Toteuta sähköinen tunnistaminen lain mukaisesti
Tunnistamisen varmuustaso
Sähköisen tunnistamisen varmuustaso kuvaa sitä, miten todennäköisesti digitaaliseen palvelua käyttävä henkilö on se, jolle tietty henkilöllisyys on palvelussa osoitettu.
Käytettävän sähköisen tunnistamistavan varmuustasoon ja tunnistusvälineen luotettavuuteen vaikuttavat muun muassa sähköisen tunnistusmenetelmän ominaispiirteet, kuten:
- todentamistekijöiden lukumäärä, eli se kuinka monella tapaa henkilö voidaan tunnistaa
- käytetyt suojauskeinot tunnistusvälineiden toisintamista ja väärentämistä sekä hyökkäyksiä vastaan
- tunnistusvälineen rekisteröintiprosessi ja ensitunnistaminen
- tunnistusvälineen tekniset ja turvallisuuteen liittyvät ominaisuudet
Tunnistusväline on niin luotettava, kuin sen varmuustason heikoin osa.
Vaatimus vahvasta sähköisestä tunnistamisesta
Jos digitaalisesta palvelusta on mahdollista saada nähtäväksi ja käytettäväksi salassa pidettäviä tietosisältöjä, on palvelun käyttäjä tunnistettava käyttämällä:
- Suomi.fi-tunnistusta tai
- vahvaa sähköistä tunnistamista tai
- painavasta perustellusta syystä muuta vastaavaa tietoturvallista tunnistuspalvelua esimerkiksi tilanteessa, jossa käyttäjät ovat ulkomaalaisia eivätkä voi käyttää vahvaa sähköistä tunnistamista.
Salassa pidettäviä tietosisältöjä on mahdollista saada digitaalisen palvelun kautta nähtäväksi ja käytettäväksi muun muassa tilanteissa, jotka koskevat:
- terveydentilaa koskevia tietoja
- muita erityisiin henkilötietoryhmiin kuuluvia tietoja
- sosiaalihuollon asiakkuutta koskevia tietoja
- oppilashuoltoon liittyviä tietoja
- liike- ja ammattisalaisuuksia tai muita salassa pidettäviä tietoja
Laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista määrittää viranomaiset, jotka ovat velvoitettuja käyttämään digitaalisissa palveluissaan Suomi.fi-tunnistusta tilanteissa, joissa käyttäjä on tunnistettava vahvasti.
Vahvan sähköisen tunnistamisen vaatimuksista säädetään laissa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista.
Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014 velvoittaa julkisen hallinnon toimijat hyväksymään myös toisen EU-maan tunnistusvälineet digitaalisissa palveluissaan, jotka edellyttävät vahvaa tunnistautumista.