Valtioneuvoston periaatepäätös sähköisestä tunnistamisesta
VALTIONEUVOSTON PERIAATEPÄÄTÖS SÄHKÖISESTÄ TUNNISTAMISESTA
5.3.2009
Sisällysluettelo
- 1 Periaatepäätöksen tavoitteet
- 2 1) Sähköisen tunnistamisen yleinen jatkokehittäminen
- 3 2) Julkisen sektorin ohjaus ja yhteentoimivuus
- 4 3) Yritysten ja muiden organisaatioiden tunnistaminen
- 5 4) Virkamiesten tunnistaminen
- 6 5) Sosiaali- ja terveysalan lupa- ja valvontaviraston toimiminen varmentajana
- 7 6) Henkilön yksilöivien tietojen anastaminen ja väärän henkilöllisyyden käyttäminen
- 8 7) Biometristen tunnisteiden käyttäminen sähköisessä tunnistamisessa
Periaatepäätöksen tavoitteet
Tämän periaatepäätöksen tarkoituksena on sopia valtioneuvoston sisäisestä työnjaosta sähköisen tunnistamisen alalla tällä hetkellä näköpiirissä olevien tarpeellisten toimenpiteiden osalta.
Valtioneuvosto toteaa, että sähköisen tunnistamisen jatkokehittämistä ei voida ratkaista yksittäisellä toimenpiteellä, vaan kyse on sarjasta toimenpiteitä, jotka kuuluvat valtioneuvoston ohjesäännön mukaisesti useiden eri ministeriöiden toimivallan piiriin. Näitä toimenpiteitä tehdessään ministeriöiden tulee olla mukana toistensa hankkeissa sekä tietoisia aiemmin tehdyistä ja käynnissä olevista hankkeista. Keskeiset ministeriöt alalla ovat liikenne- ja viestintäministeriö, oikeusministeriö, sisäasiainministeriö, työ- ja elinkeinoministeriö sekä valtiovarainministeriö.
1) Sähköisen tunnistamisen yleinen jatkokehittäminen
Liikenne- ja viestintäministeriö vastaa sähköisen tunnistamisen yleisestä kehittämisestä. Liikenne-ja viestintäministeriö on asettanut Arjen tietoyhteiskunnan neuvottelukunnan alaisuuteen sähköisen tunnistamisen kehittämisryhmän. Sähköisen tunnistamisen kehittämisryhmä laati syyskuussa 2008 vahvan sähköisen tunnistamisen kansalliset linjaukset, joissa kuvataan sekä yksityisen että julkisen sektorin näkökulmista se toimintaympäristö, jolle vahvan sähköisen tunnistamisen jatkokehittäminen Suomessa perustuu. Linjauksissa ei varsinaisesti ole mitään uutta, vaan ne perustuvat jo olemassa olevaan käytäntöön. Tärkeää on kuitenkin ollut se, että kaikki asiaan liittyvät tulokulmat on esitetty samassa asiakirjassa. Sähköisen tunnistamisen kansalliset linjaukset hyväksyttiin lokakuussa 2008 arjen tietoyhteiskunnan neuvottelukunnassa, jossa ovat edustettuina sähköisen tunnistamisen kehittämisen kannalta tärkeimmät yksityisen ja julkisen sektorin toimijat. Linjaukset ovat tämän periaatepäätöksen liitteenä.
Linjausten 1 kohdassa todetaan, että Suomeen on luotava edellytykset toimivien vahvan sähköisen tunnistamisen markkinoiden synnylle. Vahvaa sähköistä tunnistuspalvelua tarjoavat tällä hetkellä pankit Tupas-tunnisteillaan ja Väestörekisterikeskus erilaisilla varmenteillaan. Palveluntarjoajia tarvittaisiin joitakin lisää, jotta saataisiin aikaan riittävästi kilpailua. Erityisesti teleyritykset ovat varsin pitkällä valmiudessaan ryhtyä tarjoamaan muun muassa liikkuvaan asiointiin soveltuvaa mobiilivarmennetta, jos markkinoille saadaan aikaan toimiva sääntely.
Linjausten kohdassa 2 puolestaan todetaan, että keskeisenä edellytyksenä markkinoiden syntymiselle ja toimimiselle on osapuolten välinen tehokkaasti toimiva yhteistyö. Tarvitaan avoimia yhteistyöjärjestelyjä, joita edistetään tarvittaessa aktiivisesti.
