Oletko joskus toivonut, että voisit esittää ajokorttisi kännykällä, koska unohdit korttisi kotiin? Tai todistaa tulotietosi lainaa varten reaaliaikaisesti ilman paperinpyörittelyä tai vanhentuneita tietoja? Yritykset ja viranomaiset kaipaavat kätevämpiä mekanismeja tunnistaa asiakkaita niin fyysisessä, kuin online-palvelussa, ja varmistaa tietoja esimerkiksi talouteen, koulutuksiin tai lupiin liittyen. Digitalisaation edetessä olemme joutuneet toteamaan, että emme pysty rakentamaan riittävää luottamusta digitaalisilla laitteilla. Luotamme enemmän paperidokumentteihin, kuten passiin, henkilökorttiin tai allekirjoitettuun lupalappuun kuin digitaalisiin todisteisiin.
Kesäkuussa 2021 myös EU julkaisi ehdotuksensa uudeksi Euroopan laajuiseksi Digitaaliseksi Identiteetiksi. Ehdotus sisältää analyysin digitaalisen identiteetin ja tunnistautumisen nykytilasta EU:n kontekstissa, päivityksen eIDAS-säädökseen (electronic IDentification, Authentication and trust Services), sekä suosituksen jäsenmaiden yhteisen työkalupakin rakentamisesta.
Ehdotuksen tarkoituksena on mahdollistaa tekninen ja juridinen yhteensopivuus digitaalisille identiteettilompakoille ja vahvistettavien tietojen käytölle EU:n julkisella ja yksityisellä sektorilla. Käytännössä tämä tarkoittaa niin sanotun Eurooppalaisen Digitaalisen Identiteetin ekosysteemin muodostumista. Tyypillisiä käyttökohteita lompakoille ja vahvistettaville tiedoille ovat mm. sähköinen ajokortti, passi, henkilökortti, kulkuoikeudet, koulutustodistukset ja toimiluvat.
Mutta mitä ehdotus pitää käytännössä sisällään ja kuinka EU:n kehitys vaikuttaa kansallisten luottamusverkostojen toimintaan?
Ehdotuksen keskipisteenä on EU:n kansalaisille tarjottava digitaalinen identiteettilompakko, jota käytetään sähköisesti vahvistettavien tietojen hallintaan. Sähköisesti vahvistettavat tiedot (identiteettitodisteet) ovat luotettavista tietolähteistä julkaistavia tietoja, kuten ajokortin korttiluokat, koulutustiedot tai nimi- ja syntymätiedot. Näitä vahvistettavia tietoja voivat myöntää kuluttajan lompakkoon jäsenvaltioissa tunnustetut julkiset ja yksityiset ydintietorekisterit. Lompakkoja voivat hyödyntää palveluntarjoajat, jotka ovat ilmoittautuneet vahvistettavien tietojen käyttäjiksi. Kuluttaja voi myös päättää mitkä tiedot hän haluaa antaa tietojen hyödyntäjälle, jolloin tietoa paljastetaan vain valikoidusti (ns. selective disclosure). Tämä tarkoittaa käytännössä mahdollisuutta mm. vahvistaa henkilön täysi-ikäisyys, ilman monimutkaisten vahvojen tunnistautumismekanismien tai luottokortti-katevarausten tekemistä.
EU:n uusi säädös velvoittaa digitaalisten tietojen luovuttamisen ja vastaanottamisen mm. julkisella sektorilla, sekä useissa yksityisissä palveluissa, kuten liikenne-, energia-, koulutus- ja telekommunikaatiosektorilla. Lisäksi vahvistettaville tiedoille myönnetään selkeä juridinen asema. Ne tunnustetaan vahvuudessaan samankaltaiseksi kuin esimerkiksi viranomaisen vahvistamat paperidokumentit.
Vahvistettavien tietojen käyttö tuo useita etuja sekä organisaatioille että kuluttajille. Tunnistautuminen ja luotettava digitaalinen tiedonvaihto on tähän asti perustunut pelkästään nimeen ja henkilötunnukseen. Jatkossa yritykset pystyvät vaatimaan henkilöllisyyden todistamisen lisäksi muita heidän liiketoiminnalleen olennaisia tietoja, kuten tietoja siviilisäädystä, koulutuksesta, toimiluvista ja taloudellisesta asemasta. Tämä tarkoittaa riskien sekä transaktiokustannusten madaltumista, sekä nopeampaa prosessointia. Kuluttajat hyötyvät erityisesti digitaalisten palveluiden lisääntymisestä, käyttökokemuksen paranemisesta, vähenevästä paperidokumenttien käsittelystä, ja digitaalisten palveluiden turvallisuuden kasvamisesta.
Identiteetin ja vahvistettavien tietojen digitalisoimiseksi on tehty jo vuosia työtä sekä Euroopassa, että globaalisti. Esimerkiksi Suomessa julkaistiin toukokuussa public-private Findy-osuuskunta, jonka tarkoituksena on kehittää Suomeen uusi digitaalisen identiteetin ja luottamuksen infrastruktuuri vahvistettavien tietojen jakamista varten.
EU on ottamassa entistä vahvemman roolin luottamuspalveluiden säätelyssä, mutta uusi ehdotus jättää myös paljon alueita markkinan varaan ja toivoo, että lompakoiden käyttö synnyttää uusia innovaatioita kansallisten aktiivisten toimijoiden, kuten Findy-ekosysteemin kautta. Findy-osuuskunta julkaisikin oman kannanottonsa EU:n uuteen ehdotukseen. Useat säädöksen periaatteet ja mekanismit ovat sellaisia, joita Findy yhdessä kansainvälisen verkostonsa kanssa on edistänyt jo pitkään ja säätelyn adoptio edistänee myös Findyn missiota.
Toteutuessaan ehdotus edistää pääsääntöisesti luottamusmarkkinaa, mutta henkilökohtaisesti en kuitenkaan näe järkevänä säädöksen kohtaa, jonka mukaan jokaisen tietojen hyödyntäjän tulee ilmoittautua tietoja hyödyntäväksi tahoksi ja täsmentää mitä tietoja aikoo käyttää ja miksi. Sen sijaan palvelujen käyttöönotosta tulisi tehdä mahdollisimman helppoa. Suurin osa tiedonvaihdosta tapahtuu nimenomaan tietojen hyödyntäjän ja digitaalisen lompakon välillä, ja suurin hyöty saadaan, kun tämä interaktio tehdään mahdollisimman helpoksi.
En myöskään näe järkevänä, että jokainen interaktio vaatisi tunnistautumista. Iso osa vahvistettavien tietojen arvosta syntyy niissä tilanteissa, joissa halutaan varmistua tiedon paikkansapitävyydestä, mutta henkilötietoja ei haluta käsitellä yhtään enempää kuin on pakko. Laajempi markkina olisikin tärkeä jättää avoimeksi, yksityisen sektorin toimijat pystyvät kehittämään vahvistettavien tietojen ekosysteemiä ilman tiukkaa säätelyä.
Lähtökohtaisesti kuitenkin näen, että EU:n ehdotuksessa on paljon hyvää ja se tulee ajamaan digitaalisen luottamuksen markkinaa merkittävästi eteenpäin ja mahdollistamaan moninaisten luottamuspalveluiden kasvun niin kuluttaja- kuin yrityspalveluissa.
- - -
Lue lisää Findystä ja innovaatioistamme.