eIDAS-sääntely ja rajat ylittävä tunnistaminen

Tässä ohjeessa annetaan vastauksia usein kysyttyihin kysymyksiin liittyen eIDAS-sääntelyyn ja sen tulkintaan rajat ylittävästä tunnistamisessa.

Onko olemassa valtiohallinnon tasoista yhteistä linjausta tai tulkintaa eIDAS-asetuksen rajat ylittävän tunnistamisen vastavuoroisuudesta?

eIDAS-asetus velvoittaa jokaista julkisen sektorin toimijaa huolehtimaan, että se noudattaa asetuksen vaatimuksia ja hyväksyy EU-kansalaisen asioimaan eIDAS-asetuksen mukaisesti notifioidulla tunnistusvälineellä.

Valtionhallinnossa ei ole tehty yhteistä linjausta tai tulkintaa siitä, missä tilanteissa ja miten eIDAS-asetuksen tunnistusvelvoitteita sovelletaan julkishallinnon sähköisissä asiointipalveluissa.

Minkään tahon tehtäväksi ei ole asetettu yhteisten linjausten tekemistä. Digi- ja väestötietovirasto tuottaa eIDAS-asetuksen mukaista kansallista solmupistettä, mutta sen tehtäviin ei kuulu eIDAS-asetuksen tulkinta tai valvonta. Myöskään Liikenne- ja viestintävirasto Traficomin toimivaltaan ei kuulu valvoa tai tulkita eIDAS-asetusta siltä osin, mihin se viranomaisia velvoittaa sähköisen asioinnin tarjoamisessa.

Koska keskitettyä tahoa ei ole, täytyy jokaisen viranomaisen itse arvioida, mitä asetus siltä edellyttää. Tässä artikkelissa pyritään antamaan neuvontaa arvion tekemiseksi.

Milloin eIDAS-asetus velvoittaa organisaation hyväksymään toisessa EU-jäsenvaltiossa myönnetyn tunnistusvälineen?

eIDAS-asetuksen 6 artiklassa säädetään edellytyksistä vastavuoroiseen tunnistamiseen. Artiklan mukaan vastavuoroinen tunnistaminen koskee ainoastaan niitä menetelmiä, joiden tunnistamisen varmuustaso on korotettu tai korkea ja kyseessä on julkisen sektorin elimen verkkopalvelu. Korotettua tasoa matalammat varmuustasot eivät siten ole eIDAS-asetuksen velvoittavuuden piirissä.

Mikäli julkisen sektorin toimijan asiointipalveluun tunnistautuminen siis vaatii vahvaa sähköistä tunnistamista, lähtökohtaisesti kyseisen asiointipalvelun pitänee hyväksyä myös eIDAS-asetuksen mukaiset vastavuoroisesti tunnustettavat tunnistusvälineet.

Suomen omassa kansallisessa vahvan sähköisen tunnistamisen sääntelyssä eli tunnistuslaissa vaatimukset vastaavat eIDAS-sääntelyn korotetun ja korkean varmuustason vaatimuksia.

Suomi.fi-tunnistuksessa voi käyttää mobiilivarmenteita ja pankkitunnistusta, joiden Liikenne- ja viestintävirasto Traficom arvioi tunnistuslain perusteella vastaavan eIDAS-asetuksen korotettua varmuustasoa. Tunnistuksessa voi myös käyttää DVV:n tunnistusvarmenteita (henkilökorttia tai organisaatiokorttia), joiden Liikenne- ja viestintävirasto arvioi vastaavan eIDAS-asetuksen korkeaa varmuustasoa. Suomessa arvioidut ja hyväksytyt tunnistusvälineet löytyvät Liikenne- ja viestintäviraston rekisteristä.

Kun organisaatio ottaa Suomi.fi-tunnistuksen käyttöön, arvioi se jo silloin asiointipalvelunsa edellyttävän vahvaa sähköistä tunnistamista. Mikäli organisaation tarjoaman verkkopalvelun käyttö edellyttää Suomi.fi-tunnistuksen käyttöä, 6 artiklan mukaiset edellytykset näyttäisivät täyttyvän, ja asiointipalvelun tulisi hyväksyä myös eIDAS-tunnistusvälineet.

Organisaatiot voivat tulkita asiointipalveluun liittyvää vastavuoroisen tunnistamisen velvoitetta asetuksen 6 artiklan kautta:
1. Kun julkisen sektorin elimen yhdessä jäsenvaltiossa tarjoaman verkkopalvelun käyttö edellyttää kansallisen oikeuden nojalla tai kansallisessa hallinnollisessa käytännössä sähköistä tunnistamista sähköisen tunnistamisen menetelmän ja todentamisen avulla, toisessa jäsenvaltiossa myönnetyt verkkopalvelujen käyttöön tarvittavat sähköisen tunnistamisen menetelmät on tunnustettava ensimmäisessä jäsenvaltiossa kyseisen verkkopalvelun osalta rajat ylittävää todentamista varten edellyttäen, että seuraavat ehdot täyttyvät:

a) sähköisen tunnistamisen menetelmä on myönnetty komission 9 artiklan mukaisesti julkaisemaan luetteloon sisältyvän sähköisen tunnistamisen järjestelmän puitteissa;

b) sähköisen tunnistamisen menetelmän varmuustaso vastaa varmuustasoa, joka on yhtä korkea tai korkeampi kuin asianomaisen julkisen sektorin elimen edellyttämä varmuustaso kyseiseen verkkopalveluun pääsemiseksi ensimmäisessä jäsenvaltiossa, edellyttäen, että kyseisen sähköisen tunnistamisen menetelmän varmuustaso vastaa korotettua tai korkeaa varmuustasoa;

c) asianomainen julkisen sektorin elin soveltaa korotettua tai korkeaa varmuustasoa kyseisen verkkopalvelun käytön osalta.

Pääsääntöisesti sellainen julkisen sektorin palvelu, jossa käytetään korotetun tai korkean tason sähköistä tunnistusta (Suomi.fi-tunnistus), kuuluu asetuksen soveltamisalan piiriin. Tämä kannattaa huomioida, kun organisaatio arvioi eIDAS-asetuksen vastavuoroisen tunnistamisen velvoittavuutta.

Velvoittaako eIDAS-asetus tarjoamaan palvelut sähköisesti myös ulkomaalaisille?

eIDAS-asetus sääntelee ehtoja sille, mitkä sähköisen tunnistamisen menetelmät on tunnustettava ja miten sähköisen tunnistamisen järjestelmät on ilmoitettava. Näiden ehtojen avulla jäsenvaltioiden on helpompi rakentaa tarvittavaa luottamusta toistensa sähköisen tunnistamisen järjestelmiin ja tunnustaa vastavuoroisesti muiden jäsenmaiden sähköisen tunnistamisen menetelmät.

Asetus ei kuitenkaan sääntele itse sähköisen palvelun tarjoamista asiointipalveluissa. Itse substanssipalvelun tarjoaminen ei kuulu eIDAS-asetuksen vaatimusten piiriin. Vastavuoroisen tunnustamisen periaate koskee ainoastaan verkkopalveluun liittyvää asiakkaan henkilöllisyyden todentamista. Kuitenkin verkkopalveluihin pääsy ja niiden lopputarjonta käyttäjälle on tiiviisti sidoksissa kansallisessa lainsäädännössä säädettyihin ehtoihin, jotka koskevat oikeutta saada hyödyntää kyseisiä palveluja.

Siihen, missä määrin verkkopalvelussa pitää saada asiansa oikeasti hoidetuksi ulkomaisella eIDAS-tunnistuksella tunnistautuneena, vaikuttaa eIDAS-asetuksen ja tunnistamisen lisäksi palvelua koskeva kansallinen ja mahdollisesti muu EU-säädäntö. Tämä tunnistamisen "tunnustamisen" ja itse verkkopalvelun rajanveto voi olla tulkinnanvarainen.

