Viestintäviraston tulkintamuistio kertakirjautumisesta ja eräistä muista kysymyksistä vahvassa sähköisessä tunnistamisessa

Samankaltaiset tiedostot
Viestintäviraston tulkintamuistio vahvan ja heikon tunnistuspalvelun

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Muistio luottamusverkoston sopimusneuvotteluissa ilmenneistä

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

eidas, kansallinen sähköisen tunnistamisen luottamusverkosto ja tunnistusmenetelmien varmuustasot Riitta Partala, Väestörekisterikeskus

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Sähköisen tunnistamisen kehittäminen Suomessa

OP Tunnistuksen välityspalvelu

DNA tunnistuksen välityspalvelun erityisehdot

Lippu-käytännesääntötyöpaja vastuu matkustajalle - liikkumispalveluverkoston toimijoiden keskinäiset vastuut

Suositus 216/2017/S Tunnistuspalveluiden luottamusverkoston käytännesäännöt. Viestintäviraston suositus 216/2017/S

Telia Tunnistus - Palvelukuvaus

Tunnistuspalveluiden luottamusverkoston käytännesäännöt. Viestintäviraston suositus

Tunnistuspalvelun käyttöoikeuden toimitusehdot, Elisa Oyj

Viestintäviraston neuvontaa tunnistuspalveluiden vaatimustenmukaisuuden

Digitaalisten palvelujen järjestäminen viranomaistoiminnassa. Tomi Voutilainen

FA EHDOTTAA, ETTÄ LAKIESITYKSESTÄ LUOVUTAAN

Tunnistuspalvelun tarjoajat ovat pyytäneet Liikenne- ja viestintävirastolta (Traficom) neuvontaa seuraaviin tilanteisiin.

Kansallinen palveluarkkitehtuuri TUNNISTUSPALVELU INFO

Viestintäviraston määräysluonnoksen 72/2016 M vaikutusarviointi

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

Mitä eidas-asetus pitää sisällään ja mitä ei. Anne Lohtander

Laki digitaalisten palvelujen tarjoamisesta Erityisesti 2. luku

Liikenne- ja viestintävaliokunnalle

Suomi.fi-palveluväylä

Liikenne- ja viestintävaliokunta.

Yhteyshenkilöt. Luottamuksellinen. Päiväys Sopimusnumero xxxxxxxx. Sopimus Telian tunnistuspalvelun käyttöoikeudesta Luottamusverkostossa

Varmaa ja vaivatonta viestintää

FiCom ry:n lausunto HE-luonnoksesta sähköisen asioinnin tukipalveluiksi

Tunnistusmääräyksen 72A Tupas-muutos. 2. kuulemistilaisuus

Ensitunnistamisen ketjuttamisen oikeudenmukaisen ja kohtuullisen korvauksen vahvistaminen

Liikenne- ja viestintäministeriö U-JATKOKIRJE LVM VTI Simola Kreetta(LVM) JULKINEN. Eduskunta.

Sähköisen tunnistamisen eidastilannekatsaus

Varmaa ja vaivatonta

Osoite: Lintulahdenkuja 4, Helsinki

Handelsbankenin tunnistuspalvelun käyttöoikeuden toimitusehdot tunnistusvälityspalvelulle

Liikenteen palveluista annettuun lainsäädäntöön liittyvät Trafin määräyksenantovaltuudet. Aino Still

SÄHKÖISEN TUNNISTAMISEN PALVELU KANSALLISESSA PALVELUARKKITEHTUURISSA

Suomi.fi-palvelut ja kirjastot. Matti Sarmela

Vahvan sähköisen tunnistamisen palvelujen tunnistusperiaatteet

Määräys. 1 Soveltamisala

Lippu-käytännesääntötyöpaja Osapuolten roolit - Sopimusten erityiskysymyksiä -Jatkotyö

Tekijänoikeussopimukset

Sähköisen tunnistamisen järjestäminen julkisessa

Suomi.fi-tunnistus ja eidas

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Lausuntoyhteenveto ja linjaukset määräys 72A/2018

Toivo-ohjelmaan liittyvä keskeinen lainsäädäntö. Hallituksen esitysten mukaisesti Mikko Huovila / STM OHO DITI

TIETOSUOJASELOSTE ASIAKASTIETOREKISTERI EUROPCAR FORM REKISTERINPITÄJÄ YHTEYSHENKILÖ REKISTERIN NIMI REKISTERÖIDYT HENKILÖT

POP PANKIN TUNNISTUSPALVELUN PALVELUKUVAUS

Siilinjärven kunta ja Valtion IT-palvelukeskus

Luottamusverkoston tunnistuspalvelusopimuksen tekevät pankki ja Tunnistuspalvelun tarjoaja.

KUV/12370/48/ VAHVA SÄHKÖINEN TUNNISTAMINEN JA SÄHKÖISET ALLEKIRJOITUKSET

suomi.fi Suomi.fi -palvelunäkymät

Yleiset ehdot tunnistustapahtumien välittämisestä ja muusta yhteistyöstä luottamusverkostossa

Palvelukuvaus 1 (10) Handelsbankenin tunnistuspalvelun palvelukuvaus

Osakehuoneistorekisteri Osakeluettelon siirto. Paavo Häikiö Digipäivä

Laki. vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta

Lintulahdenkuja 4, Helsinki / Teknologiakatu 7, Kokkola. Puhelin (vaihde) , sähköposti kirjaamo(a)vrk.fi

Lausunto ID (5)

Webinaarin sisällöt

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Määräykset ja ohjeet X/2013

Määräykset ja ohjeet 14/2013

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Kansallinen tunnistusratkaisu. Erityisasiantuntija Markus Rahkola Valtiovarainministeriö

LUONNOS ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

Asetus valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä

OP Tunnistuksen välityspalvelun yleiset ehdot

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Laki. julkisen hallinnon yhteispalvelusta annetun lain muuttamisesta

2. Maksutoimeksiantopalveluja ja tilitietopalveluja koskeva sääntely

OMA SÄÄSTÖPANKKI OYJ:N SOPIMUSEHDOT TUNNISTUSVÄLITYSPALVELUN TARJOAJILLE

Määräyksen 72 perustelut ja soveltaminen. Sähköiset tunnistus- ja luottamuspalvelut

SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA

suomi.fi Suomi.fi-palveluväylä

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Punkalaitumen kunta ja. Valtion tieto- ja viestintätekniikkakeskus. Valtori

Henkilötietojen käsittelyn ehdot. 1. Yleistä

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

Yhdenmukainen arviointi ja asiakkaan oikeudet

Tunnistus- ja luottamuspalveluiden arviointikertomukset

Määräykset ja ohjeet 14/2013

OMA SÄÄSTÖPANKIN TUNNISTUSPALVELUN PALVELUKUVAUS

Henkilötietolain (521/1999) 10 ja 24 :ssä säädetyistä tiedoista koostuva tietosuojaseloste. Tietosuojaseloste on laadittu

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

LAUSUNTO. LAUSUNTO VRK/5246/ (6) Saavutettavuus KEH/EL

Suomi.fi-maksujen käyttöönotto valtionhallinnossa. VALTION TALOUSHALLINTOPÄIVÄ Finlandia-talo

Suomi.fi-palvelut. Kokonaisuuden ja palveluiden esittely lyhyesti Versio 1.0

Työneuvoston lausunto TN (24/97)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Lausunto. Eläketurvakeskus pitää esitystä muilta osin tarpeellisena, mutta tukipalvelujen muuttamista maksullisiksi Eläketurvakeskus ei kannata.

/539/2004 VIESTINTÄVIRASTON PÄÄTÖS ULKOMAANPUHELUIDEN TARJOAMISESTA ALKUISESTA NUMEROSTA

Määräys sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista

Pyrimme vastaamaan muutaman arkipäivän kuluessa rekisteriä koskeviin kysymyksiin.

METANOIA INSITITUUTTI OY TIETOSUOJAREKISTERISELOSTE

LUONNOS APPORTTIOMAISUUDEN LUOVUTUSKIRJA JÄRVENPÄÄN KAUPUNKI JÄRVENPÄÄN ATERIA- JA SIIVOUSPALVELUT JATSI OY. 2017

Transkriptio:

Muistio 1 (10) Dnro: 22.9.2017 658/620/2017 Viestintäviraston tulkintamuistio kertakirjautumisesta ja eräistä muista kysymyksistä vahvassa sähköisessä tunnistamisessa 1 Tulkintamuistion tarkoitus Tunnistuspalvelun tarjoajat ovat esittäneet Viestintäviraston tunnistus- ja luottamuspalvelutyöryhmässä tulkintakysymyksen siitä, onko kertakirjautuminen vahvalla sähköisellä tunnistusvälineellä mahdollista tunnistuslain mukaan. VM:n ja LVM:n vetämässä luottamusverkoston hallintamallityöryhmässä linjattiin vuonna 2015, ettei kertakirjautumista määritellä luottamusverkostossa, mm. koska tietoturvallisen käsittelyn määrittely on haasteellista. Asiaa ei ole siksi työstetty Viestintäviraston tunnistus- ja luottamuspalvelutyöryhmässä 2016, mutta toimijat ovat nostaneet kysymyksen uudestaan esille. Tämän muistion tarkoituksena on antaa toimijoille ennakoivaa neuvontaa tunnistuslain tulkinnasta. Kertakirjautumisen teknisesti tietoturvallisen toteutuksen määrittelyjä tarkastellaan yhdessä toimijoiden kanssa luottamusverkoston yhteistoimintaryhmän alatyöryhmässä syksyllä 2017. Määrittelyjen valmistuttua Viestintävirasto päättää erikseen niiden julkaisutavan. Seuraavissa kohdissa tarkastellaan tunnistuslain kannalta eri toimintamalleja, joita Viestintävirasto on tunnistanut arvioidessaan asiaa yhteistyössä tunnistuspalveluntarjoajien kanssa. 2 Asiointipalveluiden yhdistäminen (heikolla tunnistamisella) Asiointipalvelut voidaan yhdistää siten, että asiakasta ei tunnisteta vahvasti kaikkiin asiointijärjestelmiin. Asiointipalveluiden yhdistäminen perustuu tällöin asiointipalveluiden asiakasrekistereihin, asiakassuhteisiin ja sopimuksiin. Valmistelussa tästä mallista on käytetty myös termiä portaalimalli. 1) Käyttäjä tunnistetaan vahvalla sähköisellä tunnistamisella asiointipalveluun A. 2) Käyttäjän kannalta ajallisesti samaksi miellettävässä asiointitapahtumassa käyttäjä siirretään muiden asiointipalveluiden (B-N) järjestelmiin tai muiden asiointipalveluiden (B-N) järjestelmistä haetaan käyttäjään liittyviä asiointitietoja asiointipalveluun A.

2 (10) Vahvaa sähköistä tunnistustapahtumaa tai siinä saatua tietoa ei välitetä palvelusta A muihin asiointipalveluihin B-N. Siirtymän tai asiointipalveluiden yhdistelyn luotettavuutta ei perusteta vahvaan sähköiseen tunnistamistapahtumaan. Asiointitapahtumien yhdistely perustuu asiointipalveluiden A ja asiointipalveluiden B-N omiin asiakasrekistereihin ja sopimuksiin. Henkilötietojen käsittelyoikeuden on perustuttava yleiseen henkilötietolainsäädäntöön. Yhdistäminen voidaan rinnastaa tunnistuslain kannalta esimerkiksi siihen tilanteeseen, että asiointipalvelu luo asiakkaalleen käyttäjätunnus-salasana -parin. 3 Kertakirjautuminen vahvalla sähköisellä tunnistamisella 3.1 Yleistä Asiointipalvelut yhdistetään samaan asiointitilanteeseen siten, että asiakas tunnistetaan vahvasti kaikkiin asiointijärjestelmiin. Viestintävirasto katsoo, että luottamusverkoston ja tunnistuslain vaatimusten piiriin kuuluvan tunnistusvälityspalvelun on hallinnoitava kertakirjautumista, jotta vastuu sen luotettavuudesta voidaan turvata. Kertakirjautumisen tarjoaminen on tunnistuslain valossa sallittua, kunhan se täyttää kaikilta osin säännösten vaatimukset. Kertakirjautumisen tarjontaa ei ole tunnistuslain valossa perusteltua kategorisesti rajoittaa. Viestintävirasto huomauttaa, että toimijoiden on mahdollisten rajoitusten harkinnassa hyvä ottaa huomioon yleinen kilpailulainsäädäntö. 3.2 Mallin kuvaus Valmistelussa tästä mallista on käytetty myös termiä kertakirjautumisen välityspalvelumalli. Tämä tarkoittaa sitä, että luottamusverkostoon kuuluva tunnistusvälityspalvelu ylläpitää kertakirjautumista ja vastaa siitä, että sen luotettavuus täyttää vahvan sähköisen tunnistamisen vaatimukset. Tässä muistiossa ei enää tarkastella sitä valmistelun aikana esillä ollutta vaihtoehtoa, että asiointipalvelut vastaisivat vahvan sähköisen tunnistamisen säädetyistä vaatimuksista. 1) Käyttäjä tunnistautuu vahvalla sähköisellä tunnistamisella asiointipalveluun A. Tunnistaminen perustuu asiointipalvelu A:n ja luottamusverkostoon kuuluvan tunnistusvälityspalvelun sopimukseen. 2) Käyttäjän kannalta ajallisesti samaksi miellettävässä asiointitapahtumassa käyttäjä siirretään muiden asiointipalveluiden (B-N) järjestelmiin tai muiden asiointipalveluiden (B-N) järjestelmistä haetaan käyttäjään liittyviä asiointitietoja asiointipalveluun A vahvan sähköisen tunnistuksen perusteella ilman, että käyttäjän tarvitsee tunnistautua uudelleen vahvasti siirtymien tai tiedonhakujen yhteydessä. Vahva sähköinen tunnistustapahtuma ja siinä saatu tieto välitetään myös asiointipalveluihin B-N. Asiointipalvelukokonaisuus tukeutuu jokaisen asiointipalvelun asiointi-istunnon osalta vahvaan sähköiseen tunnistamiseen.

3 (10) Tunnistusvälityspalvelu yhdistää ne asiointipalveluistunnot, joissa halutaan hyödyntää samaa vahvaa tunnistustapahtumaa. Kertakirjautuminen pysyy luottamusverkostoon kuuluvan tunnistusvälityspalvelun vastuulla ja hallinnassa ja vahvan sähköisen tunnistuksen sääntelyn piirissä. 3.3 Käyttäjän näkökulma 3.3.1 Säännökset Tunnistuslain 15 :ssä säädetään tiedoista (sopimusehdoista), jotka tunnistusvälineen tarjoajan on annettava käyttäjälle ennen sopimuksen tekemistä. Lain 20 :ssä todetaan, että tunnistusvälineen liikkeelle laskeminen perustuu tunnistusvälineen hakijan ja tunnistuspalvelun tarjoajan väliseen sopimukseen. Sopimus on tehtävä kirjallisesti. Sopimus voidaan tehdä myös sähköisesti, jos sen sisältöä ei voida yksipuolisesti muuttaa ja se säilyy osapuolten saatavilla. Lain 23 :ssä säädetään tunnistusvälineen haltijan velvollisuuksista ja mm. siitä, ettei haltija saa luovuttaa välinettä toisen käyttöön. Lain 21 27 :issä säädetään muutoinkin tunnistusvälineen tarjoajan ja tunnistusvälineen haltijan oikeuksista ja velvollisuuksista. 3.3.2 Käyttäjäkokemus Käyttäjän näkökulmasta tunnistautuminen asiointipalvelusta toiseen siirryttäessä voi tuntua käytännössä hankalalta.

4 (10) Toisaalta käyttäjän asioinnin turvallisuus voi heikentyä, jos asiointisessioita ketjutetaan ja tukeudutaan vanhaan kirjautumistietoon, koska se lisää epäselvyyttä siitä, mihin käyttäjä on kirjautuneena, väärinkäytösriskiä ja kovin pitkäkestoisena myös heikentää tunnistuksen ajantasaisuutta. Jotta käyttäjä pystyy pysymään perillä siitä, missä palveluissa hän on kirjautuneena, kertakirjautuminen edellyttää hyvää istuntojen hallintaa ja käyttäjän informoimista siitä ja lisäksi suojakeinoja huolimattomalle tai osaamattomalle käyttäjälle, jotta vaara oikeudettomaan asiointiin tämän identiteetillä minimoidaan. Kertakirjautumisen keston tulee olla myös ajallisesti tarkkaan rajattua, jotta istunnot eivät jää voimaan liian pitkäksi aikaa. 3.4 Tekninen tarkastelu 3.4.1 Säännökset Tunnistuslain 8 :ssä ja 8 a :ssä säädetään tunnistusjärjestelmän ja tunnistusmenetelmän luotettavuusvaatimuksista mukaan lukien tietoturvallisuus. Vaatimuksia tarkennetaan tunnistuslain nojalla annetussa Viestintäviraston määräyksessä 72/2016 M. Määräyksen 9 :ssä määrätään tietoturvavaatimuksista asiointipalvelurajapinnassa. Tunnistuslain 8.2 :n mukaan 3.4.2 Tekninen toteutus Jokaisessa tunnistusmenetelmässä on käytettävä sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.3.1 tarkoitettua sellaista dynaamista todentamista, joka muuttuu jokaisessa uudessa henkilön ja hänen henkilöllisyytensä varmentavan järjestelmän välillä tapahtuvassa todentamistapahtumassa. Viestintävirasto valvoo, että kertakirjautuminen täyttää säännösten vaatimukset. Toteutuksen tulee kuulua säännöksissä edellytetyn säännönmukaisen arvioinnin piiriin, kuten muidenkin teknisten toimenpiteiden. Kertakirjautuminen vahvana sähköisenä tunnistuksena edellyttää sitä, että identiteettitiedon siirtäminen useampiin asiointipalveluihin tapahtuu tietoturvallisesti vahvan sähköisen tunnistuspalveluntarjoajan kontrollissa. Teknisesti istunnon hallinta tunnistusvälityspalvelussa ja asiointipalvelussa on mahdollista esimerkiksi evästeen avulla. Lisäksi tunnistusvälityspalvelun olisi välitettävä kirjautumistieto kolmansille tahoille eli muille asiointipalveluille esimerkiksi SAML-protokollaa käyttäen. Tunnistusvälityspalvelu ei vastaa asiointipalvelun tietoturvallisuudesta, mutta M72 mukaan tunnistusvälityspalvelu vastaa oman ja asiointipalvelun välisen rajapinnan tietoturvallisuudesta. Jos tunnistustapahtuman perusteella siirretään identiteettitietoa useampiin asiointipalveluihin, tunnistusvälityspalvelu voi vaikuttaa siirtämisen tietoturvallisuuteen vain, jos siirtyminen tapahtuu välityspalvelun kautta ja tunnistusvälityspalvelun istuntotietoa hyödyntäen. Tunnistusvälityspalvelun olisi siis hallinnoitava sitä, että eri istunnot liittyvät samaan tunnistustapahtumaan.

5 (10) 3.5 Tietosuoja Tekniseen toteutukseen liittyviä kysymyksiä on tarkoitus tarkastella erikseen syksyn 2017 aikana luottamusverkoston yhteistoimintaryhmän teknisessä alatyöryhmässä. Tarkasteltavia seikkoja ovat esimerkiksi evästeiden tai muiden teknisten hallintatapojen käyttö, istuntojen turvalliset aikarajat ja istuntojen purkaminen. 3.5.1 Säännökset Tunnistuslain 6 :ssä ja 7 :ssä säädetään henkilötietojen käsittelystä vahvassa sähköisessä tunnistamisessa. Lain 24 :ssä säädetään tunnistustapahtumia koskevien tietojen tallentamisesta ja oikeudesta käsitellä tietoja mm. tunnistusvälineen haltijan tai tunnistuspalvelua käyttävän asiointipalvelun pyynnöstä. 3.5.2 Tietosuojakäytänne Välineen tarjoajan ja välityspalvelun välillä tehtävissä sopimuksissa on suositeltavaa noudattaa luottamusverkoston käytännesääntöjä ja niiden liitteenä olevaa tietosuojakäytännettä (Viestintäviraston suositus 216/2017 S). Välityspalvelun tarjoajan ja asiointipalvelun välisessä sopimuksessa on huomioitava myös henkilötietojen käsittelyyn liittyvät kysymykset. Tunnistustietoja ei saa välittää eteenpäin sellaiselle osapuolelle, joka ei ole lain mukaan oikeutettu käyttämään henkilötietoja. 3.6 Tunnistusperiaatteet ja käyttörajoitukset 3.6.1 Säännökset Tunnistuslain 14 :n mukaisissa tunnistusperiaatteissa on oltava keskeiset tiedot mm. kaikista palveluun sovellettavista ehdoista. Tunnistuslain 18 :n mukaan tunnistusvälineen tarjoaja voi asettaa välineelle sekä sopimusperusteisia että teknisiä käyttörajoituksia. 18 Oikeustoimen tekemiseen kohdistuvat estot ja rajoitukset Tunnistuspalvelun tarjoajan, tunnistuspalvelua käyttävän palveluntarjoajan sekä tunnistusvälineen haltijan välisillä sopimuksilla voidaan tunnistusvälineen käyttäminen oikeustoimien tekemiseen estää. Lisäksi oikeustoimien tekemiselle voidaan asettaa sekä käyttötarkoitukseen että tapahtumien rahamääräiseen arvoon liittyviä rajoituksia. Tunnistuspalvelun tarjoajan on huolehdittava siitä, että estot tai rajoitukset ovat kaikkien osapuolten tiedossa tai havaittavissa helpolla tavalla. Tunnistuspalvelun tarjoaja voi myös toteuttaa estot tai rajoitukset teknisin keinoin. Tunnistuspalvelun tarjoaja ei vastaa niistä toimista, jotka on tehty estojen tai rajoitusten vastaisesti siitä huolimatta, että tunnistuspalvelun tarjoaja on toiminut huolellisesti. Tunnistuspalvelun tarjoajan on järjestettävä tunnistuspalvelua käyttävälle palveluntarjoajalle mahdollisuus tarkastaa tunnistusvälineeseen liittyvät estot tai rajoitukset ympäri vuorokauden. Velvollisuutta ei kuitenkaan ole, jos tunnistusvälineen estojen tai rajoitusten vastainen käyttö on teknisin keinoin estetty. Tunnistuslain 12 a :n 2 momentin mukaan:

6 (10) Luottamusverkostoon kuuluvan tunnistuspalvelun tarjoajan on noudatettava sellaisia hallinnollisia käytäntöjä, jotka mahdollistavat tunnistuspalveluita tarjoavien ja niitä hyödyntävien sähköisten palveluntarjoajien tarjoamien palveluiden yhteentoimivuuden sekä tarjottava tekniset rajapinnat, jotka luovat edellytykset tunnistuspalveluita tarjoavien ja niitä hyödyntävien toimijoiden väliselle toiminnalle. 3.6.2 Soveltaminen kertakirjautumisen mahdolliseen rajoittamiseen Viestintävirasto katsoo säännösten perusteella, että jos kertakirjautuminen tunnistusvälineellä halutaan estää: rajoituksen tulee olla tarkistettavissa tunnistuslain 18.3 :n mukaisesti ympäri vuorokauden, samat rajoitukset pätevät sekä tunnistusvälineen tarjoajan omaan välitystoimintaan että ulkoiseen välitystoimintaan (12 a ) ja rajoitusten tulee ilmetä tunnistuslain edellyttämällä tavalla käyttäjän sopimusehdoista (15.1 7 k.) ja tunnistusperiaatteista (14 ). Viestintäviraston suosituksessa luottamusverkoston käytännesäännöistä (Viestintäviraston suositus 216/2017 S, k. 4.10 Välineiden käyttörajoitukset) todetaan seuraavaa: Tunnistusvälineen tarjoaja voi asettaa välineelle sekä sopimusperusteisia että teknisiä käyttörajoituksia (18 ). Tunnistuspalvelun tarjoajan tulee kuitenkin kohdella asiakkaitaan syrjimättä ja tunnistusvälineiden hakijoita tasapuolisesti sopimuksen tekemisen yhteydessä (20 ). Välineiden mahdollisista käyttörajoituksista on sovittava sopijapuolten välisissä sopimuksissa. Tunnistuspalvelun tarjoajan on huolehdittava siitä, että estot tai rajoitukset ovat kaikkien osapuolten tiedossa tai havaittavissa helpolla tavalla. Lainsäätäjän tahtotila on saada markkinoille yleis- ja laajakäyttöisiä tunnistusvälineitä, jotka käyvät kaikenlaiseen asiointiin. Tunnistusvälineitä voidaan pitää tietoyhteiskunnan peruspalveluina (ks. mm. LiV 12/2009 ja LiV 33/2014). Yleiskäyttöisyydestä poikkeaville rajoituksille on oltava perusteltu tarve eikä rajoituksia saa käyttää enempää kuin on oikeassa suhteessa poikkeamisen oikeuttavan perustellun tarpeen saavuttamiseksi. Käyttörajoituksilla ei saa tarkoituksellisesti estää laillisen liiketoiminnan harjoittamista. Jos siis tunnistusvälineen käyttöä sähköisessä asioinnissa asiointipalvelussa poikkeuksellisesti rajoitetaan tunnistuslain 18 :n mukaisella käyttörajoituksella, on tunnistusvälineen tarjoajan huolehdittava siitä, että käyttörajoitus on tunnistusvälineen haltijan ja asiointipalveluiden tiedossa ja helposti havaittavissa. Käyttörajoitusten on oltava tarkistettavissa tunnistuslain 18.3 :n mukaisesta palvelusta, paitsi jos niiden vastainen käyttö on teknisin keinoin estetty. Tunnistusvälineen käyttörajoitusten tulee olla samoja riippumatta tunnistuksen välittävästä tahosta. Rajoitukset eivät siten voi riippua siitä, tarjoaako tunnistuspalvelun asiointipalvelulle tunnistusvälineen tarjoaja itse tunnistusvälityspalvelun roolissa vai muu tunnistusvälityspalvelun tarjoaja, joka välittää tunnistusvälineen tarjoajan siirtämiä tunnistetietoja. Tunnistusvälineen tarjoaja voi edellyttää, että tunnistuslain 18 :n mukaisia (tunnistusvälineen haltijan tiedossa olevia) käyttörajoituksia noudatetaan myös luottamusverkoston toimijoiden välillä ja että välityspalvelun tarjoaja huolehtii tästä myös asiointipalvelujen kanssa tekemissään sopimuksissa.

7 (10) Tunnistuslain 18.1 :ään perustuvia rajoituksia tai oikeustoimien tekemiseen kohdistuvia estoja ei voi määritellä sopimusehdoissa asiakas- tai asiointipalvelukohtaisesti. Asiointipalvelukohtaista käyttörajoitusta ei voida pitää lainkohdan tarkoittamalla tavalla "käyttötarkoitukseen" liittyvänä rajoituksena. Tämä merkitsee, että käyttörajoitus on määriteltävä yleisemmällä tasolla. HE 36/2009, s. 57: Ehdotetusta momentista käy ilmi, että rajoitukset voivat kohdistua niihin käyttötarkoituksiin, joihin tunnistusvälinettä voi käyttää, [e]simerkiksi tehtävien oikeustoimien laatua voidaan rajoittaa. Rajoitukset voivat olla myös euromääräisiä. Mikään ei myöskään estä asettamasta molempia rajoituksia tunnistusvälineeseen. Julkishallinnon palveluihin tunnistamisesta säädetään laissa hallinnon yhteisistä sähköisen asioinnin tukipalveluista (607/2016). Kertakirjautumisen toteuttaminen Suomi.fi-tunnistuksessa kuuluu tämän lain piiriin. Käytännesääntöjä valmisteltaessa on todettu Kilpailu- ja kuluttajaviraston kanssa käytyjen keskustelujen perusteella, ettei käytännesäännöissä ole perusteltua rajoittaa kategorisesti kertakirjautumisen käyttämistä. Kertakirjautumisen mahdollisten rajoitusten tulisi ilmetä tunnistusperiaatteissa. Tunnistusvälityspalvelun kohdalla tunnistusperiaatteita on kutsuttu Viestintäviraston neuvonnassa ja ohjeissa myös välitysperiaatteiksi. 3.7 Hintasääntelystä 3.7.1 Säännökset Tunnistuslain 12 a :ssä säädetään 10 sentin enimmäishinta, jonka tunnistusvälineen tarjoaja voi periä tunnistusvälityspalvelulta tunnistetiedon välittämisestä. Lain 12 a :n sanamuoto koskee tunnistetiedon välittämistä: tunnistuspalvelun tarjoajan lähettäessä sähköiseen tunnistusvälineeseen liittyvää tietoa toiselle sähköisen tunnistuspalvelun tarjoajalle edelleen välitettäväksi, välitettävästä tunnistetiedosta tulee suorittaa lähettäjälle korvaus. Välitettävästä tunnistetiedosta perittävä korvaus voi olla enintään 10 senttiä. Lain perusteluissa HE 272/2014 todetaan seuraavaa: 3.7.2 Soveltaminen Tunnistuspalveluiden tarjoajat voivat keskinäisellä sopimuksella sopia myös alemmasta hinnasta tai hinnoittelusta, joka mahdollistaa tapahtumamääristä riippumattoman korvauksen. Keskimääräinen korvaus välitettävästä tunnistetiedosta ei saa kuitenkaan ylittää 10 sentin enimmäiskorvausta. Viestintävirasto katsoo, että lain sanamuoto tukee tulkintaa, että enimmäishinta on 10 senttiä mahdollisesta kertakirjautumisesta riippumatta. Virasto ei ota tässä vaiheessa kantaa hinnoittelumalleihin tai kertakirjautumisen huomioimiseen niissä. 4 Erityistapaus: Tunnistusvälineen tarjoajan oma asiointipalvelu Tunnistuslakia ei sovelleta lain 1 :n mukaan yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.

8 (10) Näin ollen lakia ei sovelleta esimerkiksi verkkopankkitunnusta tarjoavan pankin tai mobiilivarmennetta tarjoavan teleyrityksen tarjoaman vahvan sähköisen tunnistusvälineen käyttöön sen omassa sähköisessä asiointipalvelussa (kohdassa 3.2 olevassa kuvassa e-service A). Konsernin tai yhtiön yhteisen järjestelmän sisällä asiointi voidaan katsoa lain tarkoittamaksi omaksi sähköiseksi asiointipalveluksi. Jos tunnistusvälineen tarjoajan omaan asiointipalveluun yhdistetään muita asiointipalveluita, tätä ei voida katsoa enää lain tarkoittamaksi omaksi palveluksi ja laki tulee sovellettavaksi. Tällöin asiointi voidaan toteuttaa joko ilman vahvaa sähköistä tunnistamista kohdan 2 mukaisesti tai vahvalla sähköisellä tunnistamisella kohdan 3 mukaisesti. 5 Tunnistusvälityksen alihankinta tai jälleentarjonta 5.1 Tiivistelmä Sähköisten asiointipalveluiden toteuttamisessa vahva sähköinen tunnistaminen on usein vain yksi toiminto. Tunnistusvälityksen tarjoajan lisäksi asiointipalveluun voi liittyä muita toimijoita, kuten palvelualustan tekninen toteuttaja. Viestintävirasto arvioi, että luottamusverkostoon kuuluvan tunnistusvälityspalvelun täytyy vastata vahvasta sähköisestä tunnistamisesta asiointipalvelurajapintaan saakka. Tämä tarkoittaa sopimuksellisesti sitä, että esimerkiksi palvelualustan tekninen toteuttaja on katsottava tunnistusvälityspalvelun vastuulla toimivaksi alihankkijaksi (kohta 5.2.1). Edelleen tämä tarkoittaa sopimuksellisesti sitä, että muut kuin vahvan sähköisen tunnistamisen luottamusverkostoon rekisteröidyt toimijat eivät voi jälleentarjota vahvaa sähköistä tunnistusta asiointipalveluille (kohta 5.2.2). Viestintävirasto ei ole pystynyt tunnistamaan sellaisia objektiivisia kriteerejä, joiden perusteella tai joiden mukaisesti luottamusverkostoon kuulumaton toimija voisi perustellusti tarjota vahvaa sähköistä tunnistusta asiointipalveluille. 5.2 Alihankinta vai jälleentarjonta Kohdassa 3 tarkoitetusta kertakirjautumisesta erillisenä kysymyksenä on tarkasteltava erilaisia sopimusmalleja välityspalvelun ja asiointipalvelun välillä, jos mukana on myös sopimuksia kokoava välityspalvelun alihankkija tai muita osapuolia. Tunnistusvälityspalvelun ja asiointipalvelun sopimussuhde vahvasta sähköisestä tunnistuspalvelusta voidaan käytännössä järjestää eri tavoilla. Asiointipalvelun ja tunnistusvälityspalvelun lisäksi palveluketjussa voi tyypillisesti olla mukana asiointipalveluille yhteistä palvelualustaa tarjoava toimija. Tunnistuslain kannalta on tarpeen tunnistaa, kuka vastaa vahvan sähköisen tunnistamisen vaatimustenmukaisuudesta. Tällöin on arvioitava, toimiiko luottamusverkostoon kuulumaton palvelualustan tarjoaja tunnistusvälityspalvelun alihankkijana tai asiointipalvelun alihankkijana vai onko sen katsottava toimivan palveluketjussa itsenäisenä tunnistusvälityspalveluna. Arvioinnissa on merkityksellistä, kenen kanssa asiointipalvelu sopii tunnistus-

9 (10) 5.2.1 Alihankinta palvelusta ja kuka huolehtii teknisesti asiointipalvelurajapinnan toteuttamisesta määräyksen 72 tarkoittamassa mielessä. Sopimusten kannalta asiaa voidaan arvioida alihankintana tai jälleentarjontana seuraavissa kohdissa kuvatulla tavalla. Tunnistusvälityspalvelun tarjoaja sopii asiointipalvelun kanssa vahvasta sähköisestä tunnistuksesta ja siitä, että asiointipalvelussa tunnistus välitetään palvelualustan tarjoajan järjestelmän kautta. Niissä tilanteissa, joissa asiointipalvelu tekee sopimuksen vahvasta sähköisestä tunnistuspalvelusta suoraan tunnistusvälityspalvelun kanssa, palvelualustan tarjoaja on lähtökohtaisesti katsottava tunnistusvälityspalvelun alihankkijaksi. Tällöin tunnistusvälityspalvelu vastaa siitä, että palvelualustan tarjoajan toiminta vastaa tunnistusvälitykseen vaikuttavalta osalta tunnistuslain vaatimuksia. Jokaisella asiointipalvelulla voi olla oma yhteys tunnistusvälityspalveluun tai palvelualustan tarjoajalla voi olla yksi koottu yhteys tunnistusvälityspalveluun. Tämä asiointipalvelukohtainen yhteyksien eriyttäminen on arvioitava tunnistusjärjestelmän tietoturvallisuusvaatimusten perusteella. 5.2.2 Jälleentarjonta Tunnistusvälityspalvelu sopii palvelualustan tarjoajan kanssa, että palvelualustaa käyttäville asiointipalveluille toteutetaan asiakkaiden vahva sähköinen tunnistus.

10 (10) Jos asiointipalvelun sopimus vahvasta sähköisestä tunnistuksesta tehtäisiin muun kuin luottamusverkostoon kuuluvan toimijan kanssa, tunnistuksen tarjoaja ei kuuluisi sääntelyn ja valvonnan piiriin. Perusperiaate vahvan sähköisen tunnistuksen sääntelyssä on se, että koko vahvan tunnistuksen tarjonnan ketju asiointipalvelurajapintaan saakka on sääntelyn vaatimusten piirissä. Siten Viestintävirasto katsoo lähtökohtaisesti, että jos palvelualustan tarjoaja tekee sopimuksia myös tunnistuspalvelusta asiointipalveluiden kanssa omissa nimissään, se olisi katsottava tunnistuspalvelun tarjoajaksi, jonka tulisi olla luottamusverkostoon ilmoittautunut valvottu toimija.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute