Sähköinen allekirjoitusTurvallisuus ja tietoturva

Sähköisen allekirjoituksen pätevyys – Onko se pätevä?

Visma Solutions | 2 min luku | 22.11.2021
Tutustu tarkemmin yksinkertaiseen, kehittyneeseen ja hyväksyttyyn sähköiseen allekirjoitukseen.

Tärkeimmät asiat kiireisille

Tiivistettynä: Sähköinen allekirjoitus on pätevä todiste oikeudessa sen tasosta riippumatta.

  • Euroopan Unionin eIDAS-asetus takaa sähköisen allekirjoituksen juridisen pätevyyden.
  • Asetuksessa sähköiset allekirjoitukset jaetaan kolmeen ryhmään: yksinkertainen sähköinen allekirjoitus (SES), kehittynyt sähköinen allekirjoitus (AES) ja hyväksytty (eng. qualified) sähköinen allekirjoitus (QES)
  • QES-tasoisen allekirjoituksen pystyy Suomessa tekemään vain digi- ja väestöviraston myöntämää kansalais- tai organisaatiovarmennetta hyödyntäen. Vaatii käytännössä poliisin myöntämän sirulla varustetun henkilö- tai organisaatiokortin.
  • AES- tasoinen sähköinen allekirjoitus hyödyntää vahvoja tunnistautumismenetelmiä, kuten pankkitunnistautumista tai mobiilivarmennetta
  • Sähköisen allekirjoituksen laajamittaiseen hyödyntämiseen yksityis- ja yrityskäytössä soveltuu parhaiten AES-tasoinen sähköinen allekirjoitus.
  • AES-tasoisella sähköisellä allekirjoituksella on laaja hyväksyntä yhteiskunnan eri sektoreilla. AES-tasoisia sähköisiä allekirjoituksia hyödynnetään laajasti mm. pankkisektorilla
  • eIDAS asetuksen mukaan sähköisen allekirjoituksen käytettävyyttä todisteena ei voi torjua vain sillä perusteella, että se on sähköisessä muodossa, tai että se ei täytä QES-tasoisen sähköisen allekirjoituksen vaatimuksia.

Pätevyys samalla viivalla perinteisen allekirjoituksen kanssa

Euroopan Unionin sähköistä tunnistautumista ja luottamuspalveluja säätelevän eIDAS-asetuksen 25. artiklan mukaan hyväksytyn sähköisen allekirjoituksen oikeusvaikutukset ovat yhdenmukaiset käsin tehdyn allekirjoituksen kanssa.

Vaikka sähköisen allekirjoituksen yhtäläisistä oikeusseuraamuksista säätävässä eIDAS-asetuksen kohdassa mainitaan erikseen vain hyväksytty sähköinen allekirjoitus (QES), saman artiklan ensimmäinen kohta määrää, ettei sähköisen allekirjoituksen käytettävyyttä todisteena oikeudellisissa menettelyissä voi kieltää ainoastaan sillä perusteella, että se on sähköisessä muodossa tai että se ei täytä hyväksyttyjen sähköisten allekirjoitusten vaatimuksia.

Mikä sitten on “hyväksytty sähköinen allekirjoitus”? Tässä blogissa sukellamme eIDAS-asetuksen pykäläviidakkoon ja selvitämme, mitä lakikirja sanoo sähköisestä allekirjoituksesta.

Mitä tarkoittavat SES, AES & QES?

Sähköiset allekirjoitukset jaetaan EU-lainsäädännössä kolmeen eri kategoriaan. Nämä ovat sähköinen allekirjoitus (electronic signature), kehittynyt sähköinen allekirjoitus (advanced electronic signature, AES) sekä hyväksytty sähköinen allekirjoitus (qualified electronic signature, QES). Matalimman tason sähköisestä allekirjoituksesta käytetään myös nimitystä “yksinkertainen sähköinen allekirjoitus” (simple electronic signature eli SES).

eIDAS-asetus määrittelee sähköisen allekirjoituksen sähköisessä muodossa olevaksi tiedoksi, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon ja jota allekirjoittaja käyttää allekirjoittamiseen. Toisin sanottuna sähköinen allekirjoitus voi yksinkertaisimmillaan olla PDF-tiedoston alareunaan merkitty nimi. Tällöin puhutaan SES-tasoisesta yksinkertaisesta sähköisestä allekirjoituksesta.

Kehittynyt sähköinen allekirjoitus” (AES) tarkoittaa sähköistä allekirjoitusta, joka täyttää eIDAS-asetuksen 26. Artiklan säätämät vaatimukset. Nämä ovat seuraavat:

  • Sillä voidaan yksilöidä allekirjoittaja
  • Se on luotu käyttäen sähköisen allekirjoituksen luontitietoja, joita allekirjoittaja voi korkealla varmuustasolla käyttää yksinomaisessa valvonnassaan
  • Se on liitetty sillä allekirjoitettuun tietoon siten, että tiedon mahdollinen myöhempi muuttaminen voidaan havaita.

Hyväksytty sähköinen allekirjoitus” (QES) määritellään eIDAS-asetuksessa kehittyneeksi sähköiseksi allekirjoitukseksi, joka on luotu hyväksytyllä sähköisen allekirjoituksen luontivälineellä ja joka perustuu sähköisten allekirjoitusten hyväksyttyyn varmenteeseen. On syytä mainita, että lakitekstin suomenkielisessä käännöksessä käytetty sana “hyväksytty” käännöksenä sanasta “qualified” on tässä tapauksessa harhaanjohtava, sillä se sisältää implikaation, etteivät yksinkertainen allekirjoitus (SES) ja kehittynyt allekirjoitus (AES) olisi laillisesti hyväksyttäviä tapoja allekirjoittaa dokumentteja. Parempi käännös QES-tasoiselle allekirjoitukselle olisikin “kvalifioitu sähköinen allekirjoitus”. Kvalifioitu sähköinen allekirjoitus eroaa muista sähköistä allekirjoituksista siinä, että se käyttää kvalifioitua varmennetta.

AES ja QES – erona varmenne

Suurin ero kvalifioidun (QES) ja kehittyneen (AES) sähköisen allekirjoituksen välillä on käytetty varmenne. Sähköisen allekirjoituksen varmenteella tarkoitetaan sähköistä todistusta, joka liittää sähköisen allekirjoituksen validointitiedot luonnolliseen henkilöön ja vahvistaa vähintään kyseisen henkilön nimen tai salanimen (pseudonyymiin).

Sähköisen allekirjoituksen “hyväksytyn” (qualified) varmenteen vaatimukset määritellään asetuksen ensimmäisessä liitteessä. Suomessa ainoa taho, joka voi myöntää sähköisen allekirjoituksen “hyväksyttyjä” (qualified) varmenteita on digi- ja väestövirasto (DVV). Tällaisia varmenteita Suomessa ovat kansalais- ja organisaatiovarmenteet, jotka löytyvät poliisin myöntämän virallisen henkilökortin sirulta. Toisin sanottuna, QES-tasoisia sähköisen allekirjoittamisen palveluja ei Suomessa ole laajamittaisesti kaupallisesti tarjolla.

QES-tasoisia, DVV:n varmenteella varustettuja allekirjoituksia käyttävät esimerkiksi lääkärit reseptejä kirjoittaessaan, jolloin voidaan varmistua henkilöllisyyden lisäksi myös asianmukaisesta sidonnaisuudesta tehtävään. Käytännössä QES-tasoisen allekirjoituksen luomiseksi tarvitaan laite, jolla voidaan lukea sirukortin varmennetiedot. Tästä johtuen QES-tasoisen sähköisen allekirjoittamisen luominen mobiililaitteella olisi suurimmalle ihmisistä mahdotonta.

AES useimmiten paras vaihtoehto

Kehittynyt sähköinen allekirjoitus (AES) käyttää allekirjoittajien henkilöllisyyden varmistamiseen puolestaan muita vahvaan tunnistautumiseen käytettyjä menetelmiä, kuten pankkitunnuksia sekä mobiilivarmennetta. Näitä kutsutaan myös luottamuspalveluiksi. Tämä mahdollistaa sähköisen allekirjoituksen niin kannettavalla tietokoneella kuin myös älypuhelimella. Siksi paras – ja käytännössä ainoa – vaihtoehto sähköisten allekirjoitusteknologioiden laajamittaiseen käyttöön yrityksissä ja organisaatioissa Suomessa on AES-tasoinen sähköinen allekirjoituspalvelu. Vahva tunnistautuminen on digitaalinen vastine henkilöllisyystodistuksen esittämiselle ja se on kytketty henkilön viralliseen identiteettiin. Sen ideologian takana on ajatus luotettavasta toimijasta, joka vahvistaa henkilöllisyyden aina tunnistautumisen yhteydessä.

Lue lisää: Kevyen ja vahvan tunnistautumisen lyhyt oppimäärä

AES-tasoisilla sähköisillä allekirjoituksilla on laaja hyväksyntä yhteiskunnan eri sektoreilla. AES-tasoiset sähköiset allekirjoitukset ovat laaja-alaisesti hyväksytty käyttöön muun muassa finanssisektorilla pankeissa ja vakuutusyhtiöissä, sekä julkishallinnon laitoksissa kuten kansaneläkelaitoksella. Käytännössä ainoa julkinen taho, joka ei AES-tasoisia allekirjoituksia toistaiseksi hyväksy on maanmittauslaitos. Maanmittauslaitos perustelee tätä Maakaaren 2. luvun ensimmäisellä pykälällä, jonka mukaan sähköisesti tehtävän kiinteistökaupan tulee tapahtua Maakaaren 5. luvun kolmannessa pykälässä määritellyssä kaupankäyntijärjestelmässä.

  1. luvun kolmannessa pykälässä todetaan kaupankäyntijärjestelmän tarkoituksena olevan mahdollistaa sähköisesti tehtävä kiinteistökauppa ja sähköisen asioinnin edistäminen, mutta käytännössä eksplisiittinen määräys juuri maanmittauslaitoksen ylläpitämän kaupankäyntijärjestelmän käytöstä sähköisesti asioidessa toimii päinvastoin. Lainsäädäntöä olisikin tältä osin syytä päivittää pikaisesti vastaamaan 2020-luvun vaatimuksia.

On myös syytä palauttaa mieleen eIDAS-asetuksen 25. artiklan ensimmäinen pykälä: Sähköisen allekirjoituksen oikeusvaikutuksia ja käytettävyyttä todisteena oikeudellisissa menettelyissä ei voida kieltää pelkästään sillä perusteella, että se on sähköisessä muodossa tai että se ei täytä hyväksyttyjen (lue: kvalifioitujen) sähköisten allekirjoitusten vaatimuksia.

Visma Sign tarjoaa ensisijaisesti AES-tasoista sähköistä allekirjoitusta, mutta mahdollistaa myös SES-tasoisen allekirjoituksen. Vahvaa tunnistautumista käyttävä allekirjoitus on ylivoimaisesti paras vaihtoehto, kun kaikkien osapuolten käytössä ovat pohjoismaiset vahvan tunnistautumisen palvelut, mutta SES-tasoinen kevyt tunnistautuminen mahdollistaa Visma Signin globaalin käytön esimerkiksi kansainvälisissä yritysyhteyksissä.

Kokeile ilmaiseksi
Visma Solutions

Visma Solutions on Suomen johtava pilvipalveluiden toimittaja. Ratkaisujamme käyttää Suomessa jo yli 175 000 yritystä. Missiomme on auttaa suomalaisia yrityksiä olemaan kilpailukykyisiä.

Lisää mielenkiintoisia sisältöjä