Pääsääntöisesti palvelun tarjoamisen vaatimukset säädetään kansallisesti. Vaikka kansallinen laki ei edellyttäisi tai mahdollistaisi sähköisen palvelun tarjoamista toisen jäsenvaltion asukkaille tai kansalaisille, hallintolain mukainen hyvä hallintotapa edellyttää tarjoamaan heillekin vähintään neuvontaa.

Unionin tasolla EU:n kansalaisten ja asukkaiden sekä yritysten pääsyä jäsenvaltioiden sähköisten palvelujen tietoihin edistetään yhteisellä digitaalisella palveluväylällä. Neuvosto hyväksyi 27. syyskuuta 2018 asetuksen yhteisen digitaalisen palveluväylän perustamisesta (Single digital gateway). Uusi väylä mahdollistaa henkilöiden ja yritysten pääsyn verkossa oleviin tietoihin ja menettelyihin sekä neuvonta- ja ongelmanratkaisupalveluihin. Palveluväylä tulee sisältämään yhteisen käyttöliittymän ”Sinun Eurooppasi”, jonka kautta EU-kansalaiset voivat saada tietoja eri jäsenmaista. Palveluväylän yhtenä perusperiaatteena on, että jos menettely on kansalaisen käytettävissä yhdessä jäsenmaassa, myös muiden jäsenmaiden kansalaisten olisi voitava käyttää sitä.

Vaikka eIDAS-asetus säänteleekin lähtökohtaisesti muiden jäsenvaltioiden kansalaisten tunnistamista eikä sähköisten palvelujen tarjoamista, julkisen sektorin organisaatioiden on suositeltavaa huomioida eurooppalaisten sähköinen asiointi palveluissaan laajemminkin. Tämä on tehtävä mahdollisuuksien mukaan sekä kansallisen lainsäädännön rajoissa.

Mikä viranomainen valvoo eIDAS-asetuksen noudattamista?

eIDAS-asetuksen noudattamista ei valtionhallinnossa valvo mikään viranomainen vastavuoroisen tunnustamisen osalta. Jokaisen organisaation on itse huolehdittava velvoitteistaan asetukseen nähden ja mahdollistettava eIDAS-tunnisteilla tunnistautuminen asiointipalveluissaan, mikäli asetus näin säätää.

Digi- ja väestötietoviraston tehtävänä on ylläpitää eIDAS-asetuksen mukaista kansallista solmupistettä, jonka kautta välitetään eIDAS-tunnistusvälineellä tunnistautuvat ulkomaan kansalaiset Suomi.fi-tunnistukseen. Digi- ja väestötietovirasto ei kuitenkaan valvo asetuksen noudattamista. Virasto ainoastaan tarjoaa eIDAS-tunnisteet organisaatioiden asiointipalveluihin Suomi.fi-tunnistuksen kautta.

Liikenne- ja viestintävirasto Traficom edustaa tunnistuslain mukaan Suomea eIDAS-asetuksen 12 artiklan mukaisessa jäsenvaltioiden yhteistyöverkostossa. Verkostossa organisoidaan EU:lle ilmoitettujen tunnistusjärjestelmien vertaisarvioinnit. Liikenne- ja viestintäviraston tehtävät koskevat sähköisten tunnistusjärjestelmien vaatimustenmukaisuutta, eivät siis julkisen sektorin sähköisten asiointipalveluiden tarjoamista.

Mitkä organisaatiot voivat hyödyntää DVV:n tuottamaa solmupistettä?

Koska solmupistettä tuotetaan Suomi.fi-tunnistuksen kautta, solmupistettä voivat hyödyntää kaikki ne organisaatiot, joilla on oikeus käyttää Suomi.fi-tunnistusta asiointipalveluissaan. Koska Suomi.fi-tunnistuksen käyttö on lailla rajoitettu pääsääntöisesti julkisen sektorin asiointipalveluihin, ei yksityinen sektori voi solmupistettä hyödyntää.

Se, että kansallinen solmupiste palvelee vain julkista sektoria, täyttää eIDAS-asetuksen vaatimukset. Asetuksen yksi tavoitteista on poistaa esteet tunnistusmenetelmien vastavuoroiselle tunnustamiselle julkisissa palveluissa.

Asetus kuitenkin mahdollistaa tunnistusvälineiden vastavuoroisen tunnustamisen myös yksityisen sektorin sähköisissä asiointipalveluissa. Se myös velvoittaa jäsenvaltioita kannustamaan yksityistä sektoria käyttämään vapaaehtoisesti eIDAS-asetuksen mukaisia tunnistusvälineitä verkkopalveluissaan. Mikäli jäsenvaltio mahdollistaisi kansallisen solmupisteen hyödyntämisen yksityisille toimijoille samoin kuin julkiselle sektorille, olisi oltava kyky teknisesti erotella julkinen ja yksityinen sektori toisistaan.

Tunnistuslaissa säädetään solmupisteen ylläpito Digi- ja väestötietoviraston tehtäväksi (30 § ja 42 c §).

Asiaan liittyvät oleelliset säädökset:
eIDAS, johdantokappaleet

12) Yksi tämän asetuksen tavoitteista on poistaa nykyiset esteet, jotka haittaavat jäsenvaltioiden ainakin julkisissa palveluissa todentamiseen käyttämien sähköisen tunnistamisen menetelmien käyttöä yli rajojen. Tällä asetuksella ei pyritä puuttumaan jäsenvaltioissa käytettäviin sähköisen identiteetin hallintajärjestelmiin ja niihin liittyviin infrastruktuureihin. Tämän asetuksen tarkoituksena on varmistaa, että jäsenvaltioiden tarjoamia rajat ylittäviä verkkopalveluja varten on käytössä turvallisia sähköisen tunnistamisen ja todentamisen menetelmiä.

13) Jäsenvaltioiden olisi edelleen voitava vapaasti käyttää ja ottaa käyttöön verkkopalvelujen edellyttämiä sähköisen tunnistamisen menetelmiä. Niiden olisi myös voitava päättää, ottavatko ne yksityisen sektorin mukaan näiden menetelmien tarjoamiseen. Jäsenvaltioita ei olisi velvoitettava ilmoittamaan sähköisen tunnistamisen järjestelmiään komissiolle. Jäsenvaltiot voivat päättää, ilmoittavatko ne komissiolle kaikki kansallisella tasolla käytetyt sähköisen tunnistamisen järjestelmät, joita tarvitaan ainakin julkisten verkkopalvelujen tai tiettyjen palvelujen käyttöön, vai ilmoittavatko ne vain jotkin tällaiset järjestelmät tai ei mitään niistä.

15) Velvoitteen tunnustaa sähköisen tunnistamisen menetelmät olisi koskettava ainoastaan niitä menetelmiä, joiden tunnistamisen varmuustaso on yhtä korkea tai korkeampi kuin kyseiseltä verkkopalvelulta edellytettävä taso. Lisäksi tätä velvoitetta olisi sovellettava vain, kun kyseessä oleva julkisen sektorin elin käyttää varmuustasoa ”korotettu” tai ”korkea” kyseisen verkkopalvelun käytön osalta. Jäsenvaltioiden olisi unionin oikeuden mukaisesti voitava vapaasti tunnustaa sähköisen tunnistamisen menetelmät, joiden tunnistamisen varmuustasot ovat matalammat.

17) Jäsenvaltioiden olisi kannustettava yksityistä sektoria käyttämään vapaaehtoisesti ilmoitetun järjestelmän piiriin kuuluvia sähköisen tunnistamisen menetelmiä tunnistamistarkoituksiin, kun se on tarpeen verkkopalveluissa tai sähköisissä transaktioissa. Tällaisten sähköisen tunnistamisen menetelmien käyttömahdollisuuden ansiosta yksityinen sektori voisi luottaa monissa jäsenvaltioissa ainakin julkisissa palveluissa jo laajasti käytettyihin sähköisen tunnistamisen ja todentamisen tapoihin, jolloin yritysten ja kansalaisten olisi helpompi käyttää niiden verkkopalveluja rajojen yli. Jotta yksityisen sektorin olisi helpompi käyttää tällaisia sähköisen tunnistamisen menetelmiä rajojen yli, minkä tahansa jäsenvaltion tarjoaman todentamismahdollisuuden olisi oltava kyseisen jäsenvaltion alueen ulkopuolelle sijoittautuneiden yksityisen sektorin luottavien osapuolten käytettävissä samoin edellytyksin, joita sovelletaan kyseisen jäsenvaltion alueelle sijoittautuneisiin yksityisen sektorin luottaviin osapuoliin. Näin ollen ilmoittava jäsenvaltio voi määritellä yksityisen sektorin luottavien osapuolten osalta todentamismenetelmän käyttöehdot. Tällaisiin käyttöehtoihin voi sisältyä tieto siitä, onko ilmoitettuun järjestelmään liittyvä todentamismenetelmä parhaillaan yksityisen sektorin luottavien osapuolten käytettävissä.

eIDAS

6 artikla: Vastavuoroinen tunnustaminen

1. Kun julkisen sektorin elimen yhdessä jäsenvaltiossa tarjoaman verkkopalvelun käyttö edellyttää kansallisen oikeuden nojalla tai kansallisessa hallinnollisessa käytännössä sähköistä tunnistamista sähköisen tunnistamisen menetelmän ja todentamisen avulla, toisessa jäsenvaltiossa myönnetyt verkkopalvelujen käyttöön tarvittavat sähköisen tunnistamisen menetelmät on tunnustettava ensimmäisessä jäsenvaltiossa kyseisen verkkopalvelun osalta rajat ylittävää todentamista varten edellyttäen, että seuraavat ehdot täyttyvät:

12 artikla: Yhteistyö ja yhteentoimivuus

1. Edellä olevan 9 artiklan 1 kohdan nojalla ilmoitettujen kansallisten sähköisen tunnistamisen järjestelmien on oltava yhteentoimivia.

2. Edellä olevan 1 kohdan soveltamiseksi perustetaan yhteentoimivuusjärjestelmä.

3. Yhteentoimivuusjärjestelmän on täytettävä seuraavat kriteerit:

...

7. Komissio vahvistaa viimeistään 18 päivänä maaliskuuta 2015 täytäntöönpanosäädöksin tarvittavat menettelyä koskevat järjestelyt 5 ja 6 kohdassa tarkoitetun jäsenvaltioiden yhteistyön helpottamiseksi edistääkseen luottamuksen ja tietoturvan korkeaa tasoa, joka on oikeassa suhteessa riskin suuruuteen.

8. Komissio antaa 3 kohdan edellytysten mukaisesti ja ottaen huomioon jäsenvaltioiden välisen yhteistyön tulokset viimeistään 18 päivänä syyskuuta 2015 4 kohdassa säädettyä yhteentoimivuusjärjestelmää koskevat täytäntöönpanosäädökset yhdenmukaisten edellytysten asettamiseksi 1 kohdan mukaisen vaatimuksen täytäntöönpanolle.

Komission täytäntöönpanopäätös (EU) 2015/1501

5 artikla: Solmupisteet

2.Solmupisteiden on voitava teknisin keinoin erottaa toisistaan julkisen sektorin elimet ja muut luottavat osapuolet.

8 artikla: Viestinnän sanomamuoto

Solmupisteiden on käytettävä syntaksissa standardeihin perustuvia yhteisiä sanomamuotoja, joita on jo käytetty useammin kuin kerran jäsenvaltioiden välillä ja joiden on todettu toimivan operatiivisessa käytössä. Syntaksin on mahdollistettava

c) eron tekeminen julkisen sektorin elinten ja muiden luottavien osapuolten välillä;

Miten organisaatio voi ottaa eIDAS-tunnistuksen käyttöön asiointipalvelussa?

Suomi.fi-tunnistusta käyttävien organisaatioiden ei tarvitse välttämättä tehdä mitään saadakseen eIDAS-tunnistuksen käyttöönsä. Uudet maat tulevat näkyviin tunnistautumisvaihtoehdoiksi sitä mukaan, kun niitä lisätään Suomi.fi-tunnistukseen.