Valtiontalouden tarkastusvirasto 1(7) Liikenne- ja viestintäministeriö 28.11.2008



Samankaltaiset tiedostot
Sähköisen tunnistamisen kehittäminen Suomessa

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Viestintäviraston tulkintamuistio vahvan ja heikon tunnistuspalvelun

Liikenne- ja viestintävaliokunnalle

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

1. Arvionne lukuun 1 Johdanto

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Liikenne- ja viestintäministeriö U-JATKOKIRJE LVM VTI Simola Kreetta(LVM) JULKINEN. Eduskunta.

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

VALTIONEUVOSTON PERIAATEPÄÄTÖS SÄHKÖISESTÄ TUNNISTAMISESTA

Hallituksen esitys. Finrail Oy. Lausunto Asia: LVM/2394/03/2017. Yleiset kommentit hallituksen esityksestä

HE 21/1996 vp. Hallituksen esitys Eduskunnalle laiksi tieliikennelain 70 ja 108 :n muuttamisesta

Tiedollinen itsemääräämisoikeus ja MyData

Lausunto ID (5)

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Sähköisen asioinnin lainsäädännön seuranta- ja kehittämistutkimus

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Tiemaksut ja maksajan oikeusturva. Mirva Lohiniva-Kerkelä Dosentti, yliopistonlehtori Lapin Yliopisto

7 Poliisin henkilötietolaki 50

Liikenne- ja viestintävaliokunnalle

Kansallinen tietosuojalaki

YMPÄRISTÖMINISTERIÖ Muistio Luonnos EHDOTUS VALTIONEUVOSTON ASETUKSEKSI YMPÄRISTÖVAIKUTUSTEN ARVI- OINTIMENETTELYSTÄ

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

TIETOSUOJAVALTUUTETUN TOIMISTO

LAUSUNTOPYYNTÖKYSELY HALLITUKSEN ESITYSLUONNOKSESTA LAIKSI SOSIAALI- JA TERVEYSPALVELUJEN TUOTTAMISESTA

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

Arvio lainmuutostarpeista tiekarttatyöryhmän esitys

Päätös. Laki. sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta

PÄÄASIALLINEN SISÄLTÖ

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Lausunto Onko esityksen vaikutusarviossa jäänyt mielestänne joitain keskeisiä vaikutussuhteita huomioimatta? Jos kyllä, niin mitä?

Työeläkevakuutusyhtiöille sallitun myynti- ja markkinointiyhteistyön rajat sekä salassa pidettävien tietojen luovuttaminen

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

HE 250/2016 vp Hallituksen esitys eduskunnalle laiksi kuntalain muuttamisesta

1994 vp - HE 28 ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

HE 44/1997 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset

EHDOTUS VALTIONEUVOSTON ASETUKSEKSI YMPÄRISTÖVAIKUTUSTEN ARVI- OINTIMENETTELYSTÄ

HE 47/2018 vp. Hallituksen esitys eduskunnalle laiksi Energiavirastosta annetun lain 1 :n muuttamisesta

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

Ehdotus hallituksen esitykseksi eduskunnalle laiksi kielilain 5 :n muuttamisesta

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Lausunto Opetus- ja kulttuuriministeriölle. Viite: Lausuntopyyntönne (OKM/34/010/2018)

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Laki. kirkkolain muuttamisesta

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Toinen maksupalveludirektiivi HE 143/2017 vp. maksulaitos- ym. laeista

Euroopan unionin neuvosto Bryssel, 15. heinäkuuta 2014 (OR. en) OIKEUDELLISEN YKSIKÖN LAUSUNTO 1 Määräenemmistöpäätöksiä koskevat uudet säännöt

HE 151/2012 vp. Esityksessä ehdotetaan muutettavaksi kiinteistötietojärjestelmästä

Hallituksen esitys uudeksi laiksi Syyttäjälaitoksesta. Lausunnonantajan lausunto. Itä-Uudenmaan syyttäjänvirasto lausunto

FI Moninaisuudessaan yhtenäinen FI. Tarkistus. Isabella Adinolfi EFDD-ryhmän puolesta

Innovatiivinen toiminnan kehittäminen ja oikeat hankintamenettelyt. Pääjohtaja, OTT Tuomas Pöysti/VTV

Sote-uudistus ja laki sosiaali- ja terveyspalveluiden tuottamisesta mikä muuttuu? Kirsi Markkanen

HE 135/2018 vp. Hallituksen esitys eduskunnalle laiksi Ahvenanmaan itsehallintolain 30 :n muuttamisesta

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

1993 vp - HE Esityksen mukaan ympäristölle

HE 87/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Oikeudellisten asioiden valiokunta LAUSUNTOLUONNOS. sisämarkkina- ja kuluttajansuojavaliokunnalle

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

KUV/12370/48/ VAHVA SÄHKÖINEN TUNNISTAMINEN JA SÄHKÖISET ALLEKIRJOITUKSET

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

JULKISEN HALLINNON TIETOHALLINNON NEUVOTTELUKUNNAN ASETTAMINEN

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

Ehdotus NEUVOSTON DIREKTIIVI. direktiivien 2006/112/EY ja 2008/118/EY muuttamisesta Ranskan syrjäisempien alueiden ja erityisesti Mayotten osalta

LAUSUNTOPYYNTÖKYSELY HALLITUKSEN ESITYSLUONNOKSESTA LAIKSI SOSIAALI- JA TERVEYSPALVELUJEN TUOTTAMISESTA

Helsingin kaupunki Pöytäkirja 1 (5)

1. Nykytila. julkisuutta koskevalla lailla. Laki on tarkoitettu tulemaan voimaan samanaikaisesti. kuin laki viranomaisten toiminnan

Tutkittavan informointi ja suostumus

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Hallituksen esitysluonnos tieliikennelaiksi ja eräiksi siihen liittyviksi laeiksi

Eduskunnan talousvaliokunnalle

Valvonta ja pakkokeinot. Turun alueen rakennustarkastajat ry:n koulutus / Hallintojohtaja Harri Lehtinen / Turun kristillinen opisto 5.9.

PÄÄASIALLINEN SISÄLTÖ

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

VALTIONTALOUDEN TARKASTUSVIRASTON YLEISOHJEET JÄLKI-ILMOITUKSEN TEKE- MISESTÄ VUODEN 2011 EDUSKUNTAVAALEISSA

Webinaarin sisällöt

Arviomuistio julkisista kuulutuksista annetun lain (34/1925) uudistamistarpeista

HE 28/2008 vp. Esityksessä ehdotetaan muutettavaksi uuden

HE 69/2009 vp. säätää neuvontatehtävien hoidosta aiheutuvien kustannusten korvaamisesta maakunnalle.

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

Sähköisen asioinnin ensisijaisuus

Itsemääräämisoikeus ja yksityisyydensuoja

Eduskunnan perustuslakivaliokunta Helsinki

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Hallituksen esitys (6/2018 vp) eduskunnalle laiksi Ilmatieteen laitoksesta. Liikenne- ja viestintävaliokunta klo 12

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

Laki tavaramerkkilain muuttamisesta

Varmennekuvaus. Väestörekisterikeskuksen tilapäisvarmenne. v. 1. 4

Sähköisen viestinnän tietosuojalain muutos

Transkriptio:

Valtiontalouden tarkastusvirasto 1(7) 346/31/08 Liikenne- ja viestintäministeriö 28.11.2008 LAUSUNTO HALLITUKSEN ESITYKSEN LUONNOKSESTA LAIKSI VAHVASTA SÄHKÖI- SESTÄ TUNNISTAMISESTA JA SÄHKÖISISTÄ ALLEKIRJOITUKSISTA Liikenne- ja viestintäministeriö on pyytänyt Valtiontalouden tarkastusvirastolta lausuntoa hallituksen esityksen luonnoksesta laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista. Tarkastusvirasto kiinnittää lausunnossaan huomiota joihinkin keskeisiin ongelmakohtiin, joita hallituksen esitysluonnos ja sitä koskeva valmistelu pitävät sisällään. Kaikkiin ongelmiin tässä yhteydessä ei ole tarkoituksenmukaista puuttua hallituksen esityksen keskeneräisyyden vuoksi. Tarkastusvirasto toteaa lausuntonaan seuraavaa: Yleistä Valtiontalouden tarkastusvirasto pitää hyvänä, että liikenne- ja viestintäministeriö on ryhtynyt ripeisiin toimenpiteisiin toiminnantarkastuskertomuksen 161/2008 "Tunnistuspalveluiden kehittäminen ja käyttö julkisessa hallinnossa" johdosta. Tarkastusvirasto totesi kertomuksessaan kannanottonaan, että tunnistuspalveluiden tarjontaa harjoittavien toiminnan yhdenmukaistaminen ja rationalisointi, valvonnan tehostaminen, tietoturvallisuutta koskevat menettelyt, vapaiden tunnistuspalvelumarkkinoiden toimivuus sekä erityisesti yksilöiden oikeusturva ja tietosuoja edellyttävät tunnistuspalveluita ja sähköistä tunnistusta koskevaa lakitasoista sääntelyä. Tarkastusvirasto katsoi, että liikenne- ja viestintäministeriön, valtiovarainministeriön ja oikeusministeriön tulisi ryhtyä yhteistyössä pikaisiin toimenpiteisiin sähköisen tunnistuksen lainsäädännön kehittämiseksi. Tarkastusvirasto pitää valitettavana, että lainsäädäntöä on lähdetty kehittämään kiireellisellä aikataululla ilman huolellista ja laajapohjaista valmistelua, mistä johtuen hallituksen esityksen luonnos on monin osin ongelmallinen. Niin ikään ongelmana lain valmisteluprosessissa voidaan pitää ministeriön tapaa valmistella hallituksen esitys ministeriössä toimivan tunnistamisen kehittämisryhmään kuuluvien suppeiden intressiryhmien näkökulmasta. Tarkastusvirasto kiinnittikin huomiota tarkastuskertomuksessaan kyseisen ryhmän toiminnallisiin ongelmiin, jotka näkyvät liiankin selvästi nyt lausuntokierroksella olevassa hallituksen esityksen luonnoksessa. Luonnos on laadittu ryhmässä edustettujen yksityisten toimijoiden yksittäisten tunnistuspalveluiden kehittämishankkeiden näkökulmasta, jolloin tämän tasoisen lainsäädännön kehittämiselle ei ole nähtävissä kestävää pohjaa. Kuten hallituksen esityksen luonnoksessa todetaan, ehdotetun lain tarkoituksena on luoda Suomeen kilpaillut ja toimivat sähköisten tunnistuspalveluiden markkinat. Tästä näkökulmasta lain-

2 (7) lainvalmistelutyö tulisikin tehdä irrallaan sähköisen tunnistamisen kehittämisryhmän toiminnasta, koska hallituksen esityksen luonnoksesta läpipaistava lyhytjänteinen ja julkisen hallinnon intressin huomiotta jättävää valmistelutyötä voidaan pitää vakavana ongelmana. Tarkastusviraston näkemyksen mukaan lainsäädännölliset uudistukset sähköisen tunnistamisen osalta pitäisi tehdä julkisen hallinnon toimesta laajapohjaisessa työryhmässä, jossa on edustus liikenne- ja viestintäministeriön lisäksi valtiovarainministeriöstä, oikeusministeriöstä, työ- ja elinkeinoministeriöstä, sisäasiainministeriöstä sekä Suomen Kuntaliitosta. Koska valmistelutyö koskee erittäin suuressa määrin henkilötietojen suojaa koskevia kysymyksiä, tulisi työryhmässä olla mukana tietosuojavaltuutettu sekä Viestintäviraston edustus. Muut intressiryhmät voivat vaikuttaa lainsäädännön uudistamiseen, olemassa olevia vaikutuskanavia käyttämällä. Hallituksen esityksen luonnoksessa viitataan toistuvasti tunnistamisen kehittämisryhmän tekemiin linjauksiin, joita pidetään luonnoksessa kansallisina linjauksina. Kyseiset linjaukset lienevät vain kyseisen työryhmän esittämä näkemys asiasta, joka on hallituksen esityksen luonnoksessa laajennettu kansallisiksi linjauksiksi. Tarkastusvirasto totesi tarkastuskertomuksessaan, että tunnistamisen kehittämisryhmässä on edustettuna vain rajattu määrä alan eri toimijoita ja joillakin toimijoilla on ryhmässä yliedustus, mikä jo sinällään muodostaa ongelman muun muassa linjausten statuksen osalta. Lisäksi epäselvää on se, onko työryhmässä laaditut linjaukset tehty yksimielisesti vai vain enemmistön kannan mukaisena. Suljetun työryhmän jäsenten yksittäisiin yksityisten toimijoiden hankkeisiin viittaaminen hallituksen esityksessä ei liene suotavaa. Tällainen yksittäinen hankespekulaatio on esitetty luonnoksessa (s. 40/II) mobiilitunnistuksen käyttöönotosta vuonna 2009 ilman mitään tosiasiallisia sitoumuksia muun muassa aikatauluihin. Tarkastusviraston tarkastuskertomuksessaan esiin nostamissa sähköisen tunnistuksen ongelmien ratkaisussa vaaditaan sekä toiminnallisia että lainsäädännöllisiä uudistuksia, joita ei voida ratkaista vain yhtä lakia uudistamalla, vaan tilanne vaatii kokonaisarvion lainsäädännön kannalta ja uudistus tulee tehdä lainsäädännön kokonaisuudistuksena samanaikaisesti, jotta eri säädöksiin tehtävät muutokset tai uudistukset ovat samaan aikaan tiedossa sekä parlamentaarisessa käsittelyssä arvioitavissa yhtenä kokonaisuutena. Tarkastusviraston näkemyksen mukaan tarkastuskertomuksessa ilmenevät toiminnalliset ongelmat ovat senlaatuisia, että toiminta-alueen saattaminen kuntoon vaatii laajapohjaista viranomaisjohtoista lainsäädäntöä valmistelevaa työryhmätyöskentelyä. Käsitteistö ja käytetty kieli Hallituksen esityksen luonnoksessa käytetään käsitteistöä, joka on toiminta-alueen muun käsitteistön kanssa ongelmallinen. Luonnoksessa käytetään termiä tunnistamispalvelu. Kuitenkin yleisemmin käytetty termi on tunnistuspalvelu. Tunnistamispalvelu ja sitä lähellä olevat termit ovat myös ongelmallisia, koska ne on sekoitettavissa muun muassa sähköisen viestinnän tietosuojalaissa määriteltyyn tunnistamistiedon käsitteeseen. Ministeriön tulisikin selvittää olemassa oleva käyttäjän tunnistukseen liittyvä terminologia ja käsitteistö muun muassa VAHTI-ohjeistuksessa omaksutun mukaisesti. Huomiota on syytä kiinnittää myös käytettyihin sähköallekirjoitusdirektiivin ja sähköallekirjoituslain käyttöön virallisaineistossa. Kyseiset termit eivät ole kelvollista Suomen kieltä ja antavat lisäksi väärän kuvan säädösten sisällöstä, koska niissä säädetään sähköisistä allekirjoituksista (monikko). Lisäksi ministeriön on syytä tarkastaa sähköisistä allekirjoituksista annetun direktiivin virallinen kirjoitusasu, joka näyttää vaihtelevan luonnoksessa. Niin ikään ongelmana voidaan pitää sitä, että lainsäädäntöuudistuksessa ei ole otettu huomioon sähköisen allekirjoituksen osalta kolmitasojaottelu, joka on omaksuttu muun muassa oikeuskirjallisuudessa ja Viestintävirastossa. Direktiivistä johdettuja allekirjoituksen muotoja ovat sähköinen allekirjoitus, kehittynyt sähköinen allekirjoitus eli digitaalinen allekirjoitus sekä laatuvarmennepoh-

jainen sähköinen allekirjoitus eli nk. laatuallekirjoitus. Tältä osin luonnoksessa ilmenevät perustelut edellyttävät tarkentamista sekä käytetyn käsitteistön teknologianeutralisointia erityisesti sähköisen allekirjoituksen osalta, mutta myös kehittyneen sähköisen allekirjoituksen osalta huomioiden muun muassa sähköisistä allekirjoituksista annetun direktiivin 3 artiklan 7 kohta sekä erityisesti 5 artiklan 2 kohta. Kansallisessa sähköisen allekirjoituksen tulkinnassa ei tulisi tarttua pelkästään PKIteknologian tarjoamiin mahdollisuuksiin sähköistä allekirjoitusta tehtäessä. Tulkinnan väljentäminen selkeyttää myös hallituksen esityksen luonnoksen jatkovalmistelua, jolloin tunnistuspalveluiden mahdollistamat allekirjoitus tai muut oikeustoimen tekemiseen tarvittavan tahdonilmaisun toiminnallisuuksista voidaan säätää sähköisen allekirjoituksen sääntelyn yhteydessä. Säädösehdotuksessa (s. 35/II) määritellään vahvan sähköisen tunnistamisen käsite, joka ei kylläkään lain sanamuodon mukaisesti tulkittuna rajaa nk. heikkoja tunnistusmenetelmiä pois käsitteen alasta. Säännösehdotuksen perusteluissa ainoastaan todetaan menetelmään sidotusti, ettei käyttäjätunnukseen ja salasanaan perustuva tunnistus ole vahva tunnistusmenetelmä. Säädösehdotuksen perusteluissa todetaan, että yksittäisissä laeissa vahvaa sähköistä tunnistusta koskevien säännösten määrä tulee tulevaisuudessa kasvamaan. Tarkastusviraston käsityksen mukaan ainakin julkisessa hallinnossa tällainen allekirjoituksen kautta johdettava vahvan tunnistuksen tarve on päinvastoin vähentynyt viime vuosina. Tältäkään osin luonnosteksti ei anna oikeaa kuvaa toimintaan kohdistuvista vaatimuksista. Poikkeuksen tästä muodostaa sosiaali- ja terveydenhuollon sektori, jonka erityislainsäädännössä sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa on säädetty sähköisestä tunnistuksesta. Hallituksen esityksen luonnoksessa (mm. s. 36) viitataan LUOTI-hankkeessa tehtyihin selvityksiin vahvan tunnistuksen tarpeista, jotka ovat jääneet hankkeen tuotoksina vähälle huomiolle. Sen sijaan tarkastusvirasto kiinnittää liikenne- ja viestintäministeriön huomiota siihen, että valtiovarainministeriö on tehnyt jo tällaiset linjaukset vahvan tunnistuksen tarpeista sähköisessä asioinnissa vuonna 2002 ja sittemmin uudestaan vuosina 2003 ja 2006, joista viimeisimmät ilmenevät VAHTI-ohjeesta 12/2006. Lainvalmistelussa ei näytetä käyttäneen kaikkea sitä materiaalia hyväksi, mitä julkisessa hallinnossa on tuotettu sähköisen tunnistuksen osalta, vaan ministeriö on turvautunut ainoastaan omiin selvityksiinsä, mikä näkyy perustelujen ja vaikutusten arvioinnin kapea-alaisuutena. Myös säädösehdotuksessa (mm. s. 39/II) esitetty ensitunnistamisen käsite on harhaanjohtava. Henkilön ensitunnistamisen suorittaa poliisi muun muassa passia, henkilökorttia tai ajokorttia haettaessa. Olemassa oleva sähköisistä allekirjoituksista annetun lain käsitteistön laveampi sisällöllinen määrittely muun muassa varmenteen, varmentajan sekä sähköisen allekirjoituksen osalta selkeyttäisivät sääntelyä huomattavasti. 3 (7) Soveltamisala Säädösehdotuksen (s. 35) mukaan lakia ei sovellettaisi lainkaan pelkästään yhteisöjen sisäisiin tarpeisiin toteutettuihin järjestelmiin, jotka ovat luonteeltaan suljettuja. Ehdotettua lakia ei sovellettaisi sellaiseen sähköiseen tunnistamiseen ja sähköiseen allekirjoittamiseen tai näiden palveluiden tarjontaan, joita käytetään ainoastaan yritysten sisäiseen sähköiseen tunnistamiseen tai sähköiseen allekirjoittamiseen. Soveltamisalan rajoitus sisältää kaksi perusongelmaa. Soveltamisalaa koskevissa perusteluissa viitataan oikeushenkilöistä vain yrityksiin, jolloin ilmeisesti muiden yhteisöjen ja julkisen hallinnon sisäisiin tunnistusratkaisuihin sovellettaisiin kuitenkin ehdotettua lakia. Säädösehdotuksessa ilmenevä rajaus lienee kuitenkin luonnoksen laadinnassa tapahtunut virhe. Sen

sijaan vakavampi ongelma lain vaikuttavuuden kannalta katsottuna on se, että soveltamisalaa koskevat rajaukset tarkoittaisivat sitä, että merkittävät tunnistuspalvelut jäänevät lain soveltamisen ulkopuolelle. Esimerkiksi Terveydenhuollon oikeusturvakeskuksen varmennepalvelu on tällainen suljettu järjestelmänsä, samoin virkatunnisteiden käyttö sekä Verohallituksen Katsoorganisaatiotunnisteet. Kaikissa näissä on jollakin tavalla rajoitettu käyttäjäjoukko, johon on viitattu 2.3 :n säännösehdotuksessa. Edelleen voidaan arvostella sitä, että luonnoksessa (mm. s. 36/II) todetaan, että toimijan oman palvelun käyttöön tarkoitettu vahva sähköinen tunnistus ei kuulu lain soveltamisen alaan ja valvonta ei ulotu tällaiseen palveluun. Luonnoksessa todetaan (s. 43/I), että ulkomaisen toimijan ei tarvitsisi rekisteröidä vahvan sähköisen tunnistamisen palveluaan Suomessa, vaikka se toimisi suomalaisten sähköisten palveluiden tunnistuspalveluna. Tilannetta voidaan pitää tältä osin alttiina väärinkäytöksille ja se on myös tapa, jolla voidaan kiertää lain asettamat tai sen nojalla annetut vaatimukset vahvan tunnistuspalvelun tarjoajan toiminnalle. Esimerkiksi Viroon rekisteröitynyt tunnistuspalvelun tarjoaja voisi markkinoida palveluaan Suomessa ilman rekisteröintiä ja kontrollia palvelun tuottamisen asianmukaisuudesta. Lain soveltamisalan rajaamiselle ei ole tarkastusviraston näkemyksen mukaan esitetty riittäviä selkeitä perusteluita, vaan rajauksen ulkopuolelle ehdotetuksi jätetty palveluiden tarjonta ja käyttö edellyttää lakitasoista sääntelyä yksilön oikeusturvan ja tietosuojan näkökulmasta sekä markkinoiden toiminnan ja kattavan valvonnan kannalta katsottuna. Myös oikeushenkilöiden sisäisiin järjestelmiin tarjottavat vahvan tunnistuksen menetelmät ovat hankittuja kilpailuilta markkinoilta, jolloin valvonnan ja muiden velvoitteiden huomioiminen tulee koskea tällaisiakin toimijoita ja toimintaa. 4 (7) Hallituksen esityksen luonnoksessa (s. 35/I) todetaan, että Verohallituksen sekä Patentti- ja rekisterihallituksen tarjoamat roolitietopalvelut tulisi tuottaa jatkossa kilpailluilla markkinoilla. Tarkastusvirasto kiinnittää ministeriön huomiota siihen, että Patentti- ja rekisterihallitus ylläpitää ja tarjoaa kaupparekisterin roolitietoja julkisena hallintotehtävänä, jota ei voida hoitaa kilpaillulla markkinoilla. Säädösehdotuksessa (s. 34/II) todetaan, että heikkona tunnistamisena pidettäviä tunnistusmenetelmiä ei kannata pyrkiä sääntelemään lainsäädäntöteitse. Tarkastusvirasto kiinnittää kuitenkin huomiota siihen, että heikkoihinkin tunnistusmenetelmiin sovelletaan yleislakina henkilötietolakia ja yleensä hallintoasian käsittelyn yhteydessä tunnistuksesta on säädetty hallintolaissa, jonka mukaan vireillepanijan on ilmoitettava nimensä ja muut tarvittavat yksilöinti ja yhteystietonsa. Yksilön oikeusturvan ja mitä ilmeisimmin kuluttajan suojankin kannalta katsottuna, myös tällaisten tunnistuspalveluiden tarjoamisen perusedellytyksistä tulisi säätää laissa, koska niiden ero vahvan sähköisen tunnistamisen palveluihin voi olla häilyvä. Oikeustoimen tekeminen ja allekirjoitus Hallituksen esityksen luonnoksessa (s. 37/II) esitetään seuraava erottelu sähköisen allekirjoituksen ja vahvan sähköisen tunnistuksen osalta: Vahva sähköinen tunnistaminen ja sähköinen allekirjoitus eroavat toisistaan siinä, millaisessa toimintaympäristössä niiden pääsääntöisesti ajatellaan toimivan. Vahvassa sähköisessä tunnistamisessa tunnistamispalvelua tarjoavat ja sitä käyttävät palveluntarjoajat muodostavat yleensä sopimussuhtein säännellyn verkoston. Sen sijaan sähköisessä allekirjoituksessa peruslähtökohta on ollut se, että allekirjoituspalvelun tarjoaja ei ole sopimussuhteessa allekirjoitukseen luottavan osapuolen kanssa. Lisäksi säädösehdotuksessa ehdotetaan säädettäväksi, että Vahvan sähköisen tunnistamispalvelun tarjoajalla on oikeus vahvan sähköisen

5 (7) tunnistamisvälineen Oikeustoimen tekemiseen voidaan käyttää ainakin vahvan sähköisen tunnistamisen välinettä, ellei muualta laista tai jäljempänä 11 :stä muuta johdu. Esitetty näkemys ja säännösehdotus herättävätkin kysymyksen siitä, miten luonnosta laadittaessa on ymmärretty tunnistuksen ja allekirjoituksen käsitteet. Kuten hallituksen esityksen luonnoksestakin ilmenee ei tunnistuspalvelun ja allekirjoituksen mahdollistavan palvelun välille voida tehdä yksiselitteistä erottelua. Tunnistusta käytetään henkilön tunnistamiseen tietyssä tilanteessa ja allekirjoitusta tahdonilmaisun välineenä. Voimassa olevan sähköisistä allekirjoituksista annetun lain mukainen sähköinen allekirjoitus voidaan saada aikaiseksi lain sanamuodon mukaisesti myös muilla, kuin PKI-teknologiaan perustuvilla menettelyillä, kuten hyödyntämällä tunnistuksessa saatuja henkilön yksilöintitietoja, jotka liitetään osaksi faktista allekirjoitusaktia tahdonilmausta muodostettaessa. Ministeriön tulisikin lainsäädäntöä uudistettaessa lieventää tulkintaansa sähköisen allekirjoituksen käsitteen sisällöstä, jolloin erillisiä asiayhteydestä irrallista sääntelyä tunnistuksesta saatujen tietojen hyödyntämisestä muihin käyttötarkoituksiin ei edes tarvita. Lisäksi vahvan sähköisen tunnistuksen mahdollistavien menetelmien avulla muodostetulle sähköiselle allekirjoitukselle tulee asettaa minimivaatimukset, jotka on asetettu jo nyt voimassa olevassa laissa. Tarkastusviraston näkemyksen mukaan ehdotettu 10 tulee poistaa ehdottomasti säädösehdotuksesta ja liittää sääntely kyseiseen asiayhteyteen ehdotettuun 21 :än 2 momentiksi, jonka mukaan sähköinen allekirjoitus tai muu tahdonilmaus voidaan toteuttaa myös muulla kuin 1 momentissa esitetyllä tavalla sopimusperusteisesti. Henkilötunnuksen käsittely Säädösehdotuksessa on asetettu henkilötunnuksen käytölle esteitä, jotka on kuitenkin sidottu ainoastaan tiettyyn tunnistus- ja allekirjoitusmenetelmään sekä sen toteuttamistapaan. Tarkastusviraston näkemyksen mukaan henkilötunnus voidaan luovuttaa sähköisen tunnistuksen ja allekirjoituksen yhteydessä sähköisen palvelun tarjoajalle, jos varmenteen tai tunnisteen tiedot eivät ole yleisesti saatavilla ja välineen haltija voi kontrolloida henkilötunnuksen luovuttamista, jolloin henkilötunnuksen käsittely tapahtuu henkilötietolaissa säädetyllä tavalla rekisteröidyn suostumuksella. Tarkastusvirasto ehdottaa, että henkilötunnus voi sisältyä varmenteeseen tai tunnisteeseen, jos sen seurauksena henkilötunnus ei ole yleisesti saatavilla ja välineen haltija voi kontrolloida henkilötunnuksensa käyttöä asiointitapahtumien yhteydessä. Viestintäviraston tehtävät ja määräyksenantovalta sekä ilmoitusvelvollisuus Hallituksen esityksen luonnoksessa ehdotetaan annettavaksi Viestintävirastolle määräyksenantovalta vahvaan sähköiseen tunnistukseen liittyvistä tarkemmista teknisistä ja toiminnallisista seikoista. Tarkastusvirasto pitää tarpeellisena, että Viestintävirastolla on näissä asioissa määräyksenantovalta ja että se myös käyttää sitä luomaan yhdenvertaiset vapaata kilpailua tukevat puitteet tunnistuspalveluiden tarjoamiselle. Tässä mielessä hallituksen esityksen luonnoksessa esitettyjä seuraavassa esitettäviä näkemyksiä voidaan pitää lain tavoitteiden vastaisena sekä tunnistuspalvelujen tarjoajien oikeusturvakannalta erityisen ongelmallisena: s. 41/I Ehdotettu 2 momentti sisältää valtuutussäännöksen, joka on tarpeen sen johdosta, että sähköinen tunnistaminen on hyvin teknistä toimintaa, joka kehittyy jatkuvasti. Ehdotetun momentin mukaan Viestintävirasto voi antaa tarvittaessa tarkempia teknisiä määräyksiä 1 momentissa tarkoitetuista seikoista.. Ehdotetun lain tullessa voimaan on selkeästi tiedossa, millaisia vahvan sähköisen tunnistamisen menetelmiä Suomessa tosiasiallisesti tarjotaan. Näitä ovat Tupas-tunnisteet ja PKI-pohjaiset varmenteet. Tilanne ei siten välttämättä vaadi Viestintävirastoa käyttämään määräyksenantovaltaansa. Tilanne voi kuitenkin muuttua, ja markkinoille voi tulla uusia tunnistamisen menetelmiä, joiden luonteesta ei voida saada helposti varmuutta. Tällöin Viestintävirasto voi joutua antamaan asiasta määräyksen, jotta voitai-

siin arvioida, onko menetelmä vahva. Perusteluissa ei ole huomioitu, että vahvoja sähköisen tunnistuksen menetelmiä on käytössä muun muassa Verohallituksella, Tekesillä ja TEO:lla. Jo pelkästään tämän toimintakentän sekä uusien toimijoiden yhdenmukaisen kohtelun ja toiminnalle asetettavien läpinäkyvien vaatimusten kannalta määräyksenantovaltaa pitää käyttää etupainotteisesti ja että määräykset ovat neutraaleja siten, että ne eivät suosi nykyisiä säännösehdotuksen perusteluissa mainittuja tunnistuspalvelujen tarjoajia. Säädösehdotuksessa ehdotetaan säädettäväksi ilmoitusvelvollisuudesta, joka kohdistuu vahvan sähköisen tunnistuksen mahdollistavan palvelun tarjoajaan. Ehdotuksesta ei käy yksikäsitteisesti ilmi, milloin ilmoitus tulee tehdä ja millä edellytyksillä toiminta voidaan käynnistää vahvan sähköisen tunnistuksen palveluna. Tarkastusviraston näkemyksen mukaan toimintaa ei voitaisi aloittaa ennen kuin Viestintävirasto on julkistanut toimijan ilmoitusta koskevat tiedot julkisesti yleisön saataville. 6 (7) Säädösehdotuksen (s. 43/II ) mukaan Viestintäviraston tulee julkaista luettelo vahvan sähköisen tunnistuksen mahdollistavista palveluiden tarjoajista. Ehdotuksen mukaan kyseessä ei olisi virallinen rekisteri, vaan tiedotusluonteinen toimenpide, jolla pyritään lisäämään helppoa tiedonsaantia. Tarkastusviraston näkemyksen mukaan Viestintäviraston tulisi pitää julkista virallista rekisteri alan toimijoista toiminta-alueen luotettavuuden takaamiseksi. Ilmoitusvelvollisuuden tulee olla sääntelyltään ehdoton, yksiselitteinen ja tyhjentävä. Lisäksi säädösehdotuksessa (7.4, s. 46/II) todetaan, että tunnistuspalvelun tarjoajan tulisi ilmoittaa tietoturvaan liittyvistä uhista Viestintävirastolle sekä tämän lisäksi tietosuojaan liittyvistä uhista tietosuojavaltuutetulle. Tarkastusviraston näkemyksen mukaan tällainen jaottelu on omiaan aiheuttamaan sekaannusta, jos palveluntarjoajan pitää analysoida uhan luonne, jonka perusteella ilmoitus tehdään viranomaisille. Tästä syystä palveluntarjoajan ilmoitusvelvollisuuden tulisi kohdistua ainoastaan Viestintävirastoon, jonka tulisi viranpuolesta huolehtia henkilötietojen suojaan liittyvien kysymyksien ja ongelmien informoinnista tietosuojavaltuutetulle, joka voi ryhtyä tämän pohjalta oman toimivaltansa puitteissa tarvittaviin toimenpiteisiin. Tällainen menettely lienee tarpeen lähes poikkeuksetta, koska tunnistuksessa käsitteellään pääsääntöisesti ja säädösehdotuksen mukaisesti henkilötietoja. Tarkastusvirasto korostaa lisäksi, että Viestintäviraston on tehtävä määräyksiä antaessaan arvio määräysten taloudellisista vaikutuksista, jotka vaikuttavat sekä yksityisten toimijoiden että julkisen hallinnon toimintaan. Säädösehdotuksen 43 :n mukaan tunnistuspalveluntarjoajan tulisi maksaa Viestintävirastolle 15 000 euron vuosittainen valvontamaksu ja laatuvarmentajan tulisi maksaa vuosittainen 40 000 euron suuruinen tarkastusmaksu. Tunnistuspalveluntarjoajalle määrättävää 15 000 euron vuosittaista valvontamaksua voidaan pitää korkeana suhteessa säädösehdotuksessa ilmeneviin viranomaistehtävien laatuun ja määrään nähden. Valvontamaksun suuruuden määrää ei ole myöskään perusteltu säädösehdotuksen luonnoksessa. Viestintävirastolle suoritettavien valvontamaksujen tulisi olla tältä osin suoriteperusteisia. Hallituksen esityksen perusteluissa todetaan myös virheellisesti, että Viestintäviraston laatuvarmennetoiminnan kustannukset ovat olleet noin 80 000 euroa per vuosi. Tällaisia lukuja Viestintävirasto ei kuitenkaan esittänyt tarkastusvirastolle tunnistuspalveluiden kehittämistä ja käyttö koskevassa tarkastuksessa kuin ainoastaan vuoden 2007 osalta, jolloin kustannukset olivat nousseet yksittäisten kertaluonteisten tehtävien vuoksi ja osin vyörytettyinä kustannuksina. Keskeiset ongelmat Tarkastusvirasto korostaa liikenne- ja viestintäministeriölle, että tunnistuspalveluiden kehittämisessä ja käytössä ilmeneviin ongelmiin tulee löytää kokonaisratkaisut ministeriöiden välisessä yhteistyössä julkisen hallinnon intressi painokkaasti huomioiden. Tarkastusvirasto painottaa, että yksilöi-

den sähköinen tunnistus sähköisessä asioinnissa ei ole ongelma nykyään eikä se ole estänyt vuosiin palveluiden kehittämistä, toisin kuin hallituksen esityksen luonnoksessa annetaan paikka paikoin ymmärtää. Julkisen hallinnon toiminnassa vahvaa sähköistä tunnistusta edellyttävät tilanteet ovat poikkeuksellisia, jota on syytä myös korostaa yksilön perusoikeuksien näkökulmasta. Sen sijaan ongelmana on organisaatioiden tunnistaminen, jonka ongelmat estävät sähköisten palveluiden kehittämisen. Ongelmana voi olla pitemmällä aikavälillä tunnistuspalveluiden tarjonnassa oleva kilpailun puute, joilla voi olla vaikutuksensa myös tunnistustapahtumien hintoihin ja innovatiivisten uusien tunnistusratkaisujen kehittämiseen. Tämän osalta ei ole havaittavissa lähitulevaisuudessa, että markkinoiden toimivuuden osalta olisi paineita tehdä hätiköityjä yksittäisiä lainsäädännön uudistuksia, joista voi olla toiminnalle enemmän haittaa kuin hyötyä. Hallituksen esityksen puutteina voidaan eritellä, että se ei sisällä säännöksiä tunnistuksenohjauspalveluiden tarjoamisesta ja niissä tapahtuvista tunnistustietojen luovuttamisesta eikä säännökset ota kantaa muuhunkaan federointiin. Lisäksi säännöksien soveltamisala on kapea-alainen, jolloin osa jo nyt olemassa olevista tunnistuspalveluiden tarjoamisesta jää lain soveltamisen ja valvonnan ulkopuolelle. Hallituksen esityksessä ei oteta kantaa organisaatio- ja roolitunnistukseen, joka on tällä hetkellä erittäin ongelmallinen sähköisen tunnistuksen ja asioinnin kehittämisen kannalta katsottuna. Säädösehdotukseen on piilotettu sisään myös biometrisen tunnistuksen mahdollistaminen sähköisissä palveluissa, jota tulisi kuitenkin arvioida sääntelyn vaikutuksien ja edellytysten kannalta huomattavasti laajemmin ja syvällisemmin. Hallituksen esityksessä tulisi tästä syystä olla perusteellinen perusoikeuslähtöinen vaikutusten arviointi. Hallituksen esityksestä puuttuu myös lain vaikutusten kattava arviointi julkisen hallinnon toiminnan kannalta erityisesti, kun julkinen hallinto tuottaa tällä hetkellä itsekin tunnistuspalveluita, kun VRK:n varmennepalvelu, TEO:n varmennepalvelu sekä Verohallituksen KATSO-organisaatiotunnistuspalvelu. Myös hallituksen esityksen luonnoksessa (s. 40-41) ilmaistut näkemykset luottamusverkostossa tapahtuvasta toisten osapuolien arvioinnissa voi syntyä ongelmia muun muassa liikesalaisuuksien suhteen. Tarkastusvirasto ilmoittaa käsityksenään, että hallituksen esityksen luonnos on puutteellinen ja ongelmallinen, mistä syystä se tulisi valmistella kokonaisuudessaan uudestaan sähköistä tunnistusta ja sähköisiä allekirjoituksia koskevan kokonaislainsäädäntöuudistuksen yhteydessä tavoitteena mahdollisimman stabiili ja yhdenmukainen lainsäädäntö, joka koostuu toisiaan tukevista säännöksistä hyvän lainvalmistelutavan tuloksena. 7 (7) Pääjohtaja Tuomas Pöysti Johtava toiminnantarkastaja Tomi Voutilainen

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute