Findynetin lausunto hallintovaliokunnalle

Taustaa

Eduskunnan hallintovaliokunta on pyytänyt Findynet Osuuskunnalta asiantuntijalausuntoa hallituksen esitykseen HE 17/2026 vp Hallituksen esitys eduskunnalle rajat ylittävää sähköistä tunnistamista, luottamuspalveluita ja eurooppalaista digitaalista identiteettiä koskevaa EU:n asetusta täydentäväksi lainsäädännöksi.

Findynet Osuuskunta kiittää mahdollisuudesta lausua aiheesta. Digitaaliset todisteet ja lompakkosovellukset ovat tärkeitä elementtejä luotettavamman ja sujuvamman asioinnin edistämisessä. Uudistettu eIDAS-asetus toimeenpanoasetuksineen sekä niitä täydentävä kansallinen lainsäädäntö luovat luotettavan ja turvallisen toimintaympäristön lompakoille ja digitaalisille todisteille.

Findynet Osuuskunta

Findynet on yksityisten ja julkisten toimijoiden perustama osuuskunta, joka edistää luotettavampaa ja sujuvampaa asiointia. Osuuskunnan jäseniä ovat DNV Cyber, Finanssiala, Gofore, Kela, Nordea, OP Ryhmä, Posti, Reaktor, Suomen Asiakastieto, Teknologiateollisuus ja Tieto.

Findynet rakentaa luottamusverkkoa, jonka avulla digitaalisten todisteiden vastaanottajat voivat varmistua niiden myöntäjien oikeellisuudesta. Myös lompakkosovellusten käyttäjät voivat hyödyntää luottamusverkon tietoja arvioidessaan, miltä tahoilta vastaanottavat digitaalisia todisteita ja mille tahoille luovuttavat niistä tietoja.

Findynetin lausunto

Hallituksen esitys kuvaa hyvin asian taustoja sekä tuo esiin, miksi eIDAS-asetus on tärkeä ja mihin se vaikuttaa. Esitys on kattavasti ja selkeästi kirjoitettu.

Tässä lausunnossa eduskunnan hallintovaliokunnalle nostamme esille kolme kohtaa, joihin valiokunnan kannattaa kiinnittää huomiota. Lisäksi esitämme pienempiä havaintoja hallituksen esityksestä.

Digitaalinen identiteetti tulisi tarjota kaikille organisaatioille

Uudistetun eIDAS-asetuksen tarkoituksena on tarjota digitaalinen identiteetti (luotettavalla tavalla esitettävät tunnistetiedot) ihmisille ja organisaatioille.

Hallituksen esityksessä todetaan useaan kertaan olevan ”ilmeistä, ettei [oikeushenkilön] tunnistetietoja voitaisi aluksi tarjota kuin keskeisille oikeushenkilömuodoille, kuten osakeyhtiölle.” Uskoaksemme olisi lain hengen mukaista myöntää yrityksen tunnistetiedot kaikille yrityksille, joilla on Y-tunnus – siis myös yksityisille elinkeinonharjoittajille, kunnille, oppilaitoksille, yhdistyksille, säätiöille jne.

Voimassa olevan lain vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (617/2009) 7 a § mukaan ”tunnistusvälineen tarjoajan ja luottamuspalvelua tarjoavan varmentajan on hankittava ja päivitettävä oikeushenkilön tunnistuspalvelun tarjoamiseksi tarvitsemansa tiedot yritys- ja yhteisörekistereistä”. Laki puhuu rekistereistä monikossa, ja antaa toimijoille vapauden tarjota oikeushenkilön tunnistuspalvelua laajasti eri organisaatioille.

Olisi syytä pohtia, onko tarkoituksenmukaista rajata oikeushenkilön tunnistetietojen myöntäminen ”vain kaupparekisteriin rekisteröidyille oikeushenkilöille aatteellista yhdistystä ja säätiötä lukuun ottamatta”, kuten hallituksen esityksessä ehdotetun lain eräistä rajat ylittävän sähköisen asioinnin mahdollistavista palveluista 5 §:ssä ehdotetaan. Jos oikeushenkilön tunnistetiedot voidaan myöntää vain keskeisille oikeushenkilömuodoille, tulisi kuvata, miten muut organisaatiot voivat hyödyntää digitaalisia palveluja.

