Suomi.fi-tunnistamisen käyttöönotto julkishallinnon organisaatioille

Lakiesitys velvoittaa julkishallinnon organisaatioita siirtymään uuden Suomi.fi-tunnistamisen käyttäjiksi viimeistään vuoden 2017 lopussa. Nixu tarjoaa kaikkiin vaiheisiin apua siirtymistä suunnitteleville organisaatoille.

Ennen siirtymää, kaikkien liittyvien organisaatioiden pitää hyväksyä palvelun käyttöehdot sekä hakea erikseen väestötietojärjestelmän tietolupaa. Luvan pitää olla uusi, olemassa olevaa lupaa ei tässä yhteydessä hyväksytä.

Tietoluvan hakemiseksi, organisaation pitää antaa selvitys haettavien tietojen suojaamisesta. Selvitys kattaa tiedon suojaamisen vaatimuksia seuraavilla osa-alueilta:

  • Hallinnollinen ja henkilöstöturvallisuus
  • Fyysinen turvallisuus
  • Käyttö- ja laitteistoturvallisuus
  • Ohjelmisto- ja tietoliikenneturvallisuus
  • Tietojen käsittely ja käyttö
  • VTJkysely Sovelluskysely ja Muutostieto -palvelun tarkennetut vaatimukset

Esimerkkejä vaatimuksista:

  • Henkilötietojen käsittelyä seurataan organisaatiossa.
    • Henkilötietojen käsittelyn seuraamisella tarkoitetaan esimerkiksi käyttöoikeuksien antamista vain tietyille henkilöille, käsittelyn mahdollistamista vain myönnetyin käyttöoikeuksin (käyttäjätunnus ja salasana) sekä käsittelyn lokitusta.
  • Tietoluvan mukaisten henkilötietojen käsittelyä tapahtuu organisaation ulkopuolella, esimerkiksi ulkoistettu osin tai kokonaan.
    • Mikäli Kyllä, edellytetään lisäselvitystä siitä, missä, miltä osin ja kenen toimesta henkilötietojen käsittelyä tapahtuu.
  • Lokeihin kirjautuu tieto kyselyn tekijästä, kyselyn ajankohdasta sekä kyselyn kohteesta.
  • Lokitiedot on suojattu tietojen jälkikäteiseltä muuttamiselta.
  • Turvakiellon alaisia tietoja käsittelevät vain erikseen tehtävään nimetyt henkilöt, joiden tehtäviin kyseisten tietojen käsittely välittömästi kuuluu.
    • Käyttöoikeudet tulee rajata teknisesti niin, että muilla kuin erikseen tehtävään nimetyillä henkilöillä ei ole mahdollisuutta käsitellä turvakiellon alaisia tietoja.


Huomion arvoista on myös, että Suomi.fi -tunnistuspalvelu ei tarjoa verkkomaksamisen ratkaisua, vaan maksamispalvelu siirtyy Valtionkonttorin tuotettavaksi.

Lisätietoja Suomi.fi –tunnistuspalvelusta: https://esuomi.fi/palveluntarjoajille/tunnistaminen/

Suosittelemme liittymiseen velvoitettujen organisaatioiden osalta seuraavia askelmerkkejä:

  • Kartoita millaista henkilötietosisältöä ja sovelluskutsu-toiminnallisuutta tarvitsette.
  • Selvitä vastaukset tietojen suojausvaatimuksiin.
  • Varmista, että vaaditut suojausmekanismit ovat oikein toteutettu (esim. lokitus)
  • Lähetä hakemus ja tietosuojaselvityslomake (HUOM: Hakemuksen käsittelyyn on syytä varata ainakin kuukauden verran aikaa!)
  • Selvitä sovelluksesi kyvykkyys integroitua SAML2-protokollalla ja aikatauluta tarvittavat sovellusmuutokset
  • Tee integraatiotestaus ja suunnittele yliheitto


Nixu tarjoaa kaikkiin vaiheisiin apua siirtymistä suunnitteleville organisaatoille. Asiantuntijamme tietosuojan, tietoturvallisuuden sekä tunnistuspalveluiden integraatioiden osalta varmistavat helpon siirtymävaiheen!