Sähköinen allekirjoitus - nopea ja luotettava tapa varmentaa asiakirjoja

Henriikka Eloluoto

7.4.2020 - 12:27

Kuva: Helloquence

Sähköinen allekirjoitus on paitsi varma, myös nopea tapa allekirjoittaa asiakirjoja - paperiseen prosessiin verrattuna pois jää ainakin kaksi kierrosta skannaamista ja printtaamista. Sähköisen allekirjoittamisen etuihin lukeutuvat myös ajasta ja paikasta riippumattomuus sekä mahdollisuus säilyttää allekirjoitettua, alkuperäistä asiakirjaa sähköisesti.

Sähköisen allekirjoituksen kolme tasoa

Sähköinen allekirjoitus on digitaalinen tapa allekirjoittaa asiakirjoja, esimerkiksi päätöksiä. Sähköinen allekirjoitus varmentaa viestin sisällön ja allekirjoittajan henkilöllisyyden.

Sähköistä allekirjoittamista ohjaa EU:n eIDAS-asetus (Electronic Identification, Authentication and Trust Services). Asetuksessa määritellään kolme eritasoista sähköistä allekirjoitusta:

Sähköinen allekirjoitus on sähköisessä muodossa olevaa tietoa, joka on yhdistetty osaksi muuta sähköistä kokonaisuutta (esimerkiksi asiakirjaa).
Kehittynyt sähköinen allekirjoitus mahdollistaa allekirjoittajan yksilöimisen. Allekirjoitus voidaan lisätä esimerkiksi sähköpostiviestiin siten, että tiedon mahdolliset muutokset voidaan havaita. Jos sähköistä asiakirjaa muutetaan jälkikäteen, aiemmin tehty allekirjoitus ei täsmää muutetun asiakirjan sisällön kanssa.
Hyväksytty sähköinen allekirjoitus perustuu sähköisten allekirjoitusten hyväksyttyyn varmenteeseen ja on luotu hyväksytyllä sähköisen allekirjoituksen luontivälineellä. Hyväksytty sähköinen allekirjoitus vastaa käsinkirjoitettua allekirjoitusta.

Milloin ja millä tasolla voin allekirjoittaa sähköisesti?

Sähköistä allekirjoitusta voi hyödyntää sekä organisaation sisäisissä että ulkoisissa prosesseissa. Se, minkä tasoisella allekirjoituksella asiakirja tulee allekirjoittaa, riippuu paitsi asiakirjasta muotovaatimuksineen, myös prosessista. Pääsääntöisesti organisaation sisäisten menettelyjen hallinnoimiseksi perustetuista suljetuissa järjestelmissä voidaan hyödyntää kevyemmän tason allekirjoitusta kuin yleisölle tarjottavissa tai julkisissa asiakirjoissa.

Sähköisestä asioinnista viranomaistoiminnassa annetun lain (13/2003) 16 §:n mukaan päätösasiakirja voidaan allekirjoittaa sähköisesti, ellei muussa laissa toisin säädetä. Päätösasiakirjan sähköisille allekirjoituksille asetetaan laissa kuitenkin laadullisia vaatimuksia. Viranomaisen on allekirjoitettava asiakirja joko eIDAS -asetuksessa määritellyllä kehittyneellä sähköisellä allekirjoituksella tai muuten sellaisella tavalla, että asiakirjan alkuperäisyydestä ja eheydestä voidaan varmistautua. Alkuperäisyydellä tarkoitetaan allekirjoittajan henkilöllisyyden tunnistamista ja eheydellä asiakirjan muuttumattomuutta.

EIDAS-asetusta ei sovelleta suljetuissa järjestelmissä, kuten organisaation sisäiseksi hallinnoimiseksi perustetuissa järjestelmissä.

Käytännössä sähköisen allekirjoituksen toteuttamiseksi suositellaan aina eIDAS-vaatimukset täyttävää ratkaisua. Vaatimukset täyttävä allekirjoitus on automaattisesti yhteensopiva sekä eurooppalaisten että kotimaisten eIDAS-vaatimukset täyttävien allekirjoituspalvelujen kanssa.

Miten sähköisen allekirjoituksen saa käyttöön?

Sähköisen allekirjoituspalvelun voi ottaa hyvin nopeasti käyttöön. On olemassa palveluntarjoajia, joiden palvelumaksut jäävät kilpailutusrajan alle, joten palvelu voidaan useimmissa tapauksissa ottaa käyttöön suorahankintana, hankintayksikön omien sääntöjen puitteissa. Allekirjoituspalvelua hankittaessa tulee varmistaa, että valittu palvelu täyttää eIDAS-vaatimukset; kaikkia sähköisiä allekirjoituspalveluja ei ole automaattisesti tehty vaatimukset läpäiseviksi. Vaatimusten läpäiseminen on pitkä prosessi, joka edellytää myös säännöllistä auditointia.

Sähköisiä allekirjoituspalveluja tarjoavat sekä kaupalliset toimijat että valtionhallinnon yhteisen ratkaisun toimittava Digi- ja väestötietovirasto. Kaupallisissa ratkaisuissa allekirjoittamiseen liittyvä tunnistaminen voi tapahtua esimerkiksi verkkopankkitunnusten, mobiilivarmenteen tai sirullisen henkilökortin avulla. Digi- ja väestötietoviraston tarjoamassa ratkaisussa allekirjoittaminen tapahtuu sirullisella organisaatiokortilla.

Allekirjoituksen käyttöönotto, kun organisaatiolla on jo sirukortit käytössä

Osa organisaatioista on ottanut käyttöön sirullisen organisaatiokortin, mutta sähköistä allekirjoittamista ei ole vielä käytössä. Tässä tapauksessa sähköisen allekirjoittamisen käyttöönotto on varsin suoraviivaista. Mikäli tietokoneessa on kortinlukulaite valmiina, riittää että koneelle asennetaan kortinlukuohjelmisto ja kortti aktivoidaan tunnusluvun avulla. Tämän jälkeen pdf-tiedostoja voi allekirjoittaa esimerkiksi Adobe Acrobat -ohjelmalla.

Artikkeliin on haastateltu Kuntaliiton tietoyhteiskuntayksikön johtaja Tommi Karttaavia sekä Digi- ja väestötietoviraston varmennepalveluasiantuntijoita.