Eurooppalaisia yrityslompakoita koskeva asetusehdotus COM(2025)838 poistaisi eIDAS-asetuksesta velvollisuuden myöntää oikeushenkilön tunnistetietoja eurooppalaiseen digitaalisen identiteetin lompakkoon. Sen sijaan eurooppalaiseen yrityslompakkoon myönnettäisiin sen haltijan tunnistetiedot. Eurooppalaisen yrityslompakon käyttäjiä olisivat kaikki taloudelliset toimijat (eivät vain oikeushenkilöt). Jos eurooppalaisia yrityslompakoita koskeva asetusehdotus hyväksytään, osakeyhtiöille myönnettävien oikeushenkilön tunnistetietojen myöntämiseen käytettävät ratkaisut ovat vaarassa vanhentua pian, ja ne pitää korvata laajemmalle toimijajoukolle tarjottavilla tiedoilla.

Näillä näkymin oikeushenkilön tunnistetietoja ei voisi saada DVV:n tarjolle saattamaan eurooppalaisen digitaalisen identiteetin lompakkoon. Sen sijaan odotetaan, että markkinaehtoisesti syntyy sovelluksia, joiden tarjoajat rekisteröivät ne eurooppalaisen digitaalisen identiteetin lompakoiksi Suomessa ja joihin oikeushenkilöt voisivat saada PRH:n myöntämät oikeushenkilön tunnistetiedot. Kun eurooppalaisia yrityslompakoita koskeva asetusehdotus on vireillä, vaikuttaa hyvin epätodennäköiseltä, että tarjolle tulisi lyhyellä aikavälillä oikeushenkilön tunnistetietojen hallintaan soveltuvia eurooppalaisia digitaalisen identiteetin lompakoita.

Konkreettinen keino edistää yritysten digitaalista asiointia olisi antaa Patentti- ja rekisterihallitukselle tehtäväksi myöntää digitaalinen Y-tunnustodiste. Todiste voitaisiin myöntää tahoille, jotka pystyvät luotettavalla tavalla todistamaan olevansa oikeutettuja edustamaan kyseistä Y-tunnusta vastaavaa organisaatiota. Tällainen todiste voitaisiin myöntää myös muihin lompakoihin kuin eurooppalaisiin digitaalisen identiteetin lompakoihin, jolloin sitä voisi hyödyntää myös Euroopan ulkopuolella.

Digitaalinen henkilöllisyystodistus on monimutkainen rakennelma

Hallituksen esityksessä ehdotetun lain eräistä rajat ylittävän sähköisen asioinnin mahdollistavista palveluista 3 § mukaan Digi- ja väestötietovirasto myöntäisi lompakkoon luonnollisen henkilön tunnistetiedot. Näillä henkilön tunnistetiedoilla voi osoittaa henkilöllisyytensä verkkopalveluissa ja niiden avulla eurooppalaista digitaalisen identiteetin lompakkoa voi käyttää vahvan sähköisen tunnistamisen välineenä. Luonnollisen henkilön tunnistetietoja voisi siis kansankielisesti kutsua digitaalisen maailman henkilöllisyystodistukseksi.

Käyntiasioinnissa henkilön tunnistaminen voidaan tehdä vertaamalla hänen kasvojaan virallisen asiakirjan sisältämään kasvokuvaan. Tähän tarkoitukseen käytetään nykyisin yleisesti passia tai henkilökorttia. Joissain tilanteissa henkilöllisyys voidaan todeta myös ajokortista. Eurooppalainen digitaalisen identiteetin lompakko on tarkoitettu käytettäväksi henkilöllisyyden osoittamiseen verkkoasioinnin lisäksi myös käyntiasioinnissa. Lompakkoon myönnettävät henkilön tunnistetiedot sisältävät myös kasvokuvan, mutta se ei tällä hetkellä voimassa olevan täytäntöönpanoasetuksen 2024/2977 liitteen 2 mukaan ole pakollinen tieto.  Komissio julkaisi 5.2.2026 luonnoksen täytäntöönpanoasetuksesta, joka tekisi kasvokuvasta pakollisen osan henkilön tunnistetietoja.

