiseikka, että jäsenvaltioiden identiteetinhallinnan järjestelmät ovat olennaisesti keskenään erilaisia. Tämän seurauksena ainoa mahdollisuus luoda rajat ylittävä EU:n laajuinen tunnistamis- ja allekirjoittamisinfrastruktuuri on vastavuoroisen tunnustamisen järjestelmä, joka sallii jäsenmaiden erilaiset tunnistamis- ja allekirjoittamisratkaisut.

Lunastetaanko lupaukset?

On selvää, että edellä kaavaillut mahdollisuudet hyödyntää tunnistamisinfrastruktuuria ja pyrkiä vaikuttamaan EU-tason kehitykseen vaativat toteutuakseen paljon työtä. Asiassa on selvitettävä niin liiketoimintamalleihin, lainsäädäntöön kuin standardointiinkin liittyviä kysymyksiä.

Silti suurin merkitys on sillä, pystytäänkö asiassa tekemään rakentavaa yhteistyötä. Palveluiden käyttäjän näkökulmasta voi vain toivoa, että näköpiirissä olevat lupaukset kyettäisiin lunastamaan!

---

[KIRJOITTAJA]

Kirsi Miettinen on lainsäädäntöneuvos liikenne- ja viestintäministeriön viestintäpalveluyksikössä.

Vahvan sähköisen tunnistamisen toimintamalli >>

Lue myös

Tunnistaminen: Tietokone kortissa »
Tunnistaminen: Toimikorteissa hallinto edellä »
Tunnistaminen: Viestintävirasto valvoo »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.