Digivirasto/Notifiointisotku
Notifiointisotku tarkoittaa Digiviraston aiheuttamaa sähköisen asioinnin sotkua EIDAS-asetuksen (N:o 910/2014) siirtymäkauden notifikaatioista jotka jätettiin kokonaan tekemättä.
Euroopan unioinin EIDAS-asetus (asetus, ei laki) määrittelee sähköiseen tunnistamiseen ja -allekirjoituksiin liittyviä säädöksiä jotka tulivat 1.7.2016 heti voimaan kaikissa yhteisön jäsenmaissa ilman kansallista ratifiointia jäsenmaissa. Asetuksen tarkoitus oli mm laajentaa joissakin maissa olevat kansalliset lait kattamaan kaikki jäsenmaat kaikkien maiden sähköisillä välineillä tehdyt asiointitapahtumat.
Sähköinen allekirjoitus tarkoittaa kryptograafista laskentaa matemaattisilla ns avaimilla joka lopputuloksesta voidaan luotettavasti todeta allekirjoituksen tekijä ja siten lopputuloksesta on tehty lainsäädännöllä ns omakätistä allekirjoitusta vastaava ja oikeustoimikelpoinen. Näitä salaisia avaimia säilytetään turvallisesti henkilökortilla joka täyttää tietyt, asetuksessa määritellyt laatuvaatimukset.
Suomessa henkilökortin allekirjoitusavaimia on tehty vuoden 2000 alusta asti ja kansallinen lainsäädäntö on tehnyt niistä omakätistä allekirjoitusta vastaavia jo tuolloin - mutta vain Suomessa. Henkilökorttien sirut ovat siitä lähtien kehittyneet turvallisemmiksi ja niitä otettu sitä mukaan käyttöön kun tekniikka on kehittynyt 20 vuoden aikana.
Vuonna 2016 voimaan tullut EIDAS-asetus otti teknisen kehityksen huomioon ja asetti allekirjoituksille yksityiskohtaisia vaatimuksia jotta eri jäsenmaiden, verkossa rajat ylittäneillä välineillä tehdyt tapahtumat olisivat tasavertaisia paikallisen jäsenmaan oikeuden käsittelyssä.
Asetuksen alkuperäinen ajatus oli, että korttien teknisen toteutuksen sertifioinnin tekee niiden valmistaja eikä käyttäjävaltio. Valmistajia on Euroopassa muutamia, esimerkiksi Gemalto, Idemia (Morpho siihen aikaan) - jotka eivät tuossa vaiheessa olleet vielä sertifiointia tehneet tai jäsenvaltiot olivat ostaneet tuotteita joissa sitä ei ollut. Koska asetusta saatettiin voimaan olemassa olevaan ympäristöön, sen tuli ottaa huomioon jo käytössä olleet välineet jotta niiden käyttö voisi jatkua keskeytyksettä ja laajentaa niiden käyttö kattamaan koko EU:n alue. Siten säädettiin siirtymäaika joka sallisi olemassa olevat - Suomenkin kortit omakätistä allekirjoitusta vastaavassa sähköisessä asioinnissa kaikissa EU:n jäsenmaissa.
EIDAS-asetuksen Artikla 51 - Siirtymätoimenpiteet määrittelee seuraavaa:
51 artikla Siirtymätoimenpiteet 1. Turvallisia allekirjoituksen luontivälineitä, joiden vaatimustenmukaisuus on määritetty direktiivin 1999/93/EY 3 artiklan 4 kohdan mukaisesti, pidetään tämän asetuksen mukaisina hyväksyttyinä sähköisen allekirjoituksen luontivälineinä. 2. Direktiivin 1999/93/EY mukaisesti luonnollisille henkilöille myönnettyjä hyväksyttyjä varmenteita pidetään tämän asetuksen mukaisina sähköisten allekirjoitusten hyväksyttyinä varmenteina niiden voimassaolon päättymiseen saakka. 3. Direktiivin 1999/93/EY mukaisen hyväksyttyjä varmenteita myöntävän varmennepalvelujen tarjoajan on toimitettava valvontaelimelle vaatimustenmukaisuuden arviointikertomus mahdollisimman pian mutta viimeistään 1 päivänä heinäkuuta 2017. Kyseistä varmennepalvelujen tarjoajaa pidetään tämän asetuksen mukaisena hyväksyttynä luottamuspalvelun tarjoajana siihen saakka, kun vaatimustenmukaisuuden arviointikertomus on toimitettu ja valvontaelin on saattanut loppuun sen arvioinnin. 4. Jos direktiivin 1999/93/EY mukainen hyväksyttyjä varmenteita myöntävä varmennepalvelujen tarjoaja ei toimita valvontaelimelle vaatimustenmukaisuuden arviointikertomusta 3 kohdassa tarkoitetussa määräajassa, kyseistä varmennepalvelujen tarjoajaa ei pidetä tämän asetuksen mukaisena hyväksyttynä luottamuspalvelun tarjoajana 2 päivästä heinäkuuta 2017.
Eli asetuksen tekstin mukaan varmenteita myöntävän varmennepalvelujen tarjoajan on toimitettava valvontaelimelle vaatimustenmukaisuuden arviointikertomus mahdollisimman pian mutta viimeistään 1 päivänä heinäkuuta 2017 - päivämäärä jonka Digivirasto jätti täyttämättä. Mitään arviointikertomusta Suomen henkilökorttien teknisistä ominaisuuksien soveltuvuudesta EIDAS-asetukseen ei ikinä toimitettu.
Maissa jossa oltiin tehty poikkeuksia suomalaisen hyvälaatuisen henkilökortin käytöstä allekirjoituksessa lankesivat EIDAS-asetuksen alaisuuteen ja korttien käyttö tuli mahdottomaksi voimassa olevan asetuksen myötä. Viron valtio lopetti Suomen kortin tukemisen (testaamisen) qDigiDoc-ohjelmiston nelosversiossa ja käytännössä se on myös lakannut toimimasta bugien takia.
Artikla 51 siirtymäkausi oli yhdenkertainen tarjous, ne maat - takapihat kuten Kroatia ja Slovakia, jotka huolehtivat vastuustaan ovat olleet listalla siitä lähtien. Suomi ei listalla ole eikä tule. Siirtymäkausi ei toistu eikä sitä voi tehdä nykyisille korteille määräajan umpeuduttua.
Allekirjoitusvälineiden notifoitua listaa voi jokainen itse tarkastella EU:n sivuilta:
Artikla 51 käsittelee ainoastaan varmenteita ja mainitsee allekirjoitukset osana tapahtumia. EU asetti siirtymäkauden myös hyväksyttäville tunnistustavoille (sekä varmenteille että palveluun perustville) ja jollainen henkilökortin PIN1 varmenne on (QWAC, Qualified Web Authentication Certificate), ja myös edellytti niiltä samanlaista notifikaatiota. Suomea ei mainita tälläkään listalla.
Tunnistusvälineiden (eID) notifioitu lista:
Jatkossa jos Suomi julkistaa uusia kortteja, mitään notifiointia tai kertomuksia ei tarvitse yhteisön valvontaelimille lähetellä koska ulkomaalainen korttivalmistaja on ne jo tehnyt. Tähän menee kuitenkin vuosia koska viimeisin sukupolvi G3 otettiin käyttöön 2017 alusta ja sen myöntämisjakson loputtua (päivämäärä ei ole tiedossa) viimeinen käyttäjälle luovutettu kortti tulee olemaan voimassa siitä eteenpäin viisi vuotta, mahdollisesti 2024-2026 asti.
Käytännössä tämä tarkoittaa, että suomalaisella henkilökortilla ei voi asioida ulkomaisissa palveluissa kuten EIDAS-asetus alunperin tarkoitti. Asia ei ole vähäpätöinen, siitä osoituksena Digivirasto on itse toteuttanut vaadittavat yhdyskäytävät Suomi.fi-tunnistuspalveluunsa ja näillä ulkomaalaisilla välineillä pääsee siten kirjautumaan julkisiin palveluihin kuten yritysrekisteri (PRH) tai verottajalle.
Yhteenveto sotkusta:
- asia koskee kaikkia käytössä olevia kortteja, G2- ja G3-sukupolvia
- kaikkien osapuolien ollessa Suomen sisällä, asialla ei ole merkitystä
- suomalainen kortti ei kelpaa muissa EU-maissa
- muiden EU-maiden välineet kelpaavat Suomessa
- sotku koskee varmasti allekirjoituksia, mutta myöskään EU:n web-tunnistus (QWAC) ei toimi
- ainoa korjaus olisi julkistaa G4 korttisukupolvi jolla on valmistajan tekemä sertifiointi
- suomalaisille joille asialla on merkitystä, korjaus vaatii uuden kortin hankkimista ennen nykyisen vanhenemista
Vielä epäselvää:
- kattaako Artikla 51 kohdat 3. ja 4. kortin tunnistusvarmenteet (QWAC)?
- onko eID-tunnistus notifiointi vielä auki vai loppunut?
- milloin ongelmallisten G3-sukupolven korttien myöntäminen loppuu?
Artikla 51, Suomen oma Area 51, josta kukaan ei haluaisi puhua.