Luottamus on tärkeää yritysten välisissä liikesuhteissa. Luottamus voi tarkoittaa asioita eri tasoilla: kykeneekö vastapuoli noudattamaan sopimusta? Onko hän maksukykyinen? Yhteiseksi luottamuksen kulmakiveksi on tunnistettu vahvistettu tieto siitä, kuka vastapuolena oikein on. Suomessa yrityksen tunnistamiseen käytetään Y-tunnusta, jonka PRH antaa, kun yrityksen perustamisilmoitus kirjataan Yritys- ja yhteisötietojärjestelmään (YTJ).
eIDAS-asetusluonnoksen mukaan yrityksen digitaalisella lompakolla voidaan tunnistaa yritys sähköisesti, laatia yrityksen hyväksytty sähköinen allekirjoitus tai vastaanottaa ja osoittaa yritystä koskeva vahvistettu tieto, jota asetus kutsuu attribuuttitodistukseksi. Myös eIDAS-asetus perustuu siihen, että lompakon käyttöönoton yhteydessä yrityksen Y-tunnuksen ja nimen sisältävä todistus haetaan YTJ:stä lompakkoon luotettavalla tavalla. Tätä sanotaan perustietojen hakemiseksi lompakkoon tai lompakon ankkuroimiseksi perusrekisteriin. Asetuksen mukaan lompakko ei ole validi ennen kuin ankkurointi on suoritettu.
Digi- ja väestötietoviraston (DVV) kehittämät Suomi.fi-tunnistus ja -valtuudet ovat keskeisiä sähköisen asioinnin tukipalveluita Suomessa. Suomi.fi-tunnistus -palvelun avulla voidaan todentaa verkossa asioivan luonnollisen henkilön henkilötunnus, ja Suomi.fi-valtuudet -palvelun avulla voidaan selvittää, mitä yritystä hän edustaa. Valtuudet-palvelu kattaa henkilön kaupparekisteriin kirjatut yritysroolit (esimerkiksi toimitusjohtaja ja hallituksen jäsen) sekä hänelle erikseen annetut valtuudet hoitaa tietty asia yrityksen nimissä.
Yrityksen digitalous -hankkeessa on hahmoteltu mahdollinen tulevaisuuden toimintamalli, jossa yrityslompakon ankkurointi YTJ:hin nojaisi Suomi.fi-tunnistukseen ja -valtuuksiin. Yritys voisi antaa edustajalleen valtuuden suorittaa yrityksen digitaalisen lompakon ankkurointi YTJ:hin. Suomi.fi-valtuuksien avulla yritys voisi kontrolloida, kuka voi perustaa sille eIDAS-lompakon.
Kun yritys olisi ensin hankkinut markkinoilta tarpeitaan vastaavan tyhjän digitaalisen lompakon, ankkurointi tapahtuisi seuraavasti:
- Yrityksen edustaja tunnistautuu Suomi.fi-tunnistuksen avulla viranomaisportaaliin, josta ankkurointi tapahtuu.
- Viranomaisportaali selvittää Suomi.fi-valtuuksien avulla, onko tunnistautunut henkilö toimivaltainen perustamaan yritykselle eIDAS-lompakon.
- Viranomaisportaali kokoaa tarvittavat yrityksen tiedot YTJ:stä ja kaupparekisteristä.
- Viranomainen allekirjoittaa perustietoja koskevan todistuksen yrityksen edustajan osoittamaan yrityslompakkoon. Perustietojen tarkan sisällön määrittely on EU:ssa vielä työn alla, mutta perustietoihin näyttäisivät kuuluvan yrityksen toiminimi ja tunniste, esimerkiksi Y-tunnus.
Olemme kokeilleet toimintamallia Mini-Suomi-ympäristössä. Kokeilussa käytettiin Aries-tekniikkaa, mutta ankkurointi voidaan toteuttaa myös eIDAS-arkkitehtuurin mukaisella OpenID-tekniikalla. Kokeilun yksityiskohtainen kuvaus on esitetty liitetiedostossa (pdf). Se on laadittu ainoastaan englanninkielisenä, koska teknisille termeille ei ole suomen- tai ruotsinkielisiä vastineita. Toimintamallin kokeilu on katsottavissa myös alla olevalta videolta.
Kokeilussa oletettiin, että yrityslompakko on pilvipohjainen, mutta henkilölompakon käyttäminen pienen yrityksen lompakkona on kiinnostava jatkotutkimuksen aihe.
Kokeilu nostaa keskusteltavaksi myös joitain jatkokysymyksiä:
- Perustietojen myöntäjä. YTJ-lain ja kaupparekisterilain mukaan jokaisella on oikeus saada otteita ja todistuksia YTJ:stä ja kaupparekisteristä. Onko perustietoja koskevien todistusten antaminen yrityslompakkoon PRH:n, jonkun muun viranomaisen vai yksityissektorin tehtävä? Jos katsotaan, että PRH toimii perustietojen myöntäjänä (issuer), tulisi PRH:lle varmistaa siihen tarvittavat resurssit.
- Viranomaisen kyvykkyys tuottaa attribuuttitodistuksia. Kun viranomaiset (ml. PRH) antavat omaan perustehtäväänsä liittyviä attribuuttitodistuksia, hankkiiko jokainen viranomainen todistusten tuottamiseen tarvittavan osaamisen, prosessit ja järjestelmät itse vai rakennetaanko julkishallinnolle keskitetty kyvykkyys tuottaa attribuuttitodistuksia? Erityisesti hyväksyttyjen (qualified) attribuuttitodistusten tarjoajiin kohdistuvat korkeammat vaatimukset saattavat olla helpommin saavutettavissa keskitetysti.
- Yritysportaalin omistajuus. Tuleeko julkishallintoon keskitetty portaali, josta eri viranomaisten attribuuttitodistukset saa yhden luukun periaatteella vai onko lompakonhaltijan haettava eri viranomaisten antamia attribuuttitodistuksia niiden omilta verkkosivuilta? Tällä hetkellä julkishallinnon palveluita on koottu Suomi.fi-portaaliin, jota DVV ylläpitää.