Tunnistuspalvelun tarjoajille kehotus uhkasakon nojalla korjata toimintansa 30.11. mennessä - TUPAS-yhteyskäytäntö edelleen tarjolla vastoin lainsäädäntöä
Selvitysten perusteella merkittävä osa tunnistuspalvelun tarjoajista jatkaa TUPAS-yhteyskäytännön tarjoamista verkkopalveluille vastoin lainsäädäntöä. Liikenne- ja viestintävirasto Traficom tulee antamaan näille tunnistuspalvelun tarjoajille valvontapäätöksen ja kehotuksen uhkasakon nojalla korjata toimintansa marraskuun loppuun mennessä.
Traficomin selvityspyyntöön lokakuun alussa saatujen vastausten perusteella edelleen merkittävä osa tunnistuspalvelun tarjoajista jatkaa TUPAS-yhteyskäytäntöön perustuvan vahvan sähköisen tunnistamisen tarjoamista asiakkaidensa verkkopalveluille vastoin lainsäädäntöä.
Traficom tulee antamaan näille lainrikkojille valvontapäätöksen ja kehotuksen korjata TUPAS-yhteyskäytäntö lainsäädännön mukaiseksi, vaihtaa TUPAS-yhteyskäytäntö vaatimukset täyttävään yhteyskäytäntöön tai lopettamaan tunnistuspalvelun tarjoamisen sellaisille verkkopalveluille, joiden järjestelmät eivät täytä lainsäädännön vaatimuksia.
Toimenpiteiden tulee olla tehtyinä 30.11.2019 mennessä. Traficom tulee asettamaan valvontapäätöksen toimenpanon tehosteeksi uhkasakon. Viimeistään viraston valvontapäätöksien myötä vahvan sähköisen tunnistamisen käyttö loppuu verkkopalveluissa, joissa vaadittuja muutoksia ei ole tehty.
Tunnistuspalvelun tarjoajat perustelivat vastauksissaan TUPAS-yhteyskäytännön jatkamista pääasiassa sillä, etteivät kaikki niiden asiakkaina olevat verkkopalvelut ole vielä tehneet vaadittavia muutoksia. Tunnistuspalvelun tarjoajat eivät myöskään ole halunneet lopettaa palvelujen tarjoamista näille verkkopalveluille, vaikka se on lainvastaista. Tunnistuspalvelut ovatkin ottaneet osin kannettavakseen asiakkaidensa verkkopalveluiden ongelmat.
Suurin osa tunnistuspalvelun tarjoajista kuitenkin ilmoitti lopettavansa määräysten vastaisen yhteyskäytännön tarjoamisen viimeistään marraskuun loppuun mennessä. Muutamalla toimijalla ei ollut esittää aikataulua.
"Lainsäädännön noudattamisen varmistamiseksi Traficom ei nähnyt muuta mahdollisuutta kuin antaa valvontapäätökset lainsäädäntöä rikkoville tunnistuspalvelun tarjoajille. Lainvastainen toiminta ei vain heikennä tietoturvallisuutta, vaan myös asettaa lainsäädäntöä noudattavat tunnistuspalvelun tarjoajat epäedulliseen kilpailuasemaan. Näyttää myös siltä, etteivät muutokset tule tehdyksi ilman uhkasakkoa. Kevyemmät valvontakeinot eivät ole tuottaneet tulosta. Muutostarpeet ovat olleet tunnistuspalvelun tarjoajien tiedossa jo kolme vuotta ja silti uudistusta ei ole saatu aikaan. Nyt on viimeinen hetki toimia", toteaa Liikenne- ja viestintäviraston Turvallisuussääntely-yksikön päällikkö Jukka-Pekka Juutinen.
Lisätietoja
Päällikkö Jukka-Pekka Juutinen, p. 0295 390 523
Johtava asiantuntija Anne Lohtander, p. 0295 390 618
Erityisasiantuntija Petteri Ihalainen, p. 029 539 0302
Sähköposti etunimi.sukunimi(at)traficom.fi
Asiaan liittyviä julkaisuja
Taustatietoa
Vahvoja sähköisiä tunnistusvälineitä (tunnisteita) Suomessa ovat tällä hetkellä verkkopankkitunnukset, teleoperaattoreiden mobiilivarmenteet ja Väestörekisterikeskuksen kansalais- ja organisaatiovarmenteet. Vahvat sähköiset tunnistusvälineet on merkitty rekisteriin, joka löytyy Liikenne- ja viestintävirasto Traficomin verkkosivuilta.
Tunnistusvälineen tarjoajat myöntävät vahvoja tunnistusvälineitä käyttäjille. Tunnistusvälineen tarjoaja on esimerkiksi pankki tai teleyritys, joka tarjoaa yleisölle vahvan sähköisen tunnistamisen tunnistusvälineitä, kuten pankkitunnuksia tai mobiilivarmennetta.
Tunnistusvälityspalvelun tarjoaja on taho, joka välittää vahvan sähköisen tunnistamisen tunnistustapahtumia erilaisille asiointipalveluille eli sähköiseen tunnistukseen luottavalle osapuolelle (esim. verkkokauppa tai valtionhallinnon sähköinen palvelu). Molempiin viitataan yhdessä tunnistuspalvelun tarjoajina.
Tunnistuspalvelun tarjoajat kuuluvat luottamusverkostoon. Luottamusverkoston perustamisen tavoitteena on, että erilaisia verkkopalveluita tarjoavat asiointipalvelut voisivat hankkia asiakkaidensa tunnistamiseen tarvitsemansa tunnistuspalvelut yhden välityspalvelun kautta, vaikka verkkopalvelun asiakkailla olisi mikä tahansa suomalainen tunnistusväline käytössään.