GDPR, eIDAS ja Visma Sign – varmista juridisesti pätevä sähköinen sopiminen
Digitaalinen sopiminen on nykyaikaa, mutta se nostaa esiin kaksi keskeistä kysymystä: Miten varmistan, että sopimukseni ovat juridisesti päteviä ja miten käsittelen sopimusprosessissa kerättyjä henkilötietoja lainmukaisesti?
Vastaus piilee kahdessa keskeisessä EU-asetuksessa: GDPR (tietosuoja) ja eIDAS (sähköinen tunnistaminen ja luottamuspalvelut). Visma Sign -palvelu on suunniteltu yhdistämään nämä vaatimukset ja tarjoaa yrityksille huolettoman tavan allekirjoittaa sopimuksia. Palvelu tarjoaa yrityksellesi eIDAS-asetuksen mukaisen AdES-tason allekirjoituksen vahvan tunnistautumisen avulla ja varmistaa samalla, että henkilötietojasi käsitellään turvallisesti GDPR:n mukaisesti.
Kun eIDAS 2.0 tuodaan voimaan, Visma Sign tulee varmistamaan yhteensopivuuden myös EUDI-lompakon kanssa, taaten näin sopimustesi pätevyyden myös tulevaisuudessa.
Tässä artikkelissa keskitymme syvemmin erityisesti eIDAS-asetuksen vaatimuksiin, sen tulevaan uudistukseen ja siihen, kuinka Visma Sign vastaa niihin ylätasolla.
eIDAS – Luottamuksen perusta sähköiseen asiointiin
eIDAS-asetus (EU 910/2014) luo yhteiset säännöt sähköiselle tunnistamiselle ja luottamuspalveluille, kuten sähköiselle allekirjoitukselle. Sen perimmäinen tavoite on luoda luottamus rajat ylittävään digitaaliseen asiointiin ja taata sähköisten allekirjoitusten oikeudellinen pätevyys kaikkialla EU:ssa.
eIDAS määrittelee kolme eritasoista sähköistä allekirjoitusta, joista jokaisella on oma todistusvoimansa:
| Taso | Lyhenne | Kuvaus ja vaatimukset | Juridinen todistusvoima |
|---|---|---|---|
| 1. Sähköinen allekirjoitus | SES (Simple Electronic Signature) | Nimi sähköpostissa tai kuva allekirjoituksesta. Ei vaadi tunnistautumista. | Keskitaso |
| 2. Kehittynyt sähköinen allekirjoitus | AdES (Advanced Electronic Signature) | Allekirjoitus on yksilöllisesti sidottu allekirjoittajaan ja mahdollistaa dokumentin eheyden (muutosten havaitsemisen). | Vahva (osoitettu todiste) |
| 3. Hyväksytty sähköinen allekirjoitus | QES (Qualified Electronic Signature) | Korkein taso. AdES, joka on luotu eIDAS-hyväksytyllä luontivälineellä (QSCD) ja varmenteella. | Vastaa täysin käsin kirjoitettua allekirjoitusta. (Artikla 25) |
Visma Signin tarkoitus on varmistaa, että allekirjoitusprosessi täyttää AdES-tason vaatimukset, sillä vahva tunnistautuminen luo perustan juridiselle pätevyydelle.
eIDAS 2.0 – Kohti yhtenäisempää digitaalista identiteettiä
EU:n hyväksymän eIDAS-asetuksen uudistuksen (eIDAS 2.0) keskeinen elementti on Eurooppalainen digitaalinen identiteettilompakko (EUDI Wallet. Tämä lompakko muuttaa tapaa, jolla kansalaiset todistavat henkilöllisyytensä ja asioivat digitaalisesti rajojen yli.
Mitä eIDAS 2.0 ja EUDI Wallet tarkoittavat sopimiselle?
- Uusi tunnistautumistapa: Lompakko tulee olemaan uusi, EU-laajuisesti yhteentoimiva tapa tunnistautua. Jos palvelu vaatii jatkossa vahvaa sähköistä tunnistautumista, sen on hyväksyttävä myös EUDI-lompakko.
- Lisääntynyt QES-käyttö: Lompakko mahdollistaa sähköisen allekirjoituksen tai leiman luomisen, mikä käytännössä helpottaa ja yleistää hyväksytyn sähköisen allekirjoituksen (QES) käyttöä. QES-allekirjoitus on sama kuin käsin kirjoitettu allekirjoitus, mikä on ratkaisevaa erityisen tiukasti säännellyissä sopimuksissa.
- Uudet luottamuspalvelut: Asetus laajenee koskemaan myös uusia hyväksyttyjä luottamuspalveluja, kuten sähköistä arkistointia ja sähköisiä tilikirjoja, mikä korostaa entisestään dokumenttien eheyttä ja pitkäaikaissäilytyksen luotettavuutta.
Visma Sign seuraa tiiviisti eIDAS 2.0:n tuomia teknisiä vaatimuksia ja tulee luonnollisesti tukemaan EUDI-lompakon käyttöä tunnistautumisessa ja allekirjoittamisessa heti, kun se on teknisesti mahdollista.
Miten Visma Sign vastaa eIDAS-vaatimuksiin?
Tässä yhdistyvät Visma Signin ominaisuudet sekä nykyisiin että tuleviin eIDAS-vaatimuksiin:
1. Vahva tunnistautuminen (AdES)
Käyttämällä pankkitunnuksia, mobiilivarmennetta tai muita kansallisia vahvoja tunnistautumismenetelmiä, Visma Sign varmistaa allekirjoittajan identiteetin korkealla varmuustasolla ja täyttää siten AdES-tason vaatimukset. Tulevaisuudessa myös EUDI-lompakko tulee olemaan yksi näistä tunnistautumistavoista.
2. Dokumentin eheys ja muuttumattomuus
eIDAS (myös 2.0) vaatii, että allekirjoituksella on pystyttävä havaitsemaan asiakirjaan tehdyt muutokset.
- PAdES-standardi ja digitaalinen sinetti: Palvelu käyttää standardisoitua PAdES-muotoa ja kiinnittää allekirjoituksen tiedot asiakirjaan siten, että dokumentin eheys voidaan todentaa. Myöhemmät muutokset havaitaan välittömästi.
- Arkistointi: Koska eIDAS 2.0 korostaa sähköisen arkistoinnin merkitystä, Visma Signin turvallinen ja salattu säilytyspalvelu tulee tukemaan asiakirjojen pitkäaikaista todistusvoimaa.
3. Kattava Audit Trail – Todistusvoimaa oikeuteen
Juridisesti kiistaton Audit Trail on palvelun ydin.
- Tapahtumaloki: Visma Sign tallentaa jokaisesta allekirjoituksesta kattavat tiedot, mukaan lukien allekirjoitusajankohdan, käytetyn tunnistautumistavan ja dokumentin uniikin tunnisteen.
- Juridinen todiste: Tämä loki toimii kiistattomana todisteena allekirjoitusprosessin aitoudesta ja on olennainen osa eIDAS-vaatimusten täyttämistä riitatilanteissa.
GDPR ja Visma Sign: Turvallisuus takaa luottamuksen
Sähköisessä allekirjoittamisessa käsitellään aina henkilötietoja. Visma Signin käyttö tukee yritystäsi GDPR-vaatimusten täyttämisessä:
- Tietojen minimointi: Kerätään vain välttämättömät tiedot (nimi, sähköposti, tunnistusdata) identiteetin varmentamiseksi ja lainvoimaisuuden osoittamiseksi.
- Tietoturva: Vahva salaustekniikka, pääsynvalvonta ja eurooppalainen palveluympäristö turvaavat henkilötiedot.
- Vastausvelvollisuus: Palvelun tuottama Audit Trail ja prosessien läpinäkyvyys auttavat yritystäsi osoittamaan noudattavansa sekä eIDAS- että GDPR-vaatimuksia.
Haluatko varmistaa, että yrityksesi sopimukset kestävät juridisen tarkastelun missä tahansa EU-maassa – nyt ja tulevaisuudessa?
Joni Laukkonen on omistautunut tietoturva-asiantuntija, joka on kiinnostunut tietoturvan kaikista osa-alueista. Yhdessä tiiminsä kanssa hän huolehtii tuotteiden ja niiden käyttäjien turvallisuudesta. Jonin halu oppia uutta ja jakaa tietoa edistää hänen, tiiminsä ja yhteisönsä kasvua sekä osaamista.
