Sähköinen allekirjoitusTurvallisuus ja tietoturva

Sähköinen allekirjoitus Suomen lain näkökulmasta

2 min luku | 14.2.2024
Visma Sign lainsäädäntö.

Yleisesti Suomen laki katsoo sähköisen allekirjoituksen olevan juridisesti yhtä sitova kuin fyysisen allekirjoituksen. Kuitenkin on hyvä tiedostaa, että sähköinen allekirjoitus on laaja käsite, sillä on olemassa erilaisia tapoja allekirjoittaa sähköisesti.

Tässä tekstissä käsittelemme; mitä vaatimuksia laki asettaa sähköiselle allekirjoitukselle ja mitä yleisiä asiakirjoja voi Suomessa allekirjoittaa sähköisesti.

Sähköinen allekirjoitus Suomen ja EU:n lainsäädännössä

EU:n eIDAS-asetus takaa sähköiselle allekirjoitukselle juridisen pätevyyden Suomessa. Asetus määrittää, että sähköisen allekirjoituksen käytettävyyttä todisteena ei voi torjua vain sillä perusteella, että se on sähköisessä muodossa.

Asetus jakaa sähköiset allekirjoitukset kolmeen eri ryhmään: AES, SES & QES. Vaikka Suomen laki harvoin asettaa muoto- ja laatuvaatimuksia allekirjoitukselle, pitää sen kuitenkin tarpeeksi luotettavasti pystyä ilmaisemaan allekirjoittajan henkilöllisyys sekä tämän “tahdonilmaisun muuttumattomuus”. Juuri tämän takia on hyvä ymmärtää eri sähköisten allekirjoitusten eroavuudet.

Miten sähköiset allekirjoitukset eroavat toisistaan?

SES on yksinkertainen allekirjoitus. Se mielletään usein minimivaatimukset täyttävänä henkilöillisyyden vahvistamiseen. Tällainen yksinkertainen allekirjoitus tehdään esimerkiksi digitaalisesti piirtämällä nimikirjoitus. SES-allekirjoituksen jäljitettävyyttä voi lisätä myös jälkikäteen lähettämällä tiedosto allekirjoitettavaksi Visma Sign -ohjelmiston kautta, jolloin linkki allekirjoitettavaan dokumenttiin toimitetaan henkilökohtaiseen puhelinnumeroon tai sähköpostiin. Tällöin allekirjoitustapahtumasta jää vakuuttavampi digitaalinen jälki.

AES on kehittynyt sähköinen allekirjoitus, joka suoritetaan tunnistautumalla. Suomen lain mukaan kehittynyt sähköinen allekirjoitus on sellainen:

  • joka liittyy yksiselitteisesti sen allekirjoittajaan. Sillä voidaan yksilöidä allekirjoittaja ja se luodaan menetelmällä, joka on allekirjoittajan yksinomaisessa valvonnassa.
  • joka on liitetty muuhun sähköiseen tietoon siten, että mahdolliset muutokset allekirjoitettuun asiakirjaan voidaan havaita.

Käytännössä AES eli kehittynyt allekirjoitus tehdään tunnistautumalla pankkitunnusten tai mobiilivarmenteen avulla. Kehittyneen sähköisen allekirjoituksen avulla sopimuksista tulee kiistämättömiä, koska sen avulla varmistutaan allekirjoittajan identiteetistä sekä siitä, ettei allekirjoitettua sisältöä voi tunnistautumisen jälkeen enää muokata.

Usea virallinen toimija vaatii vähintään AES-tason allekirjoitusta sen luotettavuuden ja jäljitettävyyden takia. Siksi kehittynyt sähköinen allekirjoitus toimii oletusvalintana Visma Signissa.

Myös QES-allekirjoitus on esimerkki kehittyneestä allekirjoituksesta. Se poikkeaa AES-allekirjoituksesta lähinnä varmenteensa takia. Suomessa QES-tasoisen allekirjoituksen pystyy toistaiseksi tekemään vain Digi- ja väestöviraston myöntämän kansalais- tai organisaatiovarmenteen avulla. Näillä varmenteilla varustettuja allekirjoituksia käyttävät esimerkiksi lääkärit reseptejä kirjoittaessaan.

QES-tasoisen allekirjoituksen luomiseen tarvitaan laite, jolla voidaan lukea sirukortin varmennetiedot. Tämän takia QES-allekirjoitusmenetelmä ei ole Suomessa laajasti kaupallisesti tarjolla.

Lue lisää: Sähköinen tunnistautuminen: Kevyen ja vahvan tunnistautumisen lyhyt oppimäärä

Mitä Suomessa voi allekirjoittaa sähköisesti?

Useat suomalaiset julkiset toimijat, esimerkiksi Kaupparekisteri, KELA ja Kuntaliitto, hyväksyvät laaja-alaisesti tunnistautumisen kautta (AES) allekirjoitettuja asiakirjoja. Samat allekirjoitukset ovat myös yleisesti käytössä yritysmaailmassa aina pankki- ja vakuutusalalta finanssisektorille.

SES-allekirjoitus on taas pätevä vaihtoehto kun kaivataan yrityksen sisäiseen dokumenttiin nopeasti allekirjoitusta tai allekirjoittajalla ei ole mahdollista hyödyntää tunnistautumista allekirjoitukseen, kuten esimerkiksi kansallisuutensa takia.

Joissain oikeustoimissa, joissa on muotovaatimus, digitaalinen allekirjoitus ei vielä ole pätevä. Näitä ovat esimerkiksi kiinteistöluovutuksen yhteydessä laadittavat asiakirjat, perinnönjaot ja muut sopimukset, jotka vaaditaan paperisena tai joissa kaupanvahvistajan tulee tarkistaa allekirjoittajan henkilöllisyystodistus.

Visma Sign tarjoaa joustavasti AES- ja SES-tunnistautumistavat

Visma Sign tarjoaa ensisijaisesti AES-tasoista sähköistä allekirjoitusta, mutta mahdollistaa myös SES-tasoisen allekirjoituksen.

Vahvaa tunnistautumista käyttävä allekirjoitus on ylivoimaisesti paras vaihtoehto, kun kaikkien osapuolten käytössä ovat pohjoismaiset vahvan tunnistautumisen palvelut.

SES-tasoinen kevyt tunnistautuminen mahdollistaa Visma Signin globaalin käytön esimerkiksi kansainvälisissä yritysyhteyksissä.

Terhi Tella

Terhi Tella työskentelee Visma Solutionsin markkinoinnissa. Terhiä inspiroi arvoa tuottavat sisällöt ja viestintä. Hän haluaa tarkastella asioita ensisijaisesti asiakkaan näkökulmasta.