EU:n digi- ja datalainsäädäntö kuntasektorille

Uudistettu eIDAS-asetus kuntakentällä

Tälle sivustolle on koottu tietoa eIDAS-asetuksen uudistuksesta eurooppalaisen digitaalisen identiteetin kehyksen vahvistamisen osalta. Uudistus tuli voimaan 20.5.2024. eIDAS tulee sanoista electronic IDentification, Authentication and trust Services. 

Uudistetulla asetuksella toteutetaan tavoitetta Euroopan digitalisaation edistämisestä ja lisätään yhteentoimivuutta. Tavoitteena on helpottaa sähköistä asiointia ja turvallista tunnistautumista yhtenäisillä menettelyillä sekä EU:n jäsenvaltioiden sisällä että niiden välillä. 

Merkittävintä uudistuksessa on EUDI-lompakko (EU  Digital Identity Wallet) eli eurooppalainen digitaalisen identiteetin lompakko. Kyseessä on mobiilisovellus, jonka tarkoitus on mahdollistaa mm. henkilöllisyyden ja erilaisten käyttäjää koskevien vahvistettujen tietojen osoittaminen sähköisesti ja helpottaa siten viranomaisasiointia kotimaassa ja EU:n jäsenvaltioissa. EUDI-lompakoiden käyttöönotto on kansalaisille vapaaehtoista, eikä se korvaa aiempia tunnistautumismenetelmiä. Jäsenvaltioiden tulee tarjota asetuksen vaatimukset täyttävä lompakko viimeistään vuoden 2026 aikana. 

Avaa kaikki

Asetuksessa uutena mm. eurooppalainen digitaalisen identiteetin lompakko

Alkuperäinen eIDAS-asetus, joka sääntelee sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyviä luottamuspalveluita sisämarkkinoilla, tuli voimaan vuonna 2014 ja sen sääntely jää pitkälti edelleen voimaan. Asetuksessa säännellään jatkossakin sähköisistä tunnistusjärjestelmistä sekä sähköisille luottamuspalveluille asetetuista vaatimuksista ja niiden tarjoajien velvollisuuksista. Asetuksen mukaisia luottamuspalveluja ovat sähköiset allekirjoitukset ja leimat, sähköiset aikaleimat, sähköiset rekisteröidyt jakelupalvelut ja verkkosivustojen todentaminen. Tavoitteena on ollut lisätä luottamusta rajat ylittävään sähköiseen vuorovaikutukseen ja luoda turvalliset puitteet digitaaliselle identiteetille ja todentamiselle. 

Uudistettu eIDAS-asetus tuli voimaan 20.5.2024. Asetuksen uudistus laajentaa aikaisempaa sääntelyä ja asettaa yhteiset säännöt eurooppalaiselle digitaalisen identiteetin lompakolle. EU:n jäsenmailla on asetuksen myötä velvollisuus tarjota vähintään yksi asetuksen vaatimukset täyttävä digitaalisen identiteetin lompakko. Jäsenvaltion ilmoittama palvelu on hyväksyttävä myös muissa EU:n jäsenmaissa. Lompakkosovellus tulee tarjota viimeistään marraskuussa 2026, kahden vuoden päästä komission teknisten täytäntöönpanosäädösten valmistumisesta. 

Asetuksen vaatimukset täyttävän lompakon tulee mahdollistaa kolmenlaisia toimintoja: 

  1. sähköinen tunnistautuminen, 
  2. käyttäjää koskevien vahvistettujen tietojen osoittaminen sekä 
  3. sähköinen allekirjoitus tai leima. 

Lompakko siis sisältää elementtejä vanhasta sääntelystä (rajat ylittävä vahva sähköinen tunnistautuminen, hyväksytyn tason sähköinen allekirjoittaminen) ja uutena myös sähköiset attribuuttitodistukset. Sähköinen attribuuttitodistus (myöh. sähköinen todistus) tarkoittaa sähköisessä muodossa olevaa todistusta, joka mahdollistaa yksilöä tai organisaatiota koskevien tietojen tai lupien (attribuuttien) todentamisen.

EUDI-lompakossa käyttäjä voisi säilyttää haluamiaan tietoja tavallisen lompakon tavoin. Ensisijaisesti lompakkoon luodaan digitaalinen henkilöllisyystodistus, jonka jälkeen lompakkoon toteutetaan muut ominaisuudet. Tavoitteena on tuoda lompakkoon sähköisiä todistuksia, jotka voivat olla esimerkiksi ajokortti, edunvalvontavaltakirja tai ammattipätevyyden ja koulutuksen suorittamista koskevia tietoja. Lompakkosovelluksella käyttäjä voi myös tunnistautua, tehdä sähköisiä allekirjoituksia ja päättää omien tietojen jakamisesta fyysisen käyntiasioinnin tai sähköisen asioinnin yhteydessä. EUDI-lompakko on asetuksen merkittävin uudistus aikaisempaan sääntelyyn nähden.

EUDI-lompakon lisäksi uudistetussa asetuksessa säädetään rajat ylittävästä henkilöllisyyden linkittämispalvelun kehittämisestä sekä yhteisistä vaatimuksista tietyille henkilötietojen ja todistusten sähköisten muotojen tarjoamisen mahdollistaville luottamuspalveluille. Myös sähköisistä arkistointipalveluista ja sähköisistä tilikirjoista on uutta sääntelyä. Sähköisen allekirjoituksen ja -leiman etäluontivälineiden hallinnointi on lisätty asetuksen soveltamisen piiriin ja verkkosivustojen todentamiseen hyväksyttyjä varmenteita koskevaa sääntelyä on laajennettu.

Miten uudistetun eIDAS-asetuksen sääntely koskee kuntia?

Kuntien velvoitteet

  1. Hyväksyä EUDI-lompakko yhtenä sähköisen tunnistautumisen välineenä, kun edellytetään vahvaa tunnistautumista (HUOM! toteutuu Suomi.fi-tunnistuksen kautta)

Lompakkoa on mahdollista hyödyntää myös laajemmin. Niin halutessaan, kunnan kannattaa myös:

  1. Tunnistaa, löytyykö heiltä kunnan myöntämää todistemateriaalia (esimerkiksi ympäristötarkastaja), jota olisi hyödyllistä tuottaa lompakkoon
  2. Pohtia sähköisten ja rajat ylittävien palveluiden osalta, voisiko EUDI-lompakon hyödyntäminen tukea palveluiden kehittämistä ja asioinnin sujuvuutta kunnassa
  3. Tunnistaa, onko yritysten tai julkisten tahojen hallussa todistemateriaalia tai rekisteritietoa, joiden olisi hyvä olla saatavilla EUDI-lompakon kautta kuntaan - ja viestiä siitä vastuutahoille. 

 

Kunnille tulevat velvoitteet

Jos kunnan verkkopalvelun käyttämiseksi edellytetään vahvaa sähköistä tunnistautumista, on siinä hyväksyttävä myös uudistetun eIDAS-asetuksen mukaisesti tarjotut EUDI-lompakot tunnistautumisen tekemiseksi. Tämä toteutuu Suomi.fi-tunnistuksen kautta. Velvoite ei koske käyntiasiointia. 

Eurooppalaista identiteettilompakkoa hyödyntävät asiointipalvelut tulee rekisteröidä. Rekisteröinti tapahtuu rekisteröintirajapinnan kautta. Lompakon hyödyntäminen esimerkiksi vahvan sähköisen hyväksytyn tason allekirjoittamisen tai sähköisten todistusten osalta edellyttää rekisteröintiä. Edellytys koskee sekä sähköistä että käyntiasiointia. Rekisteröinnin yhteydessä on kerrottava muun muassa aiottu käyttötarkoitus.

Rekisteröinnistä vastaavaa viranomaista ei ole toistaiseksi tiedossa (syksy 2024).

EUDI-lompakon vapaaehtoinen muu hyödyntäminen

Kuntien näkökulmasta EUDI-lompakko mahdollistaa esimerkiksi erilaisten todistusten ja lupien tarjoamisen sähköisenä sekä kuntalaisten sähköisten todistusten ja allekirjoitusten hyväksymisen eri tilanteissa. Kunnan on siis mahdollista saattaa keräämiään ja myöntämiään vahvistettuja henkilötietoja ja todistuksia henkilön käytettäväksi sähköisesti. Esimerkiksi tutkintotodistuksen tai kirjastokortin voisi jatkossa tarjota osaksi lompakkosovellusta. Ensisijaisesti EUDI-lompakkoa valmistellaan kansallisesti tunnistautumista varten. 