Tavoitteet:
Liikenne- ja viestintäministeriössä on valmisteltu luonnos laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista. Lain tavoitteena on luoda edellytykset toimivien vahvan sähköisen tunnistuspalveluiden markkinoiden synnylle. Lisäksi tavoitteena on saada aikaan säännöstö, jonka avulla voidaan lisätä vahvojen sähköisten tunnistusvälineiden haltijoiden ja vahvoja sähköisiä tunnistuspalveluita käyttävien palveluntarjoajien luottamusta vahvaan sähköiseen tunnistamiseen ja sitä tarjoaviin palveluntarjoajiin. Näiden perusedellytyksiä luovien toimenpiteiden avulla voidaan edistää sähköisten palveluiden ja julkisen sektorin sähköisen asioinnin kehitystä ja kasvua.
Sähköisen tunnistamisen kehittämisryhmän tavoitteena vuonna 2009 on erityisesti kehittää kansainvälisiin avoimiin standardeihin perustuva, kaikkien toimijoiden käytettävissä oleva sähköisen tunnistamisen käytön ja hallinnan toimintamalli. Toimintamallin avulla mahdollistetaan helppokäyttöiset ja luotettavat tietoyhteiskunnan sähköiset palvelut. Käytettävien sähköisen tunnistamisen palveluiden tulee olla yhteensopivia kansallisella ja lähivuosina myös kansainvälisellä tasolla.
Valtiovarainministeriö on käynnistänyt hankkeen valtion varmennetuotannon uudelleen organisoimiseksi. Hankkeen ensimmäiset tulokset valmistuvat keväällä 2009 ja lopulliset tulokset saman vuoden syksyllä. Erityisen tärkeää on selkeyttää Väestörekisterikeskuksen toimintaa toisaalta viranomaisena ja toisaalta palveluntarjoajana.
Keinot:
-Liikenne- ja viestintäministeriössä valmisteltu ehdotus laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista viimeistellään nopealla aikataululla ja pyritään antamaan eduskunnalle maaliskuun lopulla.
- Sähköisen tunnistamisen kehittämisryhmä vastaa kansainvälisiin avoimiin standardeihin perustuvan sähköisen tunnistamisen käytön ja hallinnan toimintamallin kehitystyöstä vuoden 2009 aikana. Sähköisen tunnistamisen kehittämisryhmään kuuluvat yksityiseltä sektorilta erityisesti pankkien ja teleyritysten edustajat sekä julkiselta sektorilta muiden muassa oikeusministeriön, sisäasiainministeriön ja valtiovarainministeriön edustajat - Valtiovarainministeriön vastuulla olevan valtion varmennetuotannon uudelleenorganisointihankkeen tuloksien pohjalta käynnistetään palveluiden jatkokehittäminen vuoden 2009 lopussa. Hankkeeseen osallistuvat liikenne-ja viestintäministeriön, oikeusministeriön, sisäasiainministeriön ja sosiaali-ja terveysministeriön edustajat.
2) Julkisen sektorin ohjaus ja yhteentoimivuus
Valtiovarainministeriön toimialaan kuuluvat julkisen hallinnon yleinen kehittäminen, valtionhallinnon tietohallinnon ohjaus, julkisen hallinnon sähköisen asioinnin ja sen tietoturvallisuuden yleiset perusteet sekä valtion ja kuntien tietohallintoyhteistyö.
Valtiovarainministeriö on antanut vuonna 2003 ohjeen pankkitunnisteiden ja laatuvarmenteen
käyttämisestä julkisiin palveluihin tunnistauduttaessa. Olemassa on kaksi
välityspalvelua, VETUMA ja Tunnistus.fi. Edelliseen voivat liittyä kaikki halukkaat
julkisen sektorin palveluntarjoajat, kun taas jälkimmäinen on Kansaneläkelaitoksen,
verohallinnon ja työ-ja elinkeinoministeriön palvelu. Toiminnan tehostaminen
edellyttää muun muassa tarkastelua siitä, voitaisiinko välityspalvelut yhdistää.
Valtionhallinnon vastuujärjestelmät perustuvat hajautettuun toimivaltaan. Hallinnonalat ovat kehittäneet tietohallintoaan omista lähtökohdistaan. Valtiovarainministeriön toimivalta on varsin vähäinen lukuun ottamatta informaatio-ohjausta ja sen eri keinojen monimuotoista käyttöä.
Kuntien perustuslaillisesta itsehallinnosta johtuen kuntiin kohdistuva ohjaus tapahtuu pääosin informaatio-ohjauksen keinoin ja velvoittava ohjaus tapauskohtaisesti laintasoisin säännöksin. Valtiovarainministeriöllä ei ole toimivaltaa antaa kuntien eikä muun julkisen hallinnon tietohallinnon yhteentoimivuutta ja sähköisen asioinnin tukipalveluja koskevia velvoittavia määräyksiä.
Sähköinen asiointi kuitenkin edellyttää, että julkisessa hallinnossa (valtionhallinto, kunnallishallinto ja välillinen valtionhallinto) ovat käytössä erikseen määriteltävät yhteiset palvelut ja niiden edellyttämässä laajuudessa yhteen toimivat toiminta-ja tietojärjestelmät.
Tavoitteet:
Kaikki julkisen sektorin toimijat – valtio, kunnat ja välillinen valtionhallinto – käyttävät jatkossa yhdenmukaisia teknisiä ratkaisuja ja rajapintoja vahvassa sähköisessä tunnistamisessa. Kyse on pitkälti 1 kohdassa mainitun sähköisen tunnistamisen kehittämisryhmässä tekeillä olevan sähköisen tunnistamisen käytön ja hallinnan toimintamallin täytäntöönpanosta julkisella sektorilla.
Valtiovarainministeriölle annetaan lainsäädännöllä toimivalta ohjata sähköisen tunnistamisen kehitystä koko julkisella sektorilla. Ohjauksella pyritään kustannustehokkuuteen, kansalaisille aiempaa yhtenäisempiin palveluihin sekä palvelutuotannon tasapainoiseen kehittämiseen.
Sähköisen tunnistamisen välityspalvelua kehitetään edelleen siten, että tavoitteena on koko julkiselle sektorille yhteinen välityspalvelu. Näin sähköinen tunnistaminen on helppo liittää osaksi verkkopalvelua. Keskeinen osa välityspalvelua ovat sopimukset ja tunnistamispalveluiden maksujen käsittely. Teknisen liitettävyyden lisäksi pyritään hallinnolliseen selkeyteen.
Keinot:
- Valtiovarainministeriö käynnistää vuoden 2009 aikana lainsäädäntötyön, jonka tavoitteena on laatia uutta sitovaa sääntelyä julkisen sektorin sähköisten palveluiden ohjauksesta. Työssään valtiovarainministeriö tekee tarvittavaa yhteistyötä muiden ministeriöiden kanssa. - Valtiovarainministeriö huolehtii jatkossakin riittävästä informaatio-ohjauksesta ja tarvittaessa antaa muuta tukea. - Valtiovarainministeriö laatii vuoden 2009 aikana suunnitelman julkisen sektorin yhteisen välityspalvelun rakentamisesta ja valmistelee siihen liittyvät hankinnat.
3) Yritysten ja muiden organisaatioiden tunnistaminen
Kaikessa vahvassa sähköisessä tunnistamisessa tunnistetaan viime kädessä henkilö. Yritysten ja muiden organisaatioiden tunnistamisessa voidaan käyttää samoja tunnistusvälineitä kuin henkilöiden tunnistamisessa, mutta käyttökelpoisuus on arvioitava tapauskohtaisesti. Organisaatiotunnistustapahtumaan liittyy pääsääntöisesti jokin rooli tai käyttöoikeus. Tunnistaminen ja käyttöoikeuksien tai roolin hakeminen ovat toisistaan erillisiä, joskin liitännäisiä prosesseja. Ratkaisut, jotka mahdollistavat roolitiedon liittämisen tunnistamiseen, ovat edellytys sähköisen tunnistamisen jatkokehittämiselle. Tällä hetkellä roolitietopalvelut ovat Suomessa varsin varhaisessa kehitysvaiheessa.
