Muistio luottamusverkoston sopimusneuvotteluissa ilmenneistä

Samankaltaiset tiedostot
VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Viestintäviraston tulkintamuistio kertakirjautumisesta ja eräistä muista kysymyksistä vahvassa sähköisessä tunnistamisessa

Viestintäviraston tulkintamuistio vahvan ja heikon tunnistuspalvelun

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Sähköisen tunnistamisen kehittäminen Suomessa

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Suositus 216/2017/S Tunnistuspalveluiden luottamusverkoston käytännesäännöt. Viestintäviraston suositus 216/2017/S

Tunnistuspalveluiden luottamusverkoston käytännesäännöt. Viestintäviraston suositus

Ensitunnistamisen ketjuttamisen oikeudenmukaisen ja kohtuullisen korvauksen vahvistaminen

Määräys. 1 Soveltamisala

FA EHDOTTAA, ETTÄ LAKIESITYKSESTÄ LUOVUTAAN

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

OP Tunnistuksen välityspalvelu

eidas, kansallinen sähköisen tunnistamisen luottamusverkosto ja tunnistusmenetelmien varmuustasot Riitta Partala, Väestörekisterikeskus

Viestintäviraston päätös käyttöoikeuden myöntämisestä pilotointikäyttöön

VIESTINTÄVIRASTON PÄÄTÖS KOSKIEN ACN:N NUMERONSIIRTOTILAUKSEN SITOVUUTTA

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä 24 päivänä toukokuuta 2011

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä xx päivänä yykuuta 2007

Erimielisyyksien ratkaiseminen monitoimijaympäristössä

Määräys TILAAJAN NUMEROTIETOJEN SIIRROSTA VIESTINTÄVERKOSSA. Annettu Helsingissä 1 päivänä huhtikuuta 2005

Liikenne- ja viestintävaliokunta.

Määräys SÄHKÖPOSTIPALVELUJEN TIETOTURVASTA JA TOIMIVUUDESTA. Annettu Helsingissä 19 päivänä syyskuuta 2008

Päätös MNC-tunnuksen myöntämisestä

Määräys VIESTINTÄVERKON VERKONHALLINNASTA. Annettu Helsingissä 24 päivänä elokuuta 2007

Viestintäviraston päätös yleispalveluyritysten nimeämisestä internetyhteyspalvelujen

Määräys PUHELINNUMERON SIIRRETTÄVYYDESTÄ. Annettu Helsingissä 23 päivänä tammikuuta 2006

Mitä eidas-asetus pitää sisällään ja mitä ei. Anne Lohtander

Päätös 1 (5) DNA Oy (Y-tunnus: ) PL DNA. Elisa Oyj (Y-tunnus: ) PL ELISA

Telia Tunnistus - Palvelukuvaus

Luvan pyytäminen matkaviestinverkon puhelinliittymien puhelinmarkkinointiin puhelun aikana

Markkina-analyysi hankealueen tukikelpoisuudesta: Etelä-Karjala hankealue Lemi

Sopimus mittausalueen ylläpitäjän tehtävistä ja vastuista NO. XX [Osapuoli] ja FINGRID OYJ

Laki. verkkoinfrastruktuurin yhteisrakentamisesta ja -käytöstä annetun lain muuttamisesta

VIESTINTÄVIRASTON PÄÄTÖS KOSKIEN NUMERON SIIRRETTÄVYYTTÄ MÄÄRÄAIKAISIS- SA SOPIMUKSISSA

Markkina-analyysi hankealueen tukikelpoisuudesta: Etelä-Pohjanmaa hankealue Alavus

Tunnistuspalvelun käyttöoikeuden toimitusehdot, Elisa Oyj

Määräys POSTILAATIKKOJEN SIJOITTELUSTA. Annettu Helsingissä 31 päivänä toukokuuta 2011

Määräys VIESTINTÄVERKON RAKENTEESTA, LIITYNTÄPISTEISTÄ, HF (HUMAN FACTORS)-NÄKÖKOHDISTA, TÄRKEYSLUOKITTELUSTA JA VARMISTAMISESTA.

DNA tunnistuksen välityspalvelun erityisehdot

KANTAVERKKOSOPIMUS NRO XXXX / 2016 ASIAKAS OY FINGRID OYJ

Yhteyshenkilöt. Luottamuksellinen. Päiväys Sopimusnumero xxxxxxxx. Sopimus Telian tunnistuspalvelun käyttöoikeudesta Luottamusverkostossa

Määräys HÄTÄLIIKENTEEN OHJAUKSESTA JA VARMISTAMISESTA. Annettu Helsingissä 5 päivänä toukokuuta 2011

FI Moninaisuudessaan yhtenäinen FI A8-0245/92. Tarkistus

Viestintäviraston päätös käyttöoikeuden siirrosta

Suomen Arvopaperikeskus Euroclear Finlandin lausunto Osakkeenomistajien oikeudet työryhmän työryhmämuistioon

Markkina-analyysi hankealueen tukikelpoisuudesta: Pohjois-Pohjanmaa

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Kansallinen palveluarkkitehtuuri TUNNISTUSPALVELU INFO

Viestintäviraston päätös radiouutisten sponsoroinnista

FI Moninaisuudessaan yhtenäinen FI. Tarkistus. Julia Reda Verts/ALE-ryhmän puolesta

Markkina-analyysi hankealueen tukikelpoisuudesta: Pohjois-Pohjanmaa hankealue Sievi

Päätösluonnos huomattavasta markkinavoimasta kiinteästä puhelinverkosta nousevan puheliikenteen tukkumarkkinoilla

LUONNOS ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Yritysyhteistyön sopimusjuridiikka. Sopimusjuridiikan perusteet Maarit Päivike, lakimies

Luku A - Kaikkia viestintäverkkoja ja -palveluja koskevat kysymykset

2.1 Yhteispalveluna tarjottavat avustavat asiakaspalvelutehtävät

Lippu-käytännesääntötyöpaja vastuu matkustajalle - liikkumispalveluverkoston toimijoiden keskinäiset vastuut

Liikennekaari Tieto -alatyöryhmä. Kokous

FI Moninaisuudessaan yhtenäinen FI A8-0305/4. Tarkistus. Mireille D'Ornano ENF-ryhmän puolesta

Laki. EDUSKUNNAN VASTAUS 64/2005 vp. Hallituksen esitys riita-asioiden sovittelua ja

Handelsbankenin tunnistuspalvelun käyttöoikeuden toimitusehdot tunnistusvälityspalvelulle

Määräys TELELIIKENTEEN ESTOLUOKISTA. Annettu Helsingissä 5 päivänä huhtikuuta 2005

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Määräys. Viestintävirasto on määrännyt 23 päivänä toukokuuta 2003 annetun viestintämarkkinalain (393/2003) 129 :n nojalla: 1 Soveltamisala

Liikenteen palveluista annettuun lainsäädäntöön liittyvät Trafin määräyksenantovaltuudet. Aino Still

Ns. voimassaolopalvelu (lausunnoissa ehdotettu 7 b )

Liikenne- ja viestintäministeriö U-JATKOKIRJE LVM VTI Simola Kreetta(LVM) JULKINEN. Eduskunta.

Lausuntoyhteenveto ja linjaukset määräys 72A/2018

LINJA-AUTOLIIKENTEEN ASIAKASPALVELUSOPIMUS. Toimeksiantaja: Oy Matkahuolto Ab Y-tunnus: osakeyhtiö, Helsinki

Määräys VIESTINTÄVERKKOJEN YHTEENLIITETTÄVYYDESTÄ, YHTEENTOIMIVUUDESTA JA MERKINANNOSTA. Annettu Helsingissä 1 päivänä huhtikuuta 2005

FI Moninaisuudessaan yhtenäinen FI. Tarkistus. Isabella Adinolfi EFDD-ryhmän puolesta

Eurooppalaiset menettelysäännöt sovittelijoille

Ostajan ja liikennöitsijän välisen sopimussuhteen sisältö määräytyy tämän sopimuksen sekä siihen liittyvien seuraavien asiakirjojen perusteella:

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Viestintäviraston päätös yleispalvelukirjeiden jakelun toteutumisesta

IT2015 EKT-ehtojen käyttö

KAUPPAKIRJA ( luonnos ) 1. OSAPUOLET 1.1. MYYJÄ

HE 21/1996 vp. Hallituksen esitys Eduskunnalle laiksi tieliikennelain 70 ja 108 :n muuttamisesta

Työneuvoston lausunto TN (24/97)

Hallituksen esitys eduskunnalle laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain muuttamisesta

LIITTYMISSOPIMUS NRO 20XX-S-XXX/0 ASIAKAS OY FINGRID OYJ

Espoon kaupungin hankintaohje

FI Moninaisuudessaan yhtenäinen FI. Tarkistus. Julia Reda Verts/ALE-ryhmän puolesta

Hankinnan sisällön määrittely

@ Viestintävirasto Analyysi 1 (5)

Datan vapaa liikkuvuus EU:ssa komission asetusehdotus

UUSI OSTOTARJOUSKOODI. keskeiset muutokset

Puitesopimus - Saimaan talous ja tieto

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

1(5) Lisätietoja toimiluvista ja hakumenettelystä on nähtävillä valtioneuvoston verkkosivuilla osoitteessa xxx.

Lausuntopyyntö ylityösuostumuksesta ensihoitotyössä. STTK ry on pyytänyt työneuvostolta lausuntoa seuraaviin kysymyksiin:

Laki. EDUSKUNNAN VASTAUS 29/2006 vp. Hallituksen esitys laiksi ympäristövaikutusten arviointimenettelystä annetun lain muuttamisesta.

Telia Finland Oyj:n poikkeuslupahakemus kytkennän välitykseen

Korkeimman hallinto-oikeuden päätökset jätteenkuljetusjärjestelmän valinnasta

Lausunto ID (5)

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

Sähköisen tunnistamisen eidastilannekatsaus

Transkriptio:

Muistio 1 (10) Dnro: 22.9.2017 931/620/2017 Muistio luottamusverkoston sopimusneuvotteluissa ilmenneistä tulkintakysymyksistä Muistion tarkoitus Luottamusverkostoa koskevat säännökset laissa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (617/2009, tunnistuslaki) ja valtioneuvoston asetuksessa vahvan sähköisen tunnistuspalvelun tarjoajien luottamusverkostosta (619/2016, luottamusverkostoasetus) tulivat sovellettaviksi 1.5.2017. Viestintävirasto on saanut tämän jälkeen toimijoilta yhteydenottoja luottamusverkoston sopimusneuvotteluissa esiin nousseista tulkintaerimielisyyksistä. Yhteydenottojen perusteella näyttää, että luottamusverkoston käynnistymisen kannalta keskeisten sopimusneuvotteluiden etenemistä ovat hidastaneet erityisesti eräitä keskeisiä tulkintakysymyksiä koskevat poikkeavat näkemykset tunnistusvälineen tarjoajien ja välityspalvelun tarjoajien välillä. Yksi keskeisimmistä kysymyksistä liittyy välitettävän tunnisteen käyttämiseen asiointipalvelussa heikkojen sähköisten tunnisteiden kuten käyttäjätunnus-salasana-parien luomiseen. Tämän muistion tarkoituksena on tuoda ilmi, miten Viestintävirasto arvioi tietyntyyppisiä sopimusneuvotteluissa esitettyjä vaatimuksia. Muistion tarkoituksena on tuoda esille Viestintäviraston tulkinta esille nousseisiin seikkoihin ja siten edistää neuvotteluratkaisujen syntymistä tilanteissa, joissa taustalla on ollut tulkintaerimielisyys sovellettavan lainsäädännön sisällöstä. Kertakirjautumista tullaan käsittelemään erillisessä muistiossa. Viime kädessä Viestintävirasto voi tunnistuslakia valvovana viranomaisena antaa valvontapäätöksen sopijapuolten neuvotteluissa asettamien vaatimusten lainmukaisuudesta. Valvontapäätöksellä Viestintävirasto voi myös velvoittaa tunnistuspalvelun tarjoajan luopumaan sääntelyn vastaisista vaatimuksista kuten vaatimuksista, joilla ei ole perusteltua liityntää luottamusverkoston toteuttamiseen (tunnistuslaki 12 a ja luottamusverkostoasetus 3 ). Tarvittaessa Viestintäviraston päätöstä voidaan tehostaa tunnistuslain 45 :n mukaisin pakkokeinoin. Arvioidessaan vaatimusten lainmukaisuutta Viestintävirasto tulee soveltamaan tunnistuspalveluiden luottamusverkoston käytännesäännöissä annettuja linjauksia. 1 1 Suositus 216/2017 S: Tunnistuspalveluiden luottamusverkoston käytännesäännöt. Viestintävirasto Kommunikationsverket Finnish Communications Regulatory Authority Itämerenkatu 3 A PL 313 00181 Helsinki Puhelin 0295 390 100 www.viestintävirasto.fi Östersjögatan 3A PB 313, FI-00181 Helsingfors, Finland Telefon +358 295 390 100 www.kommunikationsverket.fi Itämerenkatu 3A P.O. Box 313, FI-00181 Helsinki, Finland Telephone +358 295 390 100 www.ficora.fi

2 (10) Muistion tiivistelmä Viestintävirasto tulee tämän muistion antamisen jälkeen seuraamaan sopimusneuvottelujen edistymistä saamiensa yhteydenottojen perusteella ja arvioi tarvetta ryhtyä muihin toimenpiteisiin sopimusneuvottelujen edistämiseksi. Tähän kohtaan on tiivistetty muistion päätelmät. Kohtia käsitellään yksityiskohtaisesti jäljempänä. A) Tunnistusvälineen tulee oletusarvoisesti olla yleiskäyttöinen. Jos tunnistusvälineen tarjoaja haluaa rajoittaa asiointipalvelun oikeutta luoda vahvasti tunnistetuille asiakkailleen käyttäjätunnus-salasana-pareja tai muita heikkoja tunnisteita, tunnistusvälineen tarjoajan on toteutettava rajoitus lain mukaan siten, että se koskee myös tunnistusvälineen tarjoajan omaa tunnistusvälitystä ja siten, että rajoitus ilmenee tunnistusperiaatteista ja on teknisesti tarkistettavissa tunnistusvälineen tarjoajan tarjoamasta järjestelmästä tai rekisteristä. B) Heikon tunnisteen luominen asiointipalvelussa vahvasti tunnistetulle asiakkaalle ei ole tunnistuslain 17 :n tarkoittamaa ensitunnistamista vahvan sähköisen tunnistusvälineen myöntämiseksi, vaan kysymyksessä on asiointipalvelussa tapahtuva asiointitapahtuma. Vahvan sähköisen tunnistuksen välitystä tunnistusvälineen tarjoajalta tunnistusvälityksen kautta asiointipalvelulle koskee aina tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun välillä tunnistuslain 12 a :n enimmäishintasääntely riippumatta asioinnin sisällöstä. C) Asiointipalvelussa tapahtuvan asioinnin sisällön tyyppitieto ei ole tunnistuspalvelun yhteentoimivuuden kannalta objektiivisesti arvioiden välttämätön attribuutti, eikä sitä ole määritelty käytettäväksi EU-lainsäädännössä eikä kotimaisessa laissa tai luottamusverkoston rajapintasuosituksissa. Tunnistusvälineen tarjoaja ei voi yksipuolisesti vaatia tunnistusvälityspalvelua välittämään tunnistusvälineen tarjoajalle tietoa siitä, millaiseen asiointiin tunnistusta asiointipalveluissa käytetään. Jos tällaista tietoa välitetään, jokaisen toimijan on arvioitava tiedonvaihdon sallittavuus mm. kilpailulainsäädännön valossa. D) Lainsäädännön mukainen yhteistoimintavelvoite tarkoittaa, että sopimustarjouksiin on vastattava kohtuullisessa ajassa. Kohtuulliseksi ajaksi on katsottava noin kaksi viikkoa kuukausi. Useiden viikkojen tai kuukausien viive tarjoukseen vastaamisessa ei täytä lain vaatimuksia. Neuvottelut on sallittua ja toivottavaa aloittaa jo ennen kuin toimijan vireillä oleva rekisteröinti Viestintäviraston rekisteriin on valmis. Välitettävän tunnisteen käytön rajoittaminen heikkojen tunnusten luomiseen Viestintäviraston tietoon on tullut, että sopimusneuvotteluissa on pyritty rajoittamaan tunnistusvälityspalvelun tarjoajan mahdollisuutta tarjota vahvaa tunnistusta asiointipalvelulle siten, että asiointipalvelulla on oikeus luoda vahvasti tunnistetulle asi-

3 (10) akkaalleen heikko tunniste kuten käyttäjätunnus-salasanapari. 2 Tunnistuslain 18 :n 1 momentin ja 2 momentin ensimmäisen virkkeen mukaan: Tunnistuspalvelun tarjoajan, tunnistuspalvelua käyttävän palveluntarjoajan sekä tunnistusvälineen haltijan välisillä sopimuksilla voidaan tunnistusvälineen käyttäminen oikeustoimien tekemiseen estää. Lisäksi oikeustoimien tekemiselle voidaan asettaa sekä käyttötarkoitukseen että tapahtumien rahamääräiseen arvoon liittyviä rajoituksia. Tunnistuspalvelun tarjoajan on huolehdittava siitä, että estot tai rajoitukset ovat kaikkien osapuolten tiedossa tai havaittavissa helpolla tavalla. Tunnistuslain 12 a :n 2 momentin mukaan: Luottamusverkostoon kuuluvan tunnistuspalvelun tarjoajan on noudatettava sellaisia hallinnollisia käytäntöjä, jotka mahdollistavat tunnistuspalveluita tarjoavien ja niitä hyödyntävien sähköisten palveluntarjoajien tarjoamien palveluiden yhteentoimivuuden sekä tarjottava tekniset rajapinnat, jotka luovat edellytykset tunnistuspalveluita tarjoavien ja niitä hyödyntävien toimijoiden väliselle toiminnalle. Luottamusverkostoasetuksen 3 :n 1 momentin mukaan: Luottamusverkostoon kuuluva tunnistuspalvelun tarjoaja neuvottelee ja sopii tunnistuslain 12 a :n 2 ja 4 momentissa säädetyn yhteistyövelvoitteen mukaisesti luottamusverkoston toteuttamiseksi välttämättömistä seikoista toisten tunnistuspalvelun tarjoajien kanssa. Käytännesääntöjen mukaan (216/2017 S, k. 4.10 Välineiden käyttörajoitukset): Tunnistusvälineen tarjoaja voi asettaa välineelle sekä sopimusperusteisia että teknisiä käyttörajoituksia (tunnistuslaki 18 ). Tunnistuspalvelun tarjoajan tulee kuitenkin kohdella asiakkaitaan syrjimättä ja tunnistusvälineiden hakijoita tasapuolisesti sopimuksen tekemisen yhteydessä (tunnistuslaki 20 ). Välineiden mahdollisista käyttörajoituksista on sovittava sopijapuolten välisissä sopimuksissa. Tunnistuspalvelun tarjoajan on huolehdittava siitä, että estot tai rajoitukset ovat kaikkien osapuolten tiedossa tai havaittavissa helpolla tavalla. Lainsäätäjän tahtotila on saada markkinoille yleis- ja laajakäyttöisiä tunnistusvälineitä, jotka käyvät kaikenlaiseen asiointiin. Tunnistusvälineitä voidaan pitää tietoyhteiskunnan peruspalveluina (ks. mm. LiV 12/2009 ja LiV 33/2014). Yleiskäyttöisyydestä poikkeaville rajoituksille on oltava perusteltu tarve eikä rajoituksia saa käyttää enempää kuin on oikeassa suhteessa poikkeamisen oike- 2 Lisäksi sopimusneuvotteluissa on pyritty rajoittamaan ainakin tunnistustapahtuman käyttöä kertakirjautumiseen samalla vahvalla sähköisellä tunnistustapahtumalla useampaan asiointipalveluun. Myös ensitunnistamisen ketjutusta uusia vahvoja sähköisiä tunnistusvälineitä myönnettäessä on pyritty rajoittamaan, mutta tätä erityistilannetta käsitellään jäljempänä erikseen.

4 (10) uttavan perustellun tarpeen saavuttamiseksi. Käyttörajoituksilla ei saa tarkoituksellisesti estää laillisen liiketoiminnan harjoittamista. Viestintäviraston tulkinnan mukaan tunnistuslain 12a.2 ja 18.1 :stä ja luottamusverkostoasetuksen 3.1 :stä seuraa, että tunnistuspalvelun tulee olla sama yleiskäyttöinen tunnistuspalvelu riippumatta tunnistuksen välittävästä tahosta. Tunnistuspalvelun tulisi siis olla sama riippumatta siitä, tarjoaako tunnistuspalvelun asiointipalvelulle tunnistusvälineen tarjoaja itse tunnistusvälityspalvelun roolissa vai muu tunnistusvälityspalvelun tarjoaja, joka välittää tunnistusvälineen tarjoajan siirtämiä tunnistetietoja. Tunnistuspalvelun tarjoajan yhteistyövelvoitteeseen kuuluu, että se mahdollistaa yhteentoimivien palveluiden tarjoamisen, eli että välitettävään tunnistukseen ei sisälly "ylimääräisiä", tunnistusvälineeseen muutoin liittymättömiä rajoituksia. Tunnistusvälineen tarjoaja voi edellyttää, että tunnistuslain 18 :n mukaisia (tunnistusvälineen haltijan tiedossa olevia) käyttörajoituksia noudatetaan myös luottamusverkoston toimijoiden välillä ja että välityspalvelun tarjoaja huolehtii tästä myös asiointipalvelujen kanssa tekemissään sopimuksissa. 3 Ensitunnistamisen ketjutuksesta sovitaan lisäksi erikseen. Edellä mainittujen käyttörajoitusten tulee olla sillä tavoin yleisiä rajoituksia, etteivät ne riipu välityspalvelusta. Tunnistusvälineen tarjoaja ei voi kategorisesti kieltää luottamusverkostossa tehtävässä sopimuksessa tunnistusvälityspalvelun tarjoajaa välittämästä tunnistustietoja asiointipalveluille käytettäväksi tietyntyyppiseen asiointiin, kuten heikkojen sähköisten tunnisteiden luomiseen, ellei kyseessä ole välineen yleinen, myös tunnistusvälineen tarjoajan omaa välitystoimintaa ja kyseisen tunnistusvälineen käyttämistä koskeva käyttörajoitus. Samoin on arvioitava vaatimusta sopia tällaisesta käyttötapauksesta tapauskohtaisesti tai muuten erikseen taikka kieltäytymistä sopimuksesta kokonaan. 4 Jos tunnistusvälineeseen halutaan liittää esimerkiksi rajoitus, jonka mukaan asiointipalvelu ei saa luoda asiakkaalleen heikkoja sähköisiä tunnisteita, niin: rajoituksen tulee olla tarkistettavissa tunnistuslain 18.3 :n mukaisesti ympäri vuorokauden, 3 Tunnistuslaki 18.4 : Tunnistuspalvelua käyttävän palveluntarjoajan on tarkastettava tunnistuspalvelun tarjoajan ylläpitämistä järjestelmistä ja rekistereistä mahdolliset estot tai rajoitukset tunnistusvälineen käytön yhteydessä. Tarkastaminen ei kuitenkaan ole tarpeen, jos tunnistusvälineen estojen tai rajoitusten vastainen käyttö on teknisin keinoin estetty. 4 Tunnistusvälineen tarjoajan yhteistyövelvoitteeseen kuuluu velvoite solmia sopimuksia eli tämän tulee tarjota välinettään kaikille tunnistusvälityspalveluille välitettäväksi näiden niin halutessa (käytännesäännöt k. 4.2). Sopimuspakko ei kuitenkaan ole ehdoton, vaan kuten käytännesäännöissä todetaan, voivat esimerkiksi pakotteet olla sellainen painava syy, joka oikeuttaa kieltäytymään sopimuksesta. Esimerkiksi jos tunnistusvälineen tarjoajan on erityislainsäädännön vuoksi pidättäydyttävä tarjoamasta palveluja tietyille tahoille, voi tunnistusvälineen tarjoaja edellyttää tätä vastaavasti myös välityspalvelulta tunnistuslain mukaisen yhteistyövelvoitteen tai käyttörajoituksia koskevan sääntelyn estämättä.

5 (10) samat rajoitukset pätevät sekä tunnistusvälineen tarjoajan omaan välitystoimintaan että ulkoiseen välitystoimintaan ja rajoitusten tulee ilmetä tunnistuslain edellyttämällä tavalla käyttäjän sopimusehdoista (15.1 7 k.). Tunnistuslain 18.1 :ään perustuvia rajoituksia tai oikeustoimien tekemiseen kohdistuvia estoja ei voi määritellä sopimusehdoissa asiakas- tai asiointipalvelukohtaisesti. 5 Asiointipalvelukohtaista käyttörajoitusta ei voida pitää lainkohdan tarkoittamalla tavalla "käyttötarkoitukseen" liittyvänä rajoituksena. Tämä merkitsee, että käyttörajoitus on määriteltävä yleisemmällä tasolla. HE 36/2009, s. 57: Ehdotetusta momentista käy ilmi, että rajoitukset voivat kohdistua niihin käyttötarkoituksiin, joihin tunnistusvälinettä voi käyttää, [e]simerkiksi tehtävien oikeustoimien laatua voidaan rajoittaa. Rajoitukset voivat olla myös euromääräisiä. Mikään ei myöskään estä asettamasta molempia rajoituksia tunnistusvälineeseen. Jos heikkojen tunnusten luomista tai muuta käyttöä tunnistusvälineen haltijan sähköisessä asioinnissa asiointipalvelussa poikkeuksellisesti rajoitetaan tunnistuslain 18 :n mukaisella käyttörajoituksella, on tunnistusvälineen tarjoajan huolehdittava siitä, että tällainen käyttörajoitus on myös tunnistusvälineen haltijan tiedossa tai helposti havaittavissa. Mahdollisten rajoitusten toteuttamistavan ja vastuiden tulisi ilmetä jo tunnistusperiaatteista. Kaikkien käyttörajoitusten on oltava tarkistettavissa tunnistuslain 18.3 :n mukaisesta palvelusta, paitsi jos niiden vastainen käyttö on teknisin keinoin estetty. Tunnistuslaki 18.3 : Tunnistuspalvelun tarjoajan on järjestettävä tunnistuspalvelua käyttävälle palveluntarjoajalle mahdollisuus tarkastaa tunnistusvälineeseen liittyvät estot tai rajoitukset ympäri vuorokauden. Velvollisuutta ei kuitenkaan ole, jos tunnistusvälineen estojen tai rajoitusten vastainen käyttö on teknisin keinoin estetty. Kuten yllä on todettu, lain tarkoituksena kuitenkin on tunnistusvälineiden yleiskäyttöisyys, eikä tarpeettomia rajoituksia tule asettaa. Käyttörajoitukset tulee arvioida huolellisesti suhteessa lainsäätäjän asettamaan tavoitteeseen tarjota käyttäjille yleiskäyttöisiä tunnistusvälineitä. Yleiskäyttöisyydestä poikkeaville rajoituksille on oltava perusteltu tarve eikä rajoituksia saa käyttää enempää kuin on oikeassa suhteessa poikkeamisen oikeuttavan perustellun tarpeen saavuttamiseksi. Perusteiden on oltava läpinäkyviä, eikä rajoitusten tule riippua tunnistusvälityspalvelun tarjoajasta. 5 Vrt. 14.3 : "Jos tunnistusvälineillä voidaan tehdä sähköisiä allekirjoituksia tai kehittyneitä sähköisiä allekirjoituksia, tunnistuspalvelun tarjoajan on annettava tieto myös niiden toteuttamismenetelmästä, tasosta ja turvallisuustekijöistä." Tällainen tieto on annettava tunnistusperiaatteissa. Tunnistuslain 18.1 :ssä tarkoitettu esto tai rajoitus voi 14.3 :n valossa olla tämäntyyppinen yleinen rajoitus.

6 (10) Enimmäishintasääntelyn soveltamisala. Mikä on ensitunnistamisen ketjutusta Viestintäviraston käsityksen mukaan toimialalla on ollut jonkin verran epäselvyyttä siitä, mihin tunnistuslain 12 a :n hintasääntely kohdistuu eli voiko hinta riippua siitä, millaiseen asiointitapahtumaan välitettävää tunnistetietoa käytetään ja mikä on laissa tarkoitettua ensitunnistamista. Tunnistuslain 12a.3 :n mukaan: Sähköisen tunnistuspalvelun tarjoajan lähettäessä sähköiseen tunnistusvälineeseen liittyvää tietoa toiselle sähköisen tunnistuspalvelun tarjoajalle edelleen välitettäväksi, välitettävästä tunnistetiedosta tulee suorittaa lähettäjälle korvaus. Välitettävästä tunnistetiedosta perittävä korvaus voi olla enintään 10 senttiä. Lain perusteluissa (HE 272/2014) todetaan seuraavaa: Tunnistuspalveluiden tarjoajat voivat keskinäisellä sopimuksella sopia myös alemmasta hinnasta tai hinnoittelusta, joka mahdollistaa tapahtumamääristä riippumattoman korvauksen. Keskimääräinen korvaus välitettävästä tunnistetiedosta ei saa kuitenkaan ylittää 10 sentin enimmäiskorvausta. Tunnistusvälineen tarjoajat tarjoavat tunnistuslain 17 :n mukaisesti toisilleen palvelua tunnistusvälineen luomiseen (nk. ketjutettu ensitunnistus). Tunnistuslain 17 :n mukaan olemassa olevan vahvan sähköisen tunnistusvälineen avulla on voitava hakea vastaavan tasoista sähköistä tunnistusvälinettä. Tällöin sopijapuoli käyttää toisen sopijapuolen myöntämää vahvaa sähköistä tunnistusvälinettä uuden vahvan sähköisen tunnistusvälineen antamiseen tunnistusvälineen haltijalle. Käytännesäännöt k. 4.9: Sopijapuolet voivat tarjota toisilleen palvelua tunnistusvälineen luomiseen (nk. ketjutettu ensitunnistus). Tällöin sopijapuoli käyttää toisen sopijapuolen myöntämää tunnistusvälinettä uuden tunnistusvälineen antamiseen tunnistusvälineen haltijalle. Sopijapuolet sopivat erikseen ensitunnistamisen toteuttamisesta. Viestintäviraston tietoon on tullut, että sopimusneuvotteluissa on pyritty katsomaan tunnistuslain 17 :ssä tarkoitetun ensitunnistamisen ketjuttamisen piiriin myös käyttötapaus, jossa vahvaa tunnistusta käytetään asiointipalvelussa heikon sähköisen tunnisteen kuten käyttäjätunnus-salasana-parin luomiseen. Käyttötapauksen on tällöin neuvotteluissa katsottu jäävän tunnistuslain 12a.3 :n hintasääntelyn ulkopuolelle. Viestintävirasto arvioi asiaa seuraavasti. Tunnistuslain 12a.3 :n hintasääntelyn piiriin kuuluvat tilanteet, joissa tunnistetietoa lähetetään luottamusverkoston toimijoiden välillä edelleen asiointipalvelulle välittämistä varten. Tunnistuslain 12 a :stä seuraa, että tunnistusvälineen tarjoajan tunnis-

7 (10) tusvälityspalvelulta perimä korvaus edelleen välitettävästä tunnistetiedosta voi olla enintään 10 senttiä. 10 sentin enimmäishinta ei koske 17 :ssä erikseen säänneltyä ensitunnistamisen ketjuttamista uuden vahvan sähköisen tunnistusvälineen myöntämistä varten, jolloin tunnistetietoa siirretään kahden vahvan tunnistusvälineen tarjoajan välillä eikä siis edelleen välitettäväksi. Tunnistuslain 17 koskee kuitenkin vain vahvan sähköisen tunnistusvälineen hyödyntämistä haettaessa uutta vahvaa sähköistä tunnistusvälinettä. Tunnistuslain 12a.3 :n mukainen 10 sentin enimmäishinta soveltuu aina silloin, kun on kyse tunnistusvälineeseen liittyvän tiedon lähettämisestä toiselle sähköisen tunnistuspalvelun tarjoajalle välitettäväksi edelleen asiointipalvelulle. Ei ole mitään perusteita poiketa enimmäishintasääntelystä itse asiointitapahtuman luonteen tai asioinnin sisällön perusteella. 10 sentin hinta soveltuu siten tunnistusvälineen tarjoajan ja välityspalvelun välillä myös tilanteessa, jossa vahvaan sähköiseen tunnistusvälineeseen liittyvää tunnistetietoa käytetään lopulta heikkojen sähköisten tunnisteiden luomiseen siinä asiointipalvelussa, johon välityspalvelu tiedon välittää. Toisin sanoen kyseessä on tunnistustapahtuma, joka kuuluu 12 a :n hintasääntelyn piiriin luottamusverkostossa riippumatta siitä, mihin asiointipalvelu tietoa käyttää eli vaikka asiointipalvelussa luotaisiin välityspalvelun välittämän tunnistetiedon perusteella heikko sähköinen tunniste. Asiointitapahtuman tyyppi- tai sisältötiedon siirtäminen tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa ja muu tiedonvaihto Viestintäviraston tietoon on tullut, että tunnistusvälineen tarjoajien taholta on vaadittu, että tunnistustapahtuman yhteydessä tulee välittää tieto millaisesta asiointitapahtumasta on kyse eli asiointitapahtuman sisällöstä. Tunnistuslain 12a.2 :n mukaan: Luottamusverkostoon kuuluvan tunnistuspalvelun tarjoajan on noudatettava sellaisia hallinnollisia käytäntöjä, jotka mahdollistavat tunnistuspalveluita tarjoavien ja niitä hyödyntävien sähköisten palveluntarjoajien tarjoamien palveluiden yhteentoimivuuden sekä tarjottava tekniset rajapinnat, jotka luovat edellytykset tunnistuspalveluita tarjoavien ja niitä hyödyntävien toimijoiden väliselle toiminnalle. Luottamusverkostoasetuksen mukaan: Luottamusverkostoon kuuluvan tunnistuspalvelun tarjoajan on tarjottava 1 momentin 1 ja 2 kohdassa tarkoitetuissa rajapinnoissa kummassakin vähintään yhtä yleisesti käytetyn standardin mukaista teknistä rajapintaa. (1.3 ) Tunnistuspalvelun tarjoaja vastaa omalta osaltaan tarjoamastaan teknisestä rajapinnasta, rajapinnan toimivuudesta ja sen saatavilla olosta. (2.1 2 k.)

8 (10) Luottamusverkostoon kuuluva tunnistuspalvelun tarjoaja neuvottelee ja sopii tunnistuslain 12 a :n 2 ja 4 momentissa säädetyn yhteistyövelvoitteen mukaisesti luottamusverkoston toteuttamiseksi välttämättömistä seikoista toisten tunnistuspalvelun tarjoajien kanssa. (3.1 ) Viestintävirasto toteaa, että luottamusverkoston toimijan on noudatettava sellaisia käytäntöjä, jotka mahdollistavat yhteentoimivuuden toimijoiden välillä ja luovat edellytykset luottamusverkoston toiminnalle. Luottamusverkostoasetuksen mukaan rajapinnassa on käytettävä yleisesti käytetyn standardin mukaista teknistä rajapintaa. Viestintävirasto toteaa, että luottamusverkostossa rajapinnassa välitettävät pakolliset attribuutit on määrätty Viestintäviraston määräyksen 72/2016 M 12 :ssä. Vaatimukset vastaavat EUlainsäädännön mukaisia rajat ylittävän tunnistamisen attribuutteja. Lisäksi toimijoiden kanssa on valmisteltu työryhmässä rajapintamäärittelyjä SAML- ja Open ID Connect -rajapinnoille. Viestintävirasto toteaa, että rajapintamäärittelyissä ei ole pakollisena eikä optionaalisena attribuuttina asiointitapahtumien tyypittelyä. Viestintävirasto katsoo, että lisämäärittelyjen vaatimista asiointitapahtumien luokittelemiseksi tunnistustapahtumien välittämisessä ei voida pitää luottamusverkostoasetuksen tarkoittamana välttämättömänä seikkana. 6 Viestintävirasto toteaa joka tapauksessa, että tunnistuspalvelun tarjoaja ei ylipäänsä voi asettaa sopimuksen tekemiselle sellaisia ehtoja, jotka eivät ole välttämättömiä luottamusverkoston toteuttamisen kannalta. Kuten edellä on todettu, luottamusverkostossa välitettävä tunnistus on oletusarvoisesti luonteeltaan yleiskäyttöinen, eikä tunnistusvälineen tarjoajalla pitäisi olla perusteltavissa olevaa tarvetta vaatia tietoonsa tunnisteen tarkempaa käyttötarkoitusta asiointipalvelussa. 7 Sopimuksesta ei siten voi kieltäytyä sillä perusteella, ettei välityspalvelun tarjoaja suostu tätä tietoa välittämään. Viestintävirasto katsoo lisäksi, ettei tunnistusvälineen tarjoaja voi edellyttää tällaisen tiedon siirtämistä myöskään käyttörajoitusten huomioimiseksi. Käyttörajoituksen tarkastaminen tulee toteuttaa 18.4 :n mukaisesti niin, että tunnistuspalvelua käyttävän palveluntarjoajan tarvittaessa tarkastaa tunnistuspalvelun tarjoajan ylläpitämistä järjestelmistä ja rekistereistä mahdolliset estot tai käyttörajoitukset tunnistusvälineen käytön yhteydessä (ellei tunnistusvälineen estojen tai rajoitusten vastaista käyttöä ole teknisin keinoin estetty). 8 Tietoja ei voida edellyttää välitettäväksi säännönmukaisesti myöskään ongelmatilanteiden selvittämistä varten, koska tunnistuspalveluntarjoajan 6 Viestintävirasto huomauttaa, että palvelusisältökohtaisten määrittelyjen tekemistä ei myöskään esitetty työryhmässä tarpeelliseksi osaksi rajapintamäärittelyjä. 7 Tässä ei käsitellä mahdollisia ensitunnistamiseen liittyviä tietotarpeita. 8 Tunnistuspalvelun tarjoaja ei muutoinkaan vastaa niistä toimista, jotka on tehty estojen tai rajoitusten vastaisesti siitä huolimatta, että tunnistuspalvelun tarjoaja on toiminut huolellisesti (tunnistuslain 18.2 ), minkä johdosta on vaikea nähdä, miksi tällaisen tiedon siirtäminen tunnistusvälineen tarjoajalle olisi tarpeen.

9 (10) on itse säilytettävä 24 :n mukaan tapahtumien todentamiseksi tarvittavat tiedot. Tiedonvaihdosta luottamusverkoston osapuolten välillä on yleisesti todettava, etteivät osapuolet voi yksipuolisesti edellyttää sellaista tiedonvaihtoa, jota ei ole pidettävä luottamusverkostoasetuksen 3.1 :n perusteella välttämättömänä luottamusverkoston toteuttamiseksi. Lisäksi jokaisen sopimusosapuolen on itse arvioitava, ettei menettely ole kilpailulainsäädännön vastainen. Neuvotteluvelvoitteen täyttäminen ja vastaaminen sopimustarjoukseen Viestintäviraston tietoon on tullut tilanteita, joissa tunnistusvälityspalvelun tarjoaja ei ole saanut vastausta sopimusesitykseensä usean viikon tai kuukauden aikana. Luottamusverkostoasetuksen 3.1 :n mukaan: Luottamusverkostoon kuuluva tunnistuspalvelun tarjoaja neuvottelee ja sopii tunnistuslain 12 a :n 2 ja 4 momentissa säädetyn yhteistyövelvoitteen mukaisesti luottamusverkoston toteuttamiseksi välttämättömistä seikoista toisten tunnistuspalvelun tarjoajien kanssa. Viestintävirasto toteaa, että tunnistusvälineen tarjoajan on neuvoteltava yhteistyövelvoitteensa täyttämiseksi hyvässä uskossa tunnistusvälityssopimuksesta. Sopimustarjous on käsiteltävä kohtuullisessa ajassa. Kohtuullista aikaa ei voida määritellä yleisesti kaikkia tilanteita varten, vaan se riippuu muun muassa siitä, kuinka laajaa perehtymistä sopimusesitys edellyttää siihen vastaamiseksi. Näin ollen vastausaika voi olla perustellusti jonkin verran pidempi silloin, kun ei käytetä tunnistusvälineen tarjoajan omaa sopimuspohjaa tai toimialan mallisopimusta. Arviointi neuvotteluvelvollisuuden täyttämisestä on siis aina tapauskohtaista, mutta normaalisti vastausajan ei tulisi ylittää kahta viikkoa ja kuukautta voidaan pitää lähtökohtaisesti takarajana. 9 Sopimustarjouksen käsittelyllä ei tarkoiteta tässä takarajaa sopimuksen syntymiselle, vaan palveluntarjoajan vastinetta, joka voi olla myös vastaesitys tai sisältää lisätietopyynnön, mikäli siihen on asianmukainen syy. Kohtuullinen aika sopimustarjoukseen vastaamiseksi lasketaan sopimusesityksestä. Viestintävirasto muistuttaa, että ei ole estettä aloittaa neuvotteluja, vaikka molempia osapuolia ei vielä olisikaan merkitty Viestintäviraston ylläpitämään rekisteriin. Kieltäytyessään sopimukseen solmimisesta tunnistusvälineen tarjoajan on toimittava tasapuolisesti ja syrjimättömästi. Sopi- 9 Viestintävirasto on arvioinut kohtuullista aikaa suhteessa muihin sopimuksentekovelvoitteen sisältäviin tilanteisiin, kuten verkkoinfrastruktuurin yhteisrakentamisesta ja käytöstä annetun lain (yhteisrakentamislaki) 3.2 :n mukaiseen kuukauden vastausaikaan (jolloin jokainen hanke on ainutlaatuinen) ja verkkovierailun tukkusääntelyä koskevien BERECin suuntaviivojen mukaiseen lähtökohtaiseen 2 viikon vastausaikaan (jolloin sopiminen tapahtuu tukkupalvelun tarjoajan referenssitarjouksen pohjalta).

10 (10) muksesta kieltäytymisen perusteiden tulee olla painavia, jotta kieltäytymisperusteiden voidaan katsoa pätevästi syrjäyttävän sääntelyn lähtökohtana olevan sopimuspakon. Myös sopimuksenteon perusteeton yksipuolinen viivyttäminen voidaan tulkita sopimuksesta kieltäytymiseksi. 10 Viestintävirasto voi velvoittaa tunnistuspalvelun tarjoajan päätöksellään luopumaan sääntelyn vastaisista vaatimuksista tai velvoittaa toimijan täyttämään yhteistyövelvoitteensa esimerkiksi vastaamalla sopimusesitykseen kohtuullisessa ajassa (tunnistuslaki 12 a ja luottamusverkostoasetus 3 ). Käytännesääntöjen kohdassa 4.2 todetaan seuraavaa: Uusi tunnistuspalveluntarjoaja voi pyytää toista tunnistuspalvelun tarjoajaa tekemään sopimuksia tunnistuslaissa, luottamusverkostoasetuksessa ja näissä käytännesäännöissä kuvatuilla ehdoilla, kun se on merkitty Viestintäviraston ylläpitämään tunnistuslain mukaiseen rekisteriin ja kun sen tunnistuspalvelu on teknisesti valmis liitettäväksi luottamusverkoston tekniseen kokonaisuuteen. Sopimusneuvottelut voidaan aloittaa sopijapuolten halutessa myös ennen rekisteriin merkitsemistä. Sopimusta pyytävä osapuoli voi edellyttää, että sopimus solmitaan näihin käytännesääntöihin perustuvilla ehdoilla. Sopijapuolet voivat kuitenkin edellyttää, että keskinäiseen sopimukseen sisällytetään myös muita kuin näissä käytännesäännöissä käsiteltyjä asiakokonaisuuksia. Viestintävirasto katsoo, että osapuoli voi yksipuolisesti edellyttää muiden kuin käytännesäännöissä käsiteltyjen asiakokonaisuuksien sisällyttämistä sopimukseen vain, kun se perustuu objektiivisesti arvioiden tarpeellisiin seikkoihin/velvoitteisiin ja liikesuhteissa yleisesti sovellettaviin ehtoihin ja kun sopiminen on siten luottamusverkostoasetuksessa tarkoitetulla tavalla välttämätöntä luottamusverkoston toteuttamiseksi. Jos sopimusehdotukset eivät vastaa käytännesääntöjä, on arvioitava, täyttääkö neuvottelun osapuoli 12 a :ssä ja luottamusverkostoasetuksessa säädetyn yhteistoimintavelvoitteen. Sopijapuolet voivat luonnollisesti yhteisestä tahdostaan sisällyttää sopimukseen muunkinlaisia ehtoja. 10 Luottamusverkoston käytännesäännöt k. 4.2, s. 9.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute