Skip to main content

We have a tailored site for international audiences

Blogi
Paavo Toivanen

Digital Identity Expert

Vahvimman tason sähköiset allekirjoitukset – mitä, missä ja milloin?

Miten Suomessa voi allekirjoittaa sähköisesti vahvimmalla, eli eIDAS* Qualified -tasolla? Tästä tasosta käytetään Suomessa tyypillisesti termiä 'Hyväksytty sähköinen allekirjoitus'**.

EIDAS:in mukaan tällä vahvimmalla tasolla tehty sähköinen allekirjoitus on käsintehdyn allekirjoituksen veroinen, ellei jokin lain muotovaatimus erikseen määrää muuta.

Suomessa tarve vahvimman tason allekirjoitukselle ei ole ihan jokapäiväistä, mutta aika ajoin saamme kyselyitä aiheeseen liittyen esimerkiksi seuraavissa tilanteissa:

  • Sitovien sopimusten sähköinen allekirjoitus Baltiassa tai Keski-Euroopassa toimivan yrityksen tai viranomaisen kanssa (tilanteissa, joissa laki vaatii vahvinta tasoa)
  • EU:n viranomaisdokumenttien sähköinen allekirjoitus
  • Kiinteistökaupat
  • Testamentti

# Mitä vahvimman tason sähköinen allekirjoitus edellyttää Suomessa?

Allekirjoittajalla tulee olla poliisin myöntämä uusi henkilökortti, joka sisältää aktivoidun kansalaisvarmenteen. Vaihtoehtoisesti allekirjoittajalla on oltava Digi- ja Väestötietoviraston (DVV) myöntämä organisaatiokortti, jossa on organisaatiovarmenne. Allekirjoittajan tietokoneessa on oltava kortinlukija ja kortinlukuohjelmisto, jonka voi ladata DVV:n sivuilta. Itse allekirjoitusprosessi tehdään sähköisessä allekirjoituspalvelussa, joka tukee hyväksyttyä varmennetta, kuten Suomen uutta henkilökorttia.

Useimmiten tie nousee pystyyn suomalaisella allekirjoittajalla jo heti alkumetreillä, mikäli allekirjoittajalla ei kyseistä henkilökorttia ole käytössä.

Mikäli yrityksellä tai henkilöllä on kuitenkin tarve allekirjoittaa vahvimmalla tasolla, kannattaa alla mainitut käytännön asiat huomioida:

  • Uuden henkilökortin hakeminen poliisin verkkopalvelusta ei vie montaakaan minuuttia, mutta tarvittavaa tunnistautumiskäyntiä poliisilaitoksella voi joutua odottelemaan viikkojakin, riippuen asuinkunnasta ja poliisin resurssitilanteesta. Tunnistautumiskäynnin jälkeen voi vielä varata 1-2 viikkoa itse kortin toimitusta varten.
  • Tietokoneessa on oltava kortinlukija. Mikäli lukijaa ei ole, voi ulkoisen lukulaitteen hankkia elektroniikkaliikkeestä.
  • Kortin lukemiseen tarvittavan ohjelman voi ladata DVV:n sivuilta.
  • Itse dokumentin allekirjoitus tulee tehdä palvelussa, joka tukee hyväksyttyjä varmenteita. Esimerkiksi Signicatin omistaman Dokobitin allekirjoituspalvelussa.
  • Ohjeistus: https://support.dokobit.com/category/372-getting-started

# Miten vahvimman tason allekirjoituksen käyttöä voitaisiin helpottaa Suomessa?

Selkein pullonkaula koko prosessin kannalta on se, että uutta henkilökorttia haettaessa henkilön on käytävä fyysisesti poliisilaitoksella tunnistautumassa ja ajan saaminen kestää ainakin pääkaupunki­seudulla kohtuuttoman kauan. Tämä aika pitäisi saada puristettua maksimissaan yhteen viikkoon, samoin kuin uuden henkilökortin toimituskin.

Uuden henkilökortin hakemisesta tulisi myös muistuttaa ihmisiä sellaisissa yhteyksissä, joissa vahvinta allekirjoitusta saatetaan tarvita.

Organisaatiokortit ovat tällä hetkellä vahvasti käytössä ainoastaan Sote-alalla, mutta myös muilla julkissektorin aloilla olisi mahdollisuus tehostaa toimintaa, mikäli organisaatiokortteja alettaisiin ottaa käyttöön ahkerammin.

Vahvimman tason sähköiseen allekirjoitukseen soveltuvia allekirjoituspalveluita on jo hyvin saatavilla, joten kyse on enemmänkin niiden käyttöönotosta sekä varmenteiden hankkimisesta.

Toisaalta olisi myös aihetta nostaa yleiseen keskusteluun, minkä tasoisia sähköisiä allekirjoituksia Suomessa halutaan jatkossa tehdä missäkin yhteydessä. Tähän liittyen kuulisimme mielellämme ajatuksia kaikilta, joita aihe kiinnostaa.

* eIDAS = Electronic Identification and Trust Services Regulation (eIDAS-säädös 910/2014/EY) on yksittäinen, standardoitu säädös, jota sovelletaan kaikissa EU-jäsenmaissa — se antaa yhtenäisen laillisen kehyksen sähköisten henkilöllisyyksien ja allekirjoitusten hyväksyntään.

** Suomessa käytetty termi ‘Hyväksytty sähköinen allekirjoitus’ on hieman harhaanjohtava, koska useimmissa tapauksissa myös alemman tason sähköiset allekirjoitukset ovat juridisesti päteviä.