Ns. voimassaolopalvelu (lausunnoissa ehdotettu 7 b )

Samankaltaiset tiedostot
VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Viestintäviraston määräysluonnoksen 72/2016 M vaikutusarviointi

Viestintäviraston tulkintamuistio vahvan ja heikon tunnistuspalvelun

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Liikenne- ja viestintäministeriö U-JATKOKIRJE LVM VTI Simola Kreetta(LVM) JULKINEN. Eduskunta.

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

Tunnistus- ja luottamuspalveluiden arviointikertomukset

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Tunnistus- ja luottamuspalveluiden arviointikertomukset. Viestintäviraston ohje

Sähköisen tunnistamisen kehittäminen Suomessa

HE 135/2018 vp. Hallituksen esitys eduskunnalle laiksi Ahvenanmaan itsehallintolain 30 :n muuttamisesta

eidas, kansallinen sähköisen tunnistamisen luottamusverkosto ja tunnistusmenetelmien varmuustasot Riitta Partala, Väestörekisterikeskus

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Viestintäviraston neuvontaa tunnistuspalveluiden vaatimustenmukaisuuden

HE 14/2015 vp. Hallituksen esitys eduskunnalle laeiksi ajoneuvoliikennerekisteristä annetun lain 15 :n ja tieliikennelain 105 b :n muuttamisesta

7 Poliisin henkilötietolaki 50

Kestävyyslain mukainen todentaminen

Määräyksen 72 perustelut ja soveltaminen. Sähköiset tunnistus- ja luottamuspalvelut

Määräyksen 72 perustelut ja soveltaminen. Sähköiset tunnistus- ja luottamuspalvelut

Laki. vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta

Laki. EDUSKUNNAN VASTAUS 59/2011 vp

HE 27/2006 vp. Ehdotetuin säännöksin pantaisiin täytäntöön

HE 87/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

HE 89/2010 vp. Esityksessä ehdotetaan muutettavaksi vakuutusedustuksesta

FA EHDOTTAA, ETTÄ LAKIESITYKSESTÄ LUOVUTAAN

Määräyksen 72 perustelut ja soveltaminen. Sähköinen tunnistaminen ja sähköiset luottamuspalvelut

PÄÄASIALLINEN SISÄLTÖ

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EU) N:o.../... annettu [ ] päivänä [ ]kuuta [ ],

EV 6/2011 vp HE 6/2011 vp. (ETY) N:o 339/93 kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EY) N:o 765/2008.

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

Standardi RA1.6. Ilmoitus toiminnan ulkoistamisesta. Määräykset ja ohjeet

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Lausunto. Eläketurvakeskus pitää esitystä muilta osin tarpeellisena, mutta tukipalvelujen muuttamista maksullisiksi Eläketurvakeskus ei kannata.

LAUSUNTO HALLITUKSEN ESITYKSESTÄ EDUSKUNNALLE LAEIKSI AMPUMA- ASELAIN, RIKOSLAIN 41 LUVUN 1 :N JA POLIISILAIN 2 LUVUN 6 :N MUUTTAMISESTA

HE 160/2005 vp. Esityksessä ehdotetaan muutettavaksi pelastuslakia

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Hallituksen esitysluonnos tieliikennelaiksi ja eräiksi siihen liittyviksi laeiksi

Riippumattomat arviointilaitokset

Lausunto ID (5)

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

HE 35/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Hallituksen esitys eduskunnalle painelaitelaiksi. HE 117/2016 vp.

1993 vp - HE Esityksen mukaan ympäristölle

YMPÄRISTÖMINISTERIÖ Muistio Luonnos EHDOTUS VALTIONEUVOSTON ASETUKSEKSI YMPÄRISTÖVAIKUTUSTEN ARVI- OINTIMENETTELYSTÄ

PÄÄASIALLINEN SISÄLTÖ

HE 23/2003 vp. 2. Ehdotetut muutokset

Mitä eidas-asetus pitää sisällään ja mitä ei. Anne Lohtander

1994 ~ - HE 113 ESITYKSEN PÄÄASIALLINEN SISÄLTÖ YLEISPERUSTELUT

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

1994 vp - HE 28 ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

Päätös. Laki. sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

Hallituksen esitys eduskunnalle laiksi EU-ympäristömerkistä annetun lain muuttamiseksi

Määräys sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

PÄÄASIALLINEN SISÄLTÖ

HE 103/2016 laki Euroopan unionin yhteisen kalastuspolitiikan kansallisesta täytäntöönpanosta (YKP-laki)

Todentaminen biopolttoaineista ja bionesteistä annetun lain mukaan

HE 172/2013 vp. on selkiyttää valtion eläkerahastoa koskevaa sääntelyä ja valtion eläketurvan rahoitusta koskevaa valmistelua valtioneuvostossa.

EUROOPAN UNIONI EUROOPAN PARLAMENTTI

HE 47/2018 vp. Hallituksen esitys eduskunnalle laiksi Energiavirastosta annetun lain 1 :n muuttamisesta

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Laki. julkisen hallinnon yhteispalvelusta annetun lain muuttamisesta

FI Moninaisuudessaan yhtenäinen FI A8-0305/4. Tarkistus. Mireille D'Ornano ENF-ryhmän puolesta

LIITE EASAn LAUSUNTOON 06/2012. KOMISSION ASETUS (EU) N:o.../..

Laki. verkkoinfrastruktuurin yhteisrakentamisesta ja -käytöstä annetun lain muuttamisesta

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

HE 17/2011 vp. täytäntöönpanokelpoisiksi säädetyt yhdenmukaistamisviraston

(ETA:n kannalta merkityksellinen teksti)

Telia Tunnistus - Palvelukuvaus

liikenne säännöistä. Laki on tarkoitettu tulemaan voimaan mahdollisimman pian sen jälkeen, kun se on hyväksytty ja vahvistettu.

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus: EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

HAK: Hätäkeskuslaitoksen lausunto sisäministeriölle pelastuslakiluonnoksesta. Hätäkeskuslaitos lausuu asiassa seuraavaa.

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus NEUVOSTON ASETUS

Eduskunnan talousvaliokunnalle HE 143/2017 vp. valtiovarainministeriön huomiot asiantuntijakuulemisesta

1.1. Nykyinen tilanne vp - HE 190

PÄÄASIALLINEN SISÄLTÖ

OIKEUSMINISTERIÖ LUONNOS HALLITUKSEN ESITYKSEKSI VAHVASTA SÄHKÖISESTÄ TUNNISTAMISESTA JA SÄHKÖISISTÄ ALLEKIRJOITUKSISTA ANNETUN LAIN MUUTTAMISESTA

HE 91/2016 vp. Lait on tarkoitettu tulemaan voimaan mahdollisimman pian.

HE 51/2002 vp. Esityksessä ehdotetaan muutettavaksi ympäristönsuojelulakia,

1993 vp - HE 78 ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

HE 69/2009 vp. säätää neuvontatehtävien hoidosta aiheutuvien kustannusten korvaamisesta maakunnalle.

HE 79/2008 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

HE 63/2018 vp. Hallituksen esitys eduskunnalle laiksi EU-ympäristömerkistä annetun lain muuttamisesta

Määräys sähköisistä tunnistus- ja luottamuspalveluista

HE 74/2016 vp. Lait on tarkoitettu tulemaan voimaan 1 päivänä heinäkuuta 2016.

Tunnistusmääräyksen 72A Tupas-muutos. 2. kuulemistilaisuus

Laki. EDUSKUNNAN VASTAUS 129/2013 vp. Hallituksen esitys eduskunnalle laeiksi puutavaran. puutavaran ja puutuotteiden markkinoille saattamisesta

1. Nykytila. julkisuutta koskevalla lailla. Laki on tarkoitettu tulemaan voimaan samanaikaisesti. kuin laki viranomaisten toiminnan

JUHTA asetus ja asettaminen. JUHTA Sami Kivivasara, VM JulkICT

Liikenne- ja viestintävaliokunnalle

Ehdotus NEUVOSTON DIREKTIIVI

EHDOTUS VALTIONEUVOSTON ASETUKSEKSI YMPÄRISTÖVAIKUTUSTEN ARVI- OINTIMENETTELYSTÄ

PÄÄASIALLINEN SISÄLTÖ

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Transkriptio:

Lausunto 1(8) Tieto-osasto / Turvallisuusyksikkö Kreetta Simola p. 050 5687155 2.6.2016 LVM/2005/03/2015 Eduskunnan liikenne- ja viestintävaliokunnalle Hallituksen esitys eduskunnalle laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta (HE 74/2016) Liikenne- ja viestintävaliokunta on pyytänyt liikenne- ja viestintäministeriön vastinetta valiokunnalle toimitetuista lausunnoista. EU:n ilmoitusmenettely Hallituksen esityksen luonnos on EU:n direktiivin (EU) 2015/1535 mukaisessa ilmoitusmenettelyssä ja määräaika Euroopan komission ja muiden jäsenvaltioiden mahdollisille huomautuksille päättyy 6.6.2016. Liikenne- ja viestintäministeriö on jo vastaanottanut komission 27.5.2016 päivätyt huomautukset lakiluonnokseen ja komission huomautuksiin viitataan jäljempänä siltä osin kuin liikenne- ja viestintäministeriö katsoo aiheelliseksi tarkentaa lakiehdotusta (28 ). Väestötietojärjestelmän sekä yritys- ja yhteisörekisterin tietojen käyttäminen (7 ja 7a ) Ficom on ehdottanut, että tunnistuslaissa pitäisi säätää 7 ja 7 a :ssä mainittujen tietojen maksuttomuudesta. Liikenne- ja viestintäministeriö toteaa, että näiden tietojen maksuttomuus tai maksuista säätäminen tunnistuslaissa vaikuttaisi viranomaisten talouteen ja edellyttäisi tarkempaa vaikutusarviointia. Nyt ehdotettuun 7 :ään on tehty tekninen muutos ja 7 nykymuodossaan tuli voimaan vuoden 2016 alusta. Pykälässä edellytetään tietojen päivittämistä niin usein, että voidaan riittävällä tavalla varmistua siitä, etteivät tiedot ole vanhentuneita. Viestintävirasto valvoo säännöksen noudattamista. Ns. voimassaolopalvelu (lausunnoissa ehdotettu 7 b ) Sisäministeriö ja Poliisihallitus toivat lausunnoissaan esiin tarpeen ottaa tunnistuslakiin säännös, jonka nojalla poliisi voisi luovuttaa teknisen käyttöyhteyden avulla tiedon henkilöllisyyttä osoittavan asiakirjan (passi ja henkilökortti) voimassaolosta tunnistuspalvelun tarjoajalle. Näin henkilön ensitunnistustilanteessa voitaisiin varmistua siitä, ettei henkilön esittämä henkilöllisyyttä osoittava asiakirja ole ilmoitettu kadonneeksi tai varastetuksi. Liikenne- ja viestintäministeriö kannattaa sisäministeriön ehdottamaa uutta säännöstä seuraavassa muodossa: (uusi) 7 b

2(8) Tunnistuspalvelun tarjoajalla on oikeus saada salassapitosäännösten estämättä teknisen käyttöyhteyden avulla poliisin hallintoasian tietojärjestelmässä oleva tieto ensitunnistamisessa käytettävän passin tai henkilökortin voimassaolosta. Liikenne- ja viestintäministeriö kannattaa sisäministeriön lausunnossaan ehdottamaa säännöksen voimaantuloajankohtaa 1.5.2017. Voimassaolopalvelun tarpeellisuutta toivat lausunnoissaan esille myös Ficom, Finanssialan Keskusliitto ja Väestörekisterikeskus. Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa toimintaan ja tietojen suojaamiseen kohdistuvista uhkista ja häiriöistä (16 ) Ehdotetussa 16 :ssä laajennettaisiin tunnistuspalvelun tarjoajan ilmoitusvelvollisuus toimintaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä muille luottamusverkostossa toimiville sopimuspuolille. Oikeusministeriö on katsonut lausunnossaan, että ehdotetusta 16 :stä tulisi käydä ilmi, että tunnistuspalvelun tarjoaja voi täyttää ilmoitusvelvollisuutensa salassapitosäännösten estämättä. Tämän vuoksi liikenne- ja viestintäministeriö katsoo, että pykälän 1 momenttiin tulisi lisätä ilmaus salassapitosäännösten estämättä seuraavasti: Tunnistuspalvelun tarjoajan on salassapitosäännösten estämättä ilmoitettava ilman aiheetonta viivästystä. Ehdotetun 16 :n 4 momentin mukaan tunnistuspalvelun tarjoaja saa käyttää 16 :n nojalla saatuja toista tunnistuspalvelun tarjoajaa koskevia tietoja vain pykälässä tarkoitettuihin uhkiin tai häiriöihin varautumiseen. Tämän lisäksi tunnistuspalvelun tarjoajan tulisi voida käyttää näitä tietoja myös häiriötilanteiden selvittämiseen, mikä tulisi lisätä säännökseen seuraavasti: Tunnistuspalvelun tarjoaja saa käyttää tämän pykälän nojalla saatuja toista tunnistuspalvelun tarjoajaa koskevia tietoja vain tässä pykälässä tarkoitettuihin uhkiin tai häiriöihin varautumiseen sekä häiriötilanteiden selvittämiseen. Vaatimustenmukaisuuden arviointielimet (28 ) Komissio on katsonut antamissaan huomautuksissa, että lakiehdotuksen 28 :ää voisi selkeyttää siten, että pykälästä käy ilmi, että kaikki vaatimustenmukaisuuden arviointielimet eivät voi arvioida esimerkiksi hyväksyttyjen luottamuspalvelujen vaatimustenmukaisuutta. Tämä asia käy ilmi muista 4 luvun pykälistä, mutta asiaa voitaisiin selkeyttää myös 28 :n johdantolauseen sanamuodossa seuraavasti: Tämän luvun mukaisen palvelun vaatimustenmukaisuuden voivat arvioida seuraavat arviointielimet siten kuin jäljempänä säädetään: ---------------------------------------------------------------------------------------------------

3(8) Oikeusministeriö on lausunnossaan katsonut, että lakiehdotuksen 28 :n 2 kohdassa tarkoitetun ulkoisen arviointilaitoksen toiminnan voidaan arvioida olevan julkisen hallintotehtävän hoitamista. EU-lainsäädäntö edellyttää tunnistuspalveluilta korotetulla varmuustasolla, että määräajoin tehdään riippumattomia sisäisiä tai ulkoisia tarkastuksia, jotka kattavat kaikki palvelujen tarjonnan kannalta merkitykselliset toimintalohkot, jotta voidaan varmistaa sovellettavien toimintaperiaatteiden noudattaminen. Nykyisin useat tunnistuspalvelun tarjoajat teettävät toiminnoilleen tietoturvallisuuden arviointeja eli ns. auditointeja. EU-lainsäädäntö ei edellytä, että tunnistuspalvelujen riippumattomia sisäisiä tai ulkoisia tarkastuksia tekisivät erikseen tähän viranomaisen valtuuttamat tarkastuselimet. Myöskään hallituksen esityksessä ei ehdoteta, että Viestintävirasto hyväksyisi 28 :n 2 kohdassa tarkoitettua muuta ulkoista arviointilaitosta tai 3 kohdassa tarkoitettua sisäistä tarkastuslaitosta. Tarkoitus on, että tunnistuspalvelun tarjoaja voisi korotetulla varmuustasolla valita, teettääkö se vaatimustenmukaisuuden arvioinnin eli auditoinnin ulkoisella arviointilaitoksella vai sisäisellä arviointilaitoksella. Viestintävirasto ei hyväksyisi vaatimustenmukaisuuden arvioijaa etukäteen, vaan ehdotetun 33 :n 4 momentin mukaisesti tunnistuspalveluntarjoajan tulisi esittää selvitys Viestintävirastolle siitä, että sen vaatimustenmukaisuuden arvioinut muu ulkoinen arviointilaitos tai sisäinen tarkastuslaitos täyttää säädetyt edellytykset. Käytännössä tunnistuspalvelun tarjoajan olisi osoitettava, että vaatimustenmukaisuuden arviointi on tehty yleisesti käytettyyn standardiin perustuvalla riippumattomalla menettelyllä. Tarkoituksena on, että tunnistuspalvelun tarjoajat voisivat käyttää mahdollisimman pitkälle vaatimustenmukaisuuden arvioinnissa niitä auditoijia, joita ne jo nyt mahdollisesti käyttävät. Osa Suomessa toimivien tunnistuspalvelujen auditoijista on ulkomaalaisia yrityksiä tai yhteisöjä, jotka tekevät toiminnan auditointeja perustuen yleisesti käytetyissä standardeissa määriteltyihin riippumattomiin menettelyihin. Hallituksen esityksen kohdassa 3 (Suhde perustuslakiin ja säätämisjärjestys) on arvioitu perustuslain 124 :n valossa ehdotetun 28 :n 2 ja 3 kohdassa tarkoitettujen vaatimustenmukaisuuden arviointielinten asemaa. Tässä tarkoitetut muu ulkoinen arviointilaitos ja sisäinen tarkastuslaitos arvioivat 29 :ssä tarkoitetulla tavalla sähköisten tunnistuspalveluiden tarjoajien toimintaa ja 30 :ssä tarkoitetulla tavalla sähköisen tunnistamisen kansallisen solmupisteen toimintaa. Näiden toimijoiden antama tarkastuskertomus tunnistuspalvelun tarjoajan tulee liittää Viestintävirastolle toimitettavaan 10 :n mukaiseen ilmoitukseen. Tarkastuskertomukset auttavat Viestintävirastoa arvioimaan toimijoiden toiminnan lainmukaisuutta, mutta ehdotetun 45 :n mukainen Viestintäviraston päätös, jossa toimija velvoitettaisiin korjaamaan toimintaansa tai jopa kiellettäisiin toimimasta vahvan sähköisen tunnistuspalvelun tarjoajana, ei voisi perustua pelkästään yksityisen tahon tekemään arviointiin, johon tahoon Viestintävirastolla ei olisi mitään suhdetta valtuutuksen tai toimeksiannon perusteella. Tällainen Viestintäviraston antama valtuutus on sen sijaan 36 :ssä tarkoitetulla Viestintäviraston hyväksymällä sertifiointilaitoksella ja 28 :n 1 kohdassa

