Utvalgte hurtiglenker

    Høringer

    Nærings- og handelsdepartementet

    Høringssvar | | Finansdepartementet

    NOU 2007:10 om tiltak mot hvitvasking og terrorfinansiering (gjennomføring av EØS-regler tilsvarende EUs tredje hvitvaskingsdirektiv i norsk rett) - Høring


    Vi viser til høring av 24.08.07 og til telefonkontakt hvor vi fikk forlenget høringsfrist.

    Innledningsvis vil vi bemerke at det fremgår av høringsbrevet at det i tillegg til å gjennomføre EØS-regelverket, fremmes forslag til endringer som ikke har bakgrunn i Norges EØS-forpliktelser. Vi forutsetter at utvalget har vurdert om rettsendringene, som går utover Norges EØS-forpliktelser, er i overensstemmelse med EØS-avtalens bestemmelser om fri bevegelighet for tjenester og retten til etablering.

    Nærings- og handelsdepartementet har merknader knyttet til kap. 4.4.3.2 - bekreftelse av kundens identitet og kap. 4.4.3.4 elektronisk legitimasjon, samt til lovutkastet § 7 og forskriftsutkastet § 4.

    Vi støtter utvalgets forslag om å foreslå en prinsipiell likestilling mellom elektronisk legitimasjon og fysisk legitimasjon. En slik tilretteleggelse ser vi også som en naturlig følge av det arbeid Nærings- og handelsdepartementet har gjennomført i e¬regelprosjektet/VideRe-prosjektet og oppfølgningen av anmodningsvedtaket fra Stortinget av 16. juni 2003 om sidestilling mellom elektronisk og fysisk legitimasjon, jf. Ot. prp. 74 (20042005). I Ot.prp. fulgte NHD opp anmodningsvedtaket ved å tilføye en ny § 16a i esignaturloven, som gir hjemmel til innføring av frivillige sertifiserings-, godkjennings- og selvdeklarasjonsordninger for sertifikatutstedere.

    Basert på denne hjemmelen ble det utarbeidet en ny forskrift av 21. november 2005 nr. 1296 om frivillige  selvdeklarasjonsordninger for sertifikatutstedere, som åpner for at sertifikatutstedere kan selvdeklarere seg i henhold til de tre sertifikatklassene - Person-Standar, Person-Høyt og Virksomhet - definert i Forbruker- og administrasjons-departementets Kravspesifikasjon for PM i offentlig sektor. Post- og teletilsynet forvalter selvdeklarasjonsordningene. Ved en endring av e-forvaltnings-forskriften (§ 27 ny fjerde ledd) som trådte i kraft 1. desember 2005 fikk FAD hjemmel til å pålegge bruken av selvdeklarasjonsordningen ved anskaffelse av PM-basert elD og e-siaWr til forvaltningen. Pålegget ble gitt i brev av 20. september 2006 til alle statlige virksomheter.

    Vi støtter utvalgets forslag om at elektronisk ID som skal brukes innenfor hvitvaskingsområdet skal være på sertifikatklassenivået Person-Høyt i henhold til nevnte kravspesifikasjon fra FAD. Dette er også et nivå som er akseptert innenfor andre regelverksområder, jf. bl.a. ved bruk av eID ved offentlig anskaffelse og ved elektronisk tinglysning av fast eiendom. Vi er dog uenige i å legge opp til et regime som bryter med det etablerte regulatoriske rammeverket for eID i Norge. Før vi går inn på disse tilleggs kravene, herunder særlig krav om sertifisering, Al vi se nærmere på tilnærmingen om å eksplisitt og parallelt stille krav i forskriftsutkastet § 4 som allerede stilles i kravspesifikasjonen. Vi kan ikke finne at utvalget har gitt en nærmere begrunnelse hvorfor enkelte av kravene i henhold til Person-Høyt skal tas ut og reguleres direkte i hvitvaskingsforskriften. Vi har en forståelse om at de angitte kravene er sentrale krav dersom eID skal kunne brukes innenfor hvitvaskingsområdet. Vi anbefaler dog, fra et reguleringsteknisk synspunkt og for å unngå uklarheter ved ev. avvik mellom kravene i forskriften og kravspesasjonen, at kravene isteden gjøres klart i motivene og at FIN i tett dialog med FAD sikrer at disse kravene er ivaretatt i kravspesifikasjonen. Videre mener vi ett av kravene er formulert i strid med den fortolkning av personopplysningsloven som Datatilsynet har lagt til grunn når det gjelder bruk av Ødselsnummer i sertifikater. Kravspesifikasjonen for PM i offentlig sektor inneholder referanse til den s.k. SEID-standard som legger til rette for at en unik identifikasjon i sertifikatet kan kobles til et fødselsnummer, dog uten at dette må ligge i sertifikatet.

    I NOUen anbefaler utvalget at sertifikatutstedere som skal utstede Person-Høyt for bruk innenfor hvitvaskingsområdet skal bli sertifisert. Vi savner en god begrunnelse for hvorfor utvalget mener det er nødvendig med en slik sertifisering, særlig tatt i betraktning at utvalget samtidig ikke stiller noen ytterligere materielle krav for verken sertifikatutsteder eller sertifikatet. Ved å her stille krav om sertifisering Al man således få to forskjellige nivåer innenfor sertifikatklassen Person-Høyt - Person-Høyt (selvdeklarert) og Person-Høyt (sertifisert) - med forskjellige bruksområder. Det er neppe brukervennlig, kostnadseffektivt eller hensiktsmessig med en slik oppdeling av dette relativt begrenset marked. En sertifiseringsordning også være en fordyrende ordning for sertifikatutstederne. Utvalget har heller ikke nærmere drøftet hvordan denne ordningens skal etableres og finansieres samt hvem som skal være sertifiseringsorgan. Videre anbefaler arbeidsgruppen at selve eID (sertifikatet) skal være merket som sertifisert. Da dette kravet ikke stilles i dag, Al et slikt krav medføre at alle eksisterende og utrullede eID som leverandørene har i markedet må inndras og utstedes på nytt. Kostnaden ved en slik operasjon må kunne anses som betydelig.

    På bakgrunn av dette anbefaler vi at krav til eID baseres på Kravspesifikasjon for PKI i forvaltningen, sertifikatklasse Person Høyt, i henhold til eksisterende selvdeklarasjonsordning.

    Til forskriftsutkastet § 4 foreslår vi følgende alternative formulering:
    "Gyldig legitimasjon for fysiske personer er elektronisk signatur som oppfyller kravene i forskrift 21. november 2005 nr. 1296 om frivillige selvdeklarasjonsordninger for sertifikatutstedere § 3 og som er oppført på publisert liste i henhold til § 11 første ledd i nevnte forskrift."

    I forhold til annet ledd med krav om at det i sertifikatet skal fremgå at sertifikatet er sertifisert viser vi til våre kommentarer ovenfor. Til dette kan nevnes at esignaturloven ikke stiller krav om at det direkte i sertifikatet må fremgå at det er kvalifisert, men at det er tilstrekkelig med en peker fra sertifikatet til en sertifikatpolicy der det går frem at sertifikatet er kvalifisert, jf. Ot.prp. nr. 74 (20042005).

    Når det gjelder krav i forslagets tredje ledd om å gjennomføre tiltak som nevnt i utkast til ny hvitvaskingslov § 7 første ledd nr. 1 og 2 og oppbevare dokumenter og opplysninger i samsvar med § 21, mener vi at disse krav allerede er ivaretatt i Kravspesifikasjonen for PM i offentlig sektor, der det i krav nr. 4.2.5 og 4.2.6 vises til krav i hvitvaskingsforskriften § 4 første ledd samt til hvitvaskingsloven § 6 første og andre ledd sammen med hvitvaskingsforskriften § 15. Disse henvisningene må imidlertid justeres i tråd med til ev. justeringer i hvitvaskingsregelverket."

    nhd.pdf
    Til toppen