EU:n allekirjoitustasot (eIDAS) ja eIDAS-sinetti – opas pienyritykselle
Sähköiset allekirjoitukset ovat arkipäivää, mutta tiesitkö, että EU:ssa on kolme eri allekirjoitustasoa? Tässä artikkelissa selitämme selkokielellä, mitä eIDAS-asetus (EU:n sähköisen tunnistamisen ja luottamuspalvelujen asetus) tarkoittaa, miten allekirjoitustasot eroavat toisistaan ja mikä on eIDAS-sinetti. Lopussa kerromme, miten EpicSign auttaa pienyrittäjää käytännössä.
Mikä on eIDAS ja miksi se on tärkeä?
eIDAS (electronic IDentification, Authentication and trust Services) on EU:n asetus, joka luo yhtenäiset säännöt sähköiselle tunnistamiselle ja sähköisille allekirjoituksille kaikissa EU-maissa. Se tuli voimaan vuonna 2016 ja sitä päivitettiin vuonna 2024 (eIDAS 2.0). Käytännössä eIDAS tarkoittaa, että sähköinen allekirjoitus, joka on tehty Suomessa, on pätevä myös Saksassa, Espanjassa tai missä tahansa EU-maassa. Se luo luottamusta ja poistaa rajat digitaalisesta asioinnista. Pienyrittäjälle eIDAS on tärkeä, koska se kertoo, minkä tasoista allekirjoitusta eri tilanteissa tarvitaan ja minkälainen oikeudellinen suoja sillä on.
EU:n kolme allekirjoitustasoa
eIDAS määrittelee kolme tasoa sähköisille allekirjoituksille. Jokainen taso tarjoaa eri vahvuisen todisteen allekirjoittajan henkilöllisyydestä.
SES – Simple Electronic Signature
SES on yksinkertaisin taso. Se voi olla esimerkiksi sähköpostiin kirjoitettu nimi, sähköinen rastitus tai allekirjoituskuva. Tunnistaminen on heikkoa: allekirjoittajan henkilöllisyyttä ei varmisteta erikseen.
- Käyttötapaukset: sisäiset dokumentit, vähäisen riskin sopimukset, tilausvahvistukset
- Riski: helppo kiistää, kuka oikeasti allekirjoitti
- Esimerkki: "Kuittaan tilaukseni" -nappulan klikkaaminen verkkokaupassa
AES – Advanced Electronic Signature
AES vaatii, että allekirjoittaja on yksiselitteisesti tunnistettu ja allekirjoitus on sidottu häneen niin, ettei sitä voi muuttaa jälkikäteen. Tunnistaminen voi tapahtua esimerkiksi pankkitunnuksilla tai mobiilivarmenteella.
- Käyttötapaukset: sopimukset, tarjoukset, työsopimukset, asiakassopimukset
- Riski: matala – vahva yhteys allekirjoittajaan
- Esimerkki: asiakas tunnistautuu pankkitunnuksilla ja allekirjoittaa sopimuksen EpicSignissa
QES – Qualified Electronic Signature
QES on vahvin taso. Se rinnastuu EU-lainsäädännössä käsin kirjoitettuun allekirjoitukseen. QES vaatii hyväksytyn luottamuspalveluntarjoajan myöntämän varmenteen ja hyväksytyn allekirjoituksen luontilaitteen.
- Käyttötapaukset: kiinteistökaupat, viranomaisasiointi, korkean riskin sopimukset
- Riski: erittäin matala – lain mukaan sama kuin käsinkirjoitettu
- Esimerkki: asianajaja allekirjoittaa oikeudelle toimitettavan asiakirjan QES-varmenteella
Vertailutaulukko: milloin mikäkin taso kannattaa valita?
| Tarve | Suositus | Miksi | Esimerkki |
|---|---|---|---|
| Sisäinen kuittaus tai tilausvahvistus | SES | Riittävä, nopea ja edullinen | Työntekijä kuittaa lukeneensa ohjeen |
| Asiakassopimus tai tarjous | AES | Tunnistaa allekirjoittajan luotettavasti | Asiakas allekirjoittaa tarjouksen pankkitunnuksilla |
| Työsopimus tai salassapitosopimus | AES | Molempien osapuolten tunnistus tärkeää | Uusi työntekijä allekirjoittaa työsopimuksen EpicSignissa |
| Kiinteistökauppa tai viranomaisasiakirja | QES | Laki vaatii vahvimman tason | Asianajaja allekirjoittaa oikeudelle toimitettavan dokumentin |
| Kansainvälinen sopimus EU-alueella | AES tai QES | EU-laajuinen pätevyys eIDAS-asetuksen nojalla | Suomalainen yritys ja espanjalainen kumppani allekirjoittavat yhteistyösopimuksen |
Mikä on eIDAS-sinetti (eSeal)?
eIDAS-sinetti (electronic Seal, eSeal) on organisaation "digitaalinen leima". Se eroaa sähköisestä allekirjoituksesta siten, että allekirjoitus kertoo henkilön tahdonilmauksen, kun taas sinetti todistaa, että dokumentti on peräisin tietystä organisaatiosta ja sitä ei ole muutettu. Käytännössä eIDAS-sinetti on kuin yrityksen leima digitaalisessa maailmassa.
- Käyttötapaukset: laskut, raportit, viranomaisilmoitukset, massadokumentit
- Hyöty: todistaa dokumentin alkuperän ja eheyden automaattisesti
- Ero allekirjoitukseen: sinetti ei edellytä yksittäisen henkilön toimintaa – se voidaan automatisoida
Pienyritys voi hyötyä sinetistä esimerkiksi silloin, kun lähettää suuria määriä laskuja tai raportteja ja haluaa vastaanottajan voivan varmistaa, että dokumentti todella tulee kyseiseltä yritykseltä.
Vahva tunnistus arkikielellä
Vahva tunnistus (strong authentication) tarkoittaa, että allekirjoittajan henkilöllisyys varmistetaan luotettavasti ennen allekirjoitusta. Käytännössä tämä tarkoittaa yleensä pankkitunnuksia, mobiilivarmennetta tai vastaavaa menetelmää. Miksi vahva tunnistus on tärkeä?
- Se vähentää väärinkäytöksen riskiä merkittävästi
- Sopimusta on vaikeampi kiistää, kun allekirjoittajan henkilöllisyys on varmennettu
- Se on usein vaatimus AES- ja QES-tason allekirjoituksissa
- Se lisää luottamusta kaikkien osapuolten välillä
Esimerkkitarinat: eIDAS käytännössä
Kolmen hengen konsulttiyritys Tampereella tekee kuukausittain 10–15 asiakassopimusta. Aiemmin sopimukset tulostettiin, allekirjoitettiin ja skannattiin takaisin. EpicSignin avulla yritys siirtyi AES-tasoiseen sähköiseen allekirjoitukseen: asiakas tunnistautuu pankkitunnuksilla ja allekirjoittaa sopimuksen muutamassa minuutissa. Aikasäästö: noin 2 tuntia viikossa. Pieni verkkokauppa käyttää SES-tason allekirjoitusta tilausvahvistuksiin. Asiakas rastittaa ehtojen hyväksynnän ja vahvistaa tilauksensa sähköisesti. Tämä riittää hyvin vähäisen riskin tilanteisiin eikä vaadi erillistä tunnistautumista.
EpicSign käytännössä
EpicSign tukee vahvaa tunnistusta. Palvelumme avulla voit lähettää sopimuksia allekirjoitettavaksi ja vastaanottaja tunnistautuu luotettavasti ennen allekirjoitusta. Tulossa: Baltian ja Pohjoismaiden vahva tunnistautuminen sekä eIDAS-sinetti. Kehitämme parhaillaan tukea useamman maan tunnistautumistavoille sekä organisaatiotason eIDAS-sinetille. EpicSign on suunniteltu pienyrityksille: selkeä käyttöliittymä, ei monimutkaisia teknisiä vaatimuksia ja hinnoittelu, joka skaalautuu käytön mukaan.
Yhteenveto
EU:n eIDAS-asetus luo selkeät pelisäännöt sähköisille allekirjoituksille. Kolme tasoa (SES, AES, QES) vastaavat eri tarpeisiin:
- SES riittää yksinkertaisiin kuittauksiin ja sisäisiin dokumentteihin.
- AES on paras valinta useimpiin sopimuksiin ja tarjouksiin – vahva tunnistus mukana.
- QES on vahvin taso ja rinnastuu käsinkirjoitettuun allekirjoitukseen.
- eIDAS-sinetti todistaa organisaation dokumentin alkuperän automaattisesti.
Usein kysytyt kysymykset
Mikä ero on SES-, AES- ja QES-allekirjoituksilla?
SES on yksinkertaisin taso (esim. sähköpostiin kirjoitettu nimi). AES vaatii vahvan tunnistamisen, kuten pankkitunnukset. QES on vahvin taso, joka rinnastuu käsinkirjoitettuun allekirjoitukseen ja vaatii hyväksytyn varmenteen.
Tarvitseeko pienyritys QES-tason allekirjoitusta?
Useimmiten ei. Pienyrityksen tavalliset sopimukset, tarjoukset ja työsopimukset hoituvat AES-tasolla. QES tarvitaan lähinnä viranomaisasioinnissa tai lain erikseen vaatimissa tilanteissa.
Mikä on eIDAS-sinetti?
eIDAS-sinetti (eSeal) on organisaation digitaalinen leima. Se todistaa, että dokumentti on peräisin tietystä organisaatiosta ja sitä ei ole muutettu. Se eroaa allekirjoituksesta siten, ettei se edellytä yksittäisen henkilön toimintaa.
Tukeeko EpicSign vahvaa tunnistusta?
Kyllä. EpicSign tukee vahvaa tunnistusta, ja kehitämme parhaillaan tukea Baltian ja Pohjoismaiden tunnistautumistavoille sekä eIDAS-sinetille.
Onko sähköinen allekirjoitus laillisesti pätevä Suomessa?
Kyllä. eIDAS-asetuksen mukaan sähköistä allekirjoitusta ei voida hylätä oikeudessa pelkästään sen sähköisen muodon perusteella. AES- ja QES-tasot tarjoavat vahvemman todistusarvon.
Miten valitsen oikean allekirjoitustason?
Arvioi sopimuksen riski ja arvo. Sisäisiin dokumentteihin riittää SES, asiakassopimuksiin AES ja viranomaisdokumentteihin tai korkean riskin sopimuksiin QES.
Kokeile EpicSignia
Aloita maksuton kokeilu ja lähetä ensimmäinen allekirjoituspyyntö alle 20 sekunnissa.
Katso hinnat