Tunnistuspalveluista

2.8.2019 13.45
Kolumni
Tietosuojavaltuutettu Reijo Aarnio

Olen huolissani siitä, että verkossa palveluitaan tarjoavat tahot – viranomaiset mukaan lukien – edellyttävät, että niiden asiakkaat tunnistautuvat käyttämällä jotain EU:n ulkopuolisen palveluntarjoajan tunnistuspalvelua saadakseen niitä palveluja, jotka heille asiakkaina lain nojalla kuuluvat. Tässä tarkoittamani toimijat hallitsevat jo usein päätelaitemarkkinoita, verkkoja ja viestintää. Se, joka hallitsee tunnistuspalveluita, hallitsee markkinoita.

Huoleni myös eskaloituu. Jos maassamme ei saada aikaan tunnistuspalveluissa tarjontaa ja kilpailua, saatamme digiloikata suoraan biometriseen tunnistautumiseen. Silloin olisimme jonkin peruuttamattoman äärellä. Ihmisillä pitää olla oikeus pilkkoa digitaalinen jalanjälkensä ja minänsä pienempiin, tunnistamattomampiin osiin.

Tietosuojan historiassa keskeinen vaikutin on ollut henkilötunnus. Sen avulla on yhdistelty tietoja ja tiedostoja ja päädytty ehkä aivan virheelliseen lopputulemaan. Se on myös opettanut meille, että tunnistamiseen liittyvät käsitteet menevät edelleen synkeästi sekaisin; olen se, joka väitän olevani, hän on se, joka hän väittää olevansa ja hänellä on oikeus siihen, mitä hän aikoo tehdä. Näihin kaikkiin tilanteisiin tarjotaan vielä tänäkin päivänä henkilötunnusta lääkkeeksi.

EU:n saavutettavuusdirektiivi saatettiin voimaan lailla digitaalisten palveluiden tarjoamisesta (306/2019). Se tuli voimaan tämän vuoden huhtikuun alussa, ja siihen sisältyy runsaasti siirtymäsäännöksiä. Laki koskee viranomaisia, mutta nähdäkseni siinä omaksutut eräät periaatteet tulevat yleisemminkin sovellettaviksi.

Lain 4 §:ssä säädetään digitaalisten palvelujen suunnittelusta ja ylläpidosta (vrt. Privacy by Design ja Privacy by Default). Digitaaliset palvelut on suunniteltava ja ylläpidettävä siten, että niiden tietoturvallisuus, tietosuoja, löydettävyys (vrt. oikeus tulla informoiduksi) ja helppokäyttöisyys on varmistettu. Myös turvallinen sähköinen asiointi on järjestettävä (5 §, vrt. pääsy tietoon).

Laissa on myös palvelun käyttäjän sähköistä tunnistamista koskeva kohtansa (6 §). Aivan erinomaista, sillä siinä kerrotaan, milloin ensinnäkin henkilö pitää palvelussa tunnistaa ja vielä se, milloin pitää käyttää vahvaa sähköistä tunnistamista.

Näiden syiden vuoksi pyrin tukemaan tunnistamispalveluiden laadukasta tarjontaa. Meillä kansalaisilla on lupa odottaa, että meille tarjotaan valittavaksemme useampiakin turvallisia ja eurooppalaisen lainsäädännön asettamat edellytykset täyttäviä vaihtoehtoja. Olen ilahtuneesti pannut merkille, että käynnissä on useampiakin hankkeita, jotka tähtäävät tähän päämäärään. On jopa merkkejä palveluista, joissa asiakas saa asioida anonyymisti silloin, kun tunnistaminen ei aidosti ole tarpeen.