4(8) tarkoitetulla vaatimustenmukaisuuden arviointilaitoksella, jonka Viestintävirasto FINAS:n tekemän akkreditoinnin jälkeen hyväksyy. Valmisteilla olevien Viestintäviraston määräysten mukaisesti sisäisen tai ulkopuolisen tarkastuslaitoksen tarkastettava eli auditoitava osan tunnistuspalvelun toiminnasta. Tällöin Viestintäviraston määräyksen valmistelussa on katsottu, että toimijan oma ilmoitus toiminnan vaatimustenmukaisuudesta ei riitä, vaan jonkun muun kuin varsinaisen toiminnan operatiivisen harjoittajan on tarkastettava sovelletut toimintaperiaatteet. Viestintävirasto valvoo ehdotetun 42 a :n nojalla tunnistuslain ja sen nojalla annettujen säännösten noudattamista. Viestintävirastolla on ehdotetun 46 :n nojalla oikeus tehdä tarvittaessa mm. tunnistuspalvelun tarjoajaa ja sen tarjoamaa palvelua koskeva tarkastus. Viestintäviraston valvontavaltaa ja valvontavastuuta ei ole ulkoistettu lakiehdotuksen 28 :n 2 kohdassa tarkoitetulla ulkoiselle tarkastuslaitokselle tai 28 :n 3 kohdassa tarkoitetulle sisäiselle tarkastuslaitokselle. Liikenne- ja viestintäministeriö katsoo, ettei 28 :n 2 ja 3 kohdassa tarkoitettujen vaatimustenmukaisuuden arviointielinten toiminnassa ole kyseessä julkisen hallintotehtävän hoitamista. Sähköisen tunnistuspalvelun vaatimustenmukaisuuden arviointi (29 ) ja luottamuspalvelun vaatimustenmukaisuuden vahvistaminen (32 ) Ficom on kiinnittänyt lausunnossaan huomiota kyseisiin pykäliin ja katsonut, ettei Viestintäviraston tulisi määräyksellään voida määrätä vaatimustenmukaisuuden arviointiperusteiksi alueellista standardia. Viestintäviraston määräykset valmistellaan avoimesti yhteistyössä toimialan kanssa. Vaatimustenmukaisuuden arvioinnissa käytettäväksi määrätyiltä tietoturvastandardeilta edellytetään, että ne ovat yleisesti käytettyjä. Viestintävirastossa valmisteltujen määräysten pohjaksi on otettu ISO27001 ja muita kansainvälisiä standardeja. Hallinnon yleislakien huomioon ottaminen (37 ) Liikenne- ja viestintäministeriö yhtyy oikeusministeriön näkemykseen, että 37 :n sanamuoto tulisi muuttaa seuraavaan muotoon: Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen on tässä laissa tarkoitettuja julkisia hallintotehtäviä hoitaessaan noudatettava mitä hallintolaissa (434/2003), viranomaisen toiminnan julkisuudesta annetussa laissa (621/1991), sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003), kielilaissa (423/2003) sekä saamen kielilaissa (1086/2003) säädetään. Viestintäviraston ohjaus (42 ) Ficom on lausunnossaan esittänyt, että Viestintäviraston tulee määräyksiä antaessaan huolehtia kilpailun edistämisestä ja palveluntarjoajien hallinnollisen taakan minimoimisesta.

5(8) Liikenne- ja viestintäministeriö toteaa, että Viestintäviraston määräyksiä ja suosituksia valmistellaan laajassa toimialatyöryhmässä. Määräyksiä valmisteltaessa on tarkasteltu myös sitä, voisiko lain tavoitteet saavuttaa tehokkaammin ja tarkoituksenmukaisemmin jollain muulla ohjauskeinolla kuin määräyksellä. Määräys valitaan ohjauskeinoksi niissä tilanteissa, joissa on nähtävissä, että muut keinot eivät ole toimijoiden kannalta riittävän ennakoitavia ja tasapuolisia tai palvelujen käyttäjien ja niihin luottavien tahojen kannalta riittävän tehokkaita sääntelyn tavoitteiden saavuttamiseksi. Ficom on myös lausunnossaan toivonut, että pykälän 2 momentin 3 kohdassa olevan Viestintäviraston määräyksenantovaltuuden yhteydessä Viestintävirasto ottaisi huomioon, että luottamusverkostossa tulisi määritellä 1-2 rajapintaa, joita kaikkien luottamusverkostossa toimivien tulee tukea. Nykytilanteessa tunnistuspalvelun tarjoajat toimivat erilaisilla rajapinnoilla. Hallituksen esityksessä ehdotetun lainkohdan perusteluissa todetaan, että Viestintävirasto voisi laatia esimerkiksi teknisellä määräyksellä tarkoituksenmukaisella tarkkuustasolla OpenID Connect- ja SAML-standardeista kansalliset profiilit yhteistyössä toimialan kanssa. Viestintävirasto on arvioinut määräysvalmistelussa, millä tarkkuudella rajapintavaatimukset laaditaan määräykseen suhteessa yksittäisiin protokolliin, kuten SAML ja Open ID Connect eli mahdollistetaanko toisin sanoen myös muiden protokollien käyttö (protokolla määrittelee tiedot ja niiden siirtotavan). Edelleen on pohdittu, miten huomioidaan puhtaasti kansallinen TU- PAS-protokolla, joka ei kaikilta osin näytä pystyvän täyttämään vaatimuksia ja jonka kehityssuunnitelmista tai mahdollisuuksista ei ole ollut määräyksen valmistelussa varmaa tietoa. Viestintävirasto on arvioinut asiaa seuraavasti: SAML on yleinen kansainvälinen rajapinta ja se on myös määritelty eidasasetusta tarkentavassa EU-sääntelyssä ja -ohjeistuksessa kansainvälisen välittämisen rajapinnaksi. Open ID Connect on yleistymässä ja on käytössä erityisesti mobiilivarmentamisessa. Koska pankkien tarjoamat tunnisteet perustuvat puhtaasti kansallisesti määriteltyyn vanhempaan TUPAS-protokollaan, on määräystä valmisteltaessa harkittava poikkeusta siitä yleisesti noudatetusta periaatteesta, että noudatetaan ensisijaisesti kansainvälisesti yleisiä standardeja. TUPAS-protokollan mukaan ottamisen vaikutukset toiminnan jatkuvuuteen ovat myönteisiä, koska nykyinen tarjonta asiointipalveluille voi jatkua ilman katkosta. Sähköistä tunnistamista hyödyntävien asiointipalveluiden kannalta tämä ei edellytä välittömiä muutoksia. TUPAS-protokollaan ei ole ollut tiedossa kehityssuunnitelmia ja se edellyttää uusilta välitystoimijoilta sopeutumista puhtaasti kansalliseen protokollaan, mikä voi heikentää markkinoille tulon kiinnostavuutta. TUPAS-prokollan oikeudet omistava Finanssialan keskusliitto on kuitenkin käynnistänyt sidosryhmiensä kanssa arvioinnin protokollan kehitysmahdollisuuksista.

6(8) Protokollan tehtävä on määritellä yhteentoimivasti tiedot ja niiden siirtotapa, jotta tiedot voidaan siirtää toimijoiden välillä. Mitä vähemmän eri protokollia toimijoilla on käytössä, sitä helpompaa on tältä osin sopimusten aikaansaaminen luottamusverkoston toimijoiden välillä. Viestintävirasto on linjannut määräysvalmistelussa, että määräyksessä ei määrätä, mitä protokollia on käytettävä, vaan tämä jää toimijoiden sovittavaksi. Sen sijaan määrätään lopputuloksesta, joka protokollalla on saatava aikaan eli vähimmäistiedoista, jotka protokollan avulla on kyettävä siirtämään ja lisäksi määrätään rajapinnan tietoturvavaatimuksista. Malliprofiilit laaditaan ohjeena tai suosituksena SAML 2.0 - ja Open ID Connect -protokollille ja suositellaan näiden käyttöä. TUPAS-protokollan kehitystyötä seurataan aktiivisesti. Viestintäviraston tarkastusoikeus (46 ) Liikenne- ja viestintäministeriö yhtyy oikeusministeriön lausunnossaan esittämään, että lakiehdotuksen 46 :n 4 momentissa ei ole tarpeen säätää Viestintäviraston oikeudesta saada virka-apua johtuen poliisilain 9 luvun 1 :stä ja siksi ehdotetusta 46 :n 4 momentista voitaisiin luopua. Ficom on lausunnossaan vaatinut, ettei voimassa olevan 46 :n 1 momenttia muutettaisi niin, että Viestintävirastolla olisi oikeus tehdä palveluntarjoajaa ja sen tarjoamaa palvelua koskeva tarkastus ilman, että Viestintävirastolla on syytä epäillä, että toimija on olennaisesti rikkonut tätä lakia tai sen nojalla annettuja määräyksiä. Ehdotettu tarkastusoikeus koskee jatkossa laajempaa joukkoa toimijoita kuin aiemmin kattaen muun muassa kaikki eidas-asetuksessa tarkoitetut palveluntarjoajat. Ehdotettu Viestintäviraston tarkastusoikeus on samanlainen kuin tietoyhteiskuntakaaren 325 :ssä säädetty Viestintäviraston tarkastusoikeus. eidas-asetus edellyttää, että Viestintävirastolla on tehokkaat keinot tarvittaessa tehdä palveluntarjoajaa ja sen palveluja koskeva tarkastus. eidas-asetuksen 10 artikla edellyttää Viestintävirastolta nopeita päätöksiä esimerkiksi keskeyttää Suomesta ns. rajat ylittävä tunnistaminen kokonaan tai osittain, kun turvallisuus on vaarantunut. eidas-asetuksen 11 artiklan nojalla Suomi on myös osittain vastuussa ilmoitettujen tunnistusvälineiden toiminnasta. Viestintävirastolle maksettavat maksut (47 ) Ficom katsoo, ettei tunnistuspalvelun tarjoajien valvontamaksuja tulisi nostaa. Kyseisten maksujen nostamisen perusteena on kuitenkin tarve kattaa Viestintäviraston valvontatoiminnasta aiheutuvia kustannuksia. EUlainsäädännöstä johtuvat uudet Viestintäviraston tehtävät tulevat lisäämään Viestintäviraston tehtäviä, eikä tehtävien kustannuksia voida täysin kattaa toimijoilta perittävillä valvontamaksuilla. Ehdotetut siirtymäajat ja muutokset nykyiseen Tupas-rajapintaan Finanssialan keskusliitto (FK) on katsonut lausunnossaan, että määräaika tunnistuspalvelun tarjoajan ilmoitukselle siitä, että se aikoo jatkaa vahvan

7(8) sähköisen tunnistamispalvelujen tarjoajana ja toimia lain 12 a :ssä tarkoitetussa luottamusverkostossa, tulisi asettaa vuoden 2016 loppuun. FK on myös kertonut lausunnossaan, että nyt käsiteltävänä oleva tunnistuslainmuutos ja sen nojalla annettavat Viestintäviraston määräykset edellyttäisivät merkittäviä muutoksia nykyiseen Tupas-rajapintaan ja että kaikille muutoksille tulisi asettaa siirtymäaika 18.9.2018 asti. Kyseinen päivämäärä määräaika, johon mennessä jäsenvaltioiden on luotava tekninen valmius hyväksyä muiden jäsenvaltioiden ilmoitettujen sähköisten tunnistusvälineiden käyttö julkisissa palveluissa. Liikenne- ja viestintäministeriö katsoo hallituksen esityksen mukaisesti, että nykyisten vahvan sähköisen tunnistuspalvelun tarjoajien aikomus jatkaa toimintaansa tulisi ilmoittaa ehdotetussa aikataulussa eli 2 kuukauden kuluessa nyt käsiteltävänä olevan lakimuutoksen voimaantulosta, sillä toiset markkinoilla toimivat tunnistuspalvelun tarjoajat tarvitsevat tätä tietoa silloin, kun uusia tunnistusvälineitä voidaan sähköisesti hankkia henkilöllä jo olevan toisen tunnistusvälineen avulla (tunnistusvälineiden ketjuttaminen). Lähtökohtana on ollut, että TUPAS-protokolla (samoin kuin muut luottamusverkostossa käytetyt protokollat) täyttävät vaatimukset, jotka eidasasetus ja sen toimeenpanosäännökset edellyttävät rajat ylittävässä tunnistamisessa käytettävältä protokollalta. Viestintäviraston mukaan nyt ehdotetun lainsäädännön nojalla valmistellut luonnokset Viestintäviraston määräyksiksi edellyttävät Tupas-tunnisteilta seuraavia muutoksia kahdella osaalueella: 1) Tupas-protokollassa ei ole valmiutta välittää kaikkia tietoja, joita Viestintäviraston määräysluonnoksessa ehdotetaan välitettävän luottamusverkostossa (esimerkiksi tunnistusvälineen varmuustaso, joka edellytetään siirrettävän myös eidas-asetuksen mukaisessa kansainvälisen rajapinnan SAML-protokollassa sekä eräät optionaaliset tietokentät). Näiden puutteiden täydentämisen lisäksi FK:lta ja muilta toimijoilta on pyydetty Viestintäviraston määräystyöryhmässä ehdotuksia mahdollisiksi väliaikaisiksi kompensoiviksi järjestelyiksi, joita voitaisiin punnita määräyksen valmistelutyöryhmässä myös yhdessä tulevien välityspalveluntarjoajien kanssa. Kompensoivina toimenpiteinä voisi esimerkiksi tarkastella TUPAS-tunnistuksen tulkitsemista vakiona korotetun tason tunnistamiseksi tunnistuksentarjoajasta riippumatta tai sitä, että tunnistuspalveluntarjoaja sopisi välityspalvelun kanssa siitä, että välityspalvelu toteuttaisi puuttuvat osat tunnistusvälineen tarjoajan puolesta. 2) Tiedonsiirron tietoturva-asiat kuten luottamusverkoston rajapintojen salausvaatimukset ja henkilötietojen salaaminen ja allekirjoittaminen sanomatasolla. Salausvaatimukset perustuvat eidas-asetuksen mukaisen kansainvälisen rajapinnan SAML-protokollan yhteydessä määriteltyihin salausvaatimuksiin. Nykyisin käytössä olevat Tupas-toteutukset eivät siirrä henkilötunnusta (HETU) sanomatasolla salattuna. Tämä johtaa siihen, että HETU:t jäävät näkyviin selaimien selaushistoriaan. Erityisen ongelmallisena tämä on ns. yhteiskäyttöisillä tietokoneilla kuten kirjastoissa. Nykyinen protokollaspesifikaatio mahdollistaa myös HETU:sta lasketun tiivisteen siirtämisen, jolloin tätä ongelmaa ei ole. Tässä tapauksessa asiointipalvelun pitää tietää asiakkaan HETU (asiakkaan pitää antaa HETU asiointipalvelul-

8(8) le) ja tunnistamistapahtumalla vahvistetaan, että ko. HETU kuuluu kyseiselle henkilölle. Asiointipalvelun kannalta käyttö on hankalaa eikä tätä vaihtoehtoa ole juurikaan käytössä. Viestintäviraston määräykseen on suunniteltu siirtymäaikaa 18.9.2018 asti. Voidaan arvioida, että muutosten valmistelu itse Tupas-tunnisteiden protokollaan ei ole suuri työ ja muutokset vastaavat tiedonsiirron kansainvälisten protokollien käytäntöjä. Sen sijaan kun määrittelymuutoksia tehdään tunnistuspalveluntarjoajan järjestelmiin ja rajapintoihin Tupas-tunnisteisiin luottavien asiointipalvelujen kanssa, käytännön muutoksia tarvitaan myös näissä asiointipalveluissa. Viestintävirasto arvioi Tupas-tunnistusvälineitä koskevien siirtymäsäännösten tarpeellisuutta sen valmisteltavana olevien määräyksiin. Luottamusverkostoa koskevien säännösten soveltaminen alkaa 1.5.2017 eivätkä kaikki ratkaisut ja muutostyöt voi odottaa syksyyn 2018. Suhde maksupalveludirektiiviin Uudessa maksupalveludirektiivissä (EU) 2015/2366 edellytetään tietyissä tilanteissa vahvaa sähköistä tunnistamista. Sähköistä tunnistamista koskevan EU-lainsäädännön (eidas-asetus) sekä maksupalveludirektiivin nojalla valmisteltavien säännösten yhteensovittamiseen liittyvät kysymykset on myös EU:ssa nyttemmin otettu huomioon. Sähköisen tunnistamisen luottamusverkosto Säännökset kansallisesta sähköisen tunnistamisen luottamusverkostosta on tunnistuslain 12 a :ssä, johon tällä hallituksen esityksellä ei ehdoteta muutoksia. Voimassa olevan 12 a :n 1 momentin mukaan tunnistuspalvelun tarjoajan tehdessä tunnistuslain 10 :n mukaisen ilmoituksen Viestintävirastoon, tunnistuspalvelun tarjoaja liittyy osaksi luottamusverkostoa. Luottamusverkostoon liittyminen itsessään ei vaadi erillistä ilmoitusta Viestintävirastolle. Tunnistuspalvelua on mahdollista tarjota myös ilmoittautumatta Viestintävirastoon, mutta tällöin tunnistuspalvelun tarjoajalla ei ole vahvan sähköisen tunnistuspalvelun tarjoajan asemaa tunnistuslaissa tarkoitetussa merkityksessä. Vahvan sähköisen tunnistuspalvelun aseman saaminen edellyttää ilmoittautumista Viestintävirastoon. Liittymä hallituksen esitykseen henkilökorttilaiksi ja eräiksi siihen liittyviksi laeiksi (HE41/2016) Sisäministeriön lausunnossa oli tuotu esiin käsiteltävänä olevan hallituksen esityksen 74/2016 suhde henkilökorttilakia koskevaan hallituksen esitykseen 41/2016. Molemmissa esityksissä ehdotetaan muutoksia väestötitolain 61, 66 ja 68 :iin.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute