Genomföra digital identifiering enligt lag
Tillitsnivån vid identifiering
Tillitsnivån vid elektronisk identifiering beskriver hur sannolikt det är att den som använder en digital tjänst är den person som man har hänvisat till i tjänsten.
Tillitsnivån hos det elektroniska identifieringssätt som används och tillförlitligheten hos identifieringsverktyget påverkas bland annat av den elektroniska identifieringsmetodens särdrag, som exempelvis:
- antal identifieringsfaktorer, det vill säga hur många sätt personen kan identifieras på
- tillämpade skyddsmetoder som förhindrar att identifieringsverktygen kopieras, förfalskas eller utsetts för angrepp
- processen för att registrera identifieringsverktyget och den inledande identifieringen
- identifieringsverktygets tekniska egenskaper och säkerhetsegenskaper
Ett identifieringsverktyg är inte mer tillförlitligt än den svagaste länken i dess tillitsnivå.
Krav på stark autentisering
Om sekretessbelagt innehåll kan ses och användas i en digital tjänst, ska den som använder tjänsten identifieras genom att man använder:
- Suomi.fi-identifikation eller
- stark autentisering eller
- av vägande, grundat skäl någon annan motsvarande informationssäker identifiering, till exempel om användarna är utlänningar och stark autentisering därför inte kan tillämpas.
Sekretessbelagt datainnehåll kan ses och användas i en digital tjänst, bland annat i situationer som rör:
- handlingar gällande hälsotillstånd
- särskilda kategorier av personuppgifter
- uppgifter om kundrelationer inom socialvården
- uppgifter som knyter an till elevvården
- affärs- och yrkeshemligheter eller andra sekretessbelagda uppgifter
I lagen om förvaltningens gemensamma stödtjänster för e-tjänster fastställs det vilka myndigheter som är skyldiga att använda Suomi.fi-identifikation i sina digitala tjänster i situationer i vilka användaren ska identifieras med starkt autentisering.
Om kraven på stark autentisering bestäms i lagen om stark autentisering och betrodda elektroniska tjänster.
Europaparlamentets och rådets förordning (EU) nr 910/2014 förpliktar aktörerna inom den offentliga förvaltningen att även godkänna andra EU-länders identifieringsverktyg i sina digitala tjänster som förutsätter stark autentisering.