Digipalveluasetus (DSA) ja ikärajavalvonta – mitä yritysten tulee tietää?
Kirjoittanut Tobias Marshall-Heyman 10. heinäkuuta 2026

Digipalveluasetus (Digital Services Act, DSA) on Euroopan unionin asetus, jonka tavoitteena on tehdä verkosta turvallisempi, läpinäkyvämpi ja vastuullisempi ympäristö käyttäjille, erityisesti alaikäisille.
Asetusta sovelletaan verkkoalustoihin ja digitaalisiin palveluihin, jotka tarjoavat palveluja EU:n alueella. Se koskee muun muassa sosiaalisen median palveluita, verkkokauppoja, hakukoneita ja muita verkon välityspalveluja.
DSA tuli kokonaisuudessaan voimaan 17. helmikuuta 2024. Sen jälkeen kaikkien asetuksen soveltamisalaan kuuluvien palvelujen on tullut noudattaa sen velvoitteita riippumatta niiden koosta tai siitä, sijaitseeko palveluntarjoaja EU:ssa vai sen ulkopuolella.
Miksi digipalveluasetus otettiin käyttöön?
Digitaalinen toimintaympäristö on muuttunut merkittävästi sitten vuoden 2000 sähköistä kaupankäyntiä koskevan direktiivin.
Sosiaalinen media, verkkokaupat, hakukoneet ja muut digitaaliset palvelut ovat nousseet keskeiseksi osaksi arkeamme, minkä seurauksena myös käyttäjien turvallisuuteen, läpinäkyvyyteen ja henkilötietojen suojaan kohdistuvat odotukset ovat kasvaneet.
Digipalveluasetuksen tavoitteena on:
- Ehkäistä laittoman ja haitallisen sisällön jakamista verkossa
- Lisätä verkkoalustojen avoimuutta ja läpinäkyvyyttä
- Suojella käyttäjien perusoikeuksia
- Tehdä verkosta turvallisempi erityisesti alaikäisille
- Luoda yhtenäiset pelisäännöt kaikille digitaalisille palveluille EU:ssa.
Alaikäisten suojeleminen on yksi DSA:n keskeisistä tavoitteista
Yksi digipalveluasetuksen näkyvimmistä ja päällimmäisistä tavoitteista on lasten ja nuorten suojeleminen verkossa.
Euroopan komissio on julkaissut tätä varten myös erilliset ohjeet alaikäisten suojelemisesta digitaalisissa palveluissa. Niissä korostetaan muun muassa lasten oikeutta turvalliseen verkkoympäristöön, yksityisyyteen ja henkilötietojen suojaan.
Käytännössä tämä tarkoittaa esimerkiksi sitä, että palveluiden tulisi:
- Estää alaikäisiin kohdistuva profilointiin perustuva mainonta
- Tarjota lapsille ymmärrettävät käyttöehdot
- Tarjota tehokkaita keinoja ilmoittaa haitallisesta sisällöstä
- Mahdollistaa huoltajien käyttämät valvontatoiminnot silloin, kun se on tarkoituksenmukaista
- Ottaa käyttöön luotettavia ikävarmennusmenetelmiä silloin, kun lainsäädäntö tai palvelun luonne sitä edellyttää
Lisäksi DSA kieltää myös niin sanotut harhaanjohtavat käyttöliittymäratkaisut (dark patterns). Niillä tarkoitetaan käyttöliittymien suunnittelua siten, että käyttäjää ohjataan tai painostetaan tekemään tietty valinta. Esimerkiksi evästeiden hyväksyminen voi olla tehty huomattavasti helpommaksi kuin niiden hylkääminen, tai tilauksen peruuttaminen voi olla tarpeettoman vaikeaa.
Miksi iän varmentaminen luotettavasti on haastavaa?
Ikävarmennuksen tavoitteena on varmistaa, että käyttäjä täyttää palvelun tai sisällön edellyttämän ikärajan, kuten täysi-ikäisyyden.
Tämän toteuttaminen luotettavasti ja yhteneväisesti ei kuitenkaan ole yksinkertaista.
Monet verkkopalvelut perustavat ikävarmennuksen edelleen käyttäjän omaan ilmoitukseen. Käyttäjä voi esimerkiksi syöttää syntymäajakseen minkä tahansa päivämäärän ilman, että palvelu tarkistaa tiedon paikkansapitävyyttä. Tällainen ratkaisu on helppo kiertää, eikä sitä enää pidetä riittävänä silloin, kun palvelussa käsitellään alaikäisille sopimatonta sisältöä. Myös Euroopan komissio on ymmärrettävästi todennut, ettei pelkkä käyttäjän oma ilmoitus iästä ole tehokas ikävarmennusmenetelmä.
Lienee päivänselvää, ettei tällä “ratkaisulla” ole tietenkään mitään tekemistä iän varmentamisen kanssa.
Ikävarmennuksen ei tarvitse tarkoittaa kaikkien henkilötietojen jakamista
Luotettava ikävarmennus herättää myös toisen tärkeän kysymyksen: kuinka paljon henkilötietoja käyttäjän täytyy todella luovuttaa? Monissa nykyisissä ratkaisuissa käyttäjä joutuu näyttämään koko henkilöllisyystodistuksensa tai tunnistautumaan vahvasti, vaikka palvelun tarvitsee tietää vain yksi asia: onko käyttäjä täysi-ikäinen?
Tieto- ja yksityisyydensuojan näkökulmasta tämä ei ole ihanteellinen ratkaisu. GDPR:n tietojen minimoinnin periaatteen mukaan henkilötietoja tulisi käsitellä vain siinä laajuudessa kuin se on käyttötarkoituksen kannalta välttämätöntä.
Jos palvelun tarvitsee tietää ainoastaan, että käyttäjä on yli 18-vuotias, sen ei lähtökohtaisesti tarvitse saada tietoonsa esimerkiksi syntymäaikaa, henkilötunnusta tai nimeä.
Digitaaliset lompakot voivat ratkaista ongelman
Yksi lupaavimmista ratkaisuista on digitaalisiin identiteettilompakoihin eli tuttavallisemmin digilompakoihin perustuva ikävarmennus. Digitaalinen identiteettilompakko mahdollistaa sen, että käyttäjä voi todistaa olevansa yli tietyn ikärajan paljastamatta muita henkilötietojaan. Iän varmentaminen digilompakolla perustuu niin kutsuttuihin varmennettaviin todistuksiin (Verifiable Credentials) sekä yksityisyyttä suojaaviin teknologioihin, kuten valikoivaan tietojen luovuttamiseen (Selective Disclosure) ja nollatietotodistuksiin (Zero-Knowledge Proofs).
Tällöin palvelu saa vain tarvitsemansa tiedon – esimerkiksi vahvistuksen siitä, että käyttäjä on tietyn ikäinen – ilman, että se saa tietoonsa käyttäjän syntymäaikaa tai muita henkilötietoja. Euroopan komission julkaisema yhteinen ikävarmennusmalli perustuu juuri tähän ajatukseen, ja se on suunniteltu yhteensopivaksi tulevan EU:n digitaalisen identiteettilompakon (EUDI Wallet) kanssa.
Tanska on juuri julkaissut ensimmäisen version digilompakostaan. Voit lukea aiheesta lisää täältä.
Yhteenveto
Digipalveluasetus on merkittävä askel kohti turvallisempaa digitaalista ympäristöä EU-kansalaisille. Erityisesti alaikäisten suoja ja luotettava ikävarmennus ovat nousseet keskeiseen asemaan verkkopalveluiden kehittämisessä.
Samalla ikävarmennuksen on kuitenkin kunnioitettava käyttäjien yksityisyyttä. Tulevaisuuden ratkaisut eivät perustu mahdollisimman laajaan henkilötietojen keräämiseen, vaan siihen, että käyttäjä voi todistaa vain sen tiedon, jota palvelu todella tarvitsee.
Juuri tästä syystä digitaaliset identiteettilompakot, digitaaliset todistukset ja nollatietotodistukset nähdään keskeisenä osana Euroopan tulevaa ikävarmennusratkaisua.
Usein kysyttyä digipalveluasetuksesta
Digipalveluasetus (Digital Services Act, DSA) on Euroopan unionin asetus, jonka tavoitteena on tehdä digitaalisesta ympäristöstä turvallisempi ja läpinäkyvämpi. Se sisältää velvoitteita muun muassa sosiaalisen median alustoille, hakukoneille ja muille digitaalisille palveluille sekä vahvistaa käyttäjien oikeuksia verkossa.
DSA koskee kaikkia yrityksiä, jotka tarjoavat EU:n alueella verkon välityspalveluja. Soveltamisala vaihtelee palvelun tyypin mukaan, ja kaikkein suurimpiin verkkoalustoihin ja hakukoneisiin kohdistuu lisäksi erityisiä velvoitteita.
Digipalveluasetus tuli kokonaisuudessaan voimaan 17. helmikuuta 2024. Sen jälkeen kaikkien asetuksen soveltamisalaan kuuluvien palvelujen on tullut noudattaa sen vaatimuksia.
Ei. Digipalveluasetus ei velvoita kaikkia verkkopalveluita ottamaan käyttöön ikävarmennusta. Sen sijaan palveluiden on arvioitava alaikäisiin kohdistuvat riskit ja toteutettava tarkoituksenmukaiset toimenpiteet heidän suojelemisekseen. Joissakin palveluissa tämä voi tarkoittaa luotettavan ikävarmennuksen käyttöönottoa.
Digipalveluasetus velvoittaa palveluntarjoajia huomioimaan alaikäisten turvallisuuden palveluidensa suunnittelussa. Tämä tarkoittaa esimerkiksi profilointiin perustuvan mainonnan rajoittamista, harhaanjohtavien käyttöliittymäratkaisujen (dark patterns) välttämistä, selkeitä käyttöehtoja sekä tehokkaita keinoja ilmoittaa haitallisesta sisällöstä.
DSA ja GDPR täydentävät toisiaan. GDPR säätelee henkilötietojen käsittelyä ja yksityisyydensuojaa, kun taas DSA keskittyy digitaalisten palvelujen turvallisuuteen, vastuullisuuteen ja läpinäkyvyyteen. Molemmat korostavat käyttäjien oikeuksia ja henkilötietojen asianmukaista suojaa.
Aiheeseen liittyvät artikkelit

Aloittelijan opas nollatietotodistuksiin

Näyttääkö Tanskan uusi digilompakko suuntaa myös suomalaisille?
