1
Lagförslag
3 §.Bestämmelsernas tvingande natur. Till paragrafen fogas ett nytt moment där det föreskrivs att villkoren i avtal som identifieringstjänster ingår i förtroendenätet ska följa kraven i denna lag i alla delar. Två olika typer av leverantörer kan urskiljas i förtroendenätet: leverantörer av identifieringsverktyg och leverantörer av tjänster för identifieringsförmedling. Dessa definieras i 2 § i den gällande lagen. Samma aktör kan ha båda rollerna.
Enligt förslaget är ett avtalsvillkor mellan leverantörer av identifieringstjänster ogiltigt, om det avviker från bestämmelserna i lagen. Avtalsvillkorets ogiltighet innebär att villkoret är utan verkan i parternas avtalsförhållande. När avtalet är ogiltigt behöver ogiltigheten inte särskilt åberopas.
Den föreslagna ändringen, liksom bestämmelserna i 12 a § om skyldighet att erbjuda tillträde och ingå avtal, syftar till att klargöra att de lagstadgade kraven för avtalet mellan leverantörer av identifieringstjänster är av tvingande natur. Tjänsteleverantörerna kan därmed inte avtala på annat sätt om sådant som regleras av bestämmelser i denna lag. Parterna kan i princip avtala om det som är oreglerat i lagen, men även då ska avtalsvillkoren på det sätt som avses i 12 a § vara rimliga, icke-diskriminerande och nödvändiga för genomförande av förtroendenätet. Därmed ska avtalsparterna t.ex. följa de föreslagna bestämmelserna om reglering av maximipriset vid förmedling av identifieringstransaktioner i 12 c § och kan inte frångå dem i avtalet. Förslaget till 3 § har också betydelse för identifieringstjänsternas ömsesidiga skadeståndsansvar. De föreskrivna skyldigheterna i denna lag används som kriterier vid bedömning av om ett på lagen grundat avtalsvillkor är ogiltigt eller när man bedömer fel som eventuellt utgör grund för skadestånd.
Den föreslagna bestämmelsen påverkar inte vad som i tidigare förarbeten konstaterats vara en grundläggande utgångspunkt: att lagens krav för identifieringstjänster är av tvingande natur, om inte något annat anges i enskilda bestämmelser. Syftet med bestämmelsen är också att mellan leverantörerna stärka tilliten till att alla leverantörer av identifieringstjänster som avses i lagen och är registrerade enligt 12 §, dvs. medlemmarna i förtroendenätet, följer lagens minimikrav i sin verksamhet (RP 36/2009 rd, s. 45).
Leverantörernas avtalsförhållande berörs också av bestämmelsen i 1 mom., för vilken ingen ändring föreslås i denna proposition. Bestämmelsen innebär att avtalet mellan en leverantör av identifieringsverktyg och en leverantör av tjänster för identifieringsförmedling inte kan inskränka konsumenternas rättigheter enligt denna lag, såsom de i 27 § föreskrivna begränsningarna av användarens ansvar vid obehörig användning av ett identifieringsverktyg.
12 a §.Förtroendenätet för leverantörer av identifieringstjänster. Det föreslås en ändring av gällande 12 a § så att aktörerna i förtroendenätet åläggs centrala skyldigheter att erbjuda tillträdesrätt och samarbeta sinsemellan, vilka utgör grunden för förtroendenätet. Rubriken ändras så att den uttryckligen nämner förtroendenätet för att mer exakt motsvara paragrafens innehåll.
1 mom. ändras inte till innehållet utan det görs bara vissa författningstekniska ändringar.
Till paragrafen fogas ett nytt 2 mom. Där förtydligas att förtroendenätet omfattas av en reglering som innebär att leverantörer av identifieringsverktyg ska erbjuda förmedlingstjänster tillträdesrätt till sina identifieringstjänster. Förtroendenätet behövde skapas för att ge förmedlingstjänster möjlighet att erbjuda förlitande parter (e-tjänster) stark autentisering av kunder med de identifieringsverktyg från olika leverantörer som kunderna använder. Bland e-tjänsterna finns tjänster från både offentliga (t.ex. FPA, skatteförvaltningen) och privata aktörer (t.ex. hälsoföretag). En del e-tjänster är enligt lag förpliktade till stark autentisering av kunderna medan en del vill använda stark autentisering för att öka tilliten mellan leverantören av e-tjänsten och användaren. Skyldigheten att erbjuda tillträde till identifieringstjänster syftar till att underlätta marknadstillträdet för nya förmedlingstjänster, öka konkurrensen och möjliggöra att e-tjänster så samlat som möjligt kan skaffa tjänster för identifiering av sina kunder utan att behöva avtala om detta med varje leverantör av identifieringsverktyg.
I gällande 12 a § föreskrivs på allmän nivå om identifieringstjänsternas administrativa praxis i syfte att möjliggöra kompatibilitet och om att priset grundas på en uppgift som gäller ett identifieringsverktyg. Bestämmelser om möjligheten att införa begränsningar i identifieringsverktygen finns i 18 §. Eftersom det inte är reglerat vilken partihandelsprodukt leverantören ska erbjuda har det förekommit att leverantörer av identifieringsverktyg i avtal om förmedlingstjänster försökt införa begränsningar för vilka tjänster den e-tjänst som är förmedlingstjänstens kund kan skaffa och använda vid identifiering av kunderna. I praktiken har det till och med ansetts att det gällande lagstadgade maximipriset på 10 cent i partihandeln inte är tillämpligt vid alla identifieringstransaktioner beroende på e-tjänstens innehåll. Det har t.ex. hänt att man på dessa grunder krävt ett partipris över det lagstadgade maximibeloppet av förmedlingstjänsten när identifieringarna förmedlas till en e-tjänst som själv skapar ett användarnamn och lösenord till den egna tjänsten för en starkt autentiserad kund.
Syftet med 2 mom. jämte de föreslagna ändringarna av 18 § är att klargöra att de identifieringsmetoder som avses i lagen i princip är generella metoder. Icke-diskriminering innebär att en förmedlingstjänst ska kunna erbjuda e-tjänsten likadan identifiering som leverantörerna av identifieringsverktyg. Således kan en leverantör av identifieringsverktyg bara införa sådana begränsningar i förmedlingstjänstens användning av identifieringsmetoden som leverantören inom de gränser som 18 § tillåter själv tillämpar i rollen som förmedlingstjänst för förlitande parter. Begränsningarna av användningen måste vara förenliga med 18 §.
Med generell identifieringsmetod avses att det kan vara fråga om vilken som helst e-tjänst eller ärendetransaktion inkl. engångsinloggning och skapande av en svagt autentiserad identitet i e-tjänsten. Det är upp till förmedlingstjänsten att besluta om vilka e-tjänster som får förmedlade identifieringar och att i avtalsförhållandet med e-tjänsten se till att begränsningarna i användningen av identifieringsverktyget samt regleringen och skyldigheterna i övrigt beaktas (t.ex. internationella sanktioner eller personuppgiftsreglering).
Centralt i 2 mom. är också att leverantörer av identifieringstjänster åläggs att upprätta leveransvillkor för sin tjänst. Villkoren ska användas när avtal ingås med leverantörer av tjänster för identifieringsförmedling. Leveransvillkoren skulle således vara förpliktigande för varje avtal med förmedlingstjänsten och alla i förtroendenätet ska erbjudas samma villkor. I praktiken innebär detta att bara en uppsättning villkor upprättas. Av lagens tvingande natur enligt 3 § följer också att man i avtalet inte kan frångå skyldigheten att erbjuda samma leveransvillkor för alla och upprätta avtalen enligt dem.
Enligt det föreslagna momentet ska villkoren för tillträdesrätten vara förenliga med denna lag samt rimliga och icke-diskriminerande. Informationen i villkoren regleras i nya 12 b §. När man bedömer rimlighet och icke-diskriminering är det väsentliga att leverantörer av tjänster för identifieringsförmedling som befinner sig i en liknande situation behandlas lika i villkoren. Villkoren ska vara rimliga för alla och ta hänsyn till olika typer av leverantörer av förmedlingstjänster så att ingen diskrimineras. Icke-diskrimineringskravet innebär att en leverantör av identifieringsverktyg som själv använder identifieringsmetoden eller tillhandahåller den för ett dotterbolag eller någon liknande part ska tillhandahålla motsvarande tjänst på samma villkor och med samma kvalitet för förmedlingstjänsten. En konkurrerande förmedlingstjänst får inte behandlas annorlunda i leveransvillkoren t.ex. i fråga om leveranstid eller servicenivå. Icke-diskrimineringskravet innebär också att leverantören av identifieringsverktyget ska underrätta förmedlingstjänsten om förändringar, såsom byte eller förändring av gränssnitt, så att både den och den egna förmedlingstjänsten får vetskap om förändringarna vid så lika tidpunkter som möjligt.
Förhandskontroll av att leveransvillkoren är rimliga och icke-diskriminerande utförs inte från myndighetens sida. Om en leverantör av identifieringstjänster som begärt tillträdesrätt anser att de offentliggjorda leveransvillkoren eller något annat förfarande hos den andra leverantören inte uppfyller lagens krav, kan ärendet hänskjutas till Transport- och kommunikationsverket genom en begäran om åtgärder. Verket kan först sträva efter att lösa tvisten genom medling. Såsom den myndighet som övervakar lagen kan verket i ett tillsynsbeslut ange huruvida leveransvillkoren står i strid med de skyldigheter som följer av regleringen. Med stöd av 45 § om administrativa tvångsmedel kan verket ge en anmärkning till den som bryter mot regleringen och ålägga att felet eller försummelsen rättas till inom skälig tid. Vilka förelägganden som kan åtfölja beslutet anges också i 45 §. Ändring i Transport- och kommunikationsverkets tillsynsbeslut får sökas i förvaltningsdomstolen.
När Transport- och kommunikationsverket behandlar ett diskrimineringsärende är det leverantören av identifieringsverktyget som ska visa att villkoren och de priser som tas ut inte är diskriminerande.
Av skyldigheterna att erbjuda tillträdesrätt och upprätta leveransvillkor följer att leverantören av identifieringsverktyget enligt 2 mom. ska godkänna begäran av en leverantör av tjänster för identifieringsförmedling om att ingå ett avtal enligt leveransvillkoren. Enligt lagförslaget ska leverantören ingå avtal och bevilja tillträdesrätt utan dröjsmål och senast inom en månad efter att begäran har gjorts.
Skyldigheten att ingå avtal är dock inte absolut trots att regleringen utgår från att en leverantör av identifieringsverktyg ska erbjuda identifieringsverktyget till alla förmedlingstjänster som önskar använda det. Enligt 2 mom. skulle leverantören kunna vägra att ingå avtal, om en leverantör av tjänster för identifieringsförmedling agerar på ett sätt som står i strid med denna lag eller bestämmelser eller föreskrifter som utfärdats med stöd av den eller om det finns något annat vägande skäl. Bestämmelsen motsvarar den nu gällande tolkningen av lagen och den angivna praxisen i Kommunikationsverkets uppförandekod. Ett exempel på vägande skäl är att en leverantör av förmedlingstjänster på ett väsentligt sätt agerar i strid med något syfte som anges i leverantörens principer för identifiering (förmedling). Giltiga grunder för vägran kan också bestå av andra synnerligen vägande och motiverade skäl, t.ex. allvarlig överträdelse av ett avtal mellan parterna eller sanktioner. Leverantören av identifieringsverktyget kan inte helt avstå från ett avtal annat än i sista hand, dvs. man ska först utreda om det finns andra rimliga mekanismer som tryggar parternas rättigheter så att de kan ingå avtal. Då en leverantör vägrar att ingå avtal ska det ske utan diskriminering.
3 mom. föreslås omfatta de gällande bestämmelserna om samarbete, vilka nu finns i 12 a § 2 och 4 mom. Någon samarbetsskyldighet i fråga om administrativ praxis behöver dock inte föreskrivas eftersom den ersätts med de tydligare skyldigheterna att ingå avtal och erbjuda tillträde. Däremot är det nödvändigt med samarbete för att samordna tekniska förfaranden i syfte att säkerställa interoperabilitet även när tekniken utvecklas och i fråga om nya identifieringsmetoder. Skyldigheten gäller alla leverantörer, såväl av identifieringsverktyg som av tjänster för identifieringsförmedling.
I syfte att främja teknisk interoperabilitet föreslås en bestämmelse om att de införda tekniska lösningarna ska göra det möjligt att tillhandahålla förlitande parter gränssnitt som följer allmänt kända standarder.
Förmedlingstjänster kan välja vilka tekniska lösningar de erbjuder e-tjänsterna förutsatt att de föreskrivna säkerhetskraven uppfylls. Interna gränssnitt mellan förtroendenätets identifieringstjänster berörs av 1 § i statsrådets förordning om förtroendenätet för leverantörer av tjänster för stark autentisering (169/2016), där det föreskrivs att minst ett tekniskt gränssnitt som baserar sig på en allmänt tillämpad standard ska tillhandahållas. För närvarande används det utgående Tupas-gränssnittet och SAML- eller OIDC-baserade gränssnitt, för vilka Kommunikationsverket utarbetat en rekommenderad profil. Leverantörer av mobilcertifikat använder dessutom ett gränssnitt baserat på ETSI-standarden. Syftet med den föreslagna bestämmelsen är att betona den princip som innebär att man vid nya lösningar inom förtroendenätet alltid ska beakta hur lösningen påverkar de tekniska lösningar som e-tjänsterna erbjuds.
Till paragrafen fogas ett nytt 4 mom. Det motsvarar 248 § i lagen om tjänster inom elektronisk kommunikation, som föreskriver en princip om minsta olägenhet. Identifieringstjänster förutsätter kontinuerlig teknisk interoperabilitet och störningsfrihet och vid förändringar är det därför nödvändigt att beakta hur dessa påverkar övriga aktörer i kedjan. Skyldigheten gäller alla leverantörer, såväl av identifieringsverktyg som av tjänster för identifieringsförmedling. Att effektivt informera övriga aktörer i förtroendenätet innebär att förändringens eller störningens omfattning och påverkan ska beaktas i fråga om informationströskeln och -tidpunkten. Exempelvis behöver besked om att ett gränssnitt baserat på ett visst protokoll utgår ges i ett mycket tidigare skede än information om ett enstaka avbrott för underhåll. Förtroendenätets samarbetsgrupp har tagit fram en rekommendation om att aktörerna ska informera om planerade ändrings- eller underhållsarbeten en vecka i förväg eller om arbetet blir känt senare, senast vid den tidpunkten.
5 mom. i paragrafen motsvarar i huvudsak 16 § 4 och 5 mom. i den gällande lagen. Förutom i utbytet av information om störningar enligt 16 § kan en leverantör av identifieringstjänster även erhålla konfidentiell information vid överlåtelse av tillträdesrätt. Företaget ska behandla denna information omsorgsfullt och bara i det syfte som är grunden för att den erhållits. Sekretessen mellan leverantörer av förmedlingstjänster får inte ha en negativ inverkan på konsumentens rätt att få information om vilken aktör konsumenten kan vända sig till för att åberopa sina lagstadgade rättigheter. Detta konstateras i Kommunikationsverkets rekommendation om en uppförandekod för förtroendenätet (216/2017 S, punkt 4.7.3). En leverantör av identifieringstjänster får alltså utan hinder av sekretessplikten hänvisa konsumenten till den aktör som kan avhjälpa störningen eller problemet eller som ansvarar för skadan gentemot konsumenten.
Bemyndigandet att utfärda förordning enligt 6 mom. motsvarar 12 a § 5 mom. i den gällande lagen. Enligt övergångsbestämmelserna förblir statsrådets förordning om förtroendenätet för leverantörer av tjänster för stark autentisering från 2016 i kraft.
12 b §. Leveransvillkor för tillträdesrätt till identifieringstjänsten och skyldighet för leverantörer av identifieringsverk-tyg att lämna uppgifter. Paragrafen är ny. Enligt lagförslaget ska en leverantör av identifieringsverktyg offentliggöra leveransvillkoren för tillträdesrätt till sin identifieringstjänst samt annan information som är relevant för överlåtelse av tillträdesrätt och identifieringstjänsternas kompatibilitet. Informationen ska offentliggöras på tjänsteleverantörens webbplats.
Tanken är att upprättandet och offentliggörandet av villkor som uppfyller lagens krav möjliggör att avtal med förmedlingstjänster kan ingås snabbt. Leveransvillkoren skulle vara förpliktigande för avtalet mellan en leverantör av identifieringsverktyg och en förmedlingstjänst. Syftet med bestämmelsen är att främja avtalsförhandlingarna om överlåtelse av tillträdesrätt samt underlätta övervakningen av att överlåtelsevillkoren är rimliga och icke-diskriminerande. Vilken information som omfattas av öppenhetsskyldigheten anges i bestämmelsen. Öppenheten gäller information som är relevant för tillträdesrätten. Utöver leveransvillkoren handlar det således om tekniska egenskaper.
De föreslagna leveransvillkorskraven är teknikneutrala och lämpliga för både bankkoder och mobilcertifikat samt Befolkningsregistercentralens identifieringscertifikat, om det inte föreskrivs något annat i regleringen gällande dem. Leveransvillkoren är även tillämpliga på nya metoder för stark autentisering som anmäls till Transport- och kommunikationsverkets register.
För tydlighetens skull konstateras att 14 § i lagen, om principer för identifiering, inte ändras. Principerna ska i första hand säkerställa informationen till användare och e-tjänster som förlitar sig på identifieringsverktygen. Nu avses förtroendenätets interna leveransvillkor mellan leverantörer av identifieringstjänster. Principerna för identifiering kan t.ex. inkludera dessa eller hänvisa till dem, vilket har varit rådande praxis.
Enligt förslaget till punkt 1 ska leveransvillkoren innehålla en beskrivning av identifieringsverktyget (metoden). Leveransvillkoren måste innehålla den information som förmedlingstjänsten har behov av, vilket skiljer sig från den beskrivning av tjänsten för användare och e-tjänster som enligt 14 § i lagen förutsätts ingå i principerna för identifiering. Framförallt ska beskrivningen ange vilka identifieringsuppgifter om en person som kan erhållas från leverantören av identifieringsverktyget. Kravet är tillämpligt på tillhandahållande av identifieringsverktyg för stark autentisering av såväl fysiska som juridiska personer. Identifieringsverktyg för stark autentisering av juridiska personer tillhandahålls ännu inte i Finland. I kommissionens genomförandeförordning om gränsöverskridande identifiering (EU) 2015/1501, som kompletterar eIDAS-förordningen, indelas identifieringsuppgifterna i obligatoriska och valfria uppgifter. För att säkerställa interoperabilitet har samma identifieringsuppgifter satts i kraft nationellt genom Kommunikationsverkets föreskrift 72.
Enligt punkt 2 i paragrafen ska leverantören informera om eventuella begränsningar för användning av identifieringsverktyget. Om detta föreskrivs närmare i 18 § (se detaljmotiveringen till 18 §). Begränsningarna ska vara icke-diskriminerande. Exempel på det som kan begränsas är elektronisk signering, skapande av en svagt autentiserad identitet (par av användarnamn och lösenord) eller engångsinloggning.
Punkt 3 i paragrafen gäller information om tekniska gränssnitt och testmetoder. Leverantören ska åtminstone informera om vilka protokoll de tillgängliga gränssnitten är baserade på och om de följer Transport- och Kommunikationsverkets rekommendationer. Tekniska specifikationer och eventuella konfidentiella uppgifter ska utan dröjsmål lämnas separat till förmedlingstjänsten, om den begär ett avtal. Bestämmelser om gränssnitt finns också i 12 a § 3 mom. och i statsrådets förordning 169/2016. Informationen om eventuella testmetoder, t.ex. testgränssnitt, är beroende av vilken tjänst som tillhandahålls.
Enligt punkt 4 ska priset för identifieringstransaktioner anges i leveransvillkoren. Det föreslås att maximipriset regleras i en ny 12 c § och priset ska alltså anges inom de tillåtna gränserna för det reglerade maximipriset. I praktiken ska man ange både priset och grunden för prissättningen, framförallt om den inte är ett pris per identifieringstransaktion. Maximipriset möjliggör också prissättningsmodeller baserade på transaktionsvolymen i stället för ett pris per transaktion. Därmed är s.k. mängdrabatt utifrån antalet identifieringstransaktioner en möjlig grund för prissättningen. Medelpriset för identifieringstransaktionerna får dock aldrig vara högre än det lagstadgade maximipriset på 3 cent. Av kravet på rimliga och icke-diskriminerande villkor följer att prissättningen ska vara skälig för alla parter, att alla ska erbjudas samma prissättning och att man inte kan avtala på annat sätt om den.
Det som konstateras i det föregående om grunderna för bestämningen av priset, skulle motsvara motiveringen till 12 a § 3 mom. i den gällande lagen, till den del som det i dessa motiveringar klargörs att leverantörerna av identifieringstjänster även kan komma överens om en lägre prissättning som möjliggör en ersättning som är oberoende av antalet identifieringstransaktioner. Den genomsnittliga ersättningen för en identifieringsuppgift som förmedlas får dock inte överstiga maximiersättningen på 10 cent (RP 272/2014 rd, s. 21). Den nu föreslagna bestämmelsen om maximipriset möjliggör även ersättningar som är oberoende av transaktionsvolymen, om man säkerställer att medelpriset för identifieringstransaktionerna inte överskrider det lagstadgade maximipriset. Kravet på rimliga och icke-diskriminerande villkor gäller även denna prissättning. Grunderna för prissättningen ska anges i leveransvillkoren.
Enligt punkt 5 ska leverantören informera om vilken servicenivå som erbjuds, vilket avser gränssnittets och de övriga elementens tillgänglighet. Krav på kontinuerlig tillgänglighet har bara föreskrivits för spärrtjänster. Icke-diskrimineringskravet innebär att alla förmedlingstjänster, även leverantörens egen, ska tillhandahållas samma servicenivå. Kravet ska dock inte förhindra att man begränsar eller avbryter datatrafiken till en förmedlingstjänst som orsakar störningar, t.ex. vid en belastningsattack. Skyldigheten att informera om avbrott och störningar främjar tillgängligheten och förutsebarheten.
Beskrivningen av hur leverantören informerar om underhålls- och ändringsarbeten gäller metoder, trösklar och tidsgränser. Enligt punkt 6 ska dessa uppgifter lämnas i leveransvillkoren.
Information om faktureringsförfarandet ska ges på grundval av punkt 7. Faktureringen eller alternativa förfaranden som avtalsparten kan välja ska beskrivas tillräckligt utförligt i villkoren.
Förslaget till punkt 8 gäller skadeståndsvillkoren. Dessa skulle kunna inkluderas i leveransvillkoren med beaktande av lagens stadganden. Av lagens tvingande natur enligt 3 § följer att parterna inte kan avtala på annat sätt om skadeståndsansvaret i delar som regleras av denna lag. Därmed kan avtal om begränsningar och fördelning av skadeståndsansvaret bara gälla oreglerade delar. Villkoren ska vara rimliga och icke-diskriminerande på det sätt som avses i 12 a §.
Med stöd av punkt 9 omfattar informationen villkor för användning av varumärken och andra immateriella rättigheter. Av icke-diskrimineringskravet följer att varumärket ska kunna användas i enlighet med den gällande uppförandekoden för förtroendenätet, som utarbetats i form av en rekommendation från Kommunikationsverket. Enligt uppförandekoden får en förmedlingstjänst avtala med en e-tjänst om att de varumärken för identifieringsverktyg som används i e-tjänsten visas där.
Enligt punkt 10 ska leverantören informera om principer för behandling av personuppgifter som personuppgiftsansvarig i enlighet med EU:s allmänna dataskyddsförordning. I förordningen fastställs den personuppgiftsansvariges ställning, skyldigheter och ansvar. Här antas att förmedlingstjänsten betraktas som en självständig personuppgiftsansvarig enligt dataskyddsförordningen och att det väsentliga i förhållandet mellan de parallellt personuppgiftsansvariga beaktas i avtalet mellan leverantören av identifieringsverktyg och leverantören av tjänster för identifieringsförmedling. Antagandet underbyggs av att en förmedlingstjänst enligt denna lag själv beslutar om och ansvarar för utlämningen av personuppgifter i samband med att identifieringstransaktioner förmedlas till e-tjänster och inte kan vara beroende av tillstånd från leverantören av identifieringsverktyget. För rollen som självständig personuppgiftsansvarig talar också att förmedlingstjänsten enligt 24 § i lagen ska registrera och lagra uppgifter om identifieringstransaktionerna.
6 § och 24 § i lagen gäller bara sådana identifieringsuppgifter som hör till en identifieringstransaktion. Grunden för behandling av andra, s.k. berikade uppgifter ska alltid bedömas separat utifrån dataskyddsförordningen eller annan reglering som gäller behandling av personuppgifter. Identifieringsuppgifter som hör till en identifieringstransaktion bör anses bestå av de obligatoriska och valfria uppgifter om fysiska och juridiska personer som definierats på EU-nivå i kommissionens genomförandeförordning (EU) 2015/1501 utfärdad med stöd av EU:s eIDAS-förordning. Obligatoriska identifieringsuppgifter om en juridisk person innefattar alltid identifieringsuppgifter om en fysisk person som kopplats till dess identifieringsverktyg.
Med stöd av punkt 11 ska leverantören informera om eventuella grunder för att ensidigt ändra avtalsvillkoren.
Enligt punkt 12 omfattar informationen även hur tvister ska lösas.
Möjlighet att informera om andra villkor som är nödvändiga för förtroendenätets funktion ges i punkt 13. Sådana villkor kan exempelvis gälla avtalets giltighetstid, uppsägning, sätt på vilket avtalsrelaterade anmälningar görs, sekretess som inte regleras i lagen eller detaljerade förfaranden för att bistå en part vid fel och missbruk.
12 c §.Ersättning för tillträdesrätt till identifieringstjänsten. Det föreslås att bestämmelserna om prisreglering för förtroendenätet tas in i denna nya paragraf. Enligt 1 mom. ska leverantörer av tjänster för identifieringsförmedling betala en ersättning på högst 3 cent per vidareförmedlad identifieringstransaktion för tillträdesrätt till identifieringstjänsten. Med tillträdesrätt avses en tillträdesrätt enligt förslaget till 12 a § 2 mom.
Den föreslagna ersättningen är som nu ett maximipris men nivån sänks från nuvarande 10 cent till 3 cent. Prisnivån motiveras i propositionens avsnitt om ekonomiska konsekvenser. Av det föreslagna icke-diskrimineringskravet i 12 a § 2 mom. följer att grunden för prissättningen ska vara densamma för alla parter, vilket syftar till att säkerställa icke-diskriminering. Av lagens tvingande natur enligt 3 § följer dessutom att parterna inte kan avtala på annat sätt om priset. I praktiken innebär detta att en leverantör av identifieringsverktyg ska erbjuda alla förmedlingstjänster i förtroendenätet tillträdesrätt till sin identifieringstjänst inom det lagstadgade maximipriset enligt samma grund för prissättningen.
Maximipriset möjliggör också prissättningsmodeller baserade på transaktionsvolymen i stället för ett pris per transaktion. Därmed är s.k. mängdrabatt utifrån antalet identifieringstransaktioner en möjlig grund för prissättningen. Priset per identifieringstransaktion får dock inte vara högre än det lagstadgade maximipriset. Av kravet på rimliga och icke-diskriminerande villkor följer att prissättningen ska vara skälig för alla parter, att alla ska erbjudas samma prissättning och att man inte kan avtala på annat sätt om den.
Det som konstateras i det föregående om grunderna för bestämningen av priset, skulle motsvara motiveringen till 12 a § 3 mom. i den gällande lagen till den del som det i dessa motiveringar klargörs att leverantörerna av identifieringstjänster även kan komma överens om en lägre prissättning som möjliggör en ersättning som är oberoende av antalet identifieringstransaktioner. Den genomsnittliga ersättningen för en identifieringsuppgift som förmedlas får dock inte överstiga maximiersättningen på 10 cent (RP 272/2014 rd, s. 21). Den nu föreslagna bestämmelsen om maximipriset möjliggör även ersättningar som är oberoende av transaktionsvolymen, om man säkerställer att medelpriset för identifieringstransaktionerna inte överskrider det lagstadgade maximipriset.
Förtydligandet av bestämmelsen om maximipris och av förtroendenätets verksamhet överlag syftar också till att reda ut vissa oklarheter i den nuvarande tillämpningspraxisen framförallt i fråga om engångsinloggning och förmedlingstjänstens egna e-tjänster.
Vid engångsinloggning genom förmedlingstjänsten kan kunden baserat på en och samma identifieringstransaktion besöka flera olika e-tjänster under sessionen i stället för att identifieras separat i varje tjänst. Det kan anses motiverat att i prisregleringen betrakta varje identifierat besök i olika e-tjänster under engångsinloggningssessionen som en ersättningsbar transaktion även om identifieringsuppgiften bara har skickats en gång till förmedlaren. Motsatt tolkning skulle kunna leda till onödigt bruk av engångsinloggning även då man annars inte skulle använda sig av den.
Bestämmelser om Befolkningsregistercentralens suomi.fi-identifieringstjänst finns i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016). I förarbetena till lagen (RP 59/2016 rd) konstateras om suomi.fi-identifieringstjänsten att det i förhållande till identifieringslagen är fråga om att tillhandahålla en begränsad användarkår identifieringsförmedling. I 5 § i lagen föreskrivs om identifieringstjänstens användarorganisationer. I förarbetena konstateras vidare att när tjänsterna tillhandahålls har Befolkningsregistercentralen ur identifieringslagens synvinkel rollen som en organisation som utnyttjar identifieringstjänster som tillhandahålls allmänheten och är således t.ex. inte med i förtroendenätet enligt identifieringslagen.
Utöver förmedling av identifieringar till förlitande parter är det möjligt att förmedlingstjänsten tillhandahåller egna e-tjänster där stark autentisering används. Förmedlingstjänstens rätt att i egna e-tjänster utnyttja identifieringstransaktioner som den skaffat till ett pris enligt förmedlingsavtalet kan anses motiverad med tanke på att aktörerna i förtroendenätet ska kunna verka på lika villkor. En leverantör av identifieringsverktyg kan också verka i rollen som förmedlingstjänst eller erbjuda e-tjänster där stark autentisering utnyttjas. Ett krav att särskilja vidareförmedling och egna e-tjänster i förmedlingstjänstens användning av identifieringstransaktioner skulle vara onödigt belastande administrativt, svårkontrollerat och särbehandla företag av olika storlek på grund av de större företagens möjligheter att organisera förmedlingstjänsten och e-tjänsten i olika bolag.
I en identifieringstransaktion via det tekniska gränssnittet sänds unika identifieringsuppgifter om användaren av identifieringsverktyget till förmedlingstjänsten, som kan förmedla dem till en förlitande part som vill försäkra sig om e-kundens identitet. Enligt förslaget till 1 mom. omfattar ersättningen alla personidentifieringsuppgifter som gäller det elektroniska identifieringsverktyget. Syftet är att klargöra att alla identifieringsuppgifter som en leverantör av identifieringsverktyg förmedlar till förmedlingstjänsten i en enskild identifieringstransaktion ingår i det lagstadgade priset.
I Finland tillhandahålls identifieringsverktyg för stark autentisering tills vidare bara för fysiska personer, men kraven gäller på liknande sätt även identifieringsverktyg för juridiska personer, om sådana tillhandahålls i framtiden. I Kommunikationsverkets föreskrift 72A/2018 M anges de obligatoriska och valfria attributen för fysiska och juridiska personer i syfte att säkerställa interoperabilitet. Motsvarande attribut finns i kommissionens genomförandeförordning (EU) 2015/1501. Leverantörer av identifieringsverktyg beslutar själv om de vill tillhandahålla valfria identifieringsuppgifter. Av icke-diskrimineringskravet följer dock att en leverantör av identifieringsverktyg som använder vissa valfria attribut i sin egen verksamhet ska tillhandahålla dem för andra förmedlingstjänster inom det lagstadgade maximipriset. Även förmedlingstjänster kan berika minimiattributen med valfria attribut, t.ex. personens adress eller olika EU-harmoniserade ID-nummer för juridiska personer. Förmedlingstjänsten kan också utarma uppgifterna och t.ex. bara erbjuda e-tjänsten en bekräftelse av att kunden är myndig.
I likhet med praxisen för tillämpning av den nuvarande bestämmelsen tillämpas den föreslagna prisregleringen mellan leverantören av identifieringsverktyget och förmedlingstjänsten oavsett vad besöket i e-tjänsten gäller. Prisregleringen tillämpas alltså även då identifieringsuppgifter som gäller ett identifieringsverktyg för stark autentisering används för att skapa s.k. svagt autentiserade identiteter, såsom par av användarnamn och lösenord, i e-tjänsten dit uppgiften förmedlas.
Enligt 12 a § 3 mom. i den gällande lagen ska nivån på prisregleringen för förtroendenätet bedömas årligen. Bestämmelsen började tillämpas den 1 maj 2017. Eftersom priset är lagstadgat måste det också ändras genom ändring av lagstiftningen. Skyldigheten att bedöma prisnivån föreslås bestå.
Enligt förslaget ska Transport- och kommunikationsverket årligen bedöma nivån på den ersättning som föreskrivs i paragrafen. Detta säkerställer att regleringens ändamålsenlighet och funktion regelbundet bedöms i förhållande till hur marknaden utvecklas. Eftersom lagen reglerar maximipriset är det särskilt viktigt att följa upp hurdan prisnivån blir i praktiken och hur prissättningsmodellerna utvecklas. Det föreslagna maximipriset tillåter också prissättning utifrån transaktionsvolymen, vilket kan leda till nya typer av prissättningsmodeller. De priser som tas ut av förmedlingstjänsterna blir offentliga med stöd av 12 b §. Även i övrigt bör man följa upp vilka leveransvillkor för tillträdesrätt som används på marknaden för identifieringstjänster och hur t.ex. priset anges. Transport- och kommunikationsverket, som ska övervaka efterlevnaden av denna lag och leverantörerna av identifieringstjänster, kommer årligen att utvärdera marknadens utveckling tillsammans med andra behöriga myndigheter och leverantörerna. Kommunikationsministeriet beaktar resultaten från utvärderingarna när verkställandet och konsekvenserna av lagen följs upp. Vid uppföljningen bedöms hur maximiprisregleringen har fungerat och eventuella ändringsbehov. Om det upptäcks ändringsbehov sker ändringarna genom att den nu föreslagna regleringen ändras.
Enligt förslaget till 2 mom. får ingen annan ersättning än den som föreskrivs i 1 mom. tas ut för tillträdesrätten till identifieringstjänsten. Bestämmelsen förtydligar att den tvingande maximiprisregleringen inte kan kringgås genom att man tar ut en separat ersättning för en viss funktion i anknytning till den erbjudna tillträdesrätten till identifieringstjänsten. De uppräknade typerna av tillträdesrätt i momentet avses omfatta samtliga tillträdesrätter som behövs för förmedling av identifieringar till en förlitande part. Således får t.ex. en separat månadsavgift eller faktureringstillägg inte tas ut.
12 d §. Skadeståndsskyldighet mellan medlemmar i förtroendenätet. Paragrafen är ny. Dess syfte är att klargöra skadeståndsansvaret då skyldigheten att ingå avtal och erbjuda tillträdesrätt inte fullgörs. Målet med paragrafen är ett effektivare fullgörande av skyldigheten att ingå avtal. Paragrafen motsvarar 81 § i lagen om tjänster inom elektronisk kommunikation. Paragrafen gäller överhuvudtaget inte skadestånd som har att göra med identifieringstjänstens funktion eller tillförlitlighet.
Skadeståndsskyldighet kan komma i fråga t.ex. då man bryter mot bestämmelserna om interoperabilitet och anmälningsskyldighet i förtroendenätet. 1 mom. specificerar i vilka paragrafer och moment det föreskrivs skyldigheter där en underlåtelse kan leda till skadeståndsansvar. Bestämmelsen tillämpas på alla aktörer i förtroendenätet.
2 mom. begränsar skadeståndsskyldigheten till direkta skador. Momentets förteckning över skadegrupper för vilka leverantören kan bli skyldig att betala skadestånd med stöd av paragrafen är uttömmande.
3 mom. avser jämkning av ersättningen. I fråga om leverantörer av identifieringstjänster kan t.ex. storlek och affärsverksamhetens omfattning beaktas vid jämkning liksom graden av uppsåt i det som orsakat skadan och andra inverkande omständigheter.
4 mom. föreslås innehålla en bestämmelse om preskriptionstid för skadeståndsyrkanden.
Enligt 5 mom. kan domstolen begära ett utlåtande av Transport- och kommunikationsverket i skadeståndsärendet. Verket är behörigt att övervaka efterlevnaden av denna lag och leverantörerna av identifieringstjänster. Domstolen är naturligtvis inte bunden av bestämmelsen.
16 §.Anmälningar av leverantörer av identifieringstjänster om hot och störningar som riktas mot verksamheten eller skyddet av uppgifter. Paragrafens rubrik ändras så att den motsvarar den föreslagna ändringen av 2 mom., som innebär att det i paragrafen också föreskrivs om frivilliga anmälningar vid sidan av anmälningsskyldigheten.
1 mom. om anmälningsskyldigheten ändras inte till innehållet, utan det görs bara vissa författningstekniska ändringar. Den sista meningen i 1 mom., om Transport- och kommunikationsverkets rätt att på teknisk väg förmedla i momentet avsedda uppgifter mellan parterna i förtroendenätet trots vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet, flyttas till ett nytt 3 mom. Till slutet av det första momentet fogas i stället nuvarande 3 mom., som i sak bara gäller 1 mom. Innehållsmässiga ändringar görs inte i tillägget.
Till paragrafen fogas ett nytt 2 mom. för att klargöra att leverantörer av identifieringstjänster har rätt att utbyta information om hot och störningar i förtroendenätet även med andra än avtalspartner. Enligt 1 mom. gäller skyldigheten att utbyta information bara avtalspartner. När informationsutbytet om hot och störningar omfattar hela förtroendenätet främjas medlemmarnas förmåga att förebygga och utreda störningar. Ändringen säkerställer också att frivilligt utbytt information inom hela förtroendenätet och obligatoriskt utbytt information mellan avtalspartner omfattas av samma sekretessplikt. Förtydligandet bedöms minska utrymmet för tolkningar och därmed främja förtroendenätets avtalsförhandlingar.
Vidare syftar ändringen till att möjliggöra informationsutbyte om leverantörer som skäligen kan misstänkas för att eftersträva orättmätig ekonomisk vinning, lämna betydelsefull osann eller vilseledande information eller behandla personuppgifter på ett olagligt sätt. Jämfört med sådan information om hot och störningar som tidigare avsetts i paragrafen avses nu information som inte utgör något direkt hot i fråga om identifieringens tekniska korrekthet, datasäkerhet eller identitetsmissbruk men ger anledning att misstänka att en e-tjänst förfar otillbörligt. Sådana iakttagelser kan t.ex. handla om vilseledande marknadsföring eller annan osann information från e-tjänsten som vilseleder användarna.
Informationen får förmedlas i syfte att andra medlemmar i förtroendenätet efter eget övervägande kan beakta den i sina riskbedömningar när avtal ingås med förlitande parter, dvs. e-tjänster. Genom rätt till sådant informationsutbyte minskar risken att en e-tjänst som förfar otillbörligt eller bedrägligt och med vilken en förmedlingstjänst utifrån sin riskbedömning inte har ingått avtal i stället försöker avtala om identifieringstjänster med en förmedlingstjänst som inte har vetskap om e-tjänstens förfaringssätt.
Förslaget till 3 mom. motsvarar innehållsmässigt den sista meningen i gällande 1 mom. Transport- och kommunikationsverkets rätt att på teknisk väg förmedla i paragrafen avsedda uppgifter kommer då att gälla både obligatoriska och frivilliga anmälningar.
17 §.Identifiering av en fysisk person som ansöker om ett identifieringsverktyg. Det föreslås ändringar av 17 § i fråga om inledande identifiering baserat på ett befintligt identifieringsverktyg för stark autentisering i syfte att bevilja ett nytt identifieringsverktyg, s.k. kedjor av inledande identifiering. En kedja av inledande identifiering uppstår t.ex. när ett nytt mobilcertifikat skapas elektroniskt med hjälp av befintliga bankkoder. Inledande identifiering definieras i 2 § 1 mom. 7 punkten i den gällande lagen.
Genom förslaget till 4 mom. klargörs att bestämmelsen om s.k. kedjor av inledande identifiering innebär att andra tjänsteleverantörer ska tillhandahållas inledande identifiering, om de baserat på den vill bevilja ett nytt identifieringsverktyg för stark autentisering. Varje leverantör av identifieringsverktyg beslutar själv vems inledande identifiering leverantören vill utnyttja. I tillämpningspraxisen av nuvarande 4 mom. har det uppstått viss oklarhet om rättigheterna och skyldigheterna i samband med kedjor av inledande identifiering. Ändringen i fråga syftar till att förtydliga lagen, inte till att förändra nuläget eller tillämpningspraxisen.
Genom 4 mom. preciseras också att ett identifieringsverktyg med hög tillitsnivå kan beviljas baserat på ett verktyg med väsentlig tillitsnivå men inte tvärtom.
Med beaktande av lagens tillämpningsområde är det uppenbart att bestämmelsen bara gäller situationer där man använder ett identifieringsverktyg för stark autentisering för att skapa ett annat sådant verktyg. Med leverantör av identifieringsverktyg avses i enlighet med 10 § i lagen om stark autentisering och betrodda elektroniska tjänster en tjänsteleverantör som gjort en anmälan till Transport- och kommunikationsverket.
Till 4 mom. fogas som ny bestämmelse att vad som föreskrivs i 12 a och 12 b § om överlåtelse av tillträdesrätt till identifieringstjänsten också tillämpas på kedjor av inledande identifiering. Detta innebär att en leverantör av identifieringsverktyg ska upprätta leveransvillkor för upplåtelse av tillträdesrätt och ingå avtal med en leverantör av identifieringsverktyg som vill använda tjänsten för en kedja av inledande identifiering. Tidsfristen för att ingå avtal föreslås motsvara den i 12 a § 2 mom. Det är upp till leverantören att besluta om kedjor av inledande identifiering ska ingå i samma leveransvillkor och avtal som överlåtelse av tillträdesrätt till identifieringstjänsten enligt 12 a §. Därmed är det möjligt att ingå ett separat avtal om kedjor av inledande identifiering och om förmedling av identifieringstransaktioner. Avsikten är dock att en leverantör av identifieringsverktyg upprättar leveransvillkor för kedjor av inledande identifiering, erbjuder villkoren till alla parter, offentliggör dem och använder bara dem när avtal ingås. Villkoren ska vara förenliga med denna lag samt rimliga och icke-diskriminerande.
Det föreslås ett nytt 5 mom. till paragrafen för att ersätta ansvarsregleringen i nuvarande 17 § 4 mom. och avhjälpa problem vid tolkningen av den. Med felaktig inledande identifiering avses situationer där fel person har identifierats till följd av att en annan leverantör av identifieringsverktyg gjort en felaktig inledande identifiering. Om det finns flera identifieringsverktyg i kedjorna kan felet ha inträffat vid beviljandet av vilket som helst av verktygen.
Det föreslagna 5 mom. gäller inte situationer där den som beviljar identifieringsverktyget först via en identifieringstransaktion för kedjan av inledande identifiering får en felaktig uppgift om vem som ansöker om identifieringsverktyget, t.ex. på grund av ett tekniskt fel eller orättmätig användning. Även i dessa fall tillämpas momentet dock på den leverantör av identifieringsverktyg som utifrån ett identifieringsverktyg med felaktig information beviljar ett nytt identifieringsverktyg till vilket felet överförs. Med orättmätig användning avses att det identifieringsverktyg som används för kedjan av inledande identifiering beviljats rätt användare men innehas orättmätigt av någon annan. Syftet är således att förtydliga nuvarande 17 § 4 mom. så att ansvaret inte ska gälla situationer där den inledande identifieringen är korrekt men identifieringsverktyget använts orättmätigt vid ansökan om ett nytt identifieringsverktyg.
Det nya 6 mom. gäller leverantörernas regressrätt när ett fel fortplantas genom kedjor av inledande identifiering. I tillämpningspraxisen har det ansetts att nuvarande 17 § 4 mom. inte utesluter regressrätt utan att den existerar och kan avtalas närmare mellan aktörerna. I en juridisk expertutredning på Kommunikationsverkets uppdrag ansågs det att begränsning av en tidigare identifierares ansvar gentemot skadelidanden inte kan härledas från nuvarande 17 § 4 mom. Vidare ansågs det att då en s.k. sekundär inledande identifierare (definieras ej i lagen) är ansvarig enligt 17 § 4 mom. och den föregående inledande identifieraren är ansvarig enligt en exkulperande avtalsklausul förefaller en ändamålsenlig utgångspunkt vara att i förhållandet mellan skadevållarna den som ansvarar på grund av vållande eller förmodat sådant får stå för skadan.
Såsom det tidigare 4 mom. utgör det föreslagna 5 mom. inte något hinder för att den skadelidande vänder sig direkt till den leverantör av identifieringsverktyg som har begått det ursprungliga felet, men ansvarsgrunderna i denna situation regleras inte specifikt. Därmed skulle det vara möjligt för leverantörer av identifieringsverktyg att i sådana situationer meddela i de leveransvillkor som publiceras villkoren för begränsning och fördelning av ansvaret mellan dem såsom det stadgas i den föreslagna 12 b § 8 punkten. Villkoren i ett sådant avtal ska i enlighet med den föreslagna ändringen av 12 a § vara förenliga med denna lag samt rimliga och icke-diskriminerande. Av lagens tvingande natur efter förtydligandet av 3 § följer att leverantörer av identifieringstjänster inte kan avtala på annat sätt om ansvarsfrågorna i delar som regleras i denna lag.
Det kan inte anses motiverat att i dessa situationer kategoriskt lägga ansvaret på den som begått det ursprungliga felet, i synnerhet med beaktande av den temporära ändringen av prisregleringen för kedjor av inledande identifiering i 7 mom. En leverantör av identifieringsverktyg ska tillåta att andra leverantörer av identifieringsverktyg utnyttjar av leverantören beviljade identifieringsverktyg för kedjor av inledande identifiering. Eftersom antalet kedjor av inledande identifiering inte har begränsats och ersättningen för en kedja inte är högre än priset för en förmedlad identifieringstransaktion kan det inte anses skäligt att den leverantör av identifieringsverktyg som begått det ursprungliga felet i princip skulle få stå för eventuella skador. Här undantas dock situationer av kvalificerat vållande, dvs. skador som med uppsåt eller genom grov oaktsamhet orsakats av den leverantör av identifieringsverktyg som begick det ursprungliga felet. Ett möjligt exempel på kvalificerat vållande av skada är att leverantören vid den inledande identifieringen inte kontrollerade passets eller identitetskortets giltighet på det sätt som avses i 7 b § i lagen trots att uppgiften hade varit tillgänglig.
I paragrafens 7 mom. tilläggs för en tidsperiod på två år en hänvisning till 12 c §, vilket innebär att prisregleringen för förtroendenätet även gäller kedjor av inledande identifiering. Därmed blir priset samma maximipris på 3 cent som när en identifieringstransaktion förmedlas till en förmedlingstjänst. Förmedling av en identifieringsuppgift vid inledande identifiering och förmedling av en identifieringsuppgift i förtroendenätet för leverantörer av identifieringstjänster är tekniskt sett liknande åtgärder. Därmed är det motiverat att föreskriva samma pris. För en sänkning av den nuvarande prisnivån talar även att ansvaret vid kedjor av inledande identifiering regleras mer exakt genom förslaget till 5 och 6 mom. i samma paragraf. Där beaktas att eftersom priset sänks jämfört med det nuvarande kan det inte anses skäligt att ansvaret för en skada som orsakas av en felaktig inledande identifiering annat än undantagsvis genom regresskrav i kedjan kanaliseras till den leverantör av identifieringsverktyg som begått det ursprungliga felet.
I enlighet med 12 c § 2 mom. får ingen annan ersättning än priset tas ut för en kedja av inledande identifiering. Det är motiverat att priset för en kedja av inledande identifiering bedöms fristående från leverantörens kostnader för den egentliga inledande identifieringen, och dessa kostnader ska inte kunna räknas in i priset för en kedja av inledande identifiering (se propositionens ekonomiska konsekvenser).
Maximipriset på 3 cent för kedjor av inledande identifiering är menat att vara i kraft under en tidsperiod på två år. Därefter skulle regleringen av priset upphöra och priset skulle bestämmas på marknaden. Målet är att när marknaden utvecklas ska utbudet av identifieringsverktyg förbättras så att paragrafen om maximipriset inte längre behövs. 5 - 7 mom. om maximipriset för en kedja av inledande identifiering som fogades till denna paragraf för en tidsperiod på fem år genom en temporär lag (826/2017) föreslås bli upphävda. Därmed upphävs också Kommunikationsverkets beslut om ersättningens maximinivå, som har fattats med stöd av den temporära lagen.
Transport- och kommunikationsverkets skyldighet att enligt 12 c § 1 mom. årligen evaluera nivån för ersättningen för förmedlingen av identifieringsuppgiften skulle inte gälla maximipriset för kedjor av inledande identifiering. Den årliga evalueringen är inte nödvändig, eftersom stadgan är i kraft i endast två år.
18 §.Hinder och begränsningar när det gäller att utföra rättshandlingar. Till slutet av 1 mom. fogas ett förtydligande av den gällande bestämmelsens innehåll. Syftet med tillägget är inte att förändra nuläget eller tillämpningspraxisen utan att klargöra att avtalsvillkoren inte får innehålla kund- eller e-tjänstspecifika begränsningar eller hinder i fråga om användning av identifieringsverktyg eller utförande av rättshandlingar. Identifieringstjänsten ska vara samma generella identifieringstjänst oavsett vem som förmedlar identifieringen. Således ska identifieringstjänsten vara densamma oavsett om den tillhandahålls av en leverantör av identifieringsverktyg i rollen som förmedlingstjänst eller av någon annan leverantör av tjänster för identifieringsförmedling som förmedlar identifieringsuppgifter från en leverantör av identifieringsverktyg till e-tjänsten.
I samarbetsskyldigheten för leverantörer av identifieringstjänster ingår att möjliggöra tillhandahållande av interoperabla tjänster, dvs. att det inte finns extra begränsningar för den förmedlade identifieringen utöver dem som normalt gäller identifieringsverktyget. Därmed får t.ex. parning av användarnamn och lösenord i e-tjänsten inte begränsas så att det skulle krävas att separat avtal om detta med leverantören av identifieringsverktyget. En leverantör av identifieringsverktyg ska alltså ange och tillämpa hinder eller begränsningar oberoende av förmedlingstjänst i enlighet med 18 §. Ett exempel på en tillåten begränsning enligt lagen skulle kunna vara ett förbud mot att med hjälp av den tillhandahållna identifieringstjänsten göra elektroniska underskrifter såsom det hänvisas till i 14 § 3 mom.
Med stöd av gällande 2 mom. ska både leverantören av identifieringsverktyget och förmedlingstjänsten redan nu se till att de hinder eller begränsningar som avses i paragrafen är lätta upptäcka. Genom det föreslagna tillägget betonas att hindren och begränsningarna ska anges så att alla parter förstår dem eftersom begränsningarna blir en del av avtalet med innehavaren av identifieringsverktyget och dessutom ska även e-tjänsten iaktta dem. I momentet preciseras också att den som får införa hinder eller begränsningar även med tekniska medel är just leverantören av identifieringsverktyget (i gällande lag leverantören av identifieringstjänster).
Genom ändringen av 3 mom. preciseras att ordnande av möjlighet att kontrollera hindren och begränsningarna är en naturlig skyldighet för den leverantör som fastställt begränsningarna för identifieringsverktyget.
Det föreslås ingen ändring av 4 mom.