Yritysten ja muiden organisaatioiden tunnistamiseen on tällä hetkellä käytössä kaksi tunnistusmenetelmää, pankkien Tupas tunnistus ja Verohallinnon ylläpitämä Katsotunnistus. Jälkimmäisen on Valtiontalouden tarkastusvirasto tarkastuskertomuksessaan Tunnistuspalveluiden kehittäminen ja käyttö 161/2008 havainnut ongelmalliseksi. Nykyisessä muodossa sen käyttöä ei voida laajentaa. Pankkien Tupastunnistus on ollut yritystunnistuksessa käytössä suhteellisen lyhyen aikaa, joten sen käytön leviämistä ei voida vielä arvioida. Näiden lisäksi käytössä on lukuisia tiettyyn palveluun kytkettyjä tunnistusjärjestelmiä. Tällainen on esimerkiksi Tyviraportoinnin operaattorien ylläpitämät tunnistusjärjestelmät.
Patentti-ja rekisterihallituksen tehtävänä on järjestää organisaatioita koskevan tiedon ylläpito ja luovuttaminen. Sen rekisterit toimivat muiden rekisterien pohjatietona. Patentti- ja rekisterihallitus ylläpitää roolitietopalvelua, josta voidaan hakea esimerkiksi nimenkirjoitusoikeudet. Sen käyttö on ollut toistaiseksi vähäistä.
Palveludirektiivin velvoitteiden kautta tulee tarve rajat ylittävälle yritystunnistamiselle Euroopan talousalueella. Suomessa muotovaatimukset ovat yleisesti alhaisempia kuin monessa muussa jäsenmaassa. Suomessa pitää voida kuitenkin käsitellä muista jäsenmaista saapuneita asiapapereita ja toisaalta kotimaisten yritysten tulee voida vastaavasti lähettää niitä täyttäen muiden maiden asettamat vaatimukset. Palveludirektiivin kansallisesta täytäntöönpanosta vastaa työ- ja elinkeinoministeriö.
Tavoitteet:
Patentti-ja rekisterihallituksen perusroolitietopalvelun käyttöä laajennetaan huomattavasti nykyisestään Tutkitaan mahdollisuutta lisätä erilaisia rooleja palveluun. Tapauskohtaisesti arvioidaan, onko muiden rooli-ja käyttöoikeustietojen kuin perustiedon osalta kyse niin ikään viranomaistoiminnasta vai tulisiko palvelut tarjota markkinaehtoisesti. Yritysten väliset tunnistamisratkaisut ovat aina markkinaehtoisia.
Isojen yritysten ja organisaatioiden tietojen ylläpitäminen on työlästä. Tavoitteena on, että mikäli se on teknisesti mahdollista, näiden tietojen ylläpito kytketään organisaatioiden muuhun käyttöoikeuksien hallintaan tai vaihtoehtoisesti tarjotaan niille mahdollisuudet itse ylläpitää omia roolitietojaan.
Verohallinnon Katso-järjestelmän jatkosta ja sen suhteesta patentti- ja rekisterihallituksen roolitietopalveluun tehdään arviointi. Molemmissa järjestelmissä on hyviä puolia, jotka tulee ottaa huomioon jatkokehittämisessä.
Yritysten edellytyksistä toimia EU:n sisämarkkinoilla huolehditaan. Kansalliset ratkaisut noudattavat yhteisön ratkaisuja silloin, kun ne ovat tiedossa.
Keinot:
- Valtiovarainministeriö yhdessä työ- ja elinkeinoministeriön sekä liikenne-ja viestintäministeriön kanssa käynnistää hankkeen, jossa arvioidaan Verohallinnon Katsojärjestelmän jatko sekä laaditaan suunnitelma Patentti-ja rekisterihallituksen roolitietopalvelun käytön laajentamisesta. Hankkeessa myös arvioidaan, miten Patentti- ja rekisterihallituksen tietoja voivat muut toimijat hyödyntää omissa palveluissaan. Hankkeessa arvioidaan aiheutuuko tästä tarvetta lainsäädäntömuutoksille. Yksityisen sektorin yhteistyö hankkeessa varmistetaan sähköisen tunnistamisen kehittämisryhmän avulla.
- Työ-ja elinkeinoministeriö huolehtii palveludirektiivin kansallisesta täytäntöönpanosta ja seuraa aktiivisesti eurooppalaista kehitystä. Valtiovarainministeriö ja lii- kenne-ja viestintäministeriö osallistuvat työhön silloin, kun kyse on sähköisestä asioinnista tai sähköisistä allekirjoituksista.
4) Virkamiesten tunnistaminen
Valtiovarainministeriö on käynnistänyt yhtenä ValtIT-kärkihankkeena virkamiehen tunnistamisen hankkeet (VIRTU), jossa rakennetaan luottamusverkosto. Tunnistaminen ja käyttöoikeuksien hallinta ovat edelleen virastojen vastuulla, mutta yhteisiin palveluihin voidaan tunnistautua paikallisilla tunnuksilla. Organisaatioille määrätään tietyt tavoitetasot käyttöoikeuksien hallinnassa sekä tunnistuksessa. Rinnakkaisena hankkeen Kuntaliitolla on ollut VIRTU (K)-hanke, jossa hyödynnetään suoraan ValtIT- hankkeen tuloksia täydentäen niitä kuntakentän erityistarpeilla.
Virkamiesten tunnistamisessa voidaan soveltaa samoja tunnistusratkaisuja kuin kansalaisten tunnistamisessa, mutta usein kansalliseen turvallisuuteen liittyen, lainsäädännöstä tai kansainvälisistä sopimuksista johtuen on ratkaisuille asetettu erityisvaatimuksia. Niistä seuraa, että joudutaan perustamaan erillisiä rekistereitä ja käyttämään erillisiä tunnistusvälineitä. Tunnistusvälineitä voidaan käyttää myös kulunvalvontaa ja sähköiseen allekirjoitukseen teknologioiden niin salliessa. Tunnistusvälineiden ja –ratkaisujen valinnassa noudatetaan tietoturvatasoista annettuja säädöksiä ja ohjeita.
Virkamiesten tunnistamisen vastuut ja ylläpito on hajautunut organisaatioihin. Tavassa hoitaa käyttäjätietoja on suuria eroja. Toisissa ne on hoidettu esimerkillisesti, mutta toisissa on suuria puutteita. Esimerkiksi työnantajan vaihtuessa käyttäjätunnuksien sulkeminen ei tapahdu automaattisesti. Yhteisissä järjestelmissä on erilliset käyttäjähallinnot. Uuden järjestelmän käyttöönotto merkitsee usein taas yhtä uutta käyttäjätunnusta. Jatkuessaan kehitys johtaisi hyvin sekavaan tilanteeseen.
Tavoite:
Virkamiehen tunnistamisen menettelyjä yhtenäistetään edelleen ja VIRTU- luottamusverkoston käyttöönottoa vauhditetaan. Virastoja ja kuntia tuetaan käyttäjähallinnan kehittämisessä. Virkakortin käyttöönottoa vauhditetaan hankkeella, jossa määritellään milloin sitä voidaan pitää pakollisena ja edistetään käyttöönottoa tekemällä tarpeelliset sopimukset tai kilpailuttamalla palvelut. Ratkaisuissa otetaan erityisesti huomioon kansallisen turvallisuuden näkökohdat.
Keinot:
-Kuntaliitto ja valtiovarainministeriö jatkavat VIRTU-hankkeita ja huolehtivat toiminnan käynnistämisestä.
- Valtiovarainministeriö asettaa valtion varmennetuotannon uudelleenorganisointihankkeen tulosten pohjalta tunnistusratkaisujen, kuten esimerkiksi virkakortin käyttöönottoon hankkeen sekä huolehtii tarpeellisesta ohjeistuksesta.
5) Sosiaali- ja terveysalan lupa- ja valvontaviraston toimiminen varmentajana
Kansallisen terveydenhuollon tueksi ollaan rakentamassa tietokantaa ja sähköistä reseptiä. Sosiaali- ja terveysalan lupa- ja valvontaviraston (jäljempänä Valvira) rekisteröimän terveydenhuollon henkilöstön tunnistamisessa tarvitaan ammatillisen osaamisen lisäksi tietoa virka-asemasta ja toisaalta tietoa mahdollisista rajoituksista tehdä tietyn tyyppisiä toimenpiteitä. Tämän lisäksi tunnistamisratkaisun käytettävyyden tulee olla korkealla tasolla, esimerkiksi henkilökunnalle tulee voida järjestää varakortti hyvin lyhyellä varoitus ajalla.
Tätä tarkoitusta varten Valvira kehittää omaa varmennepalvelua. Valviran lähtökohtana on, että kyse on laatuvarmenteesta. Valviran varmennepalvelua on tähän saakka kehitetty jossain määrin erillään muusta valtionhallinnon sähköisen tunnistamisen kehittämishankkeista. Valtiontalouden tarkastusvirasto on tarkastuskertomuksessaan 161/2008 nähnyt myös Valviran edeltäjän Terveydenhuollon oikeusturvakeskuksen toiminnassa lukuisia ongelmia.
Tavoitteet:
Valviran ammattivarmenteiden tulee olla käytössä, kun uusien järjestelmien käyttöönotto on käsillä. Järjestelmän tulee tukea toimintaa, mutta samalla on huomioitava taloudelliset vaikutukset. Sairaanhoitopiireillä ja muilla alan toimijoilla tulee olla valmiudet siirtyä uusien korttien käyttöön ja huolehtia niihin liittyvästä hallinnosta. Ratkaisu ei saa vaarantaa terveydenhuollon toimintaa.
Jatkossa on pidettävä huoli siitä, että Valviran järjestelmien on oltava yhteensopiva muiden valtionhallinnon järjestelmien kanssa. Erityisen huolellisesti on seurattava kehitystä, joka tapahtuu valtion varmennetuotannon uudelleenorganisointia koskevassa hankkeessa.
Keinot:
Sosiaali-ja terveysministeriö arvioi uudelleen Valviran roolin varmennepalveluiden tuottajana mahdollisimman nopeasti sen jälkeen, kun valtiovarainministeriö on saanut päätökseen 1 kohdassa tarkoitetun valtion varmennetuotannon uudelleenorganisointia koskevan hankkeen. Samassa yhteydessä on arvioitava myös mahdolliset lainsäädännön uudistustarpeet.
6) Henkilön yksilöivien tietojen anastaminen ja väärän henkilöllisyyden käyttäminen
Toisen henkilöllisyyden väärinkäytön erilaiset muodot ovat nopeasti yleistyvä rikollisuuden muoto ja kansainvälisesti vakava ongelma. Toisen henkilöllisyyden väärinkäyttö liittyy usein järjestäytyneeseen rikollisuuteen tai laittomaan maahanmuuttoon. Vääriä identiteettejä käytetään usein taloudellisiin etuihin liittyvissä rikoksissa. Useat maat ovatkin ryhtyneet mittaviin toimenpiteisiin estääkseen tämän kaltaiset rikokset. Henkilöllisyyttä suojataan lainsäädännössä välillisesti usein eri säännöksin, mutta sääntely ei ole välttämättä täysin kattavaa. Lainsäädäntöä saatetaan tarvita tilanteissa, jossa tietoverkkorikollisuuteen liittyy väärän henkilöllisyyden käyttö. Lainsäädännön kartoittamisen ohessa on syytä tarkastella myös terminologiaa ja sen yhteneväisyyttä
Verkkorikollisuus on mitä suurimmassa määrin piilorikollisuutta. Käytännössä yleensä toisen henkilön yksityisiä tietoja, kuten luottokortin numeroa, käytetään luvatta muiden rikosten tekemiseen. Useissa muissa EU:n jäsenvaltioissa väärän henkilöllisyyden käyttö rangaistaan usein petoksena tai se ei ole rangaistavaa lainkaan. Yhtäläinen lainsäädäntö jäsenmaissa voisi helpottaa lainvalvontaviranomaisten välistä yhteistyötä. Komissio on aloittanut kuulemisen siitä, onko yhtäläinen lainsäädäntö tältä osin tarpeen.
Kansalaisen itsensä ei voi olettaa olevan tietoturvallisuuden asiantuntija, joten hänelle tarjottavan tunnistautumis- tai allekirjoitusmenetelmän tulisi olla ehdottoman luotettava. Kansalaisen oikeusturvan kannalta oman henkilöllisyyden suojaaminen on hyvin keskeistä. Henkilöllisyyden suojaamista voidaan pitää kansalaisen perustavaa laatua olevana oikeutena.
Tavoitteet:
Henkilön yksilöivien tietojen anastaminen ja väärän henkilöllisyyden käyttäminen on voitava estää tehokkaasti. Mahdollisen lainsäädännön lisäksi tarvitaan tehokasta koulutusta ja tiedottamista.
Valtioneuvoston hyväksymän ja sisäasiainministeriön johtaman sisäisen turvallisuuden ohjelman yksi osa-alue on tietoverkkorikollisuus ja siihen liittyvät identiteettivarkaudet. Sisäasiainministeriön henkilöllisyyden luomista koskevan hankkeen (jäljempänä Identiteettiohjelma) yksi keskeisistä tavoitteista on henkilöllisyyden turvaaminen ja toisen henkilöllisyyden väärinkäytön ennalta estäminen. Poliisilla on toisen henkilöllisyyden väärinkäytön osalta keskeinen käytännön toimijan rooli.
Keinot:
- Sisäisen turvallisuuden ohjelmassa ja identiteettiohjelmassa tarkastellaan henkilön yksilöivien tietojen anastamista ja väärän henkilöllisyyden käyttämistä ilmiönä. Hankkeissa selvitetään muun muassa, millaisista ilmenemismuodoista voi olla kysymys ja mikä on niiden aiheuttama uhka kansalaisille nyt ja tulevaisuudessa. Lisäksi selvitetään, miltä osin nykyinen lainsäädäntö, erityisesti rikoslaki, vastaa tähän ongelmakenttään, ja onko tarvetta lisäsääntelylle. Ohjelmissa ovat edustettuina useat ministeriöt, muun muassa liikenne- ja viestintäministeriö, oikeusministeriö ja valtiovarainministeriö.
7) Biometristen tunnisteiden käyttäminen sähköisessä tunnistamisessa
Biometrinen tieto liittyy poikkeuksellisen kiinteästi yksilöön itseensä ja on siten luonteeltaan hyvin toisenlaista kuin muu henkilötieto. Biometrisen tunnisteen menettämiseen liittyy peruuttamattomuus.
Voimassa oleva lainsäädäntö ei ota riittävästi huomioon biometriseen tunnistamiseen liittyviä erityispiirteitä. Lainsäädäntö ei anna palvelujen kehittäjille riittävää ohjausta palvelujen toteuttamiseksi tunnistettavien yksityisyyden suojan turvaavalla tavalla. Palvelujen kehittäjien on käytännössä vaikeaa arvioida voimassa olevasta sääntelystä, miten ja mihin biometrista tunnistamista voi käyttää ja miten palvelut tulisi toteuttaa tunnistettavien yksityisyyden suoja huomioon ottavalla tavalla.
Oikeustilan epäselvyys on selvä riski kansalaisten yksityisyyden suojalle. Jos biometrista tunnistamista koskevia pelisääntöjä ei lainsäädännöllä selkeytetä, uhkana on, että Suomenkin markkinoille tuodaan yhä enenevässä määrin biometrista tunnistamista hyödyntäviä palveluja, joissa tunnistettavien yksityisyyden suojaan ja tietoturvaan liittyviä vaatimuksia ei ole huomioitu riittävässä määrin. Alan pelisääntöjä selkeyttämällä turvattaisiin kansalaisten yksityisyyden suoja biometrisen tunnistamisen käytössä.
Tavoitteet:
Biometristen tunnisteiden käyttöä säännellään jatkossa yleisesti siten, että voidaan turvata kansalaisten yksityisyyden suojan ja tietoturvan vaatimukset niiden käyttämisessä.
Biometristen tunnisteiden käyttäminen ei liity pelkästään vahvan sähköisen tunnistuspalveluiden tarjontaan, vaan niitä voidaan käyttää ja parhaillaan jo käytetään myös toimijoiden omissa sisäisissä järjestelmissä esimerkiksi kuntosaleilla. Tämän johdosta sääntelyn oikea paikka ei ole valmisteilla oleva laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista, vaan sääntelyn olisi oltava horisontaalista. Tarvittavat yleiset säännökset biometristen tunnisteiden käsittelystä olisi tältä kannalta aiheellista sijoittaa henkilötietolakiin.
Keinot:
- Oikeusministeriö asettaa vuoden 2009 aikana työryhmän selvittämään asiaa. Työryhmässä ovat edustettuina ainakin liikenne-ja viestintäministeriö, sisäasiainministeriö ja valtiovarainministeriö.
