Sähköinen tunnistus

Pian kahden eduskuntavaalikauden ajan hallitusten tietoyhteiskuntatavoitteiden kärjessä on ollut sähköisen tunnistamisen kehittäminen. 

Sähköisiä asiointipalvelujakin tarjotaan laajasti. Kansaneläkelaitoksen, Verohallinnon ja työhallinnon palvelut on monin osin jo sähköistetty, mutta kuntien sähköisen asioinnin kehittäminen on ollut hitaampaa. 

Mistä lähdettiin sähköisen tunnistamisen tielle

Sähköisen tunnistamisen kehittämisen juuret juontavat 1990-luvun lopulle, jolloin pääministeri Paavo Lipposen II hallitus päätti, että Suomeen pitää saada sähköinen henkilökortti, jolla mahdollistetaan sähköinen asiointi. Lipposen II hallituksen ohjelmassa todettiin, että ”Sähköisellä asioinnilla parannetaan julkisen hallinnon palvelukykyä ja tehokkuutta. Valtionhallinnossa ja mahdollisimman laajasti myös kunnallishallinnossa otetaan käyttöön yksi yhteinen sähköinen henkilökortti, jolla voi asioida luotettavasti ja turvallisesti hallinnossa”.

Koska sähköinen henkilökortti ei laajentunut hallinnon asiakkaiden käyttöön 2000-luvun alussa riittävästi, Vanhasen I hallituksen aikana otettiin julkisessa hallinnossa käyttöön pankkien verkkopankkien tunnistuspalvelut. Tätä varten Kela, Verohallinto ja työhallinto kehittivät tunnistusportaalin- – Tunnistus.fi, joka otettiin käyttöön vuoden 2004 alussa. Vain alle vuotta myöhemmin valtiovarainministeriössä alettiin valmistella Tunnistus.fi-palvelua vastaavan Vetuma-palvelun kehittämistä kuntien vaatiessa yhdessä Vanhasen I hallituksen tietoyhteiskuntaohjelman kanssa laajempaa tunnistusratkaisua. Vuonna 2006 otettiin käyttöön koko julkiselle hallinnolle tarkoitettu Vetuma-palvelu. Nämä palvelut eivät ole varsinaisia tunnistuspalveluja, vaan portaaleja, jotka tarjoavat vaihtoehtoisia tunnistuspalveluja. 

Yritysten ja yhteisöjen edustajien tunnistaminen

Kun henkilöasiakkaille oli saatu jonkinlaiset sähköisen tunnistamisen ratkaisut käyttöön, ongelmaksi muodostui, miten yrityksien ja yhteisöjen edustajat voidaan tunnistaa sähköisessä asioinnissa ja miten heidän toimivaltuutensa voidaan määritellä. Tätä varten Verohallinto otti käyttöön osana Palkka.fi-palvelun käyttöönottoa vuonna 2006 Katso-organisaatiotunnistuspalvelun, joka muistuttaa verkkopankkien tunnistuspalvelua, mutta siihen on liitetty tietoja henkilön rooleista ja valtuutuksista yrityksissä ja yhteisöissä. Tätä ennen PRH oli kehittänyt jo lähinnä omien palveluidensa tarpeisiin roolitietopalvelun, jonka käyttäminen kuitenkin edellyttää jonkin tunnistuspalvelun käyttöä. 

Yritysten ja yhteisöjen edustajien tunnistamista ei ole vieläkään ratkaistu kestävällä tavalla. Verohallinnon Katso-organisaatiotunnistuspalvelu on tarkoitettu väliaikaiseksi hätäratkaisuksi, kun muitakaan palveluita ei ole tarjolla. Katso-palvelu säädettiin väliaikaisesti Verohallinnon tehtäväksi vuonna 2010 ajalle 1.1.2011–31.12.2013, jonka aikana työ- ja elinkeinoministeriön piti kehittää kestävä rooli- ja -valtuustietopalvelu, joka on tunnistusvälineriippumaton. Työ- ja elinkeinoministeriö on tehnyt selvitystöitä asiasta, mutta käytännön toimenpiteet ovat jääneet vielä odottamaan parempia päiviä. Tästä syystä verohallintolakia piti muuttaa vuonna 2013 siten, että Verohallinnolle säädettyä Katso-palvelun tehtävää jatkettiin määräaikaisena 1.1.2014–31.12.2016 väliseksi ajaksi.

Tunnistusta kehitetään tuloksia odotellessa

Varsinainen kivireki on ollut mobiilitunnistuksen kehittäminen. Vuonna 2003 Väestörekisterikeskus aloitti yhdessä mobiilioperaattoreiden kanssa kehittämistyön, jonka tarkoituksena oli saattaa henkilökortissa oleva kansalaisvarmenne matkapuhelimiin. Monen vuoden yrittämisenkään jälkeen hanke ei onnistunut, koska yksityisen ja julkisen intressejä ei saatu sovitettua yhteen eikä mobiilitunnistamiselle saatu luotua toimivaa hallintamallia. Vuonna 2007 VRK:n ja mobiili-operaattoreiden työ kariutui. 

Pääministeri Matti Vanhasen II hallituksen tietoyhteis-kuntakehityksen kärkihankkeeksi nostettiin sähköinen tunnistamisen, erityisesti mobiilitunnistamisen kehittäminen. Tätä varten perustettiin liikenne- ja viestintäministeriöön työryhmä, joka neljä vuotta pohti sähköisen tunnistamisen kehittämistä. Lopputuloksena oli uusi laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista. Lisäksi Vanhasen II hallitus teki 5.3.2009 valtioneuvoston periaatepäätöksen, jonka piti ohjata viranomaisten vetämää kehittämistyötä.

Pääministeri Jyrki Kataisen I hallituksen tavoitteisiin asetettiin jälleen sähköisen tunnistamisen kehittäminen, josta on sekä talouspoliittisen ministerivaliokunnan linjauksia että tavoiteasetannat rakennepoliittisessa ohjelmassa. Puolestaan pääministeri Alexander Stubbin I hallituksen ohjelmassa todetaan, että ”toimiva kansallinen sähköinen tunnistamisratkaisu toteutetaan”.  Poliittisten tahtotilojen perusteella sähköinen tunnistaminen olisi isokin ongelma ja kehittämistyö edelleen kesken 15 vuoden jälkeenkin.

Sähköinen tunnistaminen, mihin sitä tarvitaan?

Sähköinen tunnistaminen sotketaan yleisesti viranomaisissa sähköiseen allekirjoitukseen. Kuitenkin allekirjoitus ja henkilön tunnistaminen on kaksi eri asiaa. Kukaan ei puhu tunnistamisesta, kun viranomainen vastaanottaa esimerkiksi hakemuksen tai ilmoituksen paperilla. Viranomainen ei tunnista hakemuksen lähettäjää allekirjoituksen perusteella, vaan asiakirjassa olevien henkilön yksilöivien tietojen perusteella. Näin pitäisi toimia myös sähköisessä toimintaympäristössä. 

Hallinnossa on totuttu, että kaikki asiakirjat ja hakemukset allekirjoitetaan. Lainsäädäntö ei edellytä esi-merkiksi hakemuksien tai ilmoitusten allekirjoittamista kuin vain muutamissa erityislaeissa. Sähköisen tunnistamisen vaatimuksesta ei ole myöskään yleislainsäädännön tasoisia säännöksiä. Hallintolain mukaan viranomaiselle toimitettavasta asiakirjasta on ilmettävä lähettäjän nimi sekä tarvittavat yhteys-tiedot asian hoitamiseksi.

Mihin sähköistä tunnistamista tarvitaan ja miksi? Sähköinen tunnistaminen on osa tietoturvallisuuteen liittyviä teknisiä toimenpiteitä, joilla pyritään suojaamaan henkilötietoja ja salassa pidettäviä tietoja. Palvelun käyttäjän tunnistamista tarvitaan silloin, kun käyttäjä kirjautuu johonkin sähköiseen palveluun, josta on mahdollista saada häntä itseään tai hänen edustamaansa tahoa koskevia tietoja. 

Erityisiä sähköisen tunnistamisen menetelmiä ei tarvita, jos sähköisessä asiointipalvelussa ei ole mahdollista saada mitään rajoitetun tiedonsaannin piiriin kuuluvia tietoja. Jos palvelun käyttäjä pitää yksilöidä jollakin tavalla palveluun kirjautumisen yhteydessä, riippuvat tunnistamisvaatimukset siitä, millaisia tietoja palvelusta on saatavilla. Jos käyttäjä uusii aineistojen lainat kirjaston sähköisessä palvelussa, ei tähän tarvita vahvoja sähköisen tunnistamisen välineitä, vaan käyttäjätunnuksella ja salasanalla tapahtuva palveluun kirjautuminen riittää. Jos käyttäjä kirjautuu katsomaan terveydenhuollon palveluun esimerkiksi omia terveystietojaan, tarvitaan tällaiseen palveluun vahva käyttäjän tunnistus, koska palvelussa olevat tiedot ovat arkaluonteisia ja salassa pidettäviä tietoja. 

Ongelmia ja ratkaisuja

Sähköisen asioinnin kehittäminen ei ole sähköisestä tunnistamisesta kiinni. Suurin ongelma on viranomaisten asenteissa sekä innovatiivisuuden puutteessa, kun viranomaisten palveluita pitäisi viedä tietoverkkoon sähköisiksi palveluiksi. Tällöin viranomaisten toimintaprosesseja pitäisi uudistaa eikä monistaa palvelua paperilta suoraan sähköiseksi. 

Silloin, kun sähköinen tunnistaminen on tarpeellista tai välttämätöntä, tulee tunnistusvälineiden olla käyttäjäystävällisiä. Sähköisestä asioinnista viranomaistoiminnassa annetun lain mukaan viranomaisten on käytettävä hallinnon asiakkaan näkökulmasta mahdollisimman helppokäyttöisiä sekä yhteensopivia laitteistoja ja ohjelmistoja. Tämä käytännössä tarkoittaa, että viranomaisten on tarjottava mahdollisuus palveluihin kirjautumiseen sellaisilla tunnistusvälineillä, joita palvelujen käyttäjillä on jo käytössä. 

Sähköisten tunnistusvälineiden käytössä on ongelmia. Tunnistusvälineiden saatavuus ei ole kaikille itsestään selvää. Verkkopankkien tunnisteet on usein sidottu pankkien tiliasiakkuuteen. Kaikilla ei ole kuitenkaan mahdollisuutta saada tiliasiakkuutta pankkiin henkilön taloudellisten ongelmien vuoksi. Myös matkapuhelinliittymän saaminen voi olla hankalaa maksuhäiriöiden vuoksi. Vuonna 2009 voimaan tulleessa laissa vahvasta sähköistä tunnistamisesta ja sähköisistä allekirjoituksista ei ollut säännöksiä tunnistusvälineiden hakijoiden ja haltijoiden oikeuksista ja oikeusturvasta. Tämä onkin merkittävä puute nykyisessä sääntelyssä. Vahva sähköinen tunnistusväline pitäisi olla jokaisen saatavilla yhdenmukaisten kriteerien perusteella.

Euroopan unionissa on valmisteltu asetus sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla. EU:n parlamentti hyväksyi asetuksen ensimmäisessä käsittelyssä huhtikuussa 2014. Asetus asettaa tietyt sähköisen tunnistamisen välineet samalla viivalle EU:ssa. Jäsenvaltioiden on tunnustettava ja hyväksyttävä tunnistusvälineeksi toisen jäsenmaan tunnistusväline, jos se on julkaistu komission luettelossa. Käytännössä tämä tarkoittaa jatkossa, että julkisen hallinnon tunnistuksen kehittämis-työssä on otettava huomioon EU:n sääntely sekä muissa maissa käytettävät EU:n komission hyväksymät luetteloonsa ottamat välineet. 

Lähitulevaisuudessa Suomen on ratkaistava seuraavat ongelmat:

• Miten vahva sähköinen tunnistusväline turvataan jokaisen saataville kohtuuhinnalla?
• Miten yritysten ja yhteisöjen edustajien sähköinen tunnistaminen hoidetaan käyttäjäystävällisesti?
• Miten viranomaisten sähköisiin palveluihin voidaan kirjautua tunnistusvälineriippumattomasti samantasoisilla tunnistusvälineillä?
• Miten tunnistuspalveluiden käyttöön liittyvä hallinnollista ja sopimuksellista taakkaa saadaan kevennettyä?

Vaikka Suomen viranomaisilla on ollut käytössään jo 10 vuotta tunnistusportaali, ei tällaisista portaaleista ole säädetty missään laissa. Näiden portaalien laillistaminen uudella sääntelyllä on myös välttämätöntä.