Luonnos hallituksen esitykseksi vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain muuttamiseksi

Liikenne- ja viestintäministeriön lausuntopyyntö 

Lausunto luonnoksesta hallituksen esitykseksi vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain muuttamiseksi

Yleiset huomiot esitysluonnoksesta

Kuntaliitto kiittää mahdollisuudesta kommentoida lakiluonnosta ja toteaa, että siinä esitetyt tavoitteet ja keskeiset ehdotukset ovat kannatettavia. Tavoitteita toteutettaessa tulee kiinnittää huomiota niin kuluttajien kuin toimihenkilöiden mahdollisuuksiin hyödyntää sähköisen tunnistamisen ratkaisuja käytettäessä sähköisiä palveluita eri rooleissa - tunnistamisen ratkaisujen skaalautuminen ja käyttötarkoituksenmukaisuus.

Kuntarakenteen kannalta, ei sähköinen asiointi kuten ei myöskään sähköisen tunnistamisen ratkaisut ole itsestään selvyyksiä olemassa olevan palvelurakenteen toteutuksissa (pienet kunnat). Erityistä huomiota on kiinnitettävä helppokäyttöisyyteen, tukipalveluiden läpinäkyvyyteen (automaatio asteisuus) sekä vaikutustenarviointiin mahdolliset käyttäjäorganisaatiolle tulevat kustannukset huomioiden - ennustettavuus.

On syytä myös huomioida, että vahvan sähköisen tunnistamisen joustava toteutus palvelee myös vahvaa heikompaa sähköisen tunnistamisen toteutuksia sekä tarvittavaa tarjontaa tunnistusvälineitten osalta (esim. kirjasto-palvelut).

Edelleen Kuntaliitto haluaa kiinnittää huomiota siihen, että vahvan sähköisen tunnistamisen yhteydessä kiinnitetään myös asianmukaista huomiota suunnittelun alla oleviin sähköiseen tunnistamiseen läheisesti liittyviin ratkaisuihin. Käyttövaltuushallinnan ratkaisujen alueellinen ja seudullinen yhteyskäyttö julkishallinnon sähköisen asioinnin palveluita kehitettäessä ja käyttöönotettaessa, sekä toteutettaessa paikallisia sähköisen asioinnin palveluita kansalliset tarpeet huomioiden. 

Käyttötarkoituksenmukaisuutta on syytä tarkastella eri näkökulmista:

• kansallisten ja alueellisten/paikallisten pelisääntöjen ja linjausten selkeytys
• sähköisen tunnistamisen, todentamisen ja valtuuttamisen toiminnallisuuksien käyttö
• kansallisen järjestelmän rooli

• valtionhallinto (Yhteiset Palvelut: KELA, Vero, VRK, …)
• maakunnan toimintaympäristö (alueellinen/paikallinen)
• kunnan toimintaympäristö (paikallinen)

• palvelutuotanto - mahdollistettaessa palveluita maakuntia ja kuntia koskeviksi
• yhteiskäyttöisyys ja yhteistoiminta kuntien kanssa
• palvelut, kansalaiset, kansalaisten tunnistautuminen/todentaminen/valtuuttaminen

Lisäksi tunnistetun käyttäjän linkittäminen asiakkaaseen ja siihen liitettävästä asiakastiedosta saa hyötyä liiketoimintaa kehitettäessä alueellisesti, elinkelpoisuus ja hyvinvointi huomioiden.

12a § Tunnistuspalvelun tarjoajien luottamusverkosto

Kuntien kannalta selkeää olisi nostaa yleisellä, karkealla tasolla esille käyttäjäorganisaation toimintaympäristölle aiheutuvat kustannukset eri tunnistamisvälineitä hyödynnettäessä. Eri käytäntöjen yhteensovittamiseksi tulisi eri julkishallinnon käyttäjäorganisaatioilla olla käytössään selkeä ohjeistus tunnistuspalvelu-kokonaisuudesta.

Kuntaliitto pitää hyvänä lain tavoitteeksi ottamaa sähköisten palveluiden tarjonnan edistämistä. Tunnistusvälityspalveluiden toteuttaessa asiointipalveluille ratkaisuja tulisi käyttäjäorganisaatioiden voida ennakoida muutkin tarvittavat osa-alueet oman toimintaympäristönsä silmin jo yksinomaa oman taloudensa seurannan kannalta. Näin toimien parannetaan sekä palveluiden että niitä hyödyntävien toimintaympäristöjen kokonaisturvallisuutta.

12b § Tunnistuspalvelun käyttöoikeuden toimitusehdot

Kuntaliitto pitää esitettyjen käyttöoikeuksien avoimuutta hyvänä asiana. Ja jos tunnistusvälineen tarjoajan ilmoittamalla palvelutasolla tarkoitetaan sitä, että käyttäjäorganisaatio ymmärtää tunnistusvälineen käytettävyyden ja merkittävyyden toimintaympäristönsä kannalta niin ikäviltä yllätyksiltä palvelutuotannon kohdalta vältytään enenemässä määrin.

12c § Luottamusverkoston hintasääntely

Kertakirjautumisen osalta perusteluina on esitetty, että ”… kertakirjautumisessa jokainen välityspalvelun ylläpitämän kertakirjautumisistunnon sisällä tapahtuva tunnistautuminen eri asiointipalveluihin katsottaisiin hintasääntelyn kannalta erilliseksi korvattavaksi tapahtumaksi, vaikka tunnistusvälineen tarjoaja lähettäisi vain kerran tunnistustiedon välittäjälle. Päinvastainen tulkinta voisi ohjata tarpeettomasti kertakirjautumisen käyttöön sellaisissakin tilanteissa, joissa sitä ei muuten käytettäisi.”

Epäselväksi jää mitä tarkoitetaan ’tarpeettomalla kertakirjautumisella’ edistettäessä sähköisten palvelujen toteutuksia. Ja tarkasteltaessa asiaa kansallisen palveluarkkitehtuurin linjausten kautta sekä jo Suomi.fi-tunnistus tukipalvelun käytöstä saadun kokemuksen kautta ei esitetty perustelu avaudu riittävästi merkitykseltään. Käyttäjäorganisaation asiointipalvelut sekä asianhallintaratkaisut ovat hajaantuneita toimintaympäristössään, ja keskitettyjen ratkaisujen kuten (vahvan) sähköisen tunnistamisen hyödyntäminen edellyttää eri osapuolien kannalta palvelujen ennustettavuutta. Hintasääntelyn määrittäessä myöskin käyttäjäorganisaation sisäisen toimintaympäristön transaktioita, ratkaisujen kompleksisuuden lisääntyminen voi hidastaa palvelujen käytettävyyttä sekä saatavuutta (riski kasvaa). Esim. 5G:n toiminnallisuuksia hyödynnettäessä (M-2-M ja App-2-App) on vaarana ettei olemassa olevat sähköisen tunnistamisen (todentamisen) ratkaisut ole riittävän skaalautuvia ilman erillistoteutuksia.

Toimiva kertakirjautuminen myös tiedon hallinnan näkökulmasta on sähköisen tunnistamisen ratkaisuilla oleellinen käyttövaltuushallinnan kautta (tiedonhallintalaki esitys - suunnittelua tekevällä organisaatiolla on vastuu tiedonhallinnastaan; tiedonhallintayksikkö).

Lisäksi vaikutus erillisten varmennepalvelujen syntymiseen tulisi arvioida tulevien julkishallinnon ekosysteemi-ympäristöjen rakenteitten kannalta (yhtenä esimerkkinä Tulorekisteri - KATRE).

Hintasääntelyn tasoa arvioitaessa vuosittain tulisi kokonaisuutta tarkastella kustannus- hyötyanalyysi tasoisesti vahvan sähköisen tunnistamisen kannalta huomioiden koko julkishallinnon toimintaympäristö. Sekä tarvittava sidos vahvaa heikomman tunnistamisen ratkaisujen osalta.

SUOMEN KUNTALIITTO