Jos eurooppalaiseen digitaalisen identiteetin lompakkoon myönnettävät henkilön tunnistetiedot sisältäisivät kasvokuvan, tunnistetietoja voisi käyttää henkilöllisyyden osoittamiseen sekä verkko- että käyntiasioinnissa. Luultavasti monissa jäsenmaissa päädytään tällaiseen ratkaisuun. Suomessa on suunniteltu ratkaisua, jossa henkilön tunnistetietoja voi käyttää verkkoasioinnissa, mutta käyntiasiointia varten myönnettäisiin erillinen hyväksytty sähköinen attribuuttitodistus. Tunnistetiedot myöntäisi lompakkoon DVV ehdotetun lain eräistä rajat ylittävän sähköisen asioinnin mahdollistavista palveluista 3 § perusteella, mutta käyntiasioinnissa käytettävää digitaalista henkilöllisyystodistusta varten ehdotetaan kokonaan uutta lakia.

Ehdotetun lain digitaalisesta henkilöllisyystodistuksesta mukaan poliisi (tai muu toimivaltainen viranomainen) myöntää oikeuden digitaaliseen henkilöllisyystodistukseen myöntäessään uuden passin tai henkilökortin. Saadakseen lompakkosovellukseensa digitaalisen henkilöllisyystodistuksen ihmisen pitäisi siis hakea uutta henkilökorttia tai passia. Kestänee siis vuosikausia, että merkittävällä osalla suomalaisista olisi käytettävissään digitaalinen henkilöllisyystodistus. Kun todistusten määrä kasvaa hitaasti, myös niiden lukemiseen käytettävien laitteiden ja ohjelmistojen hankintaan investoidaan hitaasti. Ne, jotka saavat oikeuden digitaaliseen henkilöllisyystodistukseen ja hankkivat eurooppalaiseen digitaalisen identiteetin lompakkoonsa digitaalisena henkilöllisyystodistuksena käytettävän hyväksytyn sähköisen attribuuttitodistuksen, eivät siis luultavasti pysty käyttämään digitaalista henkilöllisyystodistustaan kuin hyvin harvoissa paikoissa.

Digitaalinen henkilöllisyystodistus olisi mahdollista saada käyttöön paljon nopeammin ja tehokkaammin, jos lompakkoon myönnettävät henkilön tunnistetiedot sisältäisivät kasvokuvan. Silloin tunnistetietoja voisi käyttää henkilön tunnistamiseen myös käyntiasioinnissa. Voisi olla hyvä vielä selvittää mahdollisuuksia muodostaa kasvokuva osaksi henkilön tunnistetietoja lompakon käyttöönottovaiheessa ja käyttää henkilön tunnistetietoja digitaalisena henkilöllisyystodistuksena. Monissa muissa maissa tällaiselle toimintatavalle ei ilmeisesti ole esteitä.

Julkista hallintoa tulisi kannustaa attribuuttitodistusten liikkeellelaskuun ja hyväksymiseen

Valtioneuvoston kirjelmässä eduskunnalle (U 41/2021) on pidetty tärkeänä, että lompakkosovellusta voi käyttää mahdollisimman laajasti yhteiskunnan palveluissa. Hallituksen esityksessä on todettu, että ”esityksen ja sen yhteisvaikutukset muutetun eIDAS-asetuksen kanssa ovat osittain riippuvaisia siitä, kuinka paljon kansalaiset ottavat käyttöön eurooppalaista digitaalisen identiteetin lompakkoa ja toisaalta siitä, kuinka paljon asiointipalvelut mahdollistavat lompakolla ja sähköisillä attribuuttitodistuksilla asioimista niiden palveluissa.”

Esityksessä todetaan tarve monipuolisille konkreettisille käyttökohteille ja nostetaan esimerkiksi digitaalinen henkilöllisyystodistus: ”Lompakon käyttöönoton voidaan arvioida etenevän Suomessa vaiheittain kansalaisten kokeman hyödyn ja käyttökokemusten ohjaamana. Tämän vuoksi on erityisen tärkeää, että lompakon sisältö vastaa heti alkuvaiheessa monipuolisesti kansalaisten arjen tarpeisiin. Digitaalinen henkilöllisyystodistus muodostaisikin keskeisen ja konkreettisen käyttökohteen, joka tukisi lompakon käyttöönottoa ja lisäisi sen arvoa käyttäjille.”

Kuten edellä on todettu, digitaalisen henkilöllisyystodistuksen käyttöönotto etenee luultavasti hitaasti, jos oikeuden todistukseen saa vain uutta henkilökorttia tai passia hakiessaan. Ei ole lainkaan selvää, että digitaalista henkilöllisyystodistusta voisi heti alkuvuodesta 2027 käyttää esim. henkilöllisyyden osoittamiseen terveydenhuollossa, apteekeissa ja postipakettia noutaessa tai iän osoittamiseen kaupan kassalla. Jos eurooppalaisen digitaalisen identiteetin lompakon käyttäjiä on vähän, palveluntarjoajat eivät investoi lukijalaitteisiin. Kun lukijalaitteita ei ole, digitaalisella henkilöllisyystodistuksella ei ole käyttökohteita, eikä se ole ihmisille syy lompakon käyttöönottoon.

Suomessa on ollut vuodesta 1999 lähtien mahdollista käyttää sirullista henkilökorttia vahvaan sähköiseen tunnistamiseen ja allekirjoitusten tekemiseen, mutta näihin tarkoituksiin käytetään pääosin muita välineitä. On nähtävissä merkittävä riski, että eurooppalaiselle digitaalisen identiteetin lompakolle käy Suomessa samoin – valtio tarjoaa välineen, jolle ei ole käyttökohteita tai jonka käyttöönotossa on muita menetelmiä enemmän kitkaa.

Lompakon käyttöönoton nopeuttamista tulisi edistää varmistamalla, että lompakkoon on saatavilla nopeasti useita sähköisiä attribuuttitodistuksia, joita ihmiset voivat hyödyntää omassa arjessaan. Suomessa on kattavat perustietovarannot ja keskusrekisterit, jotka sisältävät esimerkiksi omistuksiin, perhesuhteisiin, tutkintoihin ja valtuuksiin liittyviä tietoja. Kansallisen lainsäädännön yhteydessä olisi syytä säätää myös lait, joiden perusteella julkishallinnon toimijat pystyisivät myöntämään lompakkoon sähköisiä attribuuttitodistuksia sekä hyväksymään niitä omissa palveluissaan. Valitettavasti moni julkinen toimija kokee, että ei pysty oma-aloitteisesti tekemään asioita, joihin laki ei velvoita.

Esimerkkejä sähköisistä attribuuttitodistuksista, joita julkinen hallinto voisi myöntää eurooppalaisen digitaalisen identiteetin lompakkoon käyttöönoton vauhdittamiseksi:

• todistus myönnetystä etuudesta (eläkeläiset, opiskelijat, vammaiset, ym. voisivat osoittaa todistuksen avulla oikeutensa alennuksiin ja muihin etuuksiin)
• todistus huoltajuudesta, parisuhteesta tai edunvalvontavaltuutuksesta (vanhemmat, puolisot ja edunvalvontavaltuutetut voisivat käyttää puolesta asiointiin)
• todistus suoritetuista tutkinnoista, todisteet suoritetuista kursseista (työnhakijat ja uusiin opintoihin hakeutuvat voisivat todistaa omaa osaamistaan)
• ote työsuhdehistoriasta (työnhakija voisi todistaa aiemmat työnantajansa ja työsuhteiden keston)
• todistukset ansaituista tuloista, varallisuudesta ja suoritetusta verotuksesta (asunnon ostaja tai vuokraaja voisi käyttää todistusta osoittamaan ansiotulojaan ja omistuksiaan, pienituloinen voisi todistaa tulotasonsa)
• ote positiivisesta luottorekisteristä (henkilö voisi välittää kokonaiskuvan omista luotoistaan haluamiinsa palveluihin)

Muutetun eIDAS-asetuksen 45 e artiklassa on asetettu jäsenmaille velvoite toteuttaa toimenpiteitä, joiden avulla sähköisten attribuuttitodistusten hyväksytyt luottamuspalvelun tarjoajat voivat tarkastaa kyseiset attribuutit sähköisesti käyttäjän pyynnöstä unionin oikeuden tai kansallisen lainsäädännön mukaisesti, jos kyseiset attribuutit perustuvat julkisen sektorin virallisiin lähteisiin. Hallituksen esityksessä ehdotetun lain eräistä rajat ylittävän sähköisen asioinnin mahdollistavista palveluista 23 § velvoittaisi DVV:tä laatimaan kuvauksen virallisista lähteistä ja ohjeistuksen hyödynnettävissä olevista sähköisistä menetelmistä. Attribuuttitodistusten liikkeelle laskeminen jätettäisiin siis hyväksyttyjen luottamuspalvelujen tarjoajien vastuulle. Suomessa toimii tällä hetkellä vain yksi hyväksytty luottamuspalvelun tarjoaja (DVV). Koska sähköisten attribuuttitodistusten liikkeelle laskemisen liiketoimintamallit ovat vielä epäselviä, on hyvin epätodennäköistä, että markkinaehtoisesti syntyy luottamuspalvelujen tarjoajia, jotka myöntäisivät sähköisiä attribuuttitodistuksia virallisista lähteistä DVV:n laatiman kuvauksen ja ohjeistuksen perusteella. Kuvauksella ja ohjeistuksella täytetään eIDAS-asetuksen vaatimus ”toteuttaa toimenpiteitä”, mutta sillä ei luultavasti täytetä hallituksen esityksessä esitettyä tavoitetta, että ”lompakon sisältö vastaa heti alkuvaiheessa monipuolisesti kansalaisten arjen tarpeisiin”.

Muita huomioita

Muutetun eIDAS-asetuksen valmistelussa on kiinnitetty erityistä huomiota lompakon käyttäjän yksityisyyden suojaan. Hallituksen esityksessä (s. 88) todetaan: ”Käytännössä lompakossa olevat tiedot olisivat henkilön omia tietoja, mikä tarkoittaisi, että tietojen toimittajalla ei ole tämän jälkeen mahdollisuutta määrätä tai seurata, missä ja mihin tarkoituksiin henkilö omia tietojaan osoittaa.” Muutetun eIDAS-asetuksen 5 a artiklan kohta g) 16 sanoo: ”Eurooppalaisen digitaalisen identiteetin lompakon tekniset puitteet eivät saa johtaa siihen, että sähköisten attribuuttitodistusten tarjoajat tai jokin muu osapuoli pystyy attribuuttitodistuksen myöntämisen jälkeen saamaan tietoja, joiden avulla voidaan seurata, yhdistellä tai korreloida transaktioita tai käyttäjän käyttäytymistä, taikka muulla tavoin saamaan tietoja näistä, ellei käyttäjä ole antanut siihen nimenomaista lupaa.” Ehdotetun lain eräistä rajat ylittävän sähköisen asioinnin mahdollistavista palveluista 9 §:n 2 momentissa säädettäisiin: ”Eurooppalaisella digitaalisen identiteetin lompakolla toteutetuista tapahtumista luottavien osapuolten ja muiden lompakkojen kanssa on oltava saatavilla tieto kaksi vuotta tietojen tallentamisajankohtaa seuraavan kalenterivuoden alusta lukien.” Ymmärtääksemme tämä johtaa tilanteeseen, jossa Digi- ja väestötietovirastolla ei henkilön tunnistetietojen tarjoajana eIDAS-asetuksen 5 a artiklan g) 16 perusteella ole oikeutta tai mahdollisuutta seurata lompakon transaktioita tai käyttäjän käyttäytymistä, mutta sillä olisi lompakon tarjoajana kansallisen lainsäädännön perusteella velvollisuus tallentaa tiedot lompakolla toteutetuista tapahtumista yli kahden vuoden ajan. Tulisi selvittää, voisiko lompakon transaktiot tallentaa vain lompakkosovellukseen ja voisivatko ne olla käyttäjän yksinomaisessa hallinnassa ja tämän halutessa varmuuskopioitavissa käyttäjän valitsemaan sijaintiin. Tällainen ratkaisu helpottaisi viestintää siitä, että lompakkoa ei käytetä ihmisten seuraamiseen.

Eurooppalaisen digitaalisen identiteetin lompakkoa voi käyttää vahvan sähköisen tunnistamisen välineenä, ja muutetun eIDAS-asetuksen 5 f artiklassa säädetään asiointipalvelujen velvollisuudesta hyväksyä eurooppalainen digitaalisen identiteetin lompakko niiden palveluissa. Hallituksen esityksessä ehdotetaan (esim. s. 37) mallia, jossa ”Suomi.fi-tunnistus voisi jatkossa tunnistaa julkisen hallinnon sähköisiä palveluja käyttävän luonnollisen henkilön myös lompakkoa käyttäen.” Tämä malli on alkuvaiheessa kustannustehokas, kun Suomi.fi-tunnistusta käyttävien asiointipalvelujen ei tarvitse tehdä mitään muutoksia voidakseen hyväksyä eurooppalainen digitaalisen identiteetin lompakko vahvan sähköisen tunnistamisen välineenä. Suomi.fi-tunnistus ei välittäisi asiointipalveluille sähköisiä attribuuttitodistuksia. Voidakseen hyödyntää eurooppalaisen digitaalisen identiteetin lompakkoa muihin tarkoituksiin kuin tunnistamiseen, jokaisen asiointipalvelun pitää toteuttaa kyky hyödyntää lompakkoa suoraan. Lompakon laajaa käyttöönottoa voisi edistää tehokkaammin malli, jossa julkishallinnon asiointipalveluille tarjottaisiin välityspalvelu, joka välittäisi niille lompakosta sekä tunnistustiedon että sähköisiä attribuuttitodistuksia.

Eurooppalaisten digitaalisen identiteetin lompakoiden käyttöönotto riippuu pitkälti siitä, mihin lompakoita voi käyttää, eli mitä lompakoihin tukeutuvia palveluja on tarjolla. Ehdotetun lain eräistä rajat ylittävän sähköisen asioinnin mahdollistavista palveluista 16 §:n mukaan Liikenne- ja viestintävirasto perustaa eIDAS-asetuksen 5 b artiklassa tarkoitetun eurooppalaisen digitaalisen identiteetin lompakon luottavien osapuolten kansallisen rekisterin ja toimii sen rekisterinpitäjänä. Lompakkoon luottavien osapuolten rekisteröintiin liittyy vielä epävarmuutta. Ei ole selvyyttä, kuinka helppoa ja automaattista luotettavaksi osapuoleksi rekisteröityminen olisi tai millä edellytyksillä rekisteröityminen voitaisiin perua. Luottavan osapuolen pääsy- tai rekisteröintivarmenteen peruminen vaikuttaa merkittävästi luottavan osapuolen kykyyn tarjota digitaalista palvelua. Luottavien osapuolten halua rekisteröityä voi hillitä, jos näillä ei ole riittävästi tietoa ehdoista, joiden perusteella rekisteröinti voidaan poistaa tai keskeyttää. Luottavan osapuolen rekisteröitymisen hinnoittelu Valtion maksuperustelain mukaan saattaa tehdä rekisteröitymisestä kallista alkuvaiheessa, kun lompakkoon luottavia osapuolia on vähän.

Hallituksen esityksessä ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin lisättäväksi uusi 12 e §, jonka mukaan ”tunnistusvälityspalvelun tarjoajat voivat välittää eurooppalaiseen digitaalisen identiteetin lompakkoon perustuvia tunnistustapahtumia sähköiseen tunnistukseen luottavalle osapuolelle”. Muutetun eIDAS-asetuksen 5 b artiklan 10. kohdan mukaan ”luottavien osapuolten puolesta toimivia välittäjiä on pidettävä luottavina osapuolina, eivätkä ne saa tallentaa tietoja transaktion sisällöstä”. Tulisi vielä selvittää, onko tunnistusvälityspalvelujen tarjoajilla säädösten tai määräysten perusteella tai muutoin toimintansa mahdollistamiseksi sellaisia tarpeita tallentaa tietoja tunnistustapahtumista, jotka olisivat ristiriidassa 5 b artiklan 10. kohdan kanssa.

Hallituksen esityksessä (12.3.2, s. 160) käsitellään kasvokuvan käyttämistä tunnistamisessa. Esityksessä todetaan mm:

• ”Kasvokuvaa ei voisi tiedon eheyden ja luotettavuuden takaamiseksi tarkistaa käyttäjän oman päätelaitteen näytöltä. Luottava osapuoli tai toinen lompakon käyttäjä esittäisi käyttäjän lompakolle langattomasti esimerkiksi NFC- tai Bluetooth-yhteyttä käyttäen pyynnön tarkastella kasvokuvaa.”
• ”Mikäli käyttäjä hyväksyisi pyynnön, olisi hänen kasvokuvansa asiointitilanteessa pyynnön tehneen osapuolen laitteella nähtävissä.”
• “Kasvokuvaan perustuvassa tunnistamisessa ei käytettäisi teknisiä menetelmiä, vaan se perustuisi aina luonnollisen henkilön aistinvaraisesti tekemien havaintojen pohjalta tekemään arvioon. Digitaalinen henkilöllisyystodistus ei siten mahdollistaisi esimerkiksi erityisten teknisten menetelmien käyttöä henkilön tunnistamisessa. Digitaalista henkilöllisyystodistusta koskevassa ehdotuksessa valokuvien käsittelyn ei siten katsota olevan yleisen tietosuoja-asetuksen 9 artiklassa tarkoitettua biometristen tietojen käsittelyä henkilön yksiselitteistä tunnistamista varten.”

Hallituksen esityksestä ei käy selväksi, miksi erityisten teknisten menetelmien käyttö henkilön tunnistamisessa ei olisi mahdollista sen jälkeen, kun kasvokuva on siirretty luottavan osapuolen laitteelle teknisen yhteyden avulla. Jos esimerkiksi ravintola tai kauppa toteuttaa järjestelmän, joka pyytää henkilön lompakosta digitaalisena henkilöllisyystodistuksena käytettävästä sähköisestä attribuuttitodistuksesta henkilön nimeä, ikää ja kasvokuvaa, ja vertaa kasvokuvaa käyttäjästä otettavaan kuvaan, eikö tällaista järjestelmää pidettäisi biometristen tietojen käsittelynä henkilön yksiselitteistä tunnistamista varten?

Esitetyn lain eräistä rajat ylittävän sähköisen asioinnin mahdollistavista palveluista 1 §:ssä säädettäisiin lain soveltamisalasta. Pykälän 2 momentissa rajataan: ”Tätä lakia sovelletaan vain Suomessa tarjottaviin eurooppalaisiin digitaalisen identiteetin lompakoihin.” Sana ”vain” tulisi jättää pois, jos tarkoitus on soveltaa lakia myös niihin lompakoihin, joita tarjotaan esimerkiksi sekä Suomessa että Ruotsissa.