Eduskunnan vastaus
EV
103
2016 vp
Eduskunta
Hallituksen esitys eduskunnalle laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta sekä eräiksi siihen liittyviksi laeiksi
HE 74/2016 vp
LiVM 18/2016 vp
Asia
Hallituksen esitys eduskunnalle laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta sekä eräiksi siihen liittyviksi laeiksi (HE 74/2016 vp). 
Valiokuntakäsittely
Valiokunnan mietintö: Liikenne- ja viestintävaliokunta (LiVM 18/2016 vp). 
Päätös
Eduskunta on hyväksynyt seuraavan lausuman: 
Eduskunta edellyttää, että valtioneuvosto seuraa sähköisen ensitunnistamisen toimivuutta ja kohtuuhintaisuutta erityisesti tunnistuspalveluiden markkinoiden liikkeellelähdön varmistamiseksi sekä tarvittaessa ryhtyy tunnistuspalveluiden markkinoiden liikkeellelähdön edellyttämiin toimenpiteisiin ennen luottamusverkoston käyttöönottoa. 
Eduskunta on hyväksynyt seuraavat lait: 
Laki 
vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta 
Eduskunnan päätöksen mukaisesti 
kumotaan vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (617/2009) 4 ja 5 §, 
muutetaan lain nimike, 1 ja 2 §, 2 luvun otsikko, 6 §, 7 §:n 1 momentti, 8 §, 9 §:n 1 momentti, 10 §, 13 §:n 1 momentti, 14 §, 15 §:n otsikko ja 1 momentin johdantokappale, 16 §, 17 §:n otsikko ja 1 ja 2 momentti, 19 §:n 1 momentin 8 kohdan ruotsinkielinen sanamuoto, 20 §:n otsikko ja 3 momentti, 21, 22 ja 24 §, 25 §:n 1—3 momentti, 26 §, 4 luvun otsikko, 28—42 §, 43 §:n 1 momentti, 44 §:n 1 momentti, 45 §:n 1 momentti sekä 46, 47 ja 49 §, 
sellaisina kuin niistä ovat 2 ja 6 § osaksi laissa 139/2015, 7 §:n 1 momentti ja 17 §:n otsikko ja 1 ja 2 momentti laissa 139/2015 sekä 49 § laissa 997/2015, ja 
lisätään lakiin  uusi  7 a,  7 b,  8 a  ja  17 a §, 39 §:n  edelle  uusi  luvun  otsikko ja lakiin  uusi 42 a—42 c, 45 a ja 49 a § seuraavasti: 
Laki 
vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 
1 §  
Soveltamisala 
Tässä laissa säädetään vahvasta sähköisestä tunnistamisesta sekä tunnistuspalveluiden tarjoamisesta palveluntarjoajille, yleisölle ja toisille tunnistuspalvelun tarjoajille. 
Tässä laissa säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014, jäljempänä sähköisestä tunnistamisesta ja luottamuspalveluista annettu EU:n asetus, säännösten noudattamisen valvonnasta ja annetaan mainittua asetusta täydentäviä säännöksiä. Tässä laissa säädetään lisäksi tunnistus- ja luottamuspalvelujen vaatimustenmukaisuuden arvioinnista.  
Euroopan komissiolle ilmoitettaviin rajat ylittäviin tunnistusjärjestelmiin sovelletaan tätä lakia vain, jollei sähköisestä tunnistamisesta ja luottamuspalveluista annetusta EU:n asetuksesta muuta johdu.  
Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan. 
2 § 
Määritelmät 
Tässä laissa tarkoitetaan: 
1) vahvalla sähköisellä tunnistamisella sellaista henkilön, oikeushenkilön tai oikeushenkilöä edustavan luonnollisen henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttäen, joka täyttää sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 8 artiklan 2 kohdan b alakohdassa tarkoitetun korotetun varmuustason tai mainitun kohdan c alakohdassa tarkoitetun korkean varmuustason vaatimukset; 
2) tunnistusvälineellä sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 3 artiklan 2 kohdassa tarkoitettua sähköisen tunnistamisen menetelmää; 
3) tunnistuspalvelun tarjoajalla  tunnistusvälityspalvelun  tarjoajaa  tai tunnistusvälineen tarjoajaa;  
4) tunnistusvälineen tarjoajalla palveluntarjoajaa, joka tarjoaa tai laskee liikkeelle vahvan sähköisen tunnistamisen tunnistusvälineitä yleisölle sekä tarjoaa tunnistusvälinettään tunnistusvälityspalvelun tarjoajalle välitettäväksi luottamusverkostossa; 
5) tunnistusvälityspalvelun tarjoajalla palveluntarjoajaa, joka välittää vahvan sähköisen tunnistamisen tunnistustapahtumia sähköiseen tunnistukseen luottavalle osapuolelle;  
6) tunnistusvälineen haltijalla luonnollista henkilöä ja oikeushenkilöä, jolle tunnistuspalvelun tarjoaja on sopimukseen perustuen antanut tunnistusvälineen; 
7) ensitunnistamisella tunnistusvälineen hakijan henkilöllisyyden todentamista välineen hankkimisen yhteydessä;  
8) varmenteella sähköistä todistusta, joka todentaa henkilöllisyyden tai todentaa henkilöllisyyden ja liittää luottamuspalvelun todentamistiedot luottamuspalvelun käyttäjään ja jota voidaan käyttää vahvassa sähköisessä tunnistamisessa ja luottamuspalveluissa; 
9) varmentajalla luonnollista henkilöä tai oikeushenkilöä, joka tarjoaa varmenteita yleisölle;  
10) luottamusverkostolla  Viestintävirastoon  ilmoituksen   tehneiden   tunnistuspalvelun tarjoajien verkostoa; 
11) vaatimustenmukaisuuden arviointilaitoksella Viestintäviraston hyväksymää tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa tarkoitettua elintä, joka on akkreditoitu mainitun asetuksen mukaisesti. 
Tässä laissa sähköisellä allekirjoituksella, luottamuspalvelulla, kehittyneellä sähköisellä allekirjoituksella, sähköisen tunnistamisen järjestelmällä sekä luottavalla osapuolella tarkoitetaan samaa kuin sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 3 artiklassa. 
2 luku  
Lain pakottavuus ja henkilötietojen käsittely 
6 § 
Henkilötietojen käsittely 
Tunnistuspalvelun tarjoaja saa käsitellä tunnistusvälineen liikkeelle laskemisessa, palvelun ylläpidossa sekä tunnistustapahtuman toteuttamisessa tarvittavia henkilötietoja henkilötietolain (523/1999)  8 §:n 1 momentin 1 ja 2 kohdassa  säädetyillä  perusteilla.  Luottamuspalveluja tarjoava varmentaja saa samoilla perusteilla käsitellä varmenteen myöntämisessä ja ylläpidossa tarvittavia henkilötietoja sekä kerätä henkilötietoja henkilöltä itseltään. 
Tunnistusvälityspalvelun tarjoajalla on oikeus tunnistuksen välityspalvelua tarjotessaan luovuttaa henkilötietoja sähköiseen tunnistukseen luottavalle osapuolelle, jos luottavalla osapuolella on lain perusteella oikeus käsitellä henkilötietoja. 
Henkilötietoja saa käsitellä muussa kuin 1 momentissa mainitussa tarkoituksessa ainoastaan henkilötietolain 8 §:n 1 momentin 1 kohdassa säädetyillä perusteilla. 
Tunnistuspalvelun tarjoajan ja luottamuspalveluja tarjoavan varmentajan tulee tarkastaessaan hakijan henkilöllisyyden vaatia hakijaa ilmoittamaan henkilötunnuksensa. Tunnistuspalvelun tarjoaja ja luottamuspalveluja tarjoava varmentaja saavat käsitellä henkilötunnusta rekistereissään 1 momentissa mainitussa tarkoituksessa. Henkilötunnuksen saa sisällyttää tunnistusvälineeseen tai varmenteeseen, jos välineen tai varmenteen tietosisältö on ainoastaan sellaisen tahon saatavilla, jolle se on välttämätöntä palvelun toteuttamiseksi. Henkilötunnus ei saa olla saatavissa julkisesta hakemistosta.  
Henkilötietojen käsittelystä säädetään lisäksi 19 ja 24 §:ssä sekä henkilötietolaissa.  
7 §  
Väestötietojärjestelmän tietojen käyttäminen 
Tunnistusvälineen tarjoajan ja luottamuspalvelua tarjoavan varmentajan on hankittava ja päivitettävä luonnollisen henkilön tunnistuspalvelun tarjoamiseksi tarvitsemansa tiedot väestötietojärjestelmästä. Tämän lisäksi tunnistuspalvelun tarjoajan on varmistettava, että sen tunnistuspalvelun tarjoamiseksi tarvitsemat tiedot ovat ajan tasalla väestötietojärjestelmän tietojen kanssa.  
7 a § 
Yritys- ja yhteisörekisterien tietojen käyttäminen 
Tunnistusvälineen tarjoajan ja luottamuspalvelua tarjoavan varmentajan on hankittava ja päivitettävä oikeushenkilön tunnistuspalvelun tarjoamiseksi tarvitsemansa tiedot yritys- ja yhteisörekistereistä. Tämän lisäksi tunnistuspalvelun tarjoajan on varmistettava, että sen tunnistuspalvelun tarjoamiseksi tarvitsemat tiedot ovat ajan tasalla yritys- ja yhteisörekisterien tietojen kanssa.  
7 b § 
Tieto passin tai henkilökortin voimassaolosta 
Tunnistuspalvelun tarjoajalla on oikeus saada salassapitosäännösten estämättä teknisen käyttöyhteyden avulla poliisin hallintoasiain tietojärjestelmässä oleva tieto ensitunnistamisessa käytettävän passin tai henkilökortin voimassaolosta.  
8 § 
Sähköisen tunnistamisen järjestelmälle asetettavat vaatimukset 
Sähköisen tunnistamisen järjestelmän on täytettävä seuraavat vaatimukset: 
1) tunnistusmenetelmän perustana on 17 ja 17 a §:n mukainen tunnistaminen, jota koskevat tiedot ovat jälkikäteen 24 §:n mukaisesti tarkastettavissa; 
2) tunnistusmenetelmällä voidaan yksiselitteisesti tunnistaa tunnistusvälineen haltija siten, että teknisten vähimmäiseritelmien ja -menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan mukaisesti annetussa komission täytäntöönpanoasetuksen (EU) 2015/1502, jäljempänä sähköisen tunnistamisen varmuustasoasetus, liitteen kohdissa 2.1.2, 2.1.3 ja 2.1.4 vähintään korotetulle varmuustasolle säädetyt edellytykset täyttyvät;  
3) tunnistusmenetelmällä voidaan varmistua, että ainoastaan tunnistusvälineen haltija voi käyttää välinettä siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdissa 2.2.1 ja 2.3 vähintään korotetulle varmuustasolle säädetyt edellytykset täyttyvät; 
4) tunnistusjärjestelmä on turvallinen ja luotettava siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdissa 2.2.1, 2.3.1 ja 2.4.6 vähintään korotetulle varmuustasolle säädetyt edellytykset täyttyvät ottaen huomioon kulloinkin käytettävissä olevaan tekniikkaan liittyvät tietoturvallisuusuhat sekä tunnistuspalvelun tarjoamiseen käytettävät tilat ovat turvallisia sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.4.5 säädetyllä tavalla;  
5) tietoturvallisuuden hallinnasta on huolehdittu siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.4 johdanto-osassa ja kohdissa 2.4.3 ja 2.4.7 vähintään korotetulle varmuustasolle säädetyt edellytykset täyttyvät. 
Mitä 1 momentissa säädetään, ei estä palvelun tarjoamista palvelukohtaisesti siten, että tunnistuspalvelun tarjoaja ilmoittaa tunnistuspalvelua käytävälle palveluntarjoajalle tunnistusvälineen haltijan salanimen tai ainoastaan rajoitetun määrän henkilötietoja. 
8 a §  
Tunnistusmenetelmässä käytettävät todentamistekijät 
Tunnistusmenetelmässä on käytettävä vähintään kahta seuraavista todentamistekijöistä:  
1) tiedossa oloon perustuvaa todentamistekijää, jonka henkilön on osoitettava olevan tiedossaan; 
2) hallussapitoon perustuvaa todentamistekijää, jonka henkilön on osoitettava olevan hallussaan; 
3) luontaista todentamistekijää, joka perustuu johonkin luonnollisen henkilön fyysiseen ominaisuuteen. 
Jokaisessa tunnistusmenetelmässä on käytettävä sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.3.1 tarkoitettua sellaista dynaamista todentamista, joka muuttuu jokaisessa uudessa henkilön ja hänen henkilöllisyytensä varmentavan järjestelmän välillä tapahtuvassa todentamistapahtumassa. 
9 §  
Tunnistuspalvelun tarjoajalle asetettavat vaatimukset 
Tunnistuspalvelun tarjoajana olevan oikeushenkilön tai sen lukuun toimivan luonnollisen henkilön, palveluntarjoajana olevan yhteisön tai säätiön hallituksen tai hallintoneuvoston jäsenten ja varajäsenten, toimitusjohtajan, vastuunalaisen yhtiömiehen sekä muussa näihin rinnastettavassa asemassa olevien on täytettävä seuraavat edellytykset: 
1) heidän pitää olla täysi-ikäisiä; 
2) he eivät saa olla konkurssissa;  
3) heidän toimintakelpoisuutensa ei saa olla rajoitettu. 
10 § 
Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa toiminnan aloittamisesta 
Suomeen sijoittautuneen tunnistuspalvelun tarjoajan on ennen toiminnan aloittamista tehtävä kirjallinen ilmoitus Viestintävirastolle. Ilmoituksen voi tehdä myös sellainen tunnistusvälineen tarjoajien yhteenliittymä, jonka hallinnoimaa palvelua on pidettävä yhtenä tunnistuspalveluna. 
Ilmoituksessa on oltava: 
1) palveluntarjoajan nimi; 
2) palveluntarjoajan täydelliset yhteystiedot; 
3) tiedot tarjottavista palveluista; 
4) selvitykset hakijaa ja hakijan toimintaa koskevien 8, 8 a, 9, 13 ja 14 §:ssä säädettyjen vaatimusten täyttymisestä: 
5) vaatimustenmukaisuuden arviointilaitoksen, muun ulkoisen arviointilaitoksen taikka sisäisen tarkastuslaitoksen laatima tarkastuskertomus riippumattomasta arvioinnista 29 §:n mukaisesti;  
6) muut valvonnan kannalta tarpeelliset tiedot. 
Tunnistuspalvelun tarjoajan on viipymättä ilmoitettava 2 momentissa tarkoitetuissa tiedoissa tapahtuneista muutoksista kirjallisesti Viestintävirastolle. Ilmoitus on tehtävä myös toiminnan lopettamisesta sekä toimintojen siirtymisestä toiselle palveluntarjoajalle. 
13 § 
Tunnistuspalvelun tarjoajan yleiset velvollisuudet 
Tunnistuspalvelun tarjoajan tunnistamiseen liittyvien tietojen säilyttämisen, henkilökunnan ja alihankintana käyttämien palvelujen tulee täyttää sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdissa 2.4.4 ja 2.4.5 vähintään korotetulle varmuustasolle säädetyt vaatimukset. Lisäksi tunnistuspalvelun tarjoajalla tulee olla kattava suunnitelma tunnistuspalvelun päättämisen varalta. 
14 § 
Tunnistusperiaatteet 
Tunnistuspalvelun tarjoajalla on oltava tunnistusperiaatteet, joissa määritellään tarkemmin, kuinka palveluntarjoaja täyttää tässä laissa säädetyt velvollisuutensa. Erityisesti on määriteltävä tarkemmin, kuinka tunnistusvälineen tarjoaja toteuttaa 17 ja 17 a §:ssä tarkoitetun tunnistamisen tunnistusvälinettä myönnettäessä. 
Lisäksi tunnistusperiaatteissa on oltava keskeiset tiedot: 
1) palveluntarjoajasta; 
2) tarjottavista palveluista ja niiden hinnoista; 
3) kaikista sovellettavista ehdoista;  
4) palveluun liittyvistä tietosuojaperiaatteista;  
5) palveluntarjoajan tärkeimmistä yhteistyökumppaneista; 
6) 29 §:n mukaisesta vaatimustenmukaisuuden arvioinnista;  
7) muista merkityksellisistä seikoista, joiden perusteella palveluntarjoajan toimintaa ja luotettavuutta voidaan arvioida. 
Jos tunnistusvälineillä voidaan tehdä sähköisiä allekirjoituksia tai kehittyneitä sähköisiä allekirjoituksia, tunnistuspalvelun tarjoajan on annettava tieto myös niiden toteuttamismenetelmästä, tasosta ja turvallisuustekijöistä.  
Tunnistuspalvelun tarjoajan on pidettävä tunnistusperiaatteet yleisesti saatavilla ja ajantasaisina. 
15 §  
Tunnistusvälineen tarjoajan tiedonantovelvollisuus ennen sopimuksen tekemistä 
Tunnistusvälineen tarjoajan on ennen tunnistusvälineen hakijan kanssa tehtävän sopimuksen tekemistä annettava hakijalle tiedot:  
16 §  
Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa toimintaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä 
Tunnistuspalvelun tarjoajan on salassapitosäännösten estämättä ilmoitettava ilman aiheetonta viivästystä tunnistuspalveluunsa luottaville osapuolille, tunnistusvälineiden haltijoille, muille luottamusverkostossa toimiville sopimuspuolilleen sekä Viestintävirastolle palvelun toimivuuteen, tietoturvaan tai sähköisen henkilöllisyyden käyttöön kohdistuvista merkittävistä uhkista tai häiriöistä. Viestintävirasto voi teknisesti välittää tietoja luottamusverkostossa osapuolten välillä ilmoittajan lukuun sen estämättä, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään. 
Jos uhka tai häiriö kohdistuu henkilötietolain 32 §:ssä tarkoitettuun tietojen suojaamiseen, tunnistuspalvelun tarjoajan on ilmoitettava asiasta myös tietosuojavaltuutetulle. 
Edellä 1 momentissa tarkoitetussa ilmoituksessa on kerrottava niistä toimista, joita eri tahoilla on käytettävissään  uhkien tai häiriöiden torjumiseksi sekä näistä toimenpiteistä aiheutuvista arvioiduista kustannuksista. 
Tunnistuspalvelun tarjoaja saa käyttää tämän pykälän nojalla saatuja toista tunnistuspalvelun tarjoajaa koskevia tietoja vain tässä pykälässä tarkoitettuihin uhkiin tai häiriöihin varautumiseen sekä häiriötilanteiden selvittämiseen. Tietoja saavat tunnistuspalvelun tarjoajan palveluksessa käsitellä ainoastaan ne, jotka tarvitsevat tietoja välttämättä työssään. Tietoja on muutoinkin käsiteltävä siten, ettei toisen tunnistuspalvelun tarjoajan liikesalaisuuksia vaaranneta.  
Tunnistuspalvelun tarjoaja, joka aiheuttaa 4 momentin vastaisella menettelyllä vahinkoa toiselle tunnistuspalvelun tarjoajalle, on velvollinen korvaamaan menettelystään aiheutuvan vahingon. 
17 § 
Tunnistusvälineen hakijana olevan luonnollisen henkilön tunnistaminen 
Ensitunnistamisessa luonnollisen henkilön tunnistaminen tulee tehdä henkilökohtaisesti tai sähköisesti siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.1.2 korotetulle tai korkealle varmuustasolle säädetyt vaatimukset täyttyvät. Henkilön henkilöllisyyden varmentaminen voi perustua viranomaisen myöntämään henkilöllisyyttä osoittavaan asiakirjaan tai tässä laissa tarkoitettuun vahvaan sähköiseen tunnistusvälineeseen. Lisäksi henkilöllisyyden varmentaminen voi perustua julkisen tai yksityisen tahon aiemmin muuhun tarkoitukseen kuin vahvan sähköisen tunnistusvälineen myöntämiseen käyttämään menettelyyn, jonka Viestintävirasto hyväksyy menettelyä koskevien säännösten ja viranomaisvalvonnan perusteella tai 28 §:n 1 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitoksen vahvistuksen perusteella. 
Ensitunnistamisessa, joka perustuu yksinomaan viranomaisen myöntämään henkilöllisyyttä osoittavaan asiakirjaan, hyväksyttäviä asiakirjoja ovat voimassa oleva Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon viranomaisen myöntämä passi tai henkilökortti. Halutessaan tunnistusvälineen tarjoaja voi käyttää henkilöllisyyden varmentamisessa myös muun valtion viranomaisen myöntämää voimassa olevaa passia. 
17 a § 
Tunnistusvälineen hakijana olevan oikeushenkilön tunnistaminen 
Oikeushenkilön ilmoitettu henkilöllisyys tulee varmentaa yritys- ja yhteisörekistereistä tai siten, että vähintään oikeushenkilön henkilöllisyyden todistamista ja varmentamista koskevat sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.1.3 korotetulle varmuustasolle säädetyt vaatimukset täyttyvät. 
20 §  
Tunnistusvälineen myöntäminen 
Tunnistusväline myönnetään aina luonnolliselle henkilölle tai oikeushenkilölle. Luonnollisen henkilön ja oikeushenkilön tunnistusvälineiden kytkös on toteutettava sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.1.4 mukaisesti. Tunnistusvälineen on oltava henkilökohtainen. Tunnistusvälineeseen voidaan tarvittaessa liittää tieto siitä, että tunnistusvälineen haltija voi tapauskohtaisesti myös edustaa toista luonnollista henkilöä tai oikeushenkilöä.  
21 §  
Tunnistusvälineen luovuttaminen hakijalle 
Tunnistusvälineen tarjoajan on luovutettava tunnistusväline sen hakijalle siten kuin sopimuksessa on sovittu. Tunnistuspalvelun tarjoajan on varmistettava, ettei tunnistusväline joudu oikeudettomasti toisen haltuun välinettä luovutettaessa siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.2.2 vähintään korotetulle varmuustasolle säädetyt vaatimukset täyttyvät.  
22 § 
Tunnistusvälineen uusiminen 
Tunnistusvälineen tarjoaja saa toimittaa tunnistusvälineen haltijalle uuden välineen ilman nimenomaista pyyntöä vain, jos aikaisemmin annettu tunnistusväline on korvattava uudella. Tunnistusvälineen uusimisessa tulee noudattaa sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.2.4 vähintään korotetulle varmuustasolle säädettyjä vaatimuksia. 
24 § 
Tunnistustapahtumaa ja tunnistusvälinettä koskevien tietojen tallentaminen ja käyttö 
Tunnistuspalvelun tarjoajan on tallennettava:  
1) yksittäisen tunnistustapahtuman ja sähköisen allekirjoittamisen tapahtuman todentamiseksi tarvittavat tiedot;  
2) tiedot 18 §:ssä tarkoitetuista tunnistusvälineen käyttöön liittyvistä estoista ja käyttörajoituksista;  
3) varmenteen osalta 19 §:ssä tarkoitetun varmenteen tietosisältö. 
Tunnistusvälineen tarjoajan on tallennettava tarvittavat tiedot 17 ja 17 a §:ssä tarkoitetusta hakijan ensitunnistamisesta ja siinä käytetystä asiakirjasta tai sähköisestä tunnistamisesta.  
Edellä 1 momentin 1 kohdassa tarkoitetut tiedot on säilytettävä viiden vuoden ajan tunnistustapahtumasta. Muut 1 ja 2 momentissa tarkoitetut tiedot on säilytettävä viiden vuoden ajan vakituisen asiakassuhteen päättymisestä. 
Tunnistustapahtuman yhteydessä syntyneet henkilötiedot on hävitettävä tunnistustapahtuman jälkeen, jollei tallentaminen ole välttämätöntä yksittäisen tunnistustapahtuman todentamiseksi.  
Tunnistuspalvelun tarjoaja saa käsitellä tallennettuja tietoja ainoastaan palvelun toteuttamiseksi ja ylläpitämiseksi, laskutusta varten, omien oikeuksiensa turvaamista varten riitatilanteissa, väärinkäytöstilanteiden selvittämisessä sekä tunnistuspalvelua käyttävän palveluntarjoajan tai tunnistusvälineen haltijan pyynnöstä. Tunnistuspalvelun tarjoajan on tallennettava tieto käsittelyn ajankohdasta, syystä ja käsittelijästä.  
Jos palveluntarjoaja ainoastaan laskee liikkeelle tunnistusvälineitä: 
1) 1 momentin 1 kohtaa ja 4 momenttia ei sovelleta siihen; 
2) 3 momentissa tarkoitettu viiden vuoden tallennusaika lasketaan tunnistusvälineen voimassaolon päättymisestä. 
25 §  
Tunnistusvälineen peruuttamista tai käytön estämistä koskeva ilmoitus 
Tunnistusvälineen haltijan on ilmoitettava tunnistusvälineen tarjoajalle tai tämän nimeämälle muulle taholle tunnistusvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivytystä havaittuaan asian. 
Tunnistusvälineen tarjoajan on tarjottava mahdollisuus tehdä 1 momentissa tarkoitettu ilmoitus milloin tahansa. Tunnistusvälineen tarjoajan on viipymättä peruutettava tunnistusväline tai estettävä sen käyttö saatuaan asiaa koskevan ilmoituksen. 
Tunnistusvälineen tarjoajan on asianmukaisesti ja viipymättä merkittävä järjestelmään tieto peruuttamisen tai käytön estämisen ajankohdasta. Tunnistusvälineen haltijalla on oikeus saada pyynnöstä todistus siitä, että hän on tehnyt 1 momentissa tarkoitetun ilmoituksen. Todistusta on pyydettävä 18 kuukauden kuluessa ilmoituksesta. 
26 §  
Tunnistusvälineen tarjoajan oikeus peruuttaa tai estää tunnistusvälineen käyttö 
Sen lisäksi, mitä 25 §:ssä säädetään, tunnistusvälineen tarjoaja voi peruuttaa tunnistusvälineen tai estää sen käytön, jos: 
1) tunnistusvälineen tarjoajalla on syytä epäillä, että joku muu kuin se, jolle tunnistusväline on myönnetty, käyttää sitä; 
2) tunnistusväline sisältää ilmeisen virheellisyyden; 
3) tunnistusvälineen tarjoajalla on syytä epäillä, että tunnistusvälineen käytön turvallisuus on vaarantunut;  
4) tunnistusvälineen haltija käyttää tunnistusvälinettä olennaisesti sopimusehtojen vastaisella tavalla; 
5) tunnistusvälineen haltija on kuollut. 
Tunnistusvälineen tarjoajan tulee ilmoittaa haltijalle niin pian kuin mahdollista tunnistusvälineen peruuttamisesta tai käytön estämisestä ja sen ajankohdasta sekä siihen johtaneista syistä. 
Tunnistusvälineen tarjoajan on palautettava mahdollisuus käyttää tunnistusvälinettä tai annettava haltijalle uusi väline välittömästi 1 momentin 2 ja 3 kohdassa tarkoitetun syyn poistuttua. 
4 luku 
Vaatimustenmukaisuuden arviointi  
28 §  
Vaatimustenmukaisuuden arviointielimet 
Tämän luvun mukaisen palvelun vaatimustenmukaisuuden voivat arvioida seuraavat arviointielimet siten kuin jäljempänä säädetään: 
1) vaatimustenmukaisuuden arviointilaitos; 
2) muu yleisesti käytetyn menetelmän mukaisesti toimiva ulkoinen arviointielin (muu ulkoinen arviointilaitos); tai  
3) palveluntarjoajan sisäinen yleisesti käytetyn standardin mukainen riippumaton arvioija (sisäinen tarkastuslaitos). 
29 §  
Sähköisen tunnistuspalvelun vaatimustenmukaisuuden arviointi 
Tunnistuspalvelun tarjoajan on määräajoin teetettävä palvelulleen 28 §:ssä mainitun arviointielimen arviointi siitä, täyttääkö tunnistuspalvelu tässä laissa säädetyt yhteentoimivuutta, tietoturvaa, tietosuojaa ja muuta luotettavuutta koskevat vaatimukset. 
Euroopan komissiolle ilmoitettavan sähköisen tunnistamisen järjestelmän vaatimustenmukaisuuden arvioinnista säädetään sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa sekä sähköisen tunnistamisen varmuustasoasetuksessa. 
Viestintäviraston oikeudesta antaa tarkempia määräyksiä tunnistuspalvelun vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 §:ssä. Viestintävirasto voi määrätä arviointiperusteeksi edellä 1 ja 2 momenteissa tarkoitettujen säädösten lisäksi Euroopan unionin tai muun kansainvälisen toimielimen antamia säännöksiä tai ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä. 
30 §  
Sähköisen tunnistamisen kansallisen solmupisteen vaatimustenmukaisuuden arviointi 
EU:n sähköisen tunnistamisen yhteentoimivuusjärjestelmään liittyvän kansallisen rajapinnan (kansallinen solmupiste)  vaatimustenmukaisuus  on   osoitettava  vaatimustenmukaisuuden  arviointilaitoksen tai muun ulkoisen arviointilaitoksen tekemällä arvioinnilla. 
Kansallisen solmupisteen vaatimuksista säädetään yhteentoimivuusjärjestelmän vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 12 artiklan 8 kohdan mukaisesti annetussa komission täytäntöönpanoasetuksessa (EU) 2015/1501. Viestintäviraston oikeudesta antaa tarkempia määräyksiä kansallisen solmupisteen vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 §:ssä. 
31 § 
Tarkastuskertomus 
Tunnistuspalvelun tarjoajan ja Väestörekisterikeskuksen on hankittava vaatimustenmukaisuuden arvioinnista tarkastuskertomus, joka toimitetaan Viestintävirastolle. 
Tarkastuskertomus on voimassa arvioinnissa käytetyn standardin määrittelemän ajan, kuitenkin enintään 2 vuotta.  
32 § 
Luottamuspalvelun vaatimustenmukaisuuden vahvistaminen 
Vaatimustenmukaisuuden arviointilaitos tarkastaa hyväksytyn luottamuspalvelun tarjoajan ja hyväksytyn luottamuspalvelun vaatimustenmukaisuuden noudattaen, mitä siitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään. 
Viestintäviraston oikeudesta  antaa  tarkempia  määräyksiä  vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 §:ssä. Viestintävirasto voi määrätä arviointiperusteeksi Euroopan unionin tai muun kansainvälisen toimielimen antamia säännöksiä tai ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä. 
33 §  
Arviointielintä koskevat yleiset vaatimukset 
Edellä 28 §:ssä mainittuja arviointielimiä koskevat seuraavat pätevyysvaatimukset: 
1) se on toiminnallisesti ja taloudellisesti riippumaton arvioinnin kohteista;  
2) sen henkilökunnalla on hyvä tekninen ja ammatillinen koulutus sekä riittävän laaja-alainen kokemus arviointitoimintaan kuuluvissa tehtävissä; 
3) sillä on arviointitoiminnan edellyttämät laitteet, tilat, välineet ja järjestelmät; 
4) sillä on asianmukaiset ohjeet toimintaansa ja sen seurantaa varten. 
Viestintäviraston oikeudesta antaa tarkempia määräyksiä 1 momentissa säädetyistä vaatimuksista säädetään 42 §:ssä. 
Vaatimustenmukaisuuden arviointilaitoksen on osoitettava 1 momentin 1—3 kohdassa säädettyjen vaatimusten täyttyminen kansallisen akkreditointiyksikön akkreditoinnilla noudattaen, mitä siitä tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 765/2008 ja vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetussa laissa (920/2005) säädetään.  
Tunnistuspalvelun tarjoajan on esitettävä 10 §:ssä säädetyssä ilmoituksessa selvitys siitä, että sen vaatimustenmukaisuuden arvioinut muu ulkoinen arviointilaitos tai sisäinen tarkastuslaitos täyttää 1 momentissa säädetyt vaatimukset. Edellä 1 momentin 1—3 kohdassa säädettyjen vaatimusten täyttäminen on osoitettava 3 momentissa tarkoitetulla akkreditoinnilla tai muulla yleisesti käytettyyn standardiin perustuvalla riippumattomalla menettelyllä.  
Ulkomaisen akkreditointiyksikön antama akkreditointi vastaa 3 ja 4 momentissa tarkoitettua akkreditointipäätöstä. 
34 §  
Vaatimustenmukaisuuden arviointilaitoksen hyväksyminen 
Vaatimustenmukaisuuden arviointilaitoksen hyväksyy Viestintävirasto. Arviointilaitos voidaan hyväksyä määräajaksi, jos siihen on erityinen syy. Viestintävirasto voi hyväksymistä koskevaan päätökseen sisällyttää arviointilaitoksen pätevyysaluetta ja valvontaa sekä toimintaa koskevia rajoituksia ja ehtoja. 
35 §  
Hakemus vaatimustenmukaisuuden arviointilaitokseksi 
Vaatimustenmukaisuuden arviointilaitos hyväksytään hakemuksen perusteella. Hakemukseen on liitettävä hakijaa ja sen toimintaa koskevat tiedot, joiden perusteella voidaan arvioida 33 §:ssä tarkoitettujen vaatimusten täyttyminen.  
Viestintävirasto voi hakemusta käsiteltäessä hankkia lausuntoja sekä antaa hakemuksen ja siinä esitettyjen tietojen arvioimisen ulkopuolisille asiantuntijoille. 
36 §  
Hyväksytyn sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifiointi 
Viestintävirasto voi hakemuksesta nimetä sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 30 artiklassa ja 39 artiklan 2 kohdassa tarkoitettuja yksityisiä tai julkisia sertifiointilaitoksia, joiden tehtävänä on sertifioida hyväksytyn sähköisen allekirjoituksen tai hyväksytyn sähköisen leiman luontivälineitä. Sertifiointilaitos voidaan nimetä määräajaksi. Hakemuksessa on esitettävä Viestintäviraston pyytämät hakemuksen käsittelemiseksi tarpeelliset tiedot. 
Sertifiointilaitoksen tulee olla toiminnallisesti ja taloudellisesti sähköisen allekirjoituksen ja sähköisen leiman luontivälineiden valmistajista riippumaton. Sillä tulee olla toiminnan laajuuden kannalta riittävä vastuuvakuutus tai muu vastaava järjestely ja käytössään riittävästi ammattitaitoista henkilöstöä sekä toiminnan edellyttämät järjestelmät, laitteet ja välineet.  
37 §  
Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen toiminta  
Vaatimustenmukaisuuden arviointilaitos ja sertifiointilaitos voivat tehtävässään käyttää apunaan organisaation ulkopuolisia henkilöitä. Arviointilaitos ja sertifiointilaitos vastaavat myös apunaan käyttämiensä henkilöiden työstä.  
Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen on tässä laissa tarkoitettuja julkisia hallintotehtäviä hoitaessaan noudatettava, mitä hallintolaissa (434/2003), viranomaisten toiminnan julkisuudesta annetussa laissa, sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003), kielilaissa (423/2003) sekä saamen kielilaissa (1086/2003) säädetään. Vaatimustenmukaisuuden arviointilaitoksen tai sertifiointilaitoksen taikka niiden käyttämän tytäryhtiön tai alihankkijan henkilöstöön sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä tässä pykälässä tarkoitettuja tehtäviä hoidettaessa. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974). 
Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen on ilmoitettava Viestintävirastolle kaikista muutoksista, joilla on vaikutusta hyväksymisen tai nimeämisen edellytysten täyttymiseen.  
38 § 
Vaatimustenmukaisuuden arviointilaitoksen hyväksymisen tai sertifiointilaitoksen nimeämisen peruuttaminen 
Jos Viestintävirasto toteaa, että vaatimustenmukaisuuden arviointilaitos tai sertifiointilaitos ei täytä sille säädettyjä edellytyksiä tai toimii olennaisesti säännösten vastaisesti, Viestintäviraston on asetettava sille riittävä määräaika asian korjaamiseksi. 
Viestintävirasto voi peruuttaa arviointilaitoksen hyväksymisen tai sertifiointilaitoksen nimeämisen, jos arviointilaitos tai sertifiointilaitos ei ole korjannut toimintaansa 1 momentin nojalla asetetussa määräajassa ja kyseessä on olennainen rikkomus tai laiminlyönti. 
4 a luku 
Luottamuspalveluja koskevia säännöksiä 
39 §  
Varmenteen peruuttaminen 
Allekirjoittajan tai sähköisen leiman haltijan on viipymättä pyydettävä hyväksytyn varmenteen myöntäneeltä varmentajalta varmenteen peruuttamista, jos hänellä on perusteltu syy epäillä allekirjoituksen tai sähköisen leiman luomistietojen oikeudetonta käyttöä. 
Hyväksyttyjä varmenteita tarjoavan varmentajan on viipymättä peruutettava hyväksytty varmenne, jos allekirjoittaja tai sähköisen leiman haltija pyytää sitä. Varmenteen peruuttamispyynnön katsotaan saapuneen varmentajalle silloin, kun se on ollut varmentajan käytettävissä siten, että pyyntöä voidaan käsitellä.  
40 §  
Vastuu allekirjoituksen tai sähköisen leiman luomistietojen oikeudettomasta käytöstä 
Allekirjoittaja ja sähköisen leiman haltija vastaa hyväksytyllä varmenteella varmennetun kehittyneen sähköisen allekirjoituksen luomistietojen ja sähköisen leiman luomistietojen oikeudettomasta käytöstä aiheutuneesta vahingosta, kunnes varmenteen peruuttamispyyntö on saapunut varmentajalle siten kuin 39 §:n 2 momentissa säädetään. 
Kuluttajalla on kuitenkin 1 momentissa säädetty vastuu vain, jos: 
1) hän on luovuttanut luomistiedot toiselle; 
2) luomistietojen joutuminen niiden käyttöön oikeudettomalle on aiheutunut hänen huolimattomuudestaan, joka ei ole lievää; tai 
3) hän menetettyään luomistietojen hallinnan muulla kuin 2 kohdassa mainitulla tavalla on laiminlyönyt pyytää varmenteen peruuttamista siten kuin 39 §:n 1 momentissa säädetään.  
41 §  
Luottamuspalvelun tarjoajan vastuu 
Luottamuspalvelun tarjoajan vastuusta säädetään sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 13 artiklassa.  
Hyväksytyn varmenteen tarjoava varmentaja on vastuussa vahingosta, joka hyväksyttyyn varmenteeseen luottaneelle on aiheutunut siitä, että varmentaja tai sen apunaan käyttämä henkilö ei ole peruuttanut varmennetta 39 §:ssä säädetyllä tavalla. Varmentaja vapautuu vastuusta, jos se näyttää, että vahinko ei ole aiheutunut sen omasta tai sen apunaan käyttämän henkilön huolimattomuudesta.  
42 § 
Yleinen ohjaus sekä Viestintäviraston määräykset  
Vahvan sähköisen tunnistamisen ja sähköisten luottamuspalveluiden yleinen ohjaus ja kehittäminen kuuluvat liikenne- ja viestintäministeriölle. 
Viestintävirasto voi antaa tarkempia määräyksiä: 
1) tunnistusjärjestelmän 8 §:n 1 momentin 4 ja 5 kohdan mukaisista turvallisuutta ja luotettavuutta koskevista vaatimuksista;  
2) 10 §:ssä tarkoitettujen ilmoitettavien tietojen sisällöstä ja niiden toimittamisesta Viestintävirastolle;  
3) 12 a §:n 2 momentissa tarkoitetuista luottamusverkoston rajapintojen ominaisuuksista;  
4) siitä, milloin 16 §:ssä tarkoitettu häiriö on merkittävä sekä 16 §:n 1 momentissa tarkoitetun ilmoituksen sisällöstä, muodosta ja toimittamisesta; 
5) 29, 30 ja 32 §:ssä tarkoitetuista arvioitavan tunnistus- tai luottamuspalvelun sekä kansallisen solmupisteen vaatimustenmukaisuuden arviointiperusteista; 
6) 33 §:ssä säädetyistä vaatimustenmukaisuuden arviointielimen pätevyysvaatimuksista ottaen huomioon, mitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään; 
7) 35 §:ssä tarkoitettuun hakemukseen sisällytettävistä tiedoista ja niiden toimittamisesta Viestintävirastolle; 
8) 36 §:ssä tarkoitettua sertifiointilaitosta koskevista vaatimuksista, sertifioinnissa noudatettavasta menettelystä sekä sähköisen allekirjoituksen ja leiman luontivälinettä koskevista vaatimuksista ottaen huomioon, mitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään. 
42 a § 
Viestintäviraston tehtävät 
Viestintäviraston tehtävänä on valvoa tämän lain noudattamista, jollei tässä laissa muuta säädetä.  
Viestintäviraston tehtävänä on sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen mukaisesti:  
1) osallistua Euroopan unionin jäsenvaltioiden väliseen yhteistyöhön asetuksen 12 artiklassa tarkoitetussa sähköisen tunnistamisen yhteentoimivuusjärjestelmässä ja sitä varten perustetussa yhteistyöverkostossa;  
2) ilmoittaa sähköisen tunnistamisen järjestelmiä Euroopan komissiolle asetuksen 7—10 artiklan mukaisesti; 
3) toimia asetuksen 17 artiklassa tarkoitettuna valvontaelimenä ja hoitaa sille asetuksessa säädettyjä tehtäviä; 
4) ylläpitää ja julkaista luetteloita Suomessa hyväksytyistä luottamuspalveluiden tarjoajista ja niiden tarjoamista hyväksytyistä luottamuspalveluista asetuksen 22 artiklan mukaisesti.  
Viestintäviraston ratkaisuvaltaan eivät kuulu osapuolten välistä sopimussuhdetta tai korvausvastuuta koskevat asiat. 
42 b §  
Tietosuojavaltuutetun tehtävät 
Tietosuojavaltuutetun tehtävänä on valvoa tämän lain henkilötietoja koskevien säännösten noudattamista. 
42 c §  
Väestörekisterikeskuksen tehtävät 
Väestörekisterikeskuksen tehtävänä on ylläpitää 30 §:ssä tarkoitettua kansallista solmupistettä. 
43 § 
Tiedonsaantioikeus 
Viestintävirastolla on tämän lain mukaisia tehtäviä suorittaessaan oikeus salassapitosäännösten estämättä saada tehtäviensä suorittamiseksi tarvittavat tiedot niiltä, joiden oikeuksista ja velvollisuuksista tässä laissa säädetään ja jotka toimivat näiden lukuun. 
44 § 
Viranomaisten välinen yhteistyö ja oikeus luovuttaa tietoja 
Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa säädetään, Viestintävirastolla ja tietosuojavaltuutetulla on oikeus luovuttaa salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten estämättä Finanssivalvonnalle ja Kilpailu- ja kuluttajavirastolle sellaisia tietoja, jotka ovat tarpeen niiden tehtävien suorittamiseksi. Finanssivalvonnalla ja Kilpailu- ja kuluttajavirastolla on vastaava oikeus luovuttaa salassapitosäännösten estämättä Viestintävirastolle ja tietosuojavaltuutetulle tietoja, jotka ovat tarpeen niiden tässä laissa säädettyjen tehtävien suorittamiseksi. 
45 § 
Hallintopakkokeinot  
Viestintävirasto voi antaa huomautuksen sille, joka rikkoo tätä lakia tai sen nojalla annettuja säännöksiä, määräyksiä tai päätöksiä taikka sähköisestä tunnistamisesta ja luottamuspalveluista annettua EU:n asetusta tai sen nojalla annettuja säännöksiä, sekä velvoittaa tämän korjaamaan virheensä tai laiminlyöntinsä kohtuullisessa määräajassa. Päätöksen tehosteeksi voidaan asettaa uhkasakko tai uhka, että toiminta keskeytetään osaksi tai kokonaan taikka että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella.  Uhkasakosta, keskeyttämisuhasta ja teettämisuhasta säädetään uhkasakkolaissa (1113/1990). 
45 a § 
Väliaikainen päätös 
Jos sähköisestä tunnistamisesta ja luottamuspalveluista annettua EU:n asetusta, tätä lakia taikka niiden nojalla annettua säännöstä tai määräystä koskeva virhe tai laiminlyönti taikka tietoturvahäiriö vaarantaa välittömästi ja olennaisesti tunnistus- tai luottamuspalvelun luotettavuuden, Viestintävirasto voi viipymättä päättää tarvittavista väliaikaisista toimista 45 §:ssä säädetystä määräajasta riippumatta. 
Viestintäviraston on ennen väliaikaisia toimia koskevan päätöksen antamista varattava sen kohteena olevalle tilaisuus tulla kuulluksi, paitsi jos kuulemista ei voida toimittaa niin nopeasti kuin asian kiireellisyys välttämättä vaatii. 
Väliaikaisena toimena Viestintävirasto voi kieltää tai keskeyttää: 
1) tunnistusmenetelmän tarjoamisen vahvana sähköisenä tunnistamisena; 
2) sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 3 artiklan 17 kohdassa tarkoitetun hyväksytyn luottamuspalvelun tarjoamisen; 
3) sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 9 artiklan 1 kohdan mukaisesti ilmoitetun sähköisen tunnistamisen järjestelmän tarjoamisen; 
4) sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 7 artiklan f kohdassa tarkoitetun todentamisen tarjoamisen. 
Väliaikaiset toimet voivat olla voimassa enintään kolme kuukautta. Väliaikaisia toimia koskevaan päätökseen saa hakea muutosta erikseen samalla tavoin kuin 45 §:n 1 momentissa tarkoitettuun päätökseen. 
46 § 
Tarkastusoikeus 
Viestintävirastolla on oikeus tehdä tunnistuspalvelun tarjoajaa ja sen tarjoamaa palvelua, 28 §:ssä tarkoitettua arviointielintä, 36 §:ssä tarkoitettua hyväksytyn sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifiointilaitosta ja niiden toimintaa, hyväksyttyjä varmenteita tarjoavaa varmentajaa sekä luottamuspalvelun tarjoajan ja niiden palvelua koskeva tarkastus. Tarkastus voidaan tehdä tässä laissa tai sähköistä tunnistamista ja luottamuspalveluista annetussa EU:n asetuksessa taikka niiden nojalla annetuissa säännöksissä, määräyksissä ja päätöksissä asetettujen velvoitteiden valvomiseksi. Tarkastuksesta säädetään hallintolain 39 §:ssä. 
Viestintävirasto määrää tarkastajan toimittamaan 1 momentissa tarkoitetun tarkastuksen. Tarkastusta toimittavalla henkilöllä on oikeus tutkia sellaiset tunnistuspalvelun tarjoajan, hyväksyttyjä varmenteita tarjoavan varmentajan ja luottamuspalvelun tarjoajan tai niiden apunaan käyttämien henkilöiden laitteet ja ohjelmistot, joilla voi olla merkitystä tämän lain tai sen nojalla annettujen säännösten tai määräysten noudattamisen valvonnassa. 
Tunnistuspalvelun tarjoajien, hyväksyttyjä varmenteita tarjoavien varmentajien ja luottamuspalvelun tarjoajien tai niiden apunaan käyttämien henkiöiden on tarkastusta varten päästettävä 2 momentissa tarkoitettu tarkastaja muihin kuin pysyväisluonteiseen asumiseen tarkoitettuihin tiloihin. 
Tietosuojavaltuutetulla on tehtäväänsä suorittaessaan henkilötietolaissa tarkoitetut tarkastusoikeudet. 
47 § 
Viestintävirastolle maksettavat maksut 
Edellä 10 §:ssä tarkoitetun  ilmoituksen  tehneen  tunnistuspalvelun  tarjoajan ja palveluntarjoajien yhteenliittymän on suoritettava Viestintävirastolle 5 000 euron rekisteröimismaksu. Lisäksi tunnistuspalvelun tarjoajan ja yhteenliittymän on suoritettava Viestintävirastolle vuosittain 14 000 euron valvontamaksu. 
Sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 21 artiklassa tarkoitetun ilmoituksen tehneen hyväksytyn luottamuspalvelun tarjoajan ja hyväksyttyä luottamuspalvelua tarjoavan varmentajan on suoritettava Viestintävirastolle 5 000 euron rekisteröimismaksu kustakin tarjoamastaan luottamuspalvelusta. Lisäksi edellä mainittujen on suoritettava Viestintävirastolle vuosittain 14 000 euron valvontamaksu ensimmäisestä tarjoamastaan hyväksytystä luottamuspalvelusta ja sitä seuraavista tarjoamistaan hyväksytyistä luottamuspalveluista vuosittain 9 000 euroa. Jos hyväksyttyjä luottamuspalveluja tarjoava varmentaja tekee myös 10 §:ssä tarkoitetun ilmoituksen, sen on lisäksi suoritettava 1 momentissa tarkoitettu rekisteröimismaksu. 
Edellä 34 §:n mukaisesti hyväksytyn vaatimustenmukaisuuden arviointilaitoksen on suoritettava Viestintävirastolle 10 000 euron nimeämismaksu. Lisäksi arviointilaitoksen on suoritettava Viestintävirastolle vuosittain 15 000 euron valvontamaksu. 
Edellä 36 §:n mukaisesti nimetyn sertifiointilaitoksen on suoritettava Viestintävirastolle 10 000 euron nimeämismaksu. Lisäksi sertifiointilaitoksen on suoritettava vuosittain 15 000 euron valvontamaksu. 
Rekisteröimismaksu, nimeämismaksu ja valvontamaksu kattavat niitä kustannuksia, joita aiheutuu Viestintävirastolle tässä laissa säädettyjen tehtävien hoitamisesta 46 §:n 1 momentissa tarkoitettuja tehtäviä lukuun ottamatta. Valvontamaksu on suoritettava täysimääräisesti myös toiminnan ensimmäisenä vuotena, vaikka toiminta aloitettaisiin kesken vuotta. Valvontamaksua ei palauteta, vaikka palveluntarjoaja lopettaisi toimintansa kesken vuotta. 
Rekisteröimismaksun, nimeämismaksun ja valvontamaksun määrää maksettavaksi Viestintävirasto ja ne ovat suoraan ulosottokelpoisia. Viestintäviraston maksun määräämistä koskevaan päätökseen saa hakea muutosta siten kuin 49 §:n 1 momentissa säädetään. Tarkempia säännöksiä maksujen täytäntöönpanosta voidaan antaa liikenne- ja viestintäministeriön asetuksella. 
Rekisteröimismaksun, nimeämismaksun ja valvontamaksun perimisestä säädetään verojen ja maksujen täytäntöönpanosta annetussa laissa. Jollei maksuja suoriteta viimeistään eräpäivänä, maksamattomalle määrälle peritään vuotuista viivästyskorkoa korkolain (633/1982) 4 §:ssä tarkoitetun korkokannan mukaan. Viivästyskoron sijasta viranomainen voi periä viiden euron suuruisen viivästysmaksun, jos viivästyskoron määrä jää tätä pienemmäksi. 
Edellä 46 §:n 1 momentissa tarkoitetusta tarkastuksesta peritään sen kohteena olevalta tarkastuksesta aiheutuneet kustannukset noudattaen valtion maksuperustelakia. 
6 luku 
Erinäiset säännökset 
49 § 
Muutoksenhaku viranomaisen päätökseen 
Viestintäviraston päätökseen, joka koskee 47 §:ssä tarkoitettua Viestintävirastolle maksettavaa maksua, saa vaatia oikaisua siten kuin hallintolain 7 a luvussa säädetään. 
Oikaisuvaatimuksesta annettuun Viestintäviraston päätökseen sekä Viestintäviraston muuhun kuin 1 momentissa tarkoitettuun päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintokäyttölaissa (586/1996) säädetään. 
Hallinto-oikeuden päätökseen vaatimustenmukaisuuden arviointilaitoksen hyväksymisen ja sertifiointilaitoksen nimeämisen peruuttamista koskevassa asiassa saa hakea muutosta valittamalla siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden muuhun päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. 
Viestintävirasto voi päätöksessään määrätä, että päätöstä on noudatettava ennen kuin se on saanut lainvoiman. Valitusviranomainen voi kuitenkin kieltää päätöksen täytäntöönpanon, kunnes valitus on ratkaistu.  
Muutoksenhausta tietosuojavaltuutetun päätökseen säädetään henkilötietolaissa. 
49 a § 
Muutoksenhaku vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen päätökseen 
Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen tämän lain nojalla tekemään päätökseen saa vaatia oikaisua Viestintävirastolta siten kuin hallintolain 7 a luvussa säädetään. 
Oikaisuvaatimuksesta annettuun päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. 
Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen päätöstä on muutoksenhausta huolimatta noudatettava, jollei muutoksenhakuviranomainen toisin määrää. 
Tämä laki tulee voimaan    päivänä      kuuta 20 . Sen 7 b §:ää sovelletaan kuitenkin vasta 1 päivästä toukokuuta 2017 alkaen. 
Tunnistusvälineen tarjoaja saa käyttää tämän lain 17 §:n 2 momentissa tarkoitettuna hyväksyttävänä asiakirjana myös Euroopan talousalueen jäsenvaltion viranomaisen 1 päivän lokakuuta 1990 jälkeen myöntämää voimassa olevaa ajokorttia 31 päivään joulukuuta 2018. 
Tämän lain voimaan tullessa voimassa olevat Viestintäviraston määräykset jäävät voimaan.  
Lain 12 §:ssä säädettyyn rekisteriin merkityn tunnistuspalvelun tarjoajan on tehtävä viimeistään kahden kuukauden kuluessa tämän lain voimaantulosta Viestintävirastolle tämän lain 10 §:n 3 momentissa tarkoitettu muutosilmoitus, jos se haluaa jatkaa vahvan sähköisen tunnistuspalvelun tarjoajana. Tämän lain 10 §:ssä edellytetyt tiedot tulee toimittaa Viestintävirastolle viimeistään 31 päivänä tammikuuta 2017. 
Viestintäviraston tulee  käsitellä  tunnistuspalvelun  tarjoajan  4 momentissa tarkoitettu muutosilmoitus ja tehdä ilmoituksesta johtuvat merkinnät 12 §:ssä säädettyyn rekisteriin viimeistään kolmen kuukauden kuluessa siitä, kun se on saanut muutosilmoituksen ja muut 4 momentissa säädetyt tiedot. 
Tämän lain voimaan tullessa voimassa olleiden säännösten nojalla myönnetty vahva sähköinen tunnistusväline katsotaan edelleen vahvaksi sähköiseksi tunnistusvälineeksi vähintään korotetulla varmuustasolla kahden kuukauden ajan tämän lain voimaantulosta. Jollei 7 momentista muuta johdu ja jos tunnistuspalvelun tarjoaja tekee 4 momentissa tarkoitetun muutosilmoituksen asetetussa määräajassa, tunnistuspalvelun tarjoajan ennen tämän lain voimaantuloa ja tämän lain voimaan tulon jälkeen myöntämä tunnistusväline katsotaan vahvaksi sähköiseksi tunnistusvälineeksi vähintään korotetulla varmuustasolla, kunnes Viestintävirasto on tehnyt tunnistuspalvelua koskevan merkinnän 12 §:ssä tarkoitettuun rekisteriin muutosilmoituksessa annettujen tietojen perusteella. 
Sähköinen tunnistusväline, joka on myönnetty tämän lain 17 §:n mukaisesti hakijalla aikaisemmin olleen sähköisen tunnistusvälineen perusteella, katsotaan vahvaksi sähköiseksi tunnistusvälineeksi, jos:  
1) tunnistusväline on myönnetty viimeistään kahden kuukauden kuluessa tämän lain voimaantulosta; tai  
2) tunnistusväline on myönnetty kahden kuukauden jälkeen tämän lain voimaantulosta sellaisen toisen vahvan sähköisen tunnistusvälineen perusteella, jonka myöntänyt tunnistusvälineen tarjoaja on tehnyt 4 momentissa tarkoitetun muutosilmoituksen. 
Sähköistä tunnistusvälinettä ei katsota enää vahvaksi sähköiseksi tunnistusvälineeksi, jos tunnistuspalvelun tarjoaja ei tee 4 momentissa tarkoitettua muutosilmoitusta asetetussa määräajassa. Viestintäviraston on tällöin poistettava tunnistuspalvelun tarjoaja 12 §:ssä tarkoitetusta rekisteristä ja ilmoitettava rekisteristä poistamisesta tunnistuspalvelun tarjoajalle. 
Laki  
sähköisestä asioinnista viranomaistoiminnassa annetun lain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
muutetaan sähköisestä asioinnista viranomaistoiminnassa annetun lain (13/2003) 3, 9, 16 ja 18 §, sellaisina kuin ne ovat, 3 ja 9 § osaksi laissa 618/2009, 16 § laissa 618/2009 ja 18 § laissa 924/2010, seuraavasti: 
3 §  
Muu lainsäädäntö 
Viranomaisasiointiin sovelletaan muutoin, mitä asian vireillepanosta, päätöksen tiedoksiannosta, viranomaisten toiminnan julkisuudesta, henkilötietojen käsittelystä, asiakirjojen arkistoinnista, asian käsittelyssä käytettävästä kielestä ja asian käsittelystä säädetään. 
9 § 
Kirjallisen muodon täyttyminen 
Vireillepanossa ja asian muussa käsittelyssä vaatimuksen kirjallisesta muodosta täyttää myös viranomaiselle toimitettu sähköinen asiakirja.  
Viranomaiselle saapunutta sähköistä asiakirjaa ei tarvitse täydentää allekirjoituksella, jos asiakirjassa on tiedot lähettäjästä eikä asiakirjan alkuperäisyyttä tai eheyttä ole syytä epäillä. Jos viranomaiselle toimitetussa sähköisessä asiakirjassa on selvitys asiamiehen toimivallasta, asiamiehen ei tarvitse toimittaa valtakirjaa. Viranomainen voi kuitenkin määrätä valtakirjan toimitettavaksi, jos viranomaisella on aihetta epäillä asiamiehen toimivaltaa tai sen laajuutta. 
16 § 
Päätösasiakirjan sähköinen allekirjoittaminen 
Päätösasiakirja voidaan allekirjoittaa sähköisesti. Viranomaisen on allekirjoitettava asiakirja sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 26 artiklassa säädetyt vaatimukset täyttävällä kehittyneellä sähköisellä allekirjoituksella tai muuten sellaisella tavalla, että asiakirjan alkuperäisyydestä ja eheydestä voidaan varmistautua. 
18 § 
Todisteellinen sähköinen tiedoksianto 
Asiakirja, joka lain mukaan toimitetaan postitse saantitodistusta vastaan tai muuten todisteellisesti, voidaan asianosaisen suostumuksella antaa tiedoksi myös sähköisenä viestinä, ei kuitenkaan telekopiona tai vastaavalla tavalla. Viranomaisen on tällöin ilmoitettava, että asiakirja on asianosaisen tai tämän edustajan noudettavissa viranomaisen osoittamalta palvelimelta, tietokannasta tai muusta tiedostosta. 
Asianosaisen tai tämän edustajan on tunnistauduttava asiakirjaa noutaessaan. Tunnistautumisessa on tällöin käytettävä tunnistautumistekniikkaa, joka on tietoturvallinen ja todisteellinen. 
Asiakirja katsotaan annetun tiedoksi, kun asiakirja on noudettu viranomaisen 1 momentin mukaisesti osoittamalta yhteydeltä. Jos asiakirjaa ei ole noudettu seitsemän päivän kuluessa viranomaisen ilmoituksesta, tiedoksiannossa noudatetaan, mitä siitä muualla laissa säädetään. 
Tämä laki tulee voimaan   päivänä     kuuta 20 . 
Laki 
viestintähallinnosta annetun lain 2 §:n muuttamisesta  
Eduskunnan päätöksen mukaisesti 
muutetaan viestintähallinnosta annetun lain (625/2001) 2 §:n 1 kohta, sellaisena kuin se on laissa 730/2004, seuraavasti:  
2 § 
Viestintäviraston tehtävät 
Viestintäviraston tehtävänä on: 
1) huolehtia tietoyhteiskuntakaaressa (917/2014), postilaissa (415/2011), valtion televisio- ja radiorahastosta annetussa laissa (745/1998), vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009), kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004), turvallisuusselvityslaissa (726/2014), tietoturvallisuuden arviointilaitoksista annetussa laissa (1405/2011) sekä viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetussa laissa (1406/2011) sille säädetyistä tehtävistä; 
Tämä laki tulee voimaan   päivänä     kuuta 20 . 
Laki  
maakaaren 9 a luvun 1 §:n muuttamisesta 
Eduskunnan päätöksen mukaisesti  
muutetaan maakaaren (540/1995) 9 a luvun 1 §:n 1 momentti, sellaisena kuin se on laissa 96/2011, seuraavasti:  
9 a luku 
Sähköiset asiointijärjestelmät ja niiden käyttäminen 
1 §  
Asiointijärjestelmän käyttö ja sähköinen tunnistaminen asiointijärjestelmässä 
Sähköisten asiakirjojen laatiminen ja hyväksyminen asiointijärjestelmässä sekä asiointijärjestelmän muu käyttö edellyttävät, että käyttäjä tunnistetaan luotettavasti vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009) tarkoitetulla vahvan sähköisen tunnistuspalvelun tarjoajan tarjoamalla tunnistamismenetelmällä tai sähköisen allekirjoituksen hyväksytyllä varmenteella, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 28 artiklassa, taikka muulla sellaisella tunnistautumistekniikalla, joka on tietoturvallinen ja todisteellinen. 
Tämä laki tulee voimaan   päivänä     kuuta 20 . 
Laki 
rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä annetun lain 18 §:n muuttamisesta 
Eduskunnan päätöksen mukaisesti 
muutetaan rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä annetun lain (503/2008) 18 §:n 3 kohta, sellaisena kuin se on laissa 621/2009, seuraavasti:  
18 § 
Etätunnistamiseen liittyvä tehostettu tuntemisvelvollisuus 
Jos asiakas ei ole läsnä tunnistettaessa ja henkilöllisyyttä todennettaessa (etätunnistaminen), ilmoitusvelvollisen tulee rahanpesun ja terrorismin rahoittamisen riskin vähentämiseksi: 
3) todentaa asiakkaan henkilöllisyys vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009) tarkoitetulla tunnistusvälineellä tai sähköisen allekirjoituksen hyväksytyllä varmenteella, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 28 artiklassa, taikka muun sähköisen tunnistamistekniikan avulla, joka on tietoturvallinen ja todisteellinen.  
Tämä laki tulee voimaan   päivänä     kuuta 20 . 
Laki 
väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain muuttamisesta 
Eduskunnan päätöksen mukaisesti 
muutetaan väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 2 §:n 2 momentin 2 kohta, 6 §:n 2 momentti, 43 §:n 2 momentin 2 kohta, 61 §:n 3 momentti, 62 §, 66 §:n 3 momentti, 67 §:n 1 momentti ja 68 §:n 1 momentti, 
sellaisina kuin ne ovat laissa 983/2010, seuraavasti: 
2 § 
Lain soveltamisala 
Jollei tässä laissa toisin säädetä, sovelletaan: 
2) varmennetussa sähköisessä asioinnissa ja tässä laissa tarkoitetun varmennerekisterin tietojen käsittelyssä sähköisestä asioinnista viranomaistoiminnassa annettua lakia (13/2003) ja vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettua lakia (617/2009).  
6 § 
Väestörekisterikeskuksen varmennettu sähköinen asiointi ja sen tarkoitus 
Väestörekisterikeskus pitää myöntämistään henkilövarmenteista varmennerekisteriä, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014, jäljempänä sähköisestä tunnistamisesta ja luottamuspalveluista annettu EU:n asetus. Väestörekisterikeskus on tämän varmennerekisterin rekisterinpitäjä.  
43 § 
Tunnuksen luovuttaminen 
Väestötietojärjestelmään talletettu sähköinen asiointitunnus voidaan luovuttaa vain, jos: 
2) muu Suomeen sijoittunut varmentaja käyttää tunnusta vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa tarkoitetussa tai vastaavassa tunnistamistarkoitukseen käytettävässä varmenteessa varmenteen haltijan yksilöivänä tunnistetietona. 
61 § 
Varmennetun sähköisen asioinnin palvelut 
Kansalaisvarmenteella tarkoitetaan Väestörekisterikeskuksen luonnolliselle henkilölle myöntämää varmennetta, joka sisältyy henkilökorttilaissa (829/1999) tarkoitettuun henkilökorttiin tai muuhun siihen verrattavaan viranomaisen asiakirjaan tai tekniseen alustaan, ja jota käytetään henkilön todentamista, sähköisen allekirjoituksen tekemistä sekä asiakirjojen ja viestien salausta varten. Kansalaisvarmenteella tarkoitetaan myös muuhun viranomaisen asiakirjaan tai tekniseen alustaan sisältyvää Väestörekisterikeskuksen myöntämää varmennetta, jota käytetään edellä mainittuun tarkoitukseen ja joka täyttää sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa asetetut vaatimukset.  
62 §  
Varmennetussa sähköisessä asioinnissa käytettävien varmenteiden tiedot 
Kansalaisvarmenteeseen ja muuhun Väestörekisterikeskuksen luonnolliselle henkilölle myöntämään varmenteeseen sisältyvistä tiedoista säädetään vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa sekä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa. Kansalaisvarmenteessa on varmenteen haltijan yksilöivänä tunnistetietona sähköinen asiointitunnus. Muussa Väestörekisterikeskuksen luonnolliselle henkilölle myöntämässä varmenteessa on varmenteen haltijan yksilöivänä tunnistetietona sähköinen asiointitunnus tai muu sellainen henkilön yksilöivä tunniste, joka ei sisällä henkilöön liittyviä tietoja. Kansalaisvarmenteeseen ja muuhun Väestörekisterikeskuksen luonnolliselle henkilölle myöntämään varmenteeseen voi sisältyä myös muita varmenteen käytössä tarvittavia välttämättömiä teknisiä tietoja. Väestörekisterikeskus päättää näistä tiedoista. 
Sähköinen asiointitunnus voi sisältyä myös vahvasta sähköisestä tunnistamisesta ja luottamuspalveluista annetussa laissa tarkoitettuun muuhun luonnollisen henkilön varmenteeseen varmenteen haltijan yksilöivänä tunnistetietona. 
66 § 
Kansalaisvarmenteen hakeminen ja myöntäminen 
Hakemuksen vastaanottajan on noudatettava henkilötietolaissa säädettyjä henkilötietojen käsittelyä sekä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa ja sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa asetettuja varmenteen myöntämistä koskevia vaatimuksia.  
67 § 
Muun varmenteen hakeminen ja myöntäminen 
Väestörekisterikeskuksen tuottama muu luonnollisen henkilön varmenne kuin kansalaisvarmenne voidaan myöntää vain Suomen kansalaiselle sekä kotikuntalain mukaisesti Suomessa vakinaisesti asuvalle ulkomaalaiselle, jonka tiedot on talletettu väestötietojärjestelmään ja jonka henkilöllisyys on voitu luotettavasti todeta. Väestörekisterikeskuksen tuottama muu luonnollisen henkilön varmenne kuin kansalaisvarmenne voidaan erityisestä ja perustellusta syystä myöntää myös henkilölle, jonka henkilöllisyys on voitu luotettavasti todeta, mutta joka ei täytä muita edellä tarkoitettuja varmenteen myöntämisen edellytyksiä. Tällainen varmenne voi hakijan pyynnöstä sisältyä sähköisessä asioinnissa käytettävään viranomaisen, yrityksen tai yhteisön myöntämään asiakirjaan, korttiin tai tekniseen alustaan. Väestörekisterikeskus voi sopia asiakirjan tai teknisen alustan myöntävän viranomaisen, yrityksen tai yhteisön kanssa, että varmennetta koskeva hakemus voidaan jättää tälle henkilökohtaisesti Väestörekisterikeskukselle edelleen toimitettavaksi. Väestörekisterikeskuksen on tällöin varmistettava, että hakemuksen vastaanottaja noudattaa henkilötietolain henkilötietojen käsittelyä sekä sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen varmenteen myöntämistä koskevia säännöksiä.  
68 § 
Varmenteen hakemista ja myöntämistä koskeva menettely eräissä tapauksissa 
Henkilökohtaisen käynnin sijasta kansalaisvarmenteen uusimista koskeva hakemus voidaan tehdä myös sähköisesti ja allekirjoittaa hakijan käytössä olevalla kansalaisvarmenteella ja muun Väestörekisterikeskuksen tuottaman varmenteen uusimista koskeva hakemus hakijan käytössä olevalla sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa tarkoitetulla hyväksytyllä varmenteella, jos tällainen palvelu on käytössä. Muuten hakemuksen käsittelyssä noudatetaan sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen varmenteen myöntämistä koskevia säännöksiä.  
Tämä laki tulee voimaan   päivänä     kuuta 20 . 
Laki 
sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta 
Eduskunnan päätöksen mukaisesti  
muutetaan sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007) 2 §:n 3 momentti, 9 § ja 14 §:n 3 momentti, 
sellaisina kuin ne ovat, 2 §:n 3 momentti laissa 250/2014, 9 § laissa 619/2009 ja 14 §:n 3 momentti laissa 255/2015, seuraavasti:  
2 § 
Soveltamisala 
Jollei tästä tai muusta laista muuta johdu, asiakastietojen käsittelyyn sovelletaan, mitä potilaan asemasta ja oikeuksista annetussa laissa (785/1992), jäljempänä potilaslaki,  sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa (812/2000), jäljempänä asiakaslaki, henkilötietolaissa (523/1999), viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999), sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003), vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009), väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetussa laissa (661/2009) sekä arkistolaissa (831/1994) tai näiden nojalla säädetään. Lisäksi asiakastietojen käsittelyssä ja tämän lain mukaisia palveluja ja toimintoja järjestettäessä on noudatettava, mitä kielilaissa (423/2003) ja sen nojalla säädetään. Jos terveydenhuollon asiakas- ja potilastietoja käsittelevä tietojärjestelmä on terveydenhuollon laitteista ja tarvikkeista annetussa laissa (629/2010) tarkoitettu terveydenhuollon laite, tietojärjestelmään sovelletaan myös mainittua lakia ja sen mukaisia vaatimuksia.  
9 § 
Asiakirjan sähköinen allekirjoittaminen 
Asiakastietojen eheys, muuttumattomuus ja kiistämättömyys tulee varmistaa sähköisellä allekirjoituksella tietojen sähköisessä käsittelyssä, tiedonsiirrossa ja säilytyksessä. Luonnollisen henkilön sähköisessä allekirjoittamisessa tulee käyttää kehittynyttä sähköistä allekirjoitusta, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014. Organisaation ja tietoteknisten laitteiden allekirjoituksessa on käytettävä luotettavuudeltaan vastaavaa sähköistä allekirjoitusta. 
14 § 
Valtakunnalliset tietojärjestelmäpalvelut 
Väestörekisterikeskus toimii sosiaali- ja terveydenhuollon ammattihenkilöiden ja muun henkilöstön, palvelujen antajien sekä näiden palvelujen antamiseen osallistuvien organisaatioiden, niiden henkilöstön ja tietoteknisten laitteiden vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa tarkoitettuna varmentajana. Väestörekisterikeskuksella on oikeus saada näiden tehtäviensä hoitamiseksi Sosiaali- ja terveysalan lupa- ja valvontavirastolta sen ylläpitämästä terveydenhuollon ammattihenkilöiden keskusrekisteristä varmenteen myöntämiseen ja peruuttamiseen, varmenteeseen, varmenteen tekniseen alustaan ja varmenteen toimittamiseen tarvittavat tiedot. Sosiaali- ja terveysalan lupa- ja valvontavirastolla on vastaavasti oikeus saada lakisääteisten tehtäviensä hoitamiseksi Väestörekisterikeskukselta tiedot sen edellä mainituin perustein myöntämistä varmenteista. Tiedot voidaan luovuttaa teknisen käyttöyhteyden välityksellä.  
Tämä laki tulee voimaan   päivänä    kuuta 20 . 
Laki 
verotusmenettelystä annetun lain 93 a §:n muuttamisesta 
Eduskunnan päätöksen mukaisesti 
muutetaan verotusmenettelystä annetun lain (1558/1995) 93 a §:n 2 momentti, sellaisena kuin se on laissa 623/2009, seuraavasti:  
93 a § 
Sähköinen asiointi ja allekirjoittaminen 
Ilmoitukset ja muut asiakirjat, jotka voidaan toimittaa veroviranomaiselle sähköisesti ja jotka on allekirjoitettava, on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla.  
Tämä laki tulee voimaan   päivänä     kuuta 20 . 
Laki 
varainsiirtoverolain 56 b §:n muuttamisesta 
Eduskunnan päätöksen mukaisesti 
muutetaan varainsiirtoverolain (931/1996) 56 b §:n 2 momentti, sellaisena kuin se on laissa 622/2009, seuraavasti:  
56 b §  
Sähköinen asiointi ja allekirjoittaminen 
Ilmoitukset ja muut asiakirjat, jotka voidaan toimittaa veroviranomaiselle sähköisesti ja jotka on allekirjoitettava, on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla.  
Tämä laki tulee voimaan   päivänä    kuuta 20 . 
Laki 
ennakkoperintälain 6 a §:n muuttamisesta  
Eduskunnan päätöksen mukaisesti 
muutetaan ennakkoperintälain (1118/1996) 6 a §:n 2 momentti, sellaisena kuin se on laissa 624/2009, seuraavasti:  
6 a § 
Sähköinen asiointi ja allekirjoittaminen 
Ilmoitukset ja muut asiakirjat, jotka voidaan toimittaa veroviranomaiselle sähköisesti ja jotka on allekirjoitettava, on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla.  
Tämä laki tulee voimaan   päivänä     kuuta 20 . 
Laki 
veripalvelulain 11 §:n muuttamisesta 
Eduskunnan päätöksen mukaisesti 
muutetaan veripalvelulain (197/2005) 11 §, sellaisena kuin se on laissa 777/2009, seuraavasti:  
11 § 
Luovuttajiin liittyvät tiedot 
Veren ja sen osan luovuttajalle on ennen luovutusta annettava luovutukseen liittyvät tarpeelliset tiedot sekä henkilötietolain (523/1999) 24 §:n mukaiset tiedot ja luovuttajaa on informoitava tietojen salassapidosta. Luovuttajalta on pyydettävä hänen yksilöintiään koskevat tiedot, luovutuskelpoisuutta arvioitaessa hänen terveydentilaansa liittyvät ja välttämättömät luovuttajan luovutuskelpoisuutta koskevat tiedot sekä luovuttajan omakätinen allekirjoitus tai kehittynyt sähköinen allekirjoitus, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014. Lääkealan turvallisuus- ja kehittämiskeskus voi antaa tarkempia määräyksiä luovuttajille annettavista ja heiltä pyydettävistä tiedoista. 
Tämä laki tulee voimaan   päivänä     kuuta 20 . 
Laki 
arvonlisäverolain 165 §:n muuttamisesta 
Eduskunnan päätöksen mukaisesti 
muutetaan arvonlisäverolain (1501/1993) 165 §:n 2 momentti, sellaisena kuin se on laissa 886/2009, seuraavasti:  
165 § 
Edellä 162 e §:ssä tarkoitetut ilmoitukset ja muut asiakirjat, jotka voidaan toimittaa veroviranomaiselle sähköisesti ja jotka on allekirjoitettava, on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla.  
Tämä laki tulee voimaan   päivänä     kuuta 20 . 
Laki 
verotililain 7 §:n muuttamisesta 
Eduskunnan päätöksen mukaisesti 
muutetaan verotililain (604/2009) 7 §:n 2 momentti, sellaisena kuin se on laissa 746/2009, seuraavasti:  
7 § 
Kausiveroilmoituksen antaminen 
Ilmoitusvelvollisen on allekirjoitettava kausiveroilmoitus. Sähköisesti annettu kausiveroilmoitus on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla. Verohallinto antaa tarkemmat määräykset siitä, mitä sähköistä menettelyä käyttäen ja mitä varmenne- tai tunnistusmenetelmää käyttäen sähköinen kausiveroilmoitus voidaan antaa.  
Tämä laki tulee voimaan   päivänä     kuuta 20 . 
Laki 
rakennusten energiatodistustietojärjestelmästä annetun lain 4 §:n muuttamisesta 
Eduskunnan päätöksen mukaisesti 
muutetaan rakennusten energiatodistustietojärjestelmästä annetun lain (147/2015) 4 §:n 1 momentti seuraavasti:  
4 § 
Energiatodistuksen laatiminen ja allekirjoittaminen 
Energiatodistus laaditaan siten, että energiatodistuksen laatija tallentaa energiatodistusrekisteriin todistuksen laatimisessa tarvittavat tiedot ja allekirjoittaa energiatodistuksen kehittyneellä sähköisellä allekirjoituksella, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transak-tioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014. Energiatodistus katsotaan valvontaviranomaiselle toimitetuksi silloin, kun se on allekirjoitettu edellä mainitulla tavalla.  
Tämä laki tulee voimaan   päivänä     kuuta 20 . 
Laki 
valmisteverotuslain 32 §:n muuttamisesta 
Eduskunnan päätöksen mukaisesti 
muutetaan valmisteverotuslain (182/2010) 32 §:n 3 momentti, sellaisena kuin se on laissa 495/2014, seuraavasti:  
32 § 
Veroilmoituksen antamistapa 
Sähköinen veroilmoitus on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla. Verovelvollisen on allekirjoitettava paperilomakkeella annettu veroilmoitus. 
Tämä laki tulee voimaan   päivänä     kuuta 20 . 
Helsingissä 21.6.2016 
Eduskunnan puolesta
puhemies
pääsihteeri
Viimeksi julkaistu 23.6.2016 16:04