Palaute Euroopan komission eurooppalaista digitaalista identiteettiä koskevasta asetusehdotuksesta

CSC kannattaa ajatusta eurooppalaisen digitaalisen identiteetin luomisesta, sillä tämä helpottaisi huomattavasti rajat ylittävää palveluiden käyttöä ja liikkuvuutta. Erityisesti koulutus- ja tutkimusalan kannalta on tärkeää, että jäsenmaat voivat tarvittaessa myöntää digitaalisen identiteetin paitsi kansalaisilleen ja maassa pysyvästi oleskeleville, myös muualla asuville henkilöille, jotka opiskelevat, tekevät tutkimusta tai muuten toimivat etäyhteyksien välitykselle kyseisessä maassa.

Erillisistä attribuuteista koostuva digitaalinen identiteetti mahdollistaa sen, että käyttäjä voi valita, mitä tietoja jakaa kenenkin kanssa. Tämä on tervetullutta, sillä se vahvistaa käyttäjän omien identiteettitietojen hallintaa MyData- ja datasuvereniteettiperiaatteiden mukaisesti. Samalla käyttäjiä pitää tukea, jotta he pystyvät tekemään harkittuja päätöksiä tietojensa jakamisesta.

Eurooppalaisen digitaalisen identiteetin luominen edellyttää merkittäviä lainsäädännöllisiä ja teknisiä muutoksia jäsenmaiden tasolla, mikä puolestaan edellyttää muutosjohtajuutta, resursseja ja aikaa. Digitaalista identiteettiä koskevan sääntelyn suhdetta olemassa olevaan sääntelyyn (esim. GDPR) ja tunnistautumisratkaisuihin on vielä selkeytettävä. Lisäksi on varmistettava eri jäsenmaiden sekä julkisten ja yksityisten toimijoiden luomien ratkaisujen välinen yhteentoimivuus.

Yhteentoimivuuden kannalta olennaisessa asemassa on jäsenmaiden yhteinen välineistö, jolla määritellään eurooppalaisen viitekehyksen tekninen rakenne, standardit ja ohjeet. Välineistön valmisteluun on otettava mukaan kaikki olennaiset osapuolet ja sille on annettava riittävästi aikaa. Välineistöä tulee arvioida uuden asetuksen tulevan uudelleentarkastelun yhteydessä ja tarpeen mukaan sisällyttää uudistettuun asetukseen tehden siitä oikeudellisesti sitovaa.

Palaute kokonaisuudessaan:

CSC supports the idea of creating a European Digital Identity as this would greatly facilitate cross-border access to services as well as cross-border mobility, including in the key fields of education and research. Considering the international nature of these fields in particular, it would be useful to explicitly mention in the regulation that Member States are not limited to issuing digital identities only to their citizens or residents physically present on their soil. If deemed appropriate, digital identities should be available also to individuals residing elsewhere but studying, doing research or otherwise operating remotely in the Member State in question.

In CSC’s view, the idea of moving from rigid digital identities towards provision of specific attributes related to those identities is functional and responds best to what is expected of electronic identity solutions nowadays. This approach is particularly welcome as it allows for targeted sharing of identity data depending on what attributes are required for each transaction. The users' freedom to choose what data to share with whom increases their control over their own identity data in line with the MyData and Data Sovereignty principles. At the same time, users will have greater responsibility of their own data and must be supported in making informed decisions about sharing their data.

The new European Digital Identity framework implies significant legislative and technical changes at Member State level, especially due to the ambitious requirement for the new Digital Identity Wallets to meet the requirements of assurance level “high” which may prove particularly challenging for the mobile applications. Such changes will require appropriate change leadership and resourcing as well as time. This must be taken into account when setting the objectives and deadlines for the implementation of the new framework.

CSC is pleased to note that the proposal pays due attention to consistency with other Union policies, especially the General Data Protection Regulation. However, certain aspects of the interplay of the EUid Regulation with the GDPR require clarification, in particular the question of who is the data controller of the attributes in the users’ wallets. If the data controller is the organisation that manages the authentic source and has written the attribute to the wallet, a number of questions arise on, for instance, the legal grounds (GDPR Article 6) of release of the attribute, ensuring minimal disclosure (GDPR Article 5.1.(c)) and the possible liability of the data controller for misconduct (e.g. poor information security practices) of the relying service.

In addition to being consistent with other Union policies, the new legislative framework must take into account existing solutions in its own field, including the ones developed in the private sector. In general, further cooperation between the public and the private sector must be promoted and innovation in both sectors encouraged. It is also important to ensure interoperability both between the solutions developed by different Member States and between the public and the private sector. Interoperability is a key prerequisite in developing well-functioning and user-centric Pan-European digital frameworks.

The proposal pays due attention to ensuring interoperability but leaves the details for Member States to agree in the form of a Toolbox defining the technical architecture, standards and guidelines of the framework. The Toolbox will be crucial for ensuring uniform implementation across the Union and must therefore be prepared carefully. Preparation must include all relevant stakeholders and be allowed sufficient time, most likely requiring a revision of the timeline foreseen in the Toolbox Recommendation. The results of the Toolbox work must be also evaluated when reviewing the Regulation (Art. 49) and, if need be, included in the revised Regulation to make them legally binding.