Betänkande
KoUB
44
2018 rd
Kommunikationsutskottet
Regeringens proposition till riksdagen med förslag till lag om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster (RP 264/2018 rd): Ärendet har remitterats till kommunikationsutskottet för betänkande och till grundlagsutskottet och ekonomiutskottet för utlåtande. 
Utlåtanden
Utlåtande har lämnats av 
ekonomiutskottet
EkUU 63/2018 rd
grundlagsutskottet
GrUU 74/2018 rd
Sakkunniga
Utskottet har hört 
regeringsråd
Jenni
Rantio
kommunikationsministeriet
specialsakkunnig
Kimmo
Mäkinen
finansministeriet
jurist
Marko
Priiki
Transport- och kommunikationsverket
generaldirektör
Kirsi
Leivo
Konkurrens- och konsumentverket
direktör
Timo
Salovaara
Befolkningsregistercentralen
direktör, betaltjänster
Raine
Westerholm
Posti Ab
ledande digitaliseringsexpert
Hanna
Heiskanen
Finansinspektionen
direktör
Arto
Mattila
Danske Bank A/S, Finland filial
jurist
Timo
Airisto
DNA Ab
Business Manager
Perttu
Hörkkö
Elisa Abp
direktör, elektronisk identifiering
Matti
Villikka
Nets Denmark A/S, Filial i Finland
Head of Digital Business
Joonatan
Henriksson
Nixu Oyj
vice verkställande direktör
Petri
Nikkilä
Nordea Bank Abp
intressechef
Satu
Wennberg
OP Gruppen
Sales Executive
Paavo
Toivanen
Signicat Suomi
Senior Manager
Ari
Hakala
Telia Finland Oyj
expert
Peter
Jansson
Finanssiala ry
jurist
Timo
Niemi
Kuluttajaliitto - Konsumentförbundet ry
verkställande direktör
Elina
Ussa
Tietoliikenteen ja tietotekniikan keskusliitto, FiCom ry.
Skriftligt yttrande har lämnats av 
Nordea
OP Gruppen
Signicat Suomi
Finanssiala ry.
Inget yttrande av 
Jämställdhetsombudsmannens byrå.
PROPOSITIONEN
I propositionen föreslås det att lagen om stark autentisering och betrodda elektroniska tjänster ändras. Propositionen syftar till att förtydliga funktionen hos förtroendenätet för leverantörer av identifieringstjänster med stark autentisering. Det föreslås att avtalsskyldigheten för de tjänsteleverantörer som hör till förtroendenätet ska förtydligas. Dessutom föreslås ett lägre maximipris än för närvarande för förmedling av identifieringstransaktioner. Bestämmelserna om maximipriset för så kallad sammankopplad inledande identifiering ändras för en tid på två år för att motsvara prissättningen av identifieringstransaktioner i förtroendenätet. De tillhörande bestämmelserna om ansvar förtydligas. 
Förtroendenätets funktion grundar sig på ömsesidiga avtal mellan tjänsteleverantörer. Lagstiftningen om förtroendenätet har varit i kraft sedan maj 2017, men det har gått långsamt att få igång nätets verksamhet och avtalsförhandlingarna. Syftet med propositionen är att bidra till att skapa en tillväxtmiljö för digital affärsverksamhet i enlighet med spetsprojektet i statsminister Juha Sipiläs regering och att bidra till att marknaden för elektronisk identifiering utvecklas. Främjandet av säkra e-tjänster är av central betydelse i och med att användningen av elektroniska tjänster ökar inom alla samhällssektorer. 
Lagen avses träda i kraft så snart som möjligt. 
UTSKOTTETS ÖVERVÄGANDEN
Allmänt
Kommunikationsutskottet anser att stark autentisering är en av de viktigaste förutsättningarna för att det digitala samhället och de digitala tjänsterna ska utvecklas. Fungerande och säkra elektroniska identifieringsverktyg med tillhörande tjänster behövs också för att det ska uppstå en miljö där den digitala affärsverksamheten kan växa fram, de offentliga förvaltningstjänsterna utvecklas och för att medborgarna ska få möjligheter till delaktighet. 
Utskottet anser att det är ytterst viktigt att förtroendenätet för elektronisk identifiering fungerar och att det är mycket beklagligt att nätet inte har börjat fungera enligt den gällande lagstiftningen och syftena med denna. 
I sitt utlåtande (GrUU 74/2018 rd) anser grundlagsutskottet att de föreslagna bestämmelserna inte är problematiska i konstitutionellt hänseende. 
Prisregleringen och skyldigheten att ingå avtal
I propositionen föreslår regeringen mycket kraftfulla åtgärder för att främja konkurrensen och marknadens funktion, få igång förtroendenätet och se till att syftena med lagen fylls. 
En del sakkunniga har ställt sig bakom propositionen medan andra framför allt har motsatt sig maximiprissättningen av så kallad inledande identifiering. Å andra sidan uppges det i en utredning att det nuvarande priset på kedjor av inledande identifiering har setts som ett betydande hinder för leverantörer av identifieringsverktyg att få tillträde till marknaden. Kommunikationsutskottet instämmer med ekonomiutskottet (EkUU 63/2018 rd) i att det inte kan anses befogat att sådana här fasta och andra kostnader som hör ihop med att bedriva verksamhet och som delvis följer av lagstadgade skyldigheter för finanssektorn skulle täckas i sin helhet med priset på inledande identifiering. Enligt uppgift är en kedja av inledande identifiering tekniskt sett en likadan transaktion som vid förmedling av en identifieringstransaktion. Således kan det maximipris på inledande identifiering som föreslås i propositionen enligt utredning anses vara lämpligt. Det är i varje fall en bra lösning att bestämmelserna om maximipris på inledande identifiering bara ska gälla en viss tid, det vill säga två år, för att marknaden ska öppnas i det här skedet. Det är också viktigt att Transport- och kommunikationsverket ska bedöma nivån på prisregleringen varje år. 
Avtalsförhandlingarna om förtroendenätet har enligt uppgift till viss del visat sig vara svåra. Därför är det särskilt viktigt att skyldigheten att ingå avtal nu ändrats till exempel på så sätt att en tidsfrist uttryckligen föreskrivs samtidigt som det krävs att avtalsvillkoren ska vara skäliga och icke-diskriminerande. 
Utskottet anser att förslagen i propositionen är motiverade i nuläget, där man genom olika förhandlingar och tidigare lagändringar utan resultat har försökt uppnå ett slutresultat som är förenligt med lagens syfte. 
Tillgång till identifieringsverktyg
Utskottet har redan tidigare (KoUB 33/2014 rdRP 272/2014 rd, KoUB 18/2016 rdRP 74/2016 rd) ansett att tjänster för elekronisk identifiering är ett slags bastjänster i informationssamhället och uttryckt sin oro över en jämlik tillgång till elektroniska identifieringsverktyg. Utskottet anser att frågan fortfarande är aktuell och att svar på den måste sökas omgående för att medborgarna ska likabehandlas och risken för utslagning från samhället ska minska. 
Medborgarna och företagen bör på lika villkor få tillgång till tillförlitliga elektroniska identifieringsverktyg, antingen på marknadsmässiga villkor eller, om det inte kan genomföras på marknadsmässiga villkor, genom att den offentliga förvaltningen intar en starkare roll. 
Utskottet pekar dessutom på behovet att utreda möjligheterna att utveckla interoperabiliteten i fråga om elektronisk identifiering i de nordiska länderna. 
Fortsatta åtgärder
Utskottet framhåller att vi nu bör få fart på utvecklingen av marknaden för elektronisk identifiering. Genom samarbete mellan branschen och de ansvariga ministerierna behöver det ses till att förtroendenätet kan fungera effektivt också rent konkret. Utskottet lyfter också fram den roll som spelas av den myndighet som har tillsyn över att lagen följs, för att lagstiftningen och dess syften ska fullföljas. När det gäller den aktuella frågan är det viktigt att Transport- och kommunikationsverket får tillräckliga resurser för att det ska garanteras att lagen efterlevs. 
Sammantaget anser utskottet att propositionen behövs och fyller sitt syfte. Utskottet tillstyrker propositionen med vissa mindre lagtekniska korrigeringar. 
DETALJMOTIVERING
Ingressen.
Utskottet korrigerar ingressen lagtekniskt på så sätt att den väger in de lagändringar som gjorts till följd av reformen av trafik- och transportmyndigheterna (RP 61/2018 rdRP 104/2018 rdKoUB 21/2018 rd). 
FÖRSLAG TILL BESLUT
Kommunikationsutskottets förslag till beslut:
Riksdagen godkänner lagförslaget i proposition RP 264/2018 rd med ändringar.(Utskottets ändringsförslag) 
Utskottets ändringsförslag
Lag 
om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster 
I enlighet med riksdagens beslut 
upphävs i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) 17 § 5–7 mom., sådana de lyder i lag 1009/2018
ändras 12 a och 16 §, 17 § 4 mom. och 18 §, av dem 12 a , 16 § och 17 § 4 mom. sådana de lyder i lag 1009/2018, samt 
fogas till 3 § ett nytt 2 mom., till lagen nya 12 b–12 d § och till 17 §, sådan den lyder i lag 1009/2018, i stället för de 5–7 mom. som upphävts genom denna lag, nya 5 och 6 mom. och temporärt ett nytt 7 mom. som följer: 
3 § 
Bestämmelsernas tvingande natur 
Avtalsvillkor mellan leverantörer av identifieringstjänster som avviker från bestämmelserna i denna lag är ogiltiga. 
12 a § 
Förtroendenätet för leverantörer av identifieringstjänster 
En leverantör av identifieringstjänster ansluter sig till förtroendenätet när leverantören gör en anmälan enligt 10 § till Transport- och kommunikationsverket. 
En leverantör av identifieringsverktyg ska erbjuda leverantörer av tjänster för identifieringsförmedling tillträdesrätt till sina identifieringstjänster så att leverantörerna kan förmedla identifieringstransaktioner till en part som förlitar sig på en elektronisk identifiering. En leverantör av identifieringsverktyg ska upprätta leveransvillkor för tillträdesrätt till sin identifieringstjänst och tillämpa dem vid ingående av avtal med leverantörer av tjänster för identifieringsförmedling. Villkoren för tillträdesrätten ska vara förenliga med denna lag samt vara rimliga och icke-diskriminerande. Leverantören av identifieringsverktyg ska godkänna begäran av leverantören av tjänster för identifieringsförmedling om att ingå ett avtal enligt leveransvillkoren samt bevilja tillträdesrätt till identifieringstjänsten utan dröjsmål och senast inom en månad efter att begäran har gjorts. Leverantören av identifieringsverktyg kan vägra ingå avtal endast om leverantören av tjänster för identifieringsförmedling handlar i strid med denna lag eller de bestämmelser eller föreskrifter som utfärdats med stöd av den eller om det finns andra vägande skäl för vägran. 
Leverantörer av identifieringstjänster ska samarbeta för att säkerställa att de tekniska gränssnitten mellan medlemmarna i förtroendenätet är kompatibla och att de gör det möjligt att tillhandahålla gränssnitt som följer allmänt kända standarder för de förlitande parterna. 
Leverantörer av identifieringstjänster ska genomföra underhålls-, ändrings- och informationssäkerhetsåtgärder på ett sådant sätt att åtgärderna innebär minsta möjliga olägenhet för identifieringstjänsternas övriga leverantörer, användare och förlitande parter. Utöver det som föreskrivs i 25 och 26 § får en leverantör av identifieringstjänster tillfälligt utan en annan leverantörs samtycke avbryta tillhandahållandet av en identifieringstjänst eller begränsa dess användning, om det är nödvändigt för att de åtgärder som avses ovan ska kunna genomföras framgångsrikt. Övriga leverantörer av identifieringstjänster vilkas tjänster kan påverkas av avbrott och ändringar ska effektivt informeras om dessa. 
En leverantör av identifieringstjänster får använda sådan information om en annan leverantör av identifieringstjänster som den erhållit i samband med överlåtelse av tillträdesrätt eller med stöd av 16 § endast för det ändamål för vilket informationen har lämnats till leverantören av identifieringstjänster. Uppgifterna får behandlas endast av den som arbetar hos eller för en leverantör av identifieringstjänster och som nödvändigt behöver uppgifterna i sitt arbete. Uppgifterna ska också annars behandlas så att affärshemligheter som tillhör en annan leverantör av identifieringstjänster inte röjs. En leverantör av identifieringstjänster som genom att handla i strid med detta moment vållar en annan leverantör av identifieringstjänster skada är skyldig att ersätta skadan. 
Närmare bestämmelser om förtroendenätets administrativa praxis, tekniska gränssnitt och administrativa ansvar utfärdas genom förordning av statsrådet. 
12 b § 
Leveransvillkor för tillträdesrätt till identifieringstjänsten och skyldighet för leverantörer av identifieringsverktyg att lämna uppgifter 
En leverantör av identifieringsverkstyg ska offentliggöra leveransvillkoren för tillträdesrätt till sin identifieringstjänst samt annan information som är relevant för överlåtelse av tillträdesrätt och identifieringstjänsternas kompatibilitet på sin webbplats. Leverantören av identifieringsverktyg ska offentliggöra åtminstone följande information: 
1) en beskrivning av identifieringsverktyget, inklusive information om tillgängliga personidentifieringsuppgifter enligt bilagan till kommissionens genomförandeförordning (EU) 2015/1501 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden, 
2) eventuella hinder och begränsningar enligt 18 § för användning av identifieringsverktyget samt information om hur de förlitande parterna har fått eller kan få kännedom om hindren och begränsningarna, eller information om det tekniska genomförandet av begränsningen, 
3) en beskrivning av de tekniska gränssnitten för förmedling av identifieringstransaktioner och metoderna för testning av dem till den del de inte innehåller affärshemligheter eller uppgifter som äventyrar informationssäkerheten, 
4) priset på en identifieringstransaktion, 
5) vilken servicenivå som erbjuds, 
6) hur leverantören informerar om underhålls- och ändringsarbeten, 
7) en beskrivning av faktureringsförfarandet, 
8) villkor som gäller skadeståndsansvar, 
9) villkor för användning av varumärken och andra immateriella rättigheter, 
10) principer för behandling av personuppgifter som personuppgiftsansvarig i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), 
11) eventuella grunder för att ensidigt ändra leveransvillkoren, 
12) hur tvister ska lösas, 
13) eventuella andra villkor som är nödvändiga för förtroendenätets funktion. 
12 c § 
Ersättning för tillträdesrätt till identifieringstjänsten 
Leverantörer av tjänster för identifieringsförmedling ska betala en ersättning på högst 3 cent per förmedlad identifieringstransaktion för tillträdesrätt till identifieringstjänsten. Ersättningen omfattar alla personidentifieringsuppgifter som gäller det elektroniska identifieringsverktyget. Transport- och kommunikationsverket ska bedöma nivån på ersättningen årligen. 
Ingen annan ersättning får tas ut för tillträdesrätt till identifieringstjänsten. Den ersättning som anges i 1 mom. ska omfatta fakturering och tillträdesrätter till alla sådana gränssnitt, funktioner, tjänster, programvaror och informationssystem som förvaltas av leverantören av identifieringsverktyget och som behövs för förmedling av identifiering till en förlitande part. 
12 d § 
Skadeståndsskyldighet mellan medlemmar i förtroendenätet 
En leverantör av identifieringstjänster som uppsåtligen eller av oaktsamhet handlar i strid med de skyldigheter som anges i 12 a § 2–3 mom. eller i bestämmelser som utfärdats med stöd av 6 mom. eller de skyldigheter som anges i 12 b §, 12 c § eller 17 § 4 mom. är skyldig att ersätta en annan leverantör av identifieringstjänster för skada som har tillfogats denna. 
Skadeståndet omfattar ersättning för kostnader, prisskillnad samt annan direkt ekonomisk skada som orsakats av leverantörens i 1 mom. avsedda verksamhet. 
Skadeståndet kan jämkas, om fullt skadeståndsansvar bedöms som oskäligt tungt med tanke på förseelsens art, skadans omfattning, parternas situation och andra omständigheter. 
Rätten till skadestånd preskriberas, om skadeståndstalan inte har väckts inom tre år från det att leverantören av identifieringstjänster fick eller borde ha fått kännedom om uppkomsten av skadan. 
Vid prövning av en skadeståndstalan som avses i 1 mom. kan domstolen begära yttrande av Transport- och kommunikationsverket. 
16 § 
Anmälningar av leverantörer av identifieringstjänster om hot och störningar som riktas mot verksamheten eller skyddet av uppgifter 
En leverantör av identifieringstjänster ska trots sekretessbestämmelserna utan ogrundat dröjsmål anmäla betydande hot och störningar som riktas mot tjänsternas funktion, informationssäkerheten eller användningen av en elektronisk identitet till de tjänsternas förlitande parter, till innehavarna av identifieringsverktyg, till övriga avtalsparter i förtroendenätet och till Transport- och kommunikationsverket. I anmälan ska det redogöras för de åtgärder som olika aktörer har tillgång till för att avvärja hot eller störningar samt de beräknade kostnaderna för åtgärderna. 
Leverantören av identifieringstjänster får trots sekretessbestämmelserna underrätta alla medlemmar i förtroendenätet om hot och störningar som avses i 1 mom. samt om tjänsteleverantörer som skäligen kan misstänkas för att eftersträva orättmätig ekonomisk vinning, lämna betydelsefull osann eller vilseledande information eller behandla personuppgifter på ett olagligt sätt. 
Transport- och kommunikationsverket får för anmälarens räkning på teknisk väg förmedla uppgifterna mellan parterna i förtroendenätet trots vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet (621/1999). 
17 § 
Identifiering av en fysisk person som ansöker om ett identifieringsverktyg 
En leverantör av identifieringsverktyg ska göra det möjligt för en annan leverantör av identifieringsverktyg att använda ett identifieringsverktyg för stark autentisering som beviljats av den förstnämnda för inledande identifiering vid ansökan om ett identifieringsverktyg för stark autentisering på motsvarande eller lägre tillitsnivå. Vad som föreskrivs i 12 a och 12 b § om överlåtelse av tillträdesrätt till identifieringstjänsten och publicering av leveransvillkoren tillämpas också på i detta moment avsedd användning av identifieringsverktyg vid inledande identifiering. 
Den leverantör av identifieringsverktyg som litar på en tidigare inledande identifiering bär ansvaret i förhållande till den skadelidande om den inledande identifieringen är felaktig. 
Om en leverantör av identifieringsverktyg som litar på en tidigare inledande identifiering hålls ansvarig för en skada med stöd av 5 mom. har leverantören rätt att få ersättning för sin skada av den leverantör av identifieringsverktyg som begått felet vid den inledande identifieringen, om inte den sistnämnda leverantören visar att skadan inte har berott på uppsåt eller grov oaktsamhet. 
Vad som föreskrivs i 12 c § om ersättning för förmedling av identifieringstransaktioner tillämpas också på i 4 mom. avsedd användning av identifieringsverktyg vid inledande identifiering. 
18 § 
Hinder och begränsningar när det gäller att utföra rättshandlingar 
Användningen av identifieringsverktyg för att utföra rättshandlingar får förhindras genom avtal mellan leverantörer av identifieringstjänster, tjänsteleverantörer som använder tjänsterna och innehavare av identifieringsverktyg. Dessutom får utförandet av rättshandlingar begränsas både när det gäller användningsändamål och transaktionernas värde i pengar. Hinder och begränsningar får inte gälla enskilda tjänsteleverantörer och de får inte vara beroende av vilken leverantör av tjänster för identifieringsförmedling som förmedlar identifieringstransaktionen. 
Leverantören av identifieringstjänster ska se till att alla parter känner till hindren eller begränsningarna eller att de är lätta att upptäcka och meddelas på ett klart och lättbegripligt sätt. Leverantören av identifieringsverktyg får även införa hinder eller begränsningar med tekniska medel. Leverantören svarar inte för de åtgärder som har vidtagits i strid med hindren eller begränsningarna trots att leverantören har handlat på ett omsorgsfullt sätt. 
Leverantören av identifieringsverktyg ska se till att en tjänsteleverantör som använder identifieringstjänsterna har möjlighet att dygnet runt kontrollera de hinder och begränsningar som gäller identifieringsverktyget. Denna skyldighet föreligger dock inte om användning av identifieringsverktyget i strid med hindren och begränsningarna har förhindrats med hjälp av tekniska medel. 
En tjänsteleverantör som använder identifieringstjänster ska i samband med användningen av ett identifieringsverktyg kontrollera eventuella hinder eller begränsningar i de system och register som leverantören av identifieringstjänsterna har. Detta behöver dock inte göras om användning av identifieringsverktyget i strid med hindren och begränsningarna har förhindrats med hjälp av tekniska medel. 
Denna lag träder i kraft den 20 . Lagens 17 § 7 mom. gäller i två år från ikraftträdandet av lagen. 
En leverantör av identifieringsverktyg ska upprätta och offentliggöra leveransvillkoren för tillträdesrätt till sin identifieringstjänst inom två månader från ikraftträdandet av denna lag. 
Avtal mellan leverantörer av identifieringstjänster som gäller när denna lag träder i kraft ska uppdateras i överensstämmelse med denna lag inom tre månader från lagens ikraftträdande. 
Den förordning av statsrådet som utfärdats med stöd av det 12 a § 5 mom. som gällde vid denna lags ikraftträdande förblir i kraft. 
Helsingfors 28.2.2019 
I den avgörande behandlingen deltog
ordförande
Ari
Jalonen
blå
vice ordförande
Markku
Pakkanen
cent
medlem
Mikko
Alatalo
cent
medlem
Jyrki
Kasvi
gröna
medlem
Jukka
Kopra
saml
medlem
Suna
Kymäläinen
sd
medlem
Mia
Laiho
saml
medlem
Mats
Löfström
sv
medlem
Jari
Myllykoski
vänst
medlem
Jani
Mäkelä
saf
medlem
Jari
Ronkainen
saf
medlem
Satu
Taavitsainen
sd
medlem
Katja
Taimela
sd
medlem
Ari
Torniainen
cent
medlem
Sofia
Vikman
saml.
Sekreterare var
utskottsråd
Juha
Perttula.
Senast publicerat 1.3.2019 11:30