Käytä sähköistä tunnistamista vain, kun se on lain mukaan tarpeen

Viranomainen voi vaatia digitaalisessa palvelussa käyttäjältä sähköistä tunnistamista vain, jos se on tarpeen palvelun tai sen tietosisältöön liittyvien käyttöoikeuksien varmistamiseksi tai palvelussa tehtävään toimeen liittyvien oikeusvaikutusten vuoksi. (1)

Viranomainen voi vaatia digitaalisen palvelun käyttäjältä sähköistä tunnistamista vain: 

  • jos tunnistamista tarvitaan varmistamaan henkilön oikeus käyttää palvelua tai palvelun tietosisältöä tai 
  • jos käyttäjän palvelussa tekemään toimeen liittyy oikeusvaikutuksia 

Digitaalisen palvelun omistajan on määriteltävä, kuinka luotettavaa tunnistamisen menetelmää palvelun käyttö edellyttää. Tämä tulee määritellä suhteessa palvelussa käsiteltävien tietojen luottamuksellisuuteen ja väärinkäytöksistä aiheutuviin riskeihin. Viranomainen siis arvioi, milloin ja miten digitaalisen palvelun käyttäjä on tarpeellista tunnistaa. 

Syitä tunnistamiselle voivat olla: 

  • digitaalisen palvelun käyttäjän käyttöoikeuksien selvittäminen ja varmistaminen 
  • tilanteet, joissa palvelussa tehdyt toimet voivat aiheuttaa merkittäviä oikeudellisia vaikutuksia asiakkaan etuihin, oikeuksiin tai velvollisuuksiin. 

Kaikissa digitaalisissa palveluissa ja asiointitilanteissa palvelun käyttäjän aktiivinen tunnistaminen ei ole tarpeen. Tunnistamistarve on arvioitava ja perusteltava tapauskohtaisesti kunkin palvelun, sen toiminnallisuuksien ja niihin liittyvien riskien perusteella. 

Tunnistamisen käytöstä on määritetty esimerkkitapauksiin liittyviä ehtoja, kuten: 

  • Viranomainen ei voi vaatia tunnistusta tyhjille lomakkeille pääsyyn tai yleisesti tarjolla olevaan informaatioon.
  • Viranomaiselle saapunutta asiakirjaa ei tarvitse täydentää allekirjoituksella, jos asiakirjassa on tiedot lähettäjästä, eikä asiakirjan alkuperäisyyttä ole syytä epäillä. 
  • Tunnistusta voidaan vaatia, jos palvelussa on mahdollista tehdä henkilön etuihin, oikeuksiin tai velvollisuuksiin liittyviä merkittäviä toimia. Tunnistusta voidaan vaatia esimerkiksi silloin, kun asiakas lähettää tietoja viranomaisen käsiteltäväksi tai tallentaa tietoja viranomaisen tietovarantoon. 
  • Viranomainen voi vaatia vahvaa sähköistä tunnistamista esimerkiksi silloin, kun käyttäjä pääsee palvelussa katsomaan omia tietojaan tai valtuutuksen perusteella edustamansa henkilön tietoja. 
  • Tunnistusta voidaan vaatia tilanteissa, joissa palvelussa olevalle lomakkeelle muodostetaan automaattisesti tietoja viranomaisen tiedossa olevien käyttäjää koskevien tietojen perusteella
  • Tunnistamisen voi toteuttaa tyhjälle lomakkeelle siten, että tunnistaminen vaaditaan vasta lomaketta lähettäessä. Käytännössä tällainen toiminnallisuus vastaa sähköistä allekirjoitusta ja tunnistuksella varmistetaan lähettäjän henkilöllisyys ja pyritään ennalta estämään palvelun käyttöön liittyviä väärinkäytöksiä.
  • Henkilötietojen keräämiseen ja käsittelyyn liittyvissä tilanteissa tunnistamista voidaan vaatia, jotta tietojen alkuperäisyys, täsmällisyys ja eheys voidaan varmistaa.
  • Tunnistuksella tai palveluun kirjautumisella voidaan pyrkiä myös estämään esimerkiksi palvelunestohyökkäyksiä, mutta tämä ei saa olla yksinomaan perusteena sähköisen tunnistamisen vaatimiselle digitaalisessa palvelussa.
Päivitetty: 19.3.2020
Säädökset ja määräykset
(1) Laki digitaalisten palveluiden tarjoamisesta 306/2019 6 § 1 mom.
(1) Laki digitaalisten palveluiden tarjoamisesta 306/2019 6 § 1 mom.
Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 617/2009
Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 617/2009
Laki sähköisestä asioinnista 13/2003
Laki sähköisestä asioinnista 13/2003
Hallintolaki 434/2003
Hallintolaki 434/2003
Laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista 571/2016
Laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista 571/2016
Tietosuoja-asetus
Tietosuoja-asetus
EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) N:o 910/2014, sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkk…
EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) N:o 910/2014, sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkk…
KOMISSION TÄYTÖNTÖÖNPANOASETUS (EU) 2015/1502, teknisten vähimmäiseritelmien ja - menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoj…
KOMISSION TÄYTÖNTÖÖNPANOASETUS (EU) 2015/1502, teknisten vähimmäiseritelmien ja - menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoj…
Viestintävirasto 72A/2018 M, Määräys sähköisistä tunnistus- ja luottamuspalveluista
Viestintävirasto 72A/2018 M, Määräys sähköisistä tunnistus- ja luottamuspalveluista
Edellinen
Toteuta sähköinen tunnistaminen lain mukaisesti
Tämä on osa:
Laki digitaalisten palvelujen tarjoamisesta, luku 2: Viranomaisten digitaalisten palvelujen järjestäminen yleisölle
Siirry osioon