Findynet Osuuskunnan terveiset eIDAS-asetuksen kansalliseen täytäntöönpanoon
Liikkumavaran käyttäminen koskien lompakkosovellusten avointa lähdekoodia
Uudistetussa eIDAS-asetuksessa lähtökohtana on, että lompakkosovellusten ohjelmistokomponenttien lähdekoodin on oltava avoimen lähdekoodin mukaisesti lisensoitu. Edellyttämällä avointa lähdekoodia on haluttu edistää lompakoiden avoimuutta ja yhteiskunnallisen luottamuksen syntymistä. Vaatimus mahdollistaisi lähdekoodin toiminnan ymmärtämisen ja koodin tarkistamisen. Käytännössä tarkoituksena on kannustaa toimittajia tuottamaan ja ylläpitämään erittäin turvallisia tuotteita.
Jäsenvaltiot voivat kuitenkin säätää, että muiden kuin käyttäjien laitteisiin asennettujen tiettyjen komponenttien lähdekoodia ei saa luovuttaa. Kansallinen liikkumavara mahdollistaa, että sellaisten käytettyjen kirjastojen, viestintäkanavien tai muiden taustajärjestelmien lähdekoodin julkaisemista voidaan rajoittaa. Edellytyksenä on, että rajoittamiselle on asianmukaisesti perusteltu syy.
Findynetin näkemyksen mukaan kansallista liikkumavaraa tulisi tässä yhteydessä käyttää. Kansallisessa täytäntöönpanossa olisi huolehdittava siitä, että avoimen lähdekoodin vaatimus koskee vain identiteetin ja attribuuttitodistusten hallintaan liittyviä toimintoja. Mikäli koko sovelluksen lähdekoodi on avattava, yksityisen sektorin toimijoilla on vähemmän mahdollisuuksia tarjota markkinoilla sovelluksia, jotka tarjoavat saumatonta ja rikasta asiakaskokemusta. Tämä voi olennaisesti vähentää loppukäyttäjien intoon ottaa lompakkosovelluksia ja niitä hyödyntäviä palveluita käyttöön. Alhaisen käyttäjäadoption seurauksena eIDAS-asetuksen uudistuksen tavoitteet jäävät saavuttamatta. Sovellusten tietoturvasta ja luotettavuudesta voidaan huolehtia avoimen lähdekoodin vaatimuksen lisäksi sertifioinnilla, joka voisi koskea myös niitä sovelluksen osia, joiden lähdekoodi ei ole avointa.
Liikkumavaran käyttäminen koskien sähköisen allekirjoituksen maksuttomuutta
Uudistetussa eIDAS-asetuksessa lähtökohtana on, että lompakoiden on tarjottava oletusarvoisesti ja maksutta kaikille luonnollisille henkilöille valmiudet allekirjoittamiseen hyväksyttyjen sähköisten allekirjoitusten avulla. Jäsenvaltiot voivat kuitenkin säätää oikeasuhteisista toimenpiteistä sen varmistamiseksi, että luonnollisten henkilöiden maksutta tapahtuva hyväksyttyjen sähköisten allekirjoitusten käyttö rajoitetaan muihin kuin ammatillisiin tarkoituksiin. Käytännössä voidaan siis säätää toimenpiteistä, joilla estetään luonnollisia henkilöitä käyttämästä hyväksyttyjä sähköisiä allekirjoituksia ammatillisiin tarkoituksiin maksutta, ja joilla varmistetaan, että tällaiset toimenpiteet ovat oikeassa suhteessa tunnistettuihin riskeihin ja perusteltuja. Hyväksyttyjen sähköisten allekirjoitusten tarjoaminen on nykyisin markkinaehtoista toimintaa jäsenmaissa. Suomessa tällaisia palveluja kuitenkin tarjotaan vielä melko rajallisesti (vain DVV kansalaisvarmenteeseen perustuen). Joka tapauksessa vaatimus allekirjoituksen maksuttomuudesta voi vaikuttaa sähköisten allekirjoitusten tarjoamisen markkinaan ja niiden kehittymiseen.
Findynetin näkemyksen mukaan kansallista liikkumavaraa tulisi käyttää niin, että maksutta tapahtuva hyväksyttyjen sähköisten allekirjoitusten käyttö rajoitetaan muihin kuin ammatillisiin tarkoituksiin. Kansallisen liikkumavaran tulisi mahdollistaa, että lompakon tarjoaja voi tarjota maksullista palvelua ammatillisiin tarkoituksiin. Allekirjoitusta tarkastettaessa tulisi voida havaita onko allekirjoitus tehty ammatillisessa tarkoituksessa vai ei. Mikäli henkilö on tehnyt ammatillisessa tarkoituksessa allekirjoituksen käyttäen ei-ammattilliseen tarkoitukseen tarkoitettua ilmaisversiota, allekirjoitus olisi juridisesti pätemätön. Lompakoiden tarjoajilla tulisi olla mahdollisuuksia kattaa lompakon kehittämisen ja ylläpidon kustannuksia. Kaupallisten toimijoiden välisten palvelujen hintojen tulisi määräytyä markkinaehtoisesti eikä perustua sääntelyyn.
