Innspill om det offentliges behov for entydig identifikasjon ved bruk av digitale signaturer

Bakgrunn

Brønnøysundregistrene (BR), Skattedirektoratet (SKD) og Statistisk sentralbyrå (SSB) samarbeider om en felles satsing innenfor området elektronisk innrapportering fra næringslivet. Det forventes å gi innsparinger og bedre resultater både internt og eksternt. Samarbeidet organiseres i en samarbeidsgruppe sammensatt av deltakere fra de tre etatene. Deltakerne representerer de ulike satsinger innenfor området fra hver enkelt etat. Samarbeidsgruppens styrende organ er Samordningsforum, som består av de tre etatenes toppledere.

Så langt har den felles satsingen resultert i utvikling av en såkalt «avgiverløsning» for elektronisk innrapportering via diverse skjema. Dette er en EDI-løsning basert på EDIFACT-standarden, elektroniske skjema, e-post og med sikkerhetsløsninger for kryptering og digitale signaturer. For store deler av de data det er tale om er det behov for å ha sikkerhet for hvem avgiver er, at data eller signatur ikke er endret under transporten eller etter ankomst til mottaker, og at dette kan bevises i ettertid. Deler av datasendingen må av diskresjonshensyn også krypteres.

Entydig identifikasjon av personer og organisasjoner

I samhandlingen mellom det offentlige og borgerne i Norge benyttes fødselsnummer som entydig identifikasjon av enkeltpersoner. I overgangen til elektronisk samhandling mener vi det vil ha mange fordeler dersom det fortsatt kan være slik at fødselsnummeret benyttes som entydig identifikasjon. Pålitelighet, enkelhet, kostnader, markedsuavhengighet er stikkord for noen av fordelene. For at dette skal være mulig må sertifikater som utstedes til borgerne kunne knyttes til fødselsnummeret. Slike sertifikater kan kalles borgersertifikater.

Forvaltningsnettsamarbeidet (FNS) sine sertifikater baserer identifiseringen av individer på tilknytningen til en organisasjon. Det er generelt ikke mulig å knytte denne identifiseringen sammen med fødselsnummer.

Det er i det norske markedet flere aktører som ønsker å tilby nasjonale Tiltrodd Tredje Partstjenester (TTP). For at man skal kunne velge fritt mellom disse aktørene, må det være mulig å verifisere sertifikater utstedt av andre TTP'er enn den man har avtale med. Slik verifisering løses ved at TTP'ene inngår avtale om såkalt kryssertifisering.

Ved manglende kryssertifisering av borgersertifikater hos de TTP'er som skal operere i det norske markedet, vil man favorisere de TTP'er som velges av landsdekkende forvaltningsenheter. Dette fordi det da vil være et krav at borgerne får utstedt sertifikat fra den TTP som er valgt av den forvaltningsenheten man skal ha elektronisk samhandling med. Det begrenser borgernes frihet til å velge sin egen TTP-tjenesteleverandør.

Den avgiverløsningen som i dag er under utprøving baserer seg på bruk av borgersertifikater. De har foreløpig vært utstedt av Posten SDS. Så langt har man trodd at disse sertifikatene vil kunne benytte seg av den kryssertifiseringsavtalen som er inngått gjennom FNS.

Det viser seg imidlertid at den kryssertifiseringen av TTP'er som skjer gjennom FNS ikke løser de samarbeidende etaters behov.

Vi ber derfor om at utvalget i sin utredning tar hensyn til etatenes behov for å kunne identifisere enkeltindivider. Dette kan gjøres ved at det stilles krav til TTP'er om at de skal koble personlige sertifikater med fødselsnummer, og at alle TTP'er skal inngå avtale om kryssertifisering av denne type sertifikater (borgersertifikater).

Norge er i den heldige situasjon at det er bygget opp to nummerserier som entydig identifiserer hhv. alle personer og organisasjoner i landet, nemlig fødselsnummer og organisasjonsnummer. Vi mener det vil være nærliggende å benytte forvaltningsenhetene for disse nummerseriene (Det sentrale folkeregisteret og Enhetsregisteret) som navneautoritet i en nasjonal infrastruktur for PKI (Public Key Infrastructure).

Oslo 10. mai 2000

For BrønnøysundregistreneErik Fossum Direktør For Skattedirektoratet Bjarne Hope Skattedirektør