Tunnistautumisen hyväksyminen myös käyntiasioinnissa vaatii kunnalta toimenpiteitä, jos se haluaa mahdollistaa EUDI-lompakon avulla tunnistautumisen myös fyysisessä toimipisteessä asioidessa. EUDI-lompakkoa hyödyntämällä voisi mahdollistaa esimerkiksi kuntaan muuttavan EUDI-lompakkoa käyttävän henkilön sähköisen asioimisen, kuten perusopetukseen ilmoittautumisen, jo ennen muuttoa, myös toisesta EU-maasta käsin. Lisäksi vaikkapa eläkeläisten uimahalli- tai kuntosaliasiointi voisi onnistua sähköisen eläkeläiskortin avulla helposti alennettuun hintaan.

Käyttäjän näkökulmasta lompakko edistää mahdollisuutta hallita omia tietojaan. Käyttäjä voi lähtökohtaisesti esimerkiksi itse päättää, mitä tietoja ja kenelle hän haluaa lompakosta näyttää. Jos asiointitilanteessa pitäisi todistaa täysi-ikäisyys, voisi käyttäjä todentaa olevansa tietyn ikäinen koko syntymäajan näyttämisen sijaan. Paperilomakkeiden täyttämisen sijaan käyttäjä voisi välittää lompakkosovelluksen kautta esimerkiksi todisteet tulotiedoistaan tai työhistoriastaan tai antaa suostumuksen näiden tietojen vaihtoon eri viranomaisten välillä.

Jäsenvaltioilla on velvollisuus tarjota digitaaliseen lompakkoon julkisista rekistereistä löytyviä ydintietoja, kuten osoite, ikä, kansalaisuus, ammattipätevyys ja valtuudet. Tiedot on lueteltu asetuksen liitteessä VI. Jos käyttäjää koskevat vahvistetut tiedot, luvat tai todistukset (attribuutit) perustuvat julkisen sektorin lähteisiin tai rekistereihin, palveluntarjoajan tulee voida tarkistaa tiedot sähköisesti alkuperäisestä lähteestä tai suoraan rekisteristä tai kansallisesti tunnustettujen välityspalveluntarjoajien avulla.  Tämä liittyy yllä mainittuun velvollisuuteen rekisteröidä eurooppalaista identiteettilompakkoa hyödyntävät asiointipalvelut. Lompakkosovelluksen avulla vahvasti tunnistautuva henkilö voi siis esittää itsestään erilaisia sähköisiä todistuksia, jolloin kunnan tehtävä on kytkeä henkilö kunnan rekistereihin mahdollisesti tallennettuihin tietoihin. 

EUDI-lompakkoa voisi hyödyntää yksityishenkilön lisäksi organisaatiota koskevien lupien ja todisteiden hallinnassa ja osoittamisessa. Myös kunnalla ja kunnan työntekijöillä on niitä koskevia todisteita, kuten rakentamiseen liittyviä lupia, ympäristötarkastajan todiste tai työnantajan lupia. Organisaation EUDI-lompakkosovellusta tulee olemaan mahdollista käyttää myös kunnan puolesta-asioimisessa hyödyksi. 

Kansalliset toimijat

Digi- ja väestötietovirasto (DVV) kehittää Suomessa eIDAS-sertifioitua lompakkoa ja henkilön tunnistetietojen myöntämistä. Myös yksityisen sektorin toimijoilla on mahdollisuus kehittää uudistetun eIDAS-asetuksen mukaisia lompakoita ja tarjota niitä Suomessa. Asetus ei rajoita jäsenvaltioissa tarjottavien lompakoiden määrää. Käyttäjä voi jatkossa halutessaan käyttää sekä DVV:n lompakkoa että yksityisen sektorin lompakoita. Käyttäjällä voi esimerkiksi työpuhelimessa olla lompakko, joka sisältää työntekoon liittyvät sähköiset todistukset ja omassa puhelimessa yksi tai useampi lompakko, jossa säilyttää muita henkilökohtaisia sähköisiä todistuksia. 

Findynet on julkisen ja yksityisen sektorin toimijoiden perustama voittoa tavoittelematon yhteistyöorganisaatio, joka tarjoaa eIDAS-asetuksen kanssa teknisesti yhteensopivia ratkaisuja. Findynet kehittää esimerkiksi sähköisten todistusten jakamisen sekä suostumuksenhallinnan välineitä, jotka ovat hyödynnettävissä digitaalisessa lompakossa. Findynet tarjoaa eIDAS-koulutusta ja auttaa suunnittelemaan digitaalisten identiteettilompakoiden ja sähköisten todistusten hyödyntämistä sekä kartoittamaan eIDAS-yhteensopivia ratkaisuja. Digitaalisen identiteetin ratkaisuista kiinnostuneiden on mahdollista osallistua muun muassa Findynetin Ekosysteemi- ja yhteistyöfoorumiin tai Teknologiafoorumiin.

Kansallinen täytäntöönpano edellyttää teknisten ratkaisujen kehittämistä ja näihin liittyvää roolien ja vastuiden määrittämistä. Valtiovarainministeriö koordinoi uudistetun eIDAS-asetuksen velvoitteiden täyttämistä ja valmistelua, jota varten on asetettu hanke toimikaudelle 26.4.2024-31.12.2026.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus valvoo luottamuspalveluita ja myöntää niille hyväksytyn statuksen. Hyväksytyt luottamuspalvelut löytyvät kansallisista luotetuista luetteloista (trusted list), jotka ovat päteviä kaikissa EU:n jäsenvaltioissa. Kyberturvallisuuskeskuksen sivuilla on lisätietoa ja kansallinen luettelo hyväksytyistä luottamuspalvelun tarjoajista.

eIDAS-asetuksen suhde muuhun sääntelyyn

Lompakon laaja käytettävyys voi hyödyttää myös muuta digitalisaatiota. Jäsenvaltioiden välisiä rajat ylittäviä palveluja tarjotessa tulee huomioida esimerkiksi yhteentoimiva Eurooppa -asetuksenmukainen yhteentoimivuus. EUDI-lompakko toteuttaa yhteentoimiva Eurooppa -asetuksen tavoitteita edistää rajat ylittävää tiedonvaihtoa julkisia palveluja tarjotessa. Lisäksi lompakon käyttö tukee yhteistä digitaalista palveluväylää koskevan asetuksen (SDG-asetus) ja siihen liittyvän todisteidenvaihtojärjestelmän (Once-Only Technical System, OOTS) tavoitteita. 

EIDAS-asetuksen velvoitteiden täyttämiseksi ja soveltamiseksi tarvitaan myös kansallista täydentävää sääntelyä.

EU:n digi- ja datalainsäädäntö kuntasektorille

Kuntaliitossa on käynnistynyt vuoteen 2025 kestävä EU:n digi- ja datalainsäädäntöä kuntasektorilla selvittävä projekti. Projektissa tuotetaan selkeyttävää materiaalia myös muista lainsäädännöistä siitä näkökulmasta, mitä mikäkin säädös tarkoittaa kunnille. Tämän lisäksi järjestetään syksyllä 2024 kuntasektorille haastatteluja ja työpajoja asian tiimoilta. Jos kunnassasi tai kaupungissasi on pohdintoja samojen asioiden äärellä, tervetuloa mukaan projektin verkostoon. 

Ohjeet ja lisätietoa löydät sivulta EU:n digi- ja datalainsäädäntö kuntasektorille | Kuntaliitto.fi.

Hyödyllisiä linkkejä

Kuntaliiton asiantuntijat, jotka voivat kertoa lisää

Jaana Nevalainen
+358 9 771 2257, +358 50 448 5062
Vastuualueet
  • Asiantuntija-, edunvalvonta- sekä kehittämistehtävät erityisesti tiedon yhteentoimivuuden ja hyödyntämisen mahdollistamiseksi kunnissa.
  • Julkishallinnon tietovirrat, tietovarannot ja tiedon hyödyntäminen.
  • EU-edunvalvonta ja yhteistyö digitalisaatio- ja tieto/data-asioissa.
  • EU:n digi- ja datalainsäädäntö kuntasektorin näkökulmasta -projekti ja teemaverkosto.
Niina Erkkilä
Vastuualueet
  • digitalisaatiokartoituksen tulosten käsittely, analysointi ja visualisointi erityisasiantuntijoiden tukena.
  • EU:n digi- ja datalainsäädäntöprojektissa avustaminen.
  • tiimin viestinnässä, pienissä selvitystehtävissä, tilaisuuksien järjestämisessä, verkostojen hallinnoinnissa yms. tehtävissä avustaminen.
  • tukitehtävät verkostojen hallinnassa sekä muut avustavat hallinnolliset tehtävät.
Löydä lisää sisältöä samoista teemoista
Digisumpit-kuvituskuva.

Tervetuloa digisumpeille!

Digisumpit on torstaisin pidettävä etätilaisuus kuntien digikehittäjille. Digisumpit on tarkoitettu kuntien osaamisen jakamista ja verkostoitumista varten. 

Digisumppien ajankohdat ja aiheet.