Alkuperäinen eIDAS-asetus tuli voimaan vuonna 2014 ja sen sääntely jää pitkälti edelleen voimaan. Asetuksessa säädetään jatkossakin sähköisistä tunnistusjärjestelmistä sekä sähköisille luottamuspalveluille asetetuista vaatimuksista ja niiden tarjoajien velvollisuuksista. EIDAS tulee sanoista electronic IDentification, Authentication and trust Services.
Asetuksen mukaisia luottamuspalveluja ovat sähköiset allekirjoitukset ja leimat, sähköiset aikaleimat, sähköiset rekisteröidyt jakelupalvelut ja verkkosivustojen todentaminen. Tavoitteena on ollut lisätä luottamusta rajat ylittävään sähköiseen vuorovaikutukseen ja luoda turvalliset puitteet digitaaliselle identiteetille ja todentamiselle.
eIDAS-asetuksen 20.5.2024 voimaan tullut uudistus laajentaa aikaisempaa sääntelyä ja asettaa yhteiset säännöt eurooppalaiselle digitaalisen identiteetin lompakolle (ns. EUDI-lompakko, EU Digital Identity Wallet). Muutosasetuksella toteutetaan tavoitetta Euroopan digitalisaation edistämisestä ja lisätään yhteentoimivuutta. Tavoitteena on edelleen helpottaa sähköistä asiointia ja turvallista tunnistautumista yhtenäisillä menettelyillä sekä EU:n jäsenvaltioiden sisällä että niiden välillä.
EUDI-lompakon lisäksi uudistetussa asetuksessa säädetään rajat ylittävästä henkilöllisyyden linkittämispalvelun kehittämisestä sekä yhteisistä vaatimuksista tietyille henkilötietojen ja todistusten sähköisten muotojen tarjoamisen mahdollistaville luottamuspalveluille. Myös sähköisistä arkistointipalveluista ja sähköisistä tilikirjoista on uutta sääntelyä. Sähköisen allekirjoituksen ja leiman etäluontivälineiden hallinnointi on lisätty asetuksen soveltamisen piiriin. Myös verkkosivustojen todentamiseen hyväksyttyjä varmenteita koskevaa sääntelyä on laajennettu.
EUDI-lompakot ovat yhteistä EU-sääntelykehikkoa noudattavia digitaalisia lompakoita. Erilaisten EUDI-sertifioitujen lompakkoratkaisujen lisäksi markkinoilla on siis muitakin digitaalisia lompakkoratkaisuja.
Käytännössä EUDI-lompakoissa kyse on mobiilisovelluksesta, joka mahdollistaa mm. henkilöllisyyden ja erilaisten käyttäjää koskevien vahvistettujen tietojen osoittaminen luotettavasti sähköisesti. EUDI-lompakoiden käyttöönotto on kansalaisille vapaaehtoista, eivätkä ne korvaa nykyisiä sähköisiä tunnistusvälineitä. EU:n jäsenmailla on uudistetun asetuksen myötä velvollisuus tarjota vähintään yksi asetuksen vaatimukset täyttävä digitaalisen identiteetin lompakko (Suomessa lompakkoratkaisun toteuttaa Digi- ja väestötietovirasto, DVV). Jäsenvaltion ilmoittama palvelu on hyväksyttävä myös muissa EU:n jäsenmaissa. Lompakkosovellus tulee tarjota viimeistään 24.12.2026, kahden vuoden kuluessa komission teknisten täytäntöönpanosäädösten valmistumisesta.
Asetuksen vaatimukset täyttävän lompakon tulee mahdollistaa kolmenlaisia toimintoja:
Lompakko siis sisältää elementtejä vanhasta sääntelystä (rajat ylittävä vahva sähköinen tunnistautuminen, hyväksytyn tason sähköinen allekirjoittaminen) ja uutena myös sähköiset attribuuttitodistukset. Sähköiset attribuuttitodistukset (myöh. sähköinen todistus) tarkoittavat sähköisessä muodossa olevia vahvistettuja tietoja, jotka kuvaavat käyttäjän ominaisuutta, laatua, oikeutta tai lupaa. Lompakon avulla käyttäjän on mahdollista hallinnoida myös tällaisia itseään koskevia muita henkilötietoja.
EUDI-lompakoissa käyttäjä voisi säilyttää haluamiaan tietoja. Ensimmäiseksi sähköiseksi todistukseksi DVV:n EUDI-lompakkoon toteutetaan digitaalinen henkilöllisyystodistus. Tavoitteena on, että myöhemmin lompakoihin luotaisiin myös muita sähköisiä todistuksia, jotka voivat olla esimerkiksi ajokortti, edunvalvontavaltakirja tai ammattipätevyyden ja koulutuksen suorittamista koskevia tietoja. EUDI-lompakolla käyttäjä voi myös tunnistautua, tehdä sähköisiä allekirjoituksia ja päättää omien tietojen jakamisesta fyysisen käyntiasioinnin tai sähköisen asioinnin yhteydessä. Käyttäjän näkökulmasta lompakko edistää mahdollisuutta hallita omia tietojaan. Käyttäjä voi lähtökohtaisesti esimerkiksi itse päättää, mitä tietoja ja kenelle hän haluaa lompakosta näyttää. Jos asiointitilanteessa pitäisi todistaa täysi-ikäisyys, voisi käyttäjä todentaa olevansa tietyn ikäinen koko syntymäajan näyttämisen sijaan.
EUDI-lompakkojen ideaa voi hyödyntää yksityishenkilön käyttöä vastaavalla tavalla organisaatiota koskevien lupien ja todisteiden hallinnassa ja osoittamisessa. Ehdotetun asetuksen toimeenpanoa koskevan kansallisen sääntelyn mukaan oikeushenkilön tunnistetiedot voitaisiin kuitenkin myöntää vain kaupparekisteriin merkitylle oikeushenkilölle, joka tarkoittaa y-tunnuksen omaavia toimijoita. EUDI-lompakoiden oikeushenkilökäytön lisäksi organisaatioilla on mahdollisuus EU:n yrityslompakon käyttöönottoon, josta säännellään erillisellä asetusehdotuksella.
Kunnille tulevat velvoitteet
Lompakkoja on mahdollista hyödyntää myös laajemmin. Niin halutessaan, kunnan kannattaa myös:
Kunnille tulevat velvoitteet
Velvoite hyväksyä EUDI-lompakko yhtenä sähköisen tunnistautumisen välineenä
Jos kunnan verkkopalvelun käyttämiseksi edellytetään vahvaa sähköistä tunnistamista, on tunnistamisessa hyväksyttävä myös uudistetun eIDAS-asetuksen mukaisesti tarjotut EUDI-lompakot. Velvoite ei koske käyntiasiointia. Kuntia koskevista sähköisen tunnistamisen vaatimuksista ja rajoituksista säädetään kansallisesti digipalvelulain (laki digitaalisten palvelujen tarjoamisesta, 306/2019) 6 §:ssä sekä tukipalvelulain (laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista, 571/2016) 5 §:ssä ja 3 §:n 1 momentin 4 kohdassa.
DVV tulee toteuttamaan Suomi.fi-tunnistukseen tarvittavat muutokset, jotta lompakon hyödyntäminen tunnistuksen välineenä mahdollistuu. Tässä yhteydessä tultaisiin tarjoamaan myös automatisoituja käyttöönoton menetelmiä Suomi.fi-tunnistukseen integroiduille asiointipalveluille, jotta lompakkotuen käyttöönotto tunnistamisessa olisi mahdollisimman jouhevaa.
EUDI-lompakolla tapahtuva tunnistaminen tai todistusten jakaminen on mahdollista integroida suoraan asiointipalveluihin pelkästään Suomi.fi-tunnistukseen nojaamisen sijaan. Suora integraatio kannattaa huomioida esim:
1) todistusten hyödyntämisessä, sillä Suomi.fi-tunnistus ei tule välittämään todistuksia
2) mahdollisuutena käyttää ulkomaisia lompakoita suoraan asiointipalvelussa ilman henkilöllisyyden linkittämistä
3) palvelun vikasietoisuuden parantamiseen, jotta ei oltaisi riippuvaisia Suomi.fi-tunnistuksen mahdollisista häiriötilanteista.
Jos asiointipalveluihin toteutetaan suora integraatio, tulee asiointipalvelu rekisteröidä Traficomin rekisteriin luottavaksi osapuoleksi.
Rekisteröityminen luottavien osapuolten rekisteriin
Kunnan tulee luottavana osapuolena rekisteröidä EUDI-lompakkoja hyödyntävät asiointipalvelut luottavien osapuolten rekisteriin. Asetus määrittelee luottavat osapuolet oikeushenkilöiksi (tai joissain tapauksissa luonnollisiksi henkilöiksi), jotka luottavat ”sähköiseen tunnistamiseen, eurooppalaisiin digitaalisen identiteetin lompakoihin tai muihin sähköisen tunnistamisen menetelmiin taikka luottamuspalveluun”. Käytännössä näillä tarkoitetaan asiointipalveluita, joihin lompakoiden käyttäjät tunnistautuvat tai osoittavat lompakossa olevia tietojaan, tai joiden avulla tai pyynnöstä lompakolla luotaisiin sähköisiä allekirjoituksia tai leimoja. Luottavat osapuolet voivat hyödyntää lompakoita sekä käyntiasioinnissa että sähköisessä asioinnissa. Rekisteröinnin yhteydessä on ilmoitettava asiointipalvelun perus- ja yhteystiedot, tietojen aiottu käyttötarkoitus sekä ilmoitus tiedoista, joita kunta pyytää käyttäjältä. Rekisteröintimenettelyn tarkoituksena on, että lompakon käyttäjä voi asioidessaan aina varmistua siitä, kenelle tietojaan on lompakosta osoittamassa. Hallituksen ehdotuksessa rekisteröinnistä vastaavaksi viranomaiseksi on esitetty Liikenne- ja viestintävirasto Traficomia.
EUDI-lompakoiden vapaaehtoinen muu hyödyntäminen
Kunta sähköisten todistusten myöntäjänä
Kuntien näkökulmasta EUDI-lompakot mahdollistavat esimerkiksi erilaisten todistusten ja lupien tarjoamisen sähköisenä sekä kuntalaisten sähköisten todistusten ja allekirjoitusten hyväksymisen eri tilanteissa. Kunnan on siis mahdollista saattaa keräämiään ja myöntämiään vahvistettuja henkilötietoja ja todistuksia henkilön käytettäväksi sähköisesti. Esimerkiksi tutkintotodistuksen tai kirjastokortin voisi jatkossa tarjota osaksi lompakkosovelluksia. Ensisijaisesti DVV:n EUDI-lompakkoa varten valmistellaan digitaalista henkilöllisyystodistusta. EUDI-lompakkoja hyödyntämällä voisi mahdollistaa esimerkiksi kuntaan muuttavan EUDI-lompakkoa käyttävän henkilön sähköisen asioimisen kunnassa jo ennen muuttoa, myös toisesta EU-maasta käsin.
Lompakkojen hyödyntäminen tietojenvaihtoon ei merkittävästi muuta tiedon alkuperäisen rekisterin tietojenhallintaa. Kuitenkin tiedon elinkaaren hallintaa voi olla syytä tarkastella, jotta esimerkiksi todisteiden ja valtuuksien ajantasaisuutta voi hallita. Lompakoihin myönnettäviä todisteita voi hallita myös asettamalla lyhyitä, esimerkiksi vain tuntien, voimassaoloaikoja. Tällainen toimintatapa mahdollistaa todisteen hyödyntämisen asiointitilanteessa, mutta ei aiheuta laajoja toimenpiteitä alkuperäisen rekisterin tietojen elinkaaren hallintaan.
Komissio on luomassa todisteille keskitetyn verkkopalvelun (ns. katalogit), jonka tarkoituksena on kerätä yhteen tietoa, millaisia todisteita eri jäsenmaista lompakoihin lasketaan liikkeelle. Katalogeista voi tarkastella, millaisia todisteita on mahdollista toteuttaa ja minkälaisena niitä on toteutettu. Tällä edistetään todistusten rajat ylittävää toimivuutta, yhdenmukaisuutta ja yhteentoimivuutta.
Asioinnin sujuvoittaminen kunnassa
Digitaalisten todisteiden hyväksyminen myös käyntiasioinnissa vaatii kunnalta toimenpiteitä, jos se haluaa mahdollistaa EUDI-lompakon avulla tunnistautumisen tai muiden lompakoista välitettävien todisteiden hyödyntämisen myös fyysisessä toimipisteessä asioidessa. Käyntiasioinnin osalta on tärkeää huomata, että pelkkä lompakon tietojen visuaalinen tarkastelu ei riitä varmentamaan niiden oikeellisuutta, vaan käyntiasioinnissa edellytetään aina tietojen koneellista varmistamista.
Jäsenvaltioilla on velvollisuus tarjota EUDI-lompakoihin julkisista rekistereistä löytyviä ydintietoja. Näitä ovat:
Jos käyttäjää koskevat vahvistetut tiedot, luvat tai todistukset (attribuutit) perustuvat julkisen sektorin lähteisiin tai rekistereihin, palveluntarjoajan on käyttäjän pyynnöstä oltava mahdollista tarkistaa tiedot sähköisesti alkuperäisestä lähteestä, suoraan rekisteristä tai kansallisesti tunnustettujen välityspalveluntarjoajien avulla.
Alaikäisten osalta lainsäädäntöehdotukset voivat parantaa asiointimahdollisuuksia tietyissä palveluissa. Alaikäiselle ei tule uusia oikeuksia asioidensa hoitamiseen itsenäisesti, mutta niiltä osin kuin alaikäisen on ollut mahdollista muutoinkin asioida itsenäisesti, voi vahvan sähköisen tunnistautumismahdollisuuden saaminen helpottaa digitaalisesti asiointia. Hallituksen esityksessä täydentäväksi lainsäädännöksi huomautettiin, ettei kaikilla digitaalisilla asiointipalveluilla välttämättä ole kykyä ottaa vastaan alaikäisiä itsenäisesti asioivia, jos asiointijärjestelmät on lähtökohtaisesti rakennettu vain täysi-ikäisiä varten. Alaikäisen asioinnin mahdollistaminen saattaa edellyttää asiointipalveluilta esimerkiksi kykyä ja tarvetta tunnistaa, minkä ikäiset voivat asioida palvelussa sekä iän tarkastamisen toteuttamista osaksi asiointiprosessia.
Kansallinen täytäntöönpano edellyttää teknisten ratkaisujen kehittämistä ja näihin liittyvää roolien ja vastuiden määrittämistä.
Valtiovarainministeriö koordinoi eIDAS 2.0 -asetuksen velvoitteiden täyttämistä ja valmistelua, jota varten on asetettu hanke toimikaudelle 26.4.2024-31.12.2026.
Digi- ja väestötietovirasto (DVV) kehittää Suomessa eIDAS-sertifioitua lompakkoa ja henkilön tunnistetietojen myöntämistä väestötietojärjestelmään perustuen. Myös yksityisen sektorin toimijoilla on mahdollisuus kehittää eIDAS 2.0 -asetuksen mukaisia lompakoita ja tarjota niitä Suomessa. Asetus ei rajoita jäsenvaltioissa tarjottavien lompakoiden määrää. Käyttäjä voi jatkossa halutessaan käyttää sekä DVV:n lompakkoa että yksityisen sektorin lompakoita. DVV:llä on vastuullaan myös henkilötietojen linkittämisen toteutus.
Oikeushenkilöiden osalta tunnistetietoja myöntäväksi tahoksi on ehdotettu Patentti- ja rekisterihallitusta kaupparekisteriin perustuen, joka koskee siten lähinnä yrityksiä ja kuntien yhtiömuotoista toimintaa.
Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus valvoo luottamuspalveluita ja myöntää niille hyväksytyn statuksen. Hyväksytyt luottamuspalvelut löytyvät kansallisista luotetuista luetteloista (trusted list), jotka ovat päteviä kaikissa EU:n jäsenvaltioissa. Kyberturvallisuuskeskuksen sivuilla on lisätietoa ja kansallinen luettelo hyväksytyistä luottamuspalvelun tarjoajista.
Findynet on julkisen ja yksityisen sektorin toimijoiden perustama voittoa tavoittelematon yhteistyöorganisaatio, joka tarjoaa eIDAS-asetuksen kanssa teknisesti yhteensopivia ratkaisuja. Findynet kehittää esimerkiksi sähköisten todistusten jakamisen sekä suostumuksenhallinnan välineitä, jotka ovat hyödynnettävissä digitaalisessa lompakossa. Findynet tarjoaa eIDAS-koulutusta ja auttaa suunnittelemaan digitaalisten identiteettilompakoiden ja sähköisten todistusten hyödyntämistä sekä kartoittamaan eIDAS-yhteensopivia ratkaisuja. Digitaalisen identiteetin ratkaisuista kiinnostuneiden on mahdollista osallistua muun muassa Findynetin Ekosysteemi- ja yhteistyöfoorumiin tai Teknologiafoorumiin.
Kansallinen täydentävä lainsäädäntö
eIDAS-asetuksen velvoitteiden täyttämiseksi ja soveltamiseksi tarvitaan myös kansallista täydentävää sääntelyä. eIDAS-muutosasetus jättää jäsenvaltioille kansallista liikkumavaraa koskien lompakon lähdekoodin avoimuutta sekä lompakolla tapahtuvan sähköisen allekirjoituksen maksuttomuutta oikeushenkilöille. Lisäksi asetuksessa on joitain velvoitteita jäsenvaltioille, kuten eurooppalaisen digitaalisen identiteetin lompakon tarjoaminen, kansallisen valvontaelimen ja kansallisen yhteyspisteen nimeäminen, jotka edellyttävät kansallista täydentävää lainsäädäntöä.
Lompakoiden laaja käytettävyys voi hyödyttää myös muuta digitalisaatiota. Jäsenvaltioiden välisiä rajat ylittäviä palveluja tarjotessa tulee huomioida esimerkiksi yhteentoimiva Eurooppa -asetuksenmukainen yhteentoimivuus. EUDI-lompakko toteuttaa yhteentoimiva Eurooppa -asetuksen tavoitteita edistää rajat ylittävää tiedonvaihtoa julkisia palveluja tarjotessa. Lisäksi lompakon käyttö tukee yhteistä digitaalista palveluväylää koskevan asetuksen (SDG-asetus) ja siihen liittyvän todisteidenvaihtojärjestelmän (Once-Only Technical System, OOTS) tavoitteita.