Tarve kansalliselle lompakkosääntelylle
Uudistetussa eIDAS-asetuksessa asetetaan yhteiset vaatimukset eurooppalaisille digitaalisen identiteetin lompakoille. Jokainen jäsenvaltio on velvollinen tuottamaan vähintään yhden tällaisen lompakon. Vaatimukset täyttäviä lompakoita voi siis olla useita ja eri tahojen tuottamia. Asetuksen mukaisella lompakolla on tarkoitus voida asioida koko EU-alueella tietyissä palveluissa. Asetus ei kuitenkaan sovellu esim. sellaisten lompakoiden tarjoamiseen, jotka toimisivat vain yhden jäsenvaltion alueella. Käytännössä kansallisesti on siis mahdollista säännellä ”kansallisten lompakoiden” luotettavuuden ja turvallisuuden osoittamisesta.
Findynetin näkemyksen mukaan kansalliselle lompakkosääntelylle ei ole tarvetta. Näemme kansallisesti toimiville lompakoille runsaasti kysyntää ja käyttötapauksia, sillä suurin osa asioinnista tapahtuu tietyn maan rajojen sisäpuolella. Voimme kuitenkin kansallisella tasolla ja toimialan yhteistyön myötä luoda sääntelyprosessia nopeammalla tahdilla innovatiivisia ja yhteentoimivia ratkaisuja.Lompakkomarkkinoiden kehittymisessä tulisi nykyisessä markkinoiden kehitysvaiheessa nojata toimialan itsesääntelyyn, eli toimialan yhteistyöelimien puitteissa luotuihin sääntökirjoihin ja sopimuksiin.
Findynetin toimenpide-ehdotukset
- Muussa lainsäädännössä tulisi huomioida, että muitakin kuin eIDAS-hyväksyttyjä lompakkosovelluksia voi käyttää viranomaispalveluissa niissä tilanteissa, joissa niiden tietoturva ja luotettavuus on riittävällä tasolla.
- Tiedonhallintalautakunta tai Kyberturvallisuuskeskus voisi esimerkiksi antaa julkisen sektorin toimijoille suosituksen, joka kuvaa millaisia eIDAS-asetuksen soveltamisalan ulkopuolella olevia lompakoita vodaan hyödyntää. Yksityisen sektorin toimijat voisivat huomioida tämän suosituksen osana toimialan itsesääntelyä.
- Tiedonhallintalautakunta, Kyberturvallisuuskeskus tai muu viranomaistoimija voisi sertifioida/hyväksyä/suositella toimialan yhteistyöelimen puitteissa tuotettuja sääntökirjoja ja sopimuksia.
- Tiedonhallintalautakunta, Kyberturvallisuuskeskus tai muu viranomaistoimija voisi ohjeistaa julkisen sektorin (ja muiden alojen) toimijoita hyväksymään sellaiset käyttäjän valitsemat lompakkosovellukset jotka noudattavat julkisen sektorin toimijoita koskevia suosituksia silloin, kun todisteiden sisältö ei edellytä korkeinta mahdollista tietoturvaa tai -suojaa.
- Lompakkosovelluksia tulisi voida kansallisella tasolla käyttää korotetun tason (LoA Substantial) tunnistusvälineinä, vaikka niitä ei olisi notifioitu tai hyväksytty eIDAS-lompakoiksi.
Findynetin yleiset terveiset eIDAS-asetuksen uudistuksen kansalliseen täytäntöönpanoon
- Suomen ei tule kansallisella tasolla jäädä odottamaan EU-tason määräaikoja. Suomen tulisi kansallisella tasolla kiihdyttää digitaalisten lompakoiden ja todisteiden tarjoamista ja hyödyntämistä, sekä näin edistää Suomen kilpailukykyä.
- eIDAS-asetuksen kansallisen täytäntöönpanon hankkeessa kannattaa toimenpiteissä ja kommunikoinnissa huomioida, että lompakot ovat käyttöfrekvenssin ja käytön laajuuden näkökulmasta merkittäviltä osin muitakin kuin tunnistusvälineitä.
- eIDAS-asetuksen kansallisen täytäntöönpanon hankkeessa tulee aktiivisesti edistää oikeushenkilöiden mahdollisuuksia hyödyntää digitaalisia lompakoita ja todisteita. Olemme Findynetin puitteissa ja yhteistyössä Yrityksen Digitalous -hankkeen kanssa tunnistaneet lukuisan joukon organisaatioita koskevia käyttötapauksia. Näiden käyttötapausten edistämiseksi on eIDAS-asetuksen kansallisessa täytäntööpanossa vermistettava, että oikeushenkilöt voivat saada viranomaisrekisteristä itseään koskevat tunnistetiedot markkinaehtoisesti tuotettuihin lompakoihin.