Høringssvar fra NITO

Høringssvar Nasjonal strategi for eID i offentlig sektor

NITO, Norges Ingeniør og Teknologorganisasjon, er landets største fagforening for ingeniører og teknologer med over 97 000 medlemmer. Over 10 000 av disse arbeider innen IKT. Her følger NITOs innspill til strategien.

Etterlyser bedre analyse av personvernaspektet

Høringsutkastet påpeker flere steder at eID er «personvernfremmende». NITO vil understreke at eID først og fremst er et autentiseringstiltak og personindentifiserende. eID gjør det mulig for tjenestene å identifisere en person entydig og med høy sikkerhet og sannsynlighet for korrekthet. Det hindrer imidlertid ikke informasjonslekkasje på bakgrunn av sviktende autorisering. Det er derfor en feilslutning å anta at en god eID-løsning i seg selv er personvernfremmende.

Strategien belyser i liten grad personvernutfordringer med eID, og NITO etterlyser generelt en bedre analyse av personvernaspektet. En sentral utfordring er at en eID-løsning kan bidra til å samle og tilgjengeliggjør informasjon om hvilke tjenester enkeltpersoner bruker, og videre brukes som ledd i å aggregere informasjon om hvilke tjenester som har felles brukere. Dette kan gjøres både på individnivå eller for grupper. Systemer der ulike systemer integreres må derfor bygge inn hindringer slik at data ikke kan settes sammen til informasjon som det ikke er til hensikt å opplyse om. Det må framgå tydelig at det ikke kan kjøres korrelasjon mellom ulike typer data. Analysen må også utrede hvilke deler av en eID som sensitiv, spesielt når eID utvides til en lommebok der enkeltattributter kan inneholde sensitiv informasjon.

Tilgjengelighet for flere brukergrupper må konkretiseres

Høringsnotatet beskriver behovet for å tilgjengeliggjøring av eID for ulike brukergrupper på en god måte. NITO støtter målet i kap. 3.1 om å sikre at alle relevante brukergrupper enkelt skal kunne skaffe seg eID på det sikkerhetsnivået de har behov for. Når samfunnet blir mer digitalt, må alle også sikres digital deltakelse.

En del av tiltakene er imidlertid kun å utrede videre tiltak. Det skal bl.a. utredes nærmere både beste praksis for sikker kommunikasjon mellom ulike sektorer, for unge brukere under 12 år, og brukervennlige eID til brukere uten fødsels- eller d-nummer. NITO har forståelse for ytterligere kunnskapsbehov, men vil samtidig understreke at det blir svært viktig at resultatet av disse utredningen følges opp som en del av strategien framover.

For personer uten fødsels- eller d-nummer blir det svært viktig at de store eID-løsningene fungerer godt sammen med EU-løsningen. For EØS-borgere i Norge er det sentralt å ha reelt samme rettigheter som norske borgere i tråd med EØS-avtalen. For norske borgere som bor og arbeider i andre EØS-land må disse kunne bruke sin norske eID der de oppholder seg slik at de kan oppnå sine rettigheter der. Dette er spesielt viktig for personer med høy mobilitet som ellers svært ofte ikke får tilgang til tjenester fordi de ikke rekker å opprette elektroniske identitet i landet de oppholder seg i slik som for eksempel ved bruk av helsetjenester ved arbeidsreiser.

Det må være et svært høyt krav til lett og tilgjengelig brukergrensesnitt. Å kunne la seg representere av andre kan for noen være viktig, men vil også være umyndiggjørende for enkelte grupper. Nye løsninger må bli så gode og lett tilgjengelige at færrest mulig må ty til å la seg representere av andre. Ressurssvake grupper som tunge rusavhengige og visse grupper av flyktninger og midlertidige arbeidsinnvandrere er spesielt utsatt for å «bli satt under administrasjon» uten å ønske det. Spesielt for arbeidsinnvandrere oppstår det en reell fare for sosial dumping gjennom at disse isoleres fra det norske samfunnet, også digitalt, og ikke selv administrerer og får tilgang til sine rettigheter. Her må det også tas høyde for personer fra utenfor EØS-området.

Utydelig løsning for bruk av privat eID på jobb

Det er problematisk at offentlig ansatte må bruke privat eID og privat utstyr for autentisering på jobb. Hvis alle innbyggere skal ha én eID slik at det ikke er skille mellom privat-eID og jobb-eID må det tydeliggjøres som en del av strategien. Hvis ikke er det en selvfølge at arbeidsgiver har systemer som lar den ansatte entydig identifisere seg i jobbsammenheng, også elektronisk. Like selvfølgelig er det at utstyr som kreves i jobbsammenheng er arbeidsgivers ansvar å stille til rådighet, eller i det minste støtte anskaffelsen av. Det finnes alternativer til å benytte mobiltelefon ved tofaktorautentisering, og disse må vurderes både ut fra arbeidssituasjon, men også for blant annet eID-brukere som ikke har eller kan bruke en mobiltelefon.

Ubrukte brukerkonto en sikkerhetsrisiko

Strategien adresserer i liten grad utfordring med ubrukte brukerkonto. Det er en sikkerhetsrisko hvis svært mange har flere brukerkontoer for eIDer, men bare benytter én av dem aktivt. En ubrukt brukerkonto er en kjent sikkerhetsrisiko og en mulig kilde for misbruk av uvedkommende fordi passord ikke oppdateres, passord er glemt, 2FA-enhet eller passordgjenopprettingsmekanisme er utdatert, osv. Også dette burde adresseres i strategien.

Vennlig hilsen

Trond Markussen Audun Bøhn
President Konstituert generalsekretær