Uudised, sündmused ja blogi

EL digikukkur viib e-identiteedi massidesse?

Pean EIDAS regulatsiooni esimest versiooni läbikukkumiseks. Selle uus versioon, EIDAS2, püüab uuesti lahendada elektroonilise isikutuvastuse piiriülese kasutamise probleemi Euroopa Liidus, kasutades selleks digikukrut. Kukkur peaks võimaldama ka digitaalset allkirjastamist ning muude dokumentide, näiteks lubade ja tulevikus isegi digitaalse euro kasutamist. Siiani nähtu põhjal olen pigem skeptiline, kuid siiski avatud üllatustele. Seetõttu oli huvitav kuulata, kuidas Eesti digikukru pilootprojekti meeskond arutles projekti oleviku ja tuleviku üle.

Digikukkur on eelkõige ID-kaart mobiiltelefonis - modernsemal ja lihtsamini kasutataval kujul. Liigsete ootuste vältimiseks võikski ainult sellega piirduda. Sellises vormis usun, et digikukkur ka toimib, kuid ennekõike siseriiklikult. Eestil on probleem, meil on täna kolm isikutuvastuse meetodit: 28-aastane ID-kaart, 23-aastane Mobiil-ID ja 7-aastane Smart-ID. Teame juba, et 2027. aastal ei saa me enam Mobiil-ID-d kasutada, sest praegusel kujul olevad SIM-kaardid kaovad. Uued SIM-kaardid ei ole aga enam sertifitseeritavad vastavalt EIDAS2 nõuetele ning seega võib digikukrut vaadelda kui asendust Mobiil-ID-le, mis oma olemuselt sarnaneb küll Smart-ID lahendusele, kuid selle väljastajaks on riik, mitte eraettevõte.

Tegelikult ei vasta ka Smart-ID EIDAS2 nõuetele, kuid usun, et sellele leitakse lahendus ning see jääb tulevikus ID-kaardi ja digikukru kõrval pädevaks alternatiiviks. Kui seda ei juhtu, saab Smart-ID-d ka tulevikus samal viisil siseriiklikul tasandil kasutada.

Eesti digikukru prototüüp on tänaseks valmis ja ootame järgmisi samme päris toote arendamiseks. EL-i tähtaeg kukrute avalikustamiseks on 3. november 2026, kuid see kehtib ainult siis, kui Euroopa Komisjon võtab vastu vajalikud rakendusaktid.

Digikukkur ei muuda midagi digiallkirjastamise osas, kuna EIDAS2 ei sisalda selle jaoks ühtegi uut standardit. Kuigi EIDAS1 pani paika digitaalallkirja raamistiku, ei sisaldanud see midagi formaadi või esitluse kohta. EIDAS2 täiustab seda, kuid väga vähesel määral. Seetõttu eksisteerivad jätkuvalt kaks koolkonda: need, kes soovivad allkirjastada PDF-i ehk lisada allkirja otse faili, ja Eesti sarnased, kes eelistavad konteinerit, mis ei sea piiranguid allkirjastatava faili formaadile ega failide hulgale. Need kaks lähenemist ei sobitu omavahel.

EIDAS2 eristab aga digiallkirja ja digitemplit. Esimene on individuaalne, teine ettevõtetele. See on suurepärane areng, mis loodetavasti lõpetab arusaamatud diskussioonid ettevõtete ID-kaardi ja digiallkirja teemal. Minu jaoks ei ole olemas juriidilist isikut, kes allkirjastab dokumente ja tuvastab ennast – seda teeb alati eraisik, kes võib allkirja andes esindada mõnda organisatsiooni. Digitempel on palju sobivam mõiste ettevõtte nimel antud anonüümsele kinnitusele, millega ei avaldata allkirja andnud isikut või süsteemi.

Tõenäoliselt ei hakka kõik erinevad riikide digikukrud piiriüleselt siiski toimima. Lisaks digiallkirjastamisele on oluliseks probleemiks ka isikukood. Eestis on isikukood igal inimesel unikaalne ja avalik. Samal ajal näiteks Saksamaal sellist asja pole, puuduvad ka e-teenused digitaalseks asjaajamiseks ning seetõttu puudub ka vajadus või võimalus digikukru kasutamiseks. Kuid vähemalt on see Saksamaal muutumas – kuuldavasti on vastu võetud juba otsus, et sakslased saavad endale sarnaselt eestlastele avaliku isikukoodi.

Dokumentide piiriüleses kasutamises on siiski üks erand - juhiluba. Hetkel käib suur testimine, et tagada juhilubade kontrollitavus olenemata riigist. Testprojekti on kaasatud isegi USA. Seda kõike tänu sellele, et juhilubade osas eksisteerivad riikidevahelised kokkulepped ja standardid. Identiteedi osas aga taolist lahendust veel ei ole.

Eestlaste eesmärk on luua maailma parim digikukkur ja see ilmselt ka õnnestub. Meil on olemas hästi toimiv eID taristu ja sellega seotud e-teenused nagu e-autoregister, e-rahvastikuregister, e-äriregister, e-tervis, e-pangandus jne. Väga lihtne on süsteeme ja andmeid ristkasutada ilma, et nende vahel oleks otseühendust.

Oluline põhimõte digikukru projektis on privaatsuse tagamine. See peaks töötama ja võimaldama põhifunktsioone ka ilma internetiühenduseta. Ei tohi olla keskset asutust, mille kaudu kõik päringud läbi käivad – keegi kolmas ei tohi omada võimalust jälgida, kus isik ennast tuvastanud on ja milliseid teenuseid kasutas. Selles on kindlasti omad "agad" rahapesu tõkestamise ja "tunne oma klienti" (KYC) vaatenurgast.

Tasub ära märkida, et koos digikukru projektiga räägitakse ka võimalikust digitaalsest eurost, mis peaks tagama sularahale sarnased omadused digitaalsel kujul. Ka siin ei tohiks kellelgi olla keskset ülevaadet, kus ja kellega kukru omanik arveldas. Digitaalset eurot peaks samuti olema võimalik kasutada ilma internetiühenduseta. Kuid sel juhul jääb minu jaoks küsimuseks, kuidas lahendatakse topelt kulutamise probleem. Kuidas tagatakse, et saad seda digitaalset eurot oma telefoni digikukrust kasutada ainult ühe korra?

Hoiame oma meeskonnaga arengutel silma peal ja otsime ka koostöökohti, sest püüame ka meie oma eeID projektiga lahendada elektroonilise isikutuvastuse probleemi, kuid seda juba globaalsel tasandil.