Tunnistuspalvelun tarjoajat ovat pyytäneet Liikenne- ja viestintävirastolta (Traficom) neuvontaa seuraaviin tilanteisiin.

Samankaltaiset tiedostot
Viestintäviraston tulkintamuistio vahvan ja heikon tunnistuspalvelun

Ohje eidas-asetuksessa tarkoitettujen varmuustasojen soveltamisesta

REKISTERÖINTIOHJE 1 (8) Väestörekisterikeskus Asiakkaat. Rekisteröintiohje

Laki. vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta

REKISTERÖINTIOHJE 1 (8) Väestörekisterikeskus Digitaaliset palvelut. Rekisteröintiohje

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Tunnistus- ja luottamuspalveluiden arviointikertomukset

Tunnistus- ja luottamuspalveluiden arviointikertomukset. Viestintäviraston ohje

Sähköisen tunnistamisen kehittäminen Suomessa

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Päätös. Laki. sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta

Liikenne- ja viestintäministeriö U-JATKOKIRJE LVM VTI Simola Kreetta(LVM) JULKINEN. Eduskunta.

Hakija pyytää kieltämään häneen kohdistuvan syrjinnän sekä asettamaan uhkasakon kiellon tehosteeksi.

Laki. EDUSKUNNAN VASTAUS 42/2013 vp

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Henkilökorttilaki. EV 14/1999 vp - HE 18/1999 vp

Viestintäviraston neuvontaa tunnistuspalveluiden vaatimustenmukaisuuden

eidas tilanne ja vaikutuksia Suomen ratkaisuihin

(Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset) ASETUKSET

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Hakija pyytää kieltämään häneen kohdistuvan syrjinnän ja velvoittamaan pankin maksamaan kohtuullisen korvauksen vaivannäöstä.

Mitä eidas-asetus pitää sisällään ja mitä ei. Anne Lohtander

Viestintäviraston tulkintamuistio kertakirjautumisesta ja eräistä muista kysymyksistä vahvassa sähköisessä tunnistamisessa

HE 74/2016 vp. Lait on tarkoitettu tulemaan voimaan 1 päivänä heinäkuuta 2016.

Lausunto ID (5)

REKISTERÖINTIOHJE 1 (10) Väestörekisterikeskus Digitaaliset palvelut. Rekisteröintiohje

Hakija pyytää kieltämään häneen kohdistuvan syrjinnän sekä asettamaan uhkasakon kiellon tehosteeksi.

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

MPS 7 MÄÄRÄYKSEN 7 PERUSTELUT JA SOVELTAMINEN

Vahvan sähköisen tunnistamisen palvelujen tunnistusperiaatteet

SÄÄDÖSKOKOELMA Julkaistu Helsingissä 19 päivänä elokuuta 2009 N:o Laki. N:o 617

TÄRKEÄ OIKEUDELLINEN HUOMAUTUS

Asiakkaan tunteminen - miksi pankki kysyy?

Määräys. 1 Soveltamisala

REKISTERÖINTIOHJE 1 (10) Väestörekisterikeskus Digitaaliset palvelut. Rekisteröintiohje

Ehdotus NEUVOSTON TÄYTÄNTÖÖNPANOASETUS

eidas, kansallinen sähköisen tunnistamisen luottamusverkosto ja tunnistusmenetelmien varmuustasot Riitta Partala, Väestörekisterikeskus

DNA Mobiilivarmenne, palvelun erityisehdot

Ehdotus. KOMISSION ASETUKSEKSI (EY) N:o /.. annettu [ ]

Laki. EDUSKUNNAN VASTAUS 91/2012 vp

HE 89/2010 vp. Esityksessä ehdotetaan muutettavaksi vakuutusedustuksesta

KUV/12370/48/ VAHVA SÄHKÖINEN TUNNISTAMINEN JA SÄHKÖISET ALLEKIRJOITUKSET

Lennonjohtajan ja lennonjohtajaoppilaan lupakirja

Ns. voimassaolopalvelu (lausunnoissa ehdotettu 7 b )

Euroopan unionin neuvosto Bryssel, 24. marraskuuta 2016 (OR. en)

sähkön alkuperän varmentamisesta ja ilmoittamisesta

LIITTEET. asiakirjaan KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /...

Laki. EDUSKUNNAN VASTAUS 169/2010 vp. Hallituksen esitys laiksi Suomen keskusviranomaisesta

Laki. maataloustuotteiden markkinajärjestelystä annetun lain muuttamisesta

EV 6/2011 vp HE 6/2011 vp. (ETY) N:o 339/93 kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EY) N:o 765/2008.

(ETA:n kannalta merkityksellinen teksti)

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Päästöoikeustilien omistajia ja edustajia koskevat vaatimukset

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Euroopan unionin neuvosto Bryssel, 24. heinäkuuta 2015 (OR. en) Euroopan komission pääsihteerin puolesta Jordi AYET PUIGARNAU, johtaja

FI Moninaisuudessaan yhtenäinen FI A8-0305/4. Tarkistus. Mireille D'Ornano ENF-ryhmän puolesta

Laki. eurooppalaisesta tilivarojen turvaamismääräysmenettelystä. Soveltamisala

Inkeri Lilleberg. Simo Nurmi

Laki. EDUSKUNNAN VASTAUS 194/2013 vp

Varmennekuvaus. Väestörekisterikeskuksen sosiaali- ja terveydenhuollon ammattihenkilöiden tilapäisvarmenne. v. 1.0

Helsinki, 12. marraskuuta 2010 MB/D/29/2010 lopullinen PÄÄTÖS MAKSULLISTEN PALVELUJEN LUOKITTELUSTA. (Hallintoneuvoston päätös)

Luonnos. KOMISSION ASETUKSEKSI (EU) n:o /2010, annettu [ ], yhteisen ilmatilan käyttöä koskevista vaatimuksista ja toimintaohjeista

TELIA MOBIILIVARMENNE- PALVELUN ERITYISEHDOT

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu , (ETA:n kannalta merkityksellinen teksti)

13525/14 tih/sas/vl 1 DG D1C

Käyttötoimikunta Arto Pahkin h valmius NC ERkoodi

Elisalla tarkoitetaan näissä ehdoissa Elisa Oyj:tä (myöhemmin Elisa) sekä sen tytäryhtiötä Saunalahti Group Oyj:tä (myöhemmin Saunalahti).

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

Laki yhdenvertaisuutta koskevan lainsäädännön voimaanpanosta (1347/2014) 6 1 momentti

Varmennekuvaus. Väestörekisterikeskuksen tilapäisvarmenne. v. 1. 4

ENERGIAVIRASTO PÄÄTÖS 18/715/2014

Liikenne- ja viestintävaliokunnalle

Euroopan unionin neuvosto Bryssel, 6. joulukuuta 2016 (OR. en)

Ehdotus NEUVOSTON TÄYTÄNTÖÖNPANOASETUS

ENERGIAVIRASTO PÄÄTÖS 845/715/2014

Sähköisen tunnistuspalvelun arviointiohje. Liikenne- ja viestintäviraston ohje

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

Euroopan unionin neuvosto Bryssel, 1. joulukuuta 2014 (OR. en)

L 92/12 Euroopan unionin virallinen lehti

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

Määräys RADIOLAITTEIDEN VAATIMUSTENMUKAISUUDEN VARMISTAMISES- TA JA MERKITSEMISESTÄ. Annettu Helsingissä 3 päivänä heinäkuuta 2003

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

FI Moninaisuudessaan yhtenäinen FI A8-0386/189. Tarkistus. David Casa, Sven Schulze PPE-ryhmän puolesta

HE 63/2018 vp. Hallituksen esitys eduskunnalle laiksi EU-ympäristömerkistä annetun lain muuttamisesta

PÄÄASIALLINEN SISÄLTÖ

Muoto Selitys Huomautukset numeroa ei huomautuksia

Ehdotus NEUVOSTON DIREKTIIVI

Julkaistu Helsingissä 20 päivänä joulukuuta /2013 Maa- ja metsätalousministeriön asetus

muutos johtuvat Euroopan unionin neuvoston direktiivin muuttamisesta. Ehdotettu laki on tarkoitettu tulemaan voimaan 1 päivänä lokakuuta 1999.

LIIKENNE- JA VIESTINTÄVALIOKUNNAN MIETINTÖ 12/2009 vp

(ETA:n kannalta merkityksellinen teksti)

(Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset) ASETUKSET

Hallituksen esitys eduskunnalle laiksi EU-ympäristömerkistä annetun lain muuttamiseksi

Euroopan unionin neuvosto Bryssel, 22. syyskuuta 2016 (OR. en)

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus NEUVOSTON ASETUS

Päästöoikeustilien omistajia ja edustajia koskevat vaatimukset

HE 21/1996 vp. Hallituksen esitys Eduskunnalle laiksi tieliikennelain 70 ja 108 :n muuttamisesta

Transkriptio:

Muistio 1 (9) 25.3.2019 (korjattu 14.8.2019 editoriaalinen virhe kohdassa 3.1) Dnro: Traficom/106/09.02.00/2019 Liikenne- ja viestintäviraston tulkintamuistio ajokortin käyttämisestä henkilöllisyyden todentamisessa tunnistusvälineen lukkiutuessa tai uusittaessa tunnistusväline tai todentamistekijä 1 Kysymys ja tulkintamuistion tarkoitus Tunnistuspalvelun tarjoajat ovat pyytäneet Liikenne- ja viestintävirastolta (Traficom) neuvontaa seuraaviin tilanteisiin. Kysymykset koskevat tilannetta, jossa tunnistusväline on myönnetty ennen 1.1.2019 ja asiakkaan lukkiutunut tunnistusväline avataan sen jälkeen, kun se on lukkiutunut, tai asiakkaalle myönnetään uusi tunnistusväline tai todentamistekijä sen jälkeen, kun asiakas on esim. kadottanut tunnistusvälineensä tai todentamistekijänsä: - onko näissä eri toimenpiteissä tehtävässä asiakkaan tunnistamisessa kyse tunnistuslaissa tarkoitetusta ensitunnistamisesta - mitä vaatimuksia asiakkaan tunnistamisessa tulisi noudattaa, jos kyse ei ole tunnistuslaissa tarkoitetusta ensitunnistamisesta - voidaanko näissä tilanteissa käyttää ajokorttia asiakkaan tunnistamisessa ottaen huomioon, että se ei ole enää 1.1.2019 lähtien pätevä asiakirja ensitunnistamisessa? Viraston käsityksen mukaan toimialalla on eriäviä käytäntöjä siinä, edellytetäänkö yllä mainituissa tilanteissa tai joissakin niistä henkilökorttia tai passia. Tunnistuslain kannalta arvioon vaikuttavat tässä muistiossa kootut lainkohdat ja varmuustasoasetuksen (EU) 2015/1502 (LoA) vaatimukset. Tämän muistion tarkoituksena on antaa toimijoille ennakoivaa neuvontaa Traficomin tulkinnasta tunnistuslain perusteella. Muistiossa ei ole huomioitu finanssialan sääntelyn mahdollisia vaikutuksia asiaan. 2 Yhteenveto Traficom katsoo, ettei kyseisessä neuvontatapauksessa ole kyse ensitunnistamisesta. Traficom katsoo, että sen varmistaminen, ettei tunnistusväline joudu oikeudettomasti toisen haltuun uusimisen/korvaamisen tai uudelleenaktivoinnin yhteydessä, ei

2 (9) voi perustua pelkkään ajokortin tarkistamiseen. Jos tunnistusvälineen käyttöön tarvittavat (kaikki) osatekijät annetaan henkilölle, henkilöllisyyden varmentamisessa voidaan hyväksyä asiakirjana vain passi tai henkilökortti. Uusimisen/korvaamisen tai uudelleenaktivoinnin menettelyyn voi liittyä myös ajokortin esittäminen, mutta luovutukseen ja muihin toimenpiteisiin tulee liittyä muita kontrolleja, joilla varmistetaan, että tunnistusväline sen käyttöön tarvittavine osatekijöineen voidaan olettaa toimitettavan vain sen henkilön haltuun, jolle se kuuluu, vaikka esitetty ajokortti olisi väärennetty tai varastettu. Suositeltavaa on toki käyttää tällöinkin passia tai henkilökorttia. 3 Säännösarviointi: Onko kyse ensitunnistamisesta? 3.1 Ensitunnistamisen vaatimukset tunnistuslaissa 17 (23.11.2018/1009) Tunnistusvälineen hakijana olevan luonnollisen henkilön tunnistaminen Ensitunnistamisessa luonnollisen henkilön tunnistaminen tulee tehdä henkilökohtaisesti tai sähköisesti siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.1.2 korotetulle tai korkealle varmuustasolle säädetyt vaatimukset täyttyvät. Henkilön henkilöllisyyden varmentaminen voi perustua viranomaisen myöntämään henkilöllisyyttä osoittavaan asiakirjaan tai tässä laissa tarkoitettuun vahvaan sähköiseen tunnistusvälineeseen. Lisäksi henkilöllisyyden varmentaminen voi perustua julkisen tai yksityisen tahon aiemmin muuhun tarkoitukseen kuin vahvan sähköisen tunnistusvälineen myöntämiseen käyttämään menettelyyn, jonka Liikenne- ja viestintävirasto hyväksyy menettelyä koskevien säännösten ja viranomaisvalvonnan perusteella tai 28 :n 1 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitoksen vahvistuksen perusteella. Ensitunnistamisessa, joka perustuu yksinomaan viranomaisen myöntämään henkilöllisyyttä osoittavaan asiakirjaan, hyväksyttäviä asiakirjoja ovat voimassa oleva Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon viranomaisen myöntämä passi tai henkilökortti. Halutessaan tunnistusvälineen tarjoaja voi käyttää henkilöllisyyden varmentamisessa myös muun valtion viranomaisen myöntämää voimassa olevaa passia. [Korjaus 14.8.2019: poistettu tekstinkäsittelyvirheestä johtunut virke, joka ei kuulu lakiviittaukseen.] HE 74/2016: Pykälän 2 momenttia muutettaisiin siten, että silloin kun henkilön ensitunnistamisessa henkilön tunnistaminen perustuu yksinomaan viranomaisen myöntämään henkilöllisyyttä osoittavaan asiakirjaan, tarjoaja ei voisi enää varmentaa henkilön henkilöllisyyttä pelkästään Suomen tai muun Euroopan talousalueen jäsenvaltion viranomaisen myöntämästä ajokortista. Säännökseen liittyisi siirtymäaika vuoden 2018 loppuun. Vuodesta 2019 alkaen tunnistamisvälinettä ei voisi enää myöntää siten, että henkilön henkilöllisyyden varmentamisessa käytetään pelkästään ajokorttia. Käytännön muutos on tarpeellinen sen vuoksi, ettei ajokorttia enää voida pitää todistuksena henkilöllisyydestä, vaan todistuksena ajo-oikeudesta. Siirtymäsäännöksen perustelut: Ehdotetun [siirtymäsäännöksen] 2 momentin mukaan tunnistusvälineen tarjoaja saa käyttää tämän lain 17 :n 2 momentissa tarkoitettua hyväksyttävänä asiakirjana myös Euroopan talousalueen jäsenvaltion viranomaisen 1 päivän lokakuuta 1990 jälkeen myöntämää voimassa olevaa ajokorttia 31 päivään joulukuuta 2018 asti. Henkilön ensitunnistaminen, joka on tehty ajokortin perusteella 31 päivään joulukuuta 2018 mennessä, täyttäisi tämän lain vaatimukset eikä ensitunnistamista tarvitsisi enää varmentaa muilla tavoilla.

3 (9) 3.2 Asian arviointi Tunnistuslain 2 :n mukaan ensitunnistamisella tarkoitetaan tunnistusvälineen hakijan henkilöllisyyden todentamista välineen hankkimisen yhteydessä. HE 74/2016 Pykälän 7 kohdassa määritellyllä ensitunnistamisella tarkoitetaan tunnistusvälineen hakijana olevan luonnollisen henkilön henkilöllisyyden todentamista tai oikeushenkilön oikeushenkilöllisyyden todentamista ennen välineen myöntämistä. Ensitunnistaminen on vahvan sähköisen tunnistamisen luotettavuuden keskeinen peruspilari. Siitä säädetään voimassa olevan lain 17 :ssä. Ensitunnistaminen on tunnistamislain myötä vakiintunut termi. Sen avulla on haluttu erottaa selkeästi tietty tapahtuma myöhemmistä, useita kertoja toistuvista tunnistustapahtumista. Tulkintapyynnössä ei näytä olevan kyse esitöissä tarkoitetusta tilanteesta, jossa välineen hakijan henkilöllisyys todennetaan ennen välineen myöntämistä. Tulkintapyyntö on rajattu tilanteeseen, jossa ei ole hakijaa vaan tunnistusvälineen haltija, jolle tunnistusväline on jo aiemmin myönnetty. Traficom katsoo, ettei kyseisessä neuvontatapauksessa ole kyse ensitunnistamisesta. Voidaan myös todeta, ettei toisaalta ole kyse myöskään tunnistusvälinettä käyttäen tehdyistä tunnistustapahtumista, johon lain esitöistä lainatun kohdan lopussa viitataan. 4 Säännösarviointi: Mitkä vaatimukset soveltuvat, kun kyse ei ole ensitunnistamisesta? Vaikka tulkintapyynnön tilanteessa ei ole kyse ensitunnistamisesta, tästä ei vielä voida päätellä suoraan sitä, mitkä vaatimukset soveltuvat tunnistusvälineen haltijan tunnistamiseen tulkintapyynnössä tarkoitetuissa tilanteissa. 4.1 Varmuustasoasetuksessa ja tunnistuslaissa erotellut tilanteet Varmuustasoasetuksessa ja tunnistuslaissa käsitellään erikseen myöntämistä/luovuttamista ja uusimista/korvaamista. Varmuustasoasetuksessa käsitellään lisäksi uudelleenaktivointia. Uudelleenaktivointia ei säännellä tunnistuslaissa. Tilanteita ei ole tarkasti määritelty, joten tulee arvioitavaksi: - Mikä merkitys on sillä, että korvataan vain osa todentamistekijöistä o Esim. toimitetaan uusi tunnuslukulista kadonneen tilalle - Mikä merkitys on syyllä, josta korvaamistarve johtuu (kadonnut, lukittunut, vanhentunut, jotain muuta) - Mikä merkitys on sillä, että annetaan esimerkiksi konttorissa kaikki tunnistusvälineen käyttöön tarvittavat todentamistekijät henkilön haltuun? - Entä jos toimittamisessa käytetään muita prosesseja kuin henkilökohtaisesti luovuttamista? - Miten luokitellaan tunnuslukusovelluksen (mobiilisovelluksen) käyttöönotto, jos se ei tapahtuisi sähköisesti aiemmin myönnetyn tunnistusvälineen perusteella?

4 (9) Uusimisessa ja korvaamisessa varmuustasoasetuksessa viitataan henkilöllisyyden alkuperäisen todistamisen ja varmentamisen yhteydessä täytettäviä vastaavien vaatimusten täyttymiseen huomioiden riski henkilötietojen muuttumisesta. Myöntämistä, toimittamista ja luovuttamista koskevissa vaatimuksissa edellytetään varmistamaan, ettei väline päädy oikeudettomasti toisen haltuun. 4.2 Tunnistusjärjestelmän ja -menetelmän kokonaisvaatimukset Tunnistuslaki 8 (29.6.2016/533) Sähköisen tunnistamisen järjestelmälle asetettavat vaatimukset Sähköisen tunnistamisen järjestelmän on täytettävä seuraavat vaatimukset: 1) tunnistusmenetelmän perustana on 17 ja 17 a :n mukainen tunnistaminen, 3) tunnistusmenetelmällä voidaan varmistua, että ainoastaan tunnistusvälineen haltija voi käyttää välinettä siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdissa 2.2.1 ja 2.3 vähintään korotetulle varmuustasolle säädetyt edellytykset täyttyvät; 4) tunnistusjärjestelmä on turvallinen ja luotettava siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdissa 2.2.1, 2.3.1 ja 2.4.6 vähintään korotetulle varmuustasolle säädetyt edellytykset täyttyvät ottaen huomioon kulloinkin käytettävissä olevaan tekniikkaan liittyvät tietoturvallisuusuhat --. LoA 2.2.1 Sähköisen tunnistamisen menetelmien ominaispiirteet ja laatiminen Matala: 2. Sähköisen tunnistamisen menetelmä on suunniteltu siten, että myöntäjä toteuttaa kohtuulliset toimenpiteet tarkistaakseen, että sitä käytetään vain sen henkilön hallinnassa tai hallussa, jolle se kuuluu. Soveltamisohje 1 : Kun viitataan toimenpiteisiin, joilla varmistetaan, että sähköisen tunnistamisen menetelmä on henkilön hallinnassa, on syytä huomata, että toimenpiteet voivat olla vain sellaisia, joita myöntäjän voidaan kohtuudella odottaa toteuttavan. Käytännön toteutus on yhteydessä kohdassa [2.2.2] mainittuihin vaatimuksiin. -- Korotettu -- 2. Sähköisen tunnistamisen menetelmä on suunniteltu siten, että sitä voidaan olettaa käytettävän vain, jos se on sen henkilön hallinnassa, jolle se kuuluu. -- 4.3 Luovuttamisen, myöntämisen, toimittamisen ja aktivoinnin vaatimukset Tunnistuslaki 21 (29.6.2016/533) Tunnistusvälineen luovuttaminen hakijalle Tunnistusvälineen tarjoajan on luovutettava tunnistusväline sen hakijalle siten kuin sopimuksessa on sovittu. Tunnistuspalvelun tarjoajan on varmistettava, ettei tunnistusväline joudu oikeudettomasti toisen haltuun välinettä luovutettaessa siten, 1 Jäsenvaltioiden ja komission yhteistyöryhmässä laadittu epävirallinen soveltamissuositus https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/loa_guidance.pdf

5 (9) että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.2.2 vähintään korotetulle varmuustasolle säädetyt vaatimukset täyttyvät. HE 36/2009 s. 59: Tunnistuspalvelun tarjoaja kantaa riskin, joka aiheutuu tunnistusvälineen, mukaan lukien sen käyttöön liittyvät yksilöivät tiedot, lähettämisestä maksajalle. Vastuu siirtyy tunnistusvälineen haltijalle 23 :n 1 momentin mukaan vasta, kun hän on vastaanottanut tunnistusvälineen. Palveluntarjoajalla on näyttövelvollisuus siitä, että tunnistusvälineen haltija on vastaanottanut välineen ja sen käyttöön mahdollisesti liittyvät yksilöivät tiedot LoA 2.2.2 Myöntäminen, toimittaminen ja aktivointi Korotettu: Sähköisen tunnistamisen menetelmän myöntämisen jälkeen se toimitetaan käyttäen mekanismia, jonka kautta se voidaan olettaa toimitettavan vain sen henkilön haltuun, jolle se kuuluu. (Korkea: Aktivointiprosessi varmistaa, että sähköisen tunnistamisen menetelmä on toimitettu vain sen henkilön haltuun, jolle se kuuluu.) Soveltamisohje: Mahdollisia mekanismeja ovat esimerkiksi seuraavat: henkilökohtainen toimitus toimitus kirjattuna kirjeenä sellaisen aktivointimenettelyn käyttö, josta voidaan kohtuudella olettaa, että vain henkilöllä on menetelmän aktivointiin tarvittavat tiedot (esimerkiksi oletus-pin-koodi, joka toimitetaan erillään tunnistamismenetelmästä). Tasolla korotettu on käytettävä useita todentamistekijöitä. Aktivointikoodeja ei välttämättä tarvita. Tason korotettu vaatimukset voidaan täyttää monenlaisilla myöntämis-, toimitus- ja aktivointitapojen yhdistelmillä: Sähköisen tunnistamisen menetelmä voidaan toimittaa postitse ja aktivointi tehdä lähettämällä koodi henkilön pankkitilille. Hakija antaa koodin, jolla sähköisen tunnistamisen menetelmä aktivoidaan. Oletuksena on, että pankin todentaminen on vähintään tasolla korotettu. Sähköisen tunnistamisen menetelmä ja aktivointikoodi toimitetaan erikseen postitse henkilön varmennettuun osoitteeseen. Sähköisen tunnistamisen menetelmä toimitetaan postitse hakijan osoitteeseen. Sähköisen tunnistamisen menetelmä annetaan käyttöön, kun hakijan henkilöllisyys on varmennettu. 4.4 Uusimisen ja korvaamisen vaatimukset Tunnistuslaki 22 (29.6.2016/533) Tunnistusvälineen uusiminen Tunnistusvälineen tarjoaja saa toimittaa tunnistusvälineen haltijalle uuden välineen ilman nimenomaista pyyntöä vain, jos aikaisemmin annettu tunnistusväline on korvattava uudella. Tunnistusvälineen uusimisessa tulee noudattaa sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.2.4 vähintään korotetulle varmuustasolle säädettyjä vaatimuksia.

6 (9) LoA 2.2.4 Uusiminen ja korvaaminen Korotettu: Ottaen huomioon riskit henkilön tunnistetiedoissa tapahtuvista muutoksista uusimisen tai korvaamisen on täytettävä samat varmuusvaatimukset kuin henkilöllisyyden alkuperäisen todistamisen ja varmentamisen yhteydessä tai sen on perustuttava saman tai korkeamman varmuustason voimassa olevaan sähköisen tunnistamisen menetelmään. (Korkea: Edellinen lisättynä seuraavalla: Jos uusiminen tai korvaaminen perustuu voimassa olevaan sähköisen tunnistamisen menetelmään, tunnistetiedot varmennetaan luotettavasta lähteestä.) Traficom katsoo, että varmuustasoasetuksen vaatimuksen viittaus samoihin vaatimuksiin kuin henkilöllisyyden alkuperäisen todistamisen ja varmentamisen vaatimuksiin tarkoittaa erityisesti varmuustasoasetuksen kohtaa 2.1.2; mutta lisäksi sitä voidaan pitää yleisenä vaatimuksena siitä, että aiemmat varmuusvaatimukset täyttyvät uusimisesta/korvaamisesta huolimatta kokonaisuudessaan (kuten LoA 2.2.3 kohta 3 uudelleenaktivoinnin kohdalla). LoA 2.1.2 Henkilöllisyyden todistaminen ja varmentaminen Korotettu: Sama kuin tasolla matala, minkä lisäksi yhden kohdissa 1 4 mainituista vaihtoehdoista on täytyttävä: 1. Henkilöllä on varmennettu olevan hallussaan sen jäsenvaltion hyväksymä todiste ilmoitetusta henkilöllisyydestä, jossa sähköisen tunnistamisen menetelmää haetaan ja todiste on tarkastettu sen varmistamiseksi, että se on aito; tai luotettavasta lähteestä tiedetään sen olevan olemassa ja liittyvän todelliseen henkilöön ja on ryhdytty toimiin sen riskin minimoimiseksi, että henkilön henkilöllisyys ei ole ilmoitettu henkilöllisyys, ml. riski siitä, että todiste on kadonnut tai varastettu tai sen voimassaolo on keskeytetty, peruutettu tai päättynyt tai 2. henkilöllisyystodistus esitetään rekisteröintiprosessin aikana siinä jäsenvaltiossa, jossa todistus on myönnetty, ja todistus näyttää liittyvän sen esittäneeseen henkilöön ja on ryhdytty toimiin sen riskin minimoimiseksi, että henkilön henkilöllisyys ei ole ilmoitettu henkilöllisyys, ml. riski siitä, että todistus on kadonnut tai varastettu tai sen voimassaolo on keskeytetty, peruutettu tai päättynyt; 3. Jos julkisen tai yksityisen tahon samassa jäsenvaltiossa aiemmin muuhun tarkoitukseen kuin sähköisen tunnistamisen menetelmien myöntämiseen käyttämät menettelyt tarjoavat vastaavan varmuuden kuin 2.1.2. kohdassa esitetyt menettelyt varmuustasolla korotettu, rekisteröinnistä vastaavan tahon ei tarvitse toistaa kyseisiä aiempia menettelyjä edellyttäen, että tällaisen vastaavantasoisen varmuuden on vahvistanut Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 (1) 2 artiklan 13 kohdassa tarkoitettu vaatimustenmukaisuuden arviointilaitos tai vastaava elin; tai

7 (9) 4. Jos sähköisen tunnistamisen menetelmiä myönnetään sellaisen voimassa olevan ilmoitetun sähköisen tunnistamisen menetelmän perusteella, jonka varmuustaso on korotettu tai korkea, ja ottaen huomioon riskit henkilön tunnistetiedoissa tapahtuvista muutoksista, henkilöllisyyden todistamis- ja varmentamismenettelyjä ei tarvitse toistaa. Jos perustana olevaa sähköisen tunnistamisen menetelmää ei ole ilmoitettu, varmuustason korotettu tai korkea on oltava asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitoksen tai vastaavan elimen vahvistama. 4.5 Vain LoA: voimassaolon keskeyttäminen, peruuttaminen ja uudelleenaktivointi 4.6 Tulkinta LoA 2.2.3 Voimassaolon keskeyttäminen, peruuttaminen ja uudelleenaktivointi Matala, korotettu, korkea: 2. Käytössä ovat toimenpiteet, joilla estetään voimassaolon luvaton keskeyttäminen, peruuttaminen ja/tai uudelleenaktivointi. 3. Uudelleenaktivoinnin ehtona on, että ennen voimassaolon keskeyttämistä tai peruuttamista asetetut varmuusvaatimukset täyttyvät edelleen. 4.6.1 Vaikutusten arviointia: Tunnistusjärjestelmän luotettavuuden kannalta ajokortin hyväksyminen tulkintapyynnön tilanteissa on kuitenkin selkeästi heikompi ratkaisu. Toisaalta kyse on myös riittävän korkean varmuustason saavuttamisesta riskiperusteisen arvion perusteella sekä myös kaupallisesta riskinotosta: ajokortin hyväksymisestä johtuva virhe voisi johtaa tunnistusvälineen tarjoajan vahingonkorvausvastuuseen. Monet tunnistuspalveluntarjoajat toivat luottamusverkoston yhteistoimintaryhmässä esille vaikutukset käytännön asiointiprosesseihin erityisesti, jos ylläpitotilanteet edellyttäisivät aina henkilökohtaista (paikan päällä tapahtuvaa) tunnistamista. Toisaalta yksi toimija toi esille, että tunnistusvälineen notifiointikelpoisuus edellyttäisi myös LoA 2.2.3 täyttymistä. 4.6.2 Tulkinta Traficom katsoo, etteivät tunnistuslain esityöt suoraan tue sellaista tulkintaa, että henkilökorttia tai passia olisi edellytettävä kaikissa tilanteissa ennen 1.1.2019 myönnettyjen tunnistusvälineiden osalta. HE:n mukaan vuodesta 2019 alkaen tunnistamisvälinettä ei voisi enää myöntää siten, että henkilön henkilöllisyyden varmentamisessa käytetään pelkästään ajokorttia; henkilön ensitunnistaminen, joka on tehty ajokortin perusteella 31. päivään joulukuuta 2018 mennessä, täyttäisi lain vaatimukset eikä ensitunnistamista tarvitsisi enää varmentaa muilla tavoilla. 4.7 Mitkä vaatimukset soveltuvat? Miten tilanne on jäsennettävä? LoA soveltamissuosituksessa ei ole tarkempia soveltamisohjeita uusimisesta/korvaamisesta tai uudelleenaktivoinnista. Uusimisella/korvaamisella tarkoitettaneen myös sitä tulkintapyynnön kohteena olevaa tilannetta, jossa on tarpeen korvata todentamistekijöitä kokonaan tai osittain uusilla.

8 (9) Uudelleenaktivointia koskevaa varmuustasoasetuksen vaatimusta ei tunnistuslain nojalla suoraan sovelleta, koska siihen ei viitata laissa. Kyse voi terminologisesti olla uudelleenaktivoinnista, jos lukittunut avainlukulista avataan uudestaan käyttöön tai mobiilivarmenteen PIN-koodi resetoidaan. Tilanteiden tarkalla luokittelulla ei kuitenkaan välttämättä ole ratkaisevaa merkitystä soveltuvien vaatimusten yksilöimiseksi. Kuten yllä todettiin varmuustasoasetuksen kohtaa 2.2.4 käsiteltäessä, varmuustasoasetuksen yleisenä vaatimuksena voidaan pitää siitä, että aiemmat varmuusvaatimukset täyttyvät uusimisesta/korvaamisesta huolimatta kokonaisuudessaan edelleen. Tunnistuslain 8 :ssä säädetään yleisiä vaatimuksia koko tunnistusjärjestelmälle, mm.: 3) tunnistusmenetelmällä voidaan varmistua, että ainoastaan tunnistusvälineen haltija voi käyttää välinettä siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdissa 2.2.1 ja 2.3 vähintään korotetulle varmuustasolle säädetyt edellytykset täyttyvät Tunnistusmenetelmän tarjoajan tulee toteuttaa kohtuulliset toimenpiteet tarkistaakseen, että sitä käytetään vain sen henkilön hallinnassa tai hallussa, jolle se kuuluu. Lisäksi LoA 2.2.3 edellyttää erityisesti toimenpiteitä luvattoman uudelleenaktivoinnin estämiseksi. TunnL 8 :n ja LoA 2.2.1 mukainen vaatimus varmistaa, että ainoastaan tunnistusvälineen haltija voi käyttää välinettä, liittyy myös luovuttamisen osalta 21 :ssä erikseen säädettyyn vaatimukseen, jonka mukaan tunnistuspalvelun tarjoajan on varmistettava, ettei tunnistusväline joudu oikeudettomasti toisen haltuun välinettä luovutettaessa Vaatimuksen tulee toteutua myös kaikissa tilanteissa, joissa osa tai kaikki todentamistekijät tai aktivointikoodit luovutetaan uudelleen uusimisen/korvaamisen tai uudelleenaktivoinnin yhteydessä. Yleisenä vaatimuksena on myös, että tunnistusmenetelmän perustana tulee olla 17 :n mukainen tunnistaminen (8.1 :n 1 kohta). Tämä perusta ei saa vaarantua myöskään uusimisen/korvaamisen tai uudelleenaktivoinnin takia. Keskeistä siis on, että aiemmin edellytetyt ja täytetyt varmuusvaatimukset täyttyvät kokonaisuutena uusimisesta, korvaamisesta tai uudelleenaktivoinnista huolimatta. 4.8 Tunnistamisessa käytettävät asiakirjat Kun soveltuvat vaatimukset on yllä selvitetty, voidaan arvioida varsinaista tulkintakysymystä, eli mitä vaatimukset merkitsevät henkilön tunnistamisessa käytettävien asiakirjojen kannalta.

9 (9) Kun 17 :n mukaan hyväksyttäviä asiakirjoja koskevan siirtymäaika on päättynyt 31.12.2018 ja eikä henkilöllisyyttä voida ensitunnistamisen yhteydessä tarkistaa enää ajokortista, voiko ajokortti kuitenkin edelleen olla hyväksyttävä kontrolli uusimisen/korvaamisen tai uudelleenaktivoinnin kohdalla? Jos tunnistusmenetelmä/tunnistusväline (kaikki sen käyttöön tarvittavat tekijät) annetaan henkilöllisyystodistuksen esittämiseen perustuvan henkilöllisyyden varmentamisen perusteella käyttöön, ei ajokorttia voida pitää hyväksyttävänä asiakirjana edes niiden tunnistusvälineiden osalta, jotka on alun perin voitu myöntää ajokortin perusteella. Tältä osin on siis katsottava, että LoA vaatimuksessa 2.1.2 tarkoitettu henkilöllisyystodistus määräytyy 17 :n ja sitä koskevan siirtymäsäännöksen nojalla niin, että ajokortti ei enää ole hyväksyttävä asiakirja henkilöllisyyden varmentamiseen. Eli henkilön oikeutta saada tunnistusväline käyttöönsä ei voi varmistaa pelkästään ajokortin esittämisen perusteella. Kaikkia tunnistamistekijöitä ei voida luovuttaa pelkän ajokortin perusteella. Vaatimus, että tunnistusväline päätyy uusimisen/korvaamisen tai uudelleenaktivoinnin yhteydessä vain sen henkilön haltuun, jolle kuuluu, voidaan kuitenkin toteuttaa kokonaisuutena erilaisilla henkilöllisyyden toteamiseen, välineen toimittamiseen ja aktivointiin liittyvien kontrollien yhdistelmillä, mihin voi liittyä osana ajokortin esittäminen. Osana kokonaisarviointia muu huomioon otettava kontrolli voi olla esimerkiksi kadonneen tunnistamistekijän toimittaminen tunnistusvälineen haltijan aikaisemmin varmennettuun postiosoitteeseen.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute