YRITTÄJÄ, tule mukaan omiesi pariin! Liity Yrittäjiin.
Arviomuistio digitaalisen henkilöllisyyden kehittämiseksi
Valtiovarainministeriö
1. Kommentit arviomuistiossa esitetystä tulevaisuuden visiosta
Digitaaliset palvelut, sähköinen asiointi ja verkkokauppa kehittyvät ja yleistyvät nopeasti. Siksi tarve henkilön itsensä hallitsemalle digitaaliselle identiteetille ja siihen kytkeytyvien vahvistettujen henkilötietojen helpolle ja luotettavalle osoittamiselle niin julkisissa kuin yksityisissä asiointipalveluissa kasvaa.
Vaikka vahvan sähköisen tunnistamisen välineet, erityisesti pankkitunnukset, ovat levinneet Suomessa laajalti, eivät ne edelleenkään ole yhdenvertaisesti kaikkien ulottuvilla. Lisäksi näyttää siltä, että yritykset suosivat palveluissaan edelleen heikkoja tunnistustapoja etenkin, jos laki ei asiakkaan vahvaa tunnistamista edellytä. Oletettavin syy tälle on vahvan tunnistamisen kustannus-hyötysuhde: vahvojen tunnistuspalveluiden kustannukset ovat niiden tarjoamiin hyötyihin nähden liian korkeat varsinkin monelle pienemmälle yritykselle. Asiaa olisi kuitenkin tiedusteltava erityisesti pk-yrityksiltä nyt selvitettyä tarkemmin.
EU:n tietosuoja-asetus luo perustan henkilöiden tieto-oikeuksille ja henkilötietojen luotettavalle hallinnoinnille. Tietoisuus tietosuojan tärkeydestä onkin viime vuosina kohonnut niin yritysten kuin kuluttajien keskuudessa. Tämän voisi olettaa kasvattavan vahvojen tunnistusmenetelmien kysyntää molemmilla rintamilla. Kuluttajat vaikuttaisivatkin arviomuistiossa esitetyn selvityksen perusteella olevan valmiita käyttämään vahvaa tunnistamista nykyistä laajemmin myös yksityisissä palveluissa. Vastaavasti myös helppokäyttöisille ja luotettaville digitaalisen identiteetin ja henkilötietojen hallintatavoille voisi olettaa löytyvän kysyntää. Kuluttajien tarpeita pitäisi kuitenkin selvittää nyt tehtyä tarkemmin.
Pidämme arviomuistion esittämää tulevaisuuden visiota digitaalisen henkilöllisyyden ja sähköisen tunnistamisen kehittämisestä yleisesti ottaen oikeansuuntaisena ajatellen niin henkilöiden tarpeita osoittaa ja hallita digitaalista identiteettiään kuin digitaalisia palveluita tarjoavien yritysten tarpeita henkilöiden tunnistamiseen ja vahvistettujen tietojen saamiseen.
Visioitu toimintamalli vaatii kuitenkin vielä lisätyöstöä ja erityisesti tarkempaa vaikutusten arviointia. EU-tasolla etenevä eurooppalaisen digitaalisen identiteetin (EUid) sääntelykehikon valmistelu on myös tärkeätä huomioida erityisen huolellisesti Suomen toimintamallia valmisteltaessa, jotta voidaan varmistua siitä, että kansalliset ratkaisut soveltuvat eurooppalaiseen puitteeseen.
2. Kommentit arviomuistiossa esitettyyn toiminnalliseen ratkaisuun
Uudessa toimintamallissa valtio tuottaisi henkilölle digitaalisen identiteetin ja sen osoittavan digitaalisen todisteen (digitaalinen henkilökortti / mobiilihenkilökortti), joka tallennettaisiin henkilön digitaaliseen lompakkosovellukseen ja joka olisi tarjolla yhdenvertaisesti kaikille. Digitaalisen lompakon avulla henkilö osoittaisi henkilöllisyytensä sekä hallinnoisi ja jakaisi asiointiin tarvittavia viranomaisten varmistamia ajantasaisia tietojaan (esim. perusrekisteritiedot, luvat, valtuudet) tai muiden toimijoiden vahvistamia tietojaan (esim. asiakasrekisteritiedot) niin julkisen kuin yksityisen sektorin digi-, puhelin- ja käyntiasioinnissa.
Lompakko voisi olla valtion tuottaman sovelluksen lisäksi myös säädetyt ehdot täyttävä yksityisen tuottajan tarjoama lompakko. Valtio ei tuottaisi yksityisille asiointipalveluille identiteetin tarkastuspalvelua, vaan ainoastaan avoimen rajapinnan, jota kautta asiointipalvelu voisi omaa menetelmäänsä tai luottamusverkoston toimijan tuottamaa välityspalvelua käyttäen tarkistaa henkilöllisyyden. Nämä seikat synnyttäisivät digitaalisen identiteetin hallinnan ja tarkastamisen palveluiden markkinan. Myös nykyisiä vahvoja tunnistusmenetelmiä, kuten pankkitunnuksia tai mobiilivarmennetta, voisi jatkossakin käyttää niin julkisissa kuin yksityisissä asiointipalveluissa, mikä on toivottavaa.
Olemme eri yhteyksissä nostaneet esiin sen, että henkilöillä tai yrityksen puolesta asioivilla on oltava oikeus ja käytännön mahdollisuus hallita omia tai yrityksen tietoja omadataperiaatteiden mukaisesti. Toimintamalli vaikuttaisi pääpiirteissään vastaavan tähän tavoitteeseen ainakin osin sikäli, kun se lisää erityisesti henkilön mahdollisuuksia toteuttaa tieto- ja osallistumisoikeuksiaan sekä hallita ja luvittaa henkilötietojaan. Tältä osin pidämme mallia kannatettavana.
Lisäksi sikäli, kun uusi toimintamalli madaltaisi yritysten kustannuksia ottaa käyttöön ja käyttää vahvan tunnistamisen ja varmennettujen henkilötietojen hyödyntämisen palveluita ja parantaisi yrittäjien ja työntekijöiden mahdollisuuksia asioida yrityksensä puolesta julkisissa ja yksityisissä palveluissa, mukaan lukien EU-maiden rajat ylittävissä asiointitilanteissa, on se mielestämme kannatettava.
Toteutuessaan toimintamalli toisi merkittäviä muutoksia sähköisen tunnistamisen toimintakenttään ja markkinaan. Kun ydinidentiteetin todiste (mobiilihenkilökortti) irrotettaisiin tunnistusvälineestä (digitaalinen lompakko), siirtyisi markkina digitaalisen identiteetin myöntämisestä ja saamisesta niihin menetelmiin, joihin sen voi tallentaa tai joiden kautta sitä voi käyttää. Tunnistamistapahtuma ei olisi enää maksullinen, joten sähköisen tunnistamisen markkina muuttuisi digitaalisen lompakon ja varmennettujen tietojen välittämisen markkinaksi. Molemmissa asiakas on kansalainen, ei asiointipalvelu. Uudessa mallissa sääntely kohdistuisi myös ensisijaisesti lompakko-operaattoritoimintaan.
Koska toimintamallin vaikutukset niin digitaalisia identiteettipalveluita hyödyntäviin kuin niitä tarjoaviin yrityksiin vaikuttavat nyt esitetyn perusteella merkittäviltä, vaativat ne perusteellisemman arvioinnin mahdollista hallituksen esitystä valmisteltaessa. Erityistä huomiota on kiinnitettävä pk-yrityksiin ja yrittäjiin kohdistuviin vaikutuksiin. Hyvä on myös selvittää, miten malli vaikuttaisi yrityksiin, jotka jo nykyisin käyttävät joko lakiin tai vapaaehtoisuuteen perustuen vahvaa sähköistä tunnistamista palveluissaan.
3. Kommentit arviomuistion sisältämästä oikeudellisesta arviosta
Olemme yleispiirteissään samaa mieltä muistiossa esitetyn oikeudellisen arvion kanssa. Digitaalista identiteettiä ja sen hallinnointia koskevien toiminnallisten ratkaisujen tarkentuessa on oikeudellista arviointia kuitenkin jatkettava ja tarkoituksenmukaisilta osin syvennettävä.
Suomen Yrittäjät
Joonas Mikkilä Karoliina Katila
digi- ja koulutusasioiden päällikkö asiantuntija