Kontrollitavate tõendite (ingl verifiable credentials) idee on paljutõotav – teil on oma andmete üle täielik kontroll ja need on alati käeulatuses. Samuti saate otsustada, kellega ja kui kaua oma andmeid jagate. See kontseptsioon on omaks võetud kõrgeimal poliitilisel tasandil – Euroopa Liit rõhutab digiidentiteeditaskute vajadust, ka eIDAS 2.0 liigub suuresti samas suunas, Saksamaa keskvalitsus üritas võtta kasutusele oma tasku, mis sisaldas esimese dokumendina juhiluba, ning üleilmne erasektor on täis iseseisva identiteediga (ingl self-sovereign identity ehk SSI) seotud saginat ja tegeleb kibekiirelt taskute väljatöötamisega. Sellest tulenevalt uurisin lähemalt kontrollitavate tõendite kontseptsiooni ning selle tähendust Eestile ja riigi digiühiskonnale.
Kontrollitavad tõendid Eestis
Paljude digiidentiteedi platvormide ja integreeritud e-teenuste terviklahenduste poolest tuntud Eesti on tõepoolest valitsemise ja halduse digiinnovatsiooni valdkonnas esirinnas. Võib isegi öelda, et W3 konsortsiumi määratlusele vastavad kontrollitavad tõendid on Eestis juba ammu olemas olnud: „kontrollitav tõend on avamist tuvastav tõend, mille autorlust saab krüptograafiliselt kontrollida“ (W3C, 2022) – digiallkirju, digiretsepte, digiallkirjastatud kontoväljavõtteid jne saab kindlasti pidada kontrollitavateks tõenditeks, kuna vastaspool saab alati kontrollida nende standardtõendite kehtivust.
Mina isiklikult arvan, et arutelu ei tohiks siinkohal lõppeda. Pigem kaasneb kontrollitavate tõenditega oluline rõhuasetuse muutus, nimelt keskendumine mobiiliseadmetele ja nende kaudu avaliku halduse ligipääsetavuse tagamisele. Eesti e-valitsuse ja muude e-teenuste osutamine toimub enamasti veebibrauserites ning need on mõeldud kasutamiseks arvutis, mitte nutitelefonides. Selle põhjuseks võib pidada asjaolu, et kui Eesti hakkas 2000ndate aastate alguses veebiteenuseid osutama, polnud nutitelefonide väljatöötamisel veel kavanditest kaugemale jõutud. Eesti Riigi Infosüsteemi Amet on hakanud nüüd Eestis mobiilitehnoloogiale üleminekule rohkem tähelepanu pöörama ning on tellinud rakenduse mobiiliseadmete abil hääletamise jaoks ja koostab riigi mobiilirakenduse hanget. See hange ei tule üllatusena, kuna Euroopa Komisjon on teinud põhimõtteliselt kohustuslikuks varustada ELi liikmesriikide kodanikud digiidentiteeditaskute rakendustega, ent sellega seoses tuleks arvesse võtta otseste kontrollitavate tõendite potentsiaalseid kasutusvõimalusi.
(Digitaalse) identiteedi tähtsus
Kontrollitavaid tõendeid ei tohiks ajada segi digiidentiteediga. Mobiiliseadmesse saab laadida kontrollitava isikutunnistuse, kuid see tunnistus tugineb usaldusväärsele digiidentiteedi raamistikule. Kontrollitavate tõendite väljastamiseks peavad ametiasutused või avaliku sektori asutused teadma, kes te olete ja milliseid dokumente teile anda1. Teine eeltingimus on kindlasti see, et ametiasutused saaksid väljastada tõendeid ainult dokumentide kohta, mida nad tegelikult (digitaalselt) haldavad – see tundub tühine, aga kuna maailma ja isegi Euroopa Liidu riikides on digitaalse arengu tase väga erinev, ei saa seda pidada enesestmõistetavaks.
Kuigi Eesti on nii digiidentiteedi kui ka vajalike andmete kättesaadavuse poolest digitaalselt piisavalt küps, on nüüd hädavajalik need andmed sõna otseses mõttes inimestele mobiilse digiidentiteeditasku kaudu kätte anda.
Digipunga prototüüp
Eelmisel suvel liitusid CGI Eestiga viieks nädalaks viis noort arendajat, et töötada meie vanemarendajate ja arhitektide käe all välja mobiilse digiidentiteeditasku prototüüp. Selle mõte oli kasutada ära kontrollitavate tõendite kontseptsioon ja teavitusteenused ning kujuneda lõpuks Eesti nõusolekute haldamise süsteemi platvormiks. Projekti partneriks oli Eesti digiidentiteedi heaolu ja arendamise eest vastutav RIA, kellega CGI on tihedas suhtluses ka kontrollitavate tõendide lahenduse loomisel.
Peamiselt keskenduti füüsiliseks infovahetuseks ruutkoodipõhiste kontrollitavate tõendite2 väljatöötamisele. Inimesed tahavad, et nende (kontrollitavad) dokumendid oleksid nutitelefonis. Me alustasime vaktsineerimistõenditest ja isikut tõendavatest dokumentidest, et oleks võimalik kontrollida isikute vaktsineeritust, vanust või isikusamasust. Sellega aga asjad ei piirdu. On olemas palju teisi kasutusalasid, nt kalastus-/jahiload, juhiload, ülikoolikraadid jpm.
Olen veendunud, et kontrollitavad tõendid saavad luua suurt väärtust – nimelt olukordades, kus inimesel on vaja lihtsalt ja kontrollitavat juurdepääsu isiklikele andmetele üpris vähe reguleeritud keskkondades, nt füüsilise infovahetuse korral.
Kontrollitavad tõendid ja nõusolekute haldus
Ma ei tõtta käsitlema kontrollitavaid tõendeid imelahendusena – need peaksid looma lisaväärtust ega tohiks täita ülesandeid, mis on juba olemasoleva taristuga hõlmatud. Eesti e-valitsus põhineb X-tee andmevahetusplatvormil, mis võimaldab nii avaliku kui ka erasektori andmebaasidel ühenduda turvaliselt eri organisatsioonide ja valdkondade lõikes. Seega võib vahel olla lihtsam võimaldada inimestel mobiilirakenduse, nt meie prototüübi kaudu hallata otsest juurdepääsu oma dokumentidele valitsuse või avaliku sektori andmebaasides, kui lasta neil samal eesmärgil luua ja valideerida kontrollitavaid tõendeid eraldi protseduuride kaudu.
Eesti e-riigiga tuttavad lugejad mõistavad, et ma osutan valitsuse strateegilisele keskendumisele nõusolekute haldusele, mille puhul inimene otsustab, kellel on lubatud otse valitsuse dokumentide kaudu tema isikuandmetele ligi pääseda. Minu arvates on see eriti oluline tihti korduva ja reguleeritud infovahetuse puhul, nt kui pangad, kommunaalteenuste osutajad ja kindlustusseltsid teevad päringuid teatavate nende äriprotsesside jaoks oluliste andmete kohta ning kodanikud soovivad nende vastutust selle eest. Seega tuleks kontrollitavate tõendite kasutuselevõttu kindlasti põhjalikult uurida, et seejuures keskendutaks kasutajate vajadustele, täpsemalt nende nutiseadmetes hoitavatele kontrollitavatele dokumentidele. Miks ei võiks aga kontrollitavad tõendid ja Eesti nõusolekute haldamine olla koondatud ühe tasku alla? See suurendaks kindlasti mobiilse valitsuse digiidentiteeditasku köitvust.
Rahvusvaheline perspektiiv
Kontrollitavad tõendid tõotavad olla väga kasulikud riikidele, mis on praegu digiüleminekut kiirendamas, ning ma olen veendunud, et sellistel tõenditel on suur mõju, ent nagu alati, sõltub see kasutajate vajadustest ja harjumustest. Kas inimesi saab innustada neid kasutama ja kas on olemas kindlaid kasutusalasid? Kas on olemas usaldusväärseid riiklikke digiidentiteedi lahendusi, mis võiksid toetada kontrollitavate tõendite väljastamist? Euroopa Liidu kontekstis on huvi koostalitlusvõimeliste digiidentiteeditaskute vastu mõistetav, kuid nende edu sõltub sellest, kui hästi olemasolev taristu nende juurutamist toetab ja kui kiiresti need kasutusele ja omaks võetakse.
1EL tunnistab ja isegi nõuab seda, kuid ainult „14 liikmesriiki on teatanud e-identimisest ning vaid vähestel kodanikel (59%) on piiriülestes olukordades juurdepääs valitsuse usaldusväärsetele ja turvalistele e-identimise lahendustele.“ (Ülevaade, Euroopa digiidentiteedi raamistiku kehtestamine, vaadatud 29.03.2022)
2Kui soovite teada, kuidas me seda tegime, võtke meiega ühendust aadressil tobias.koch@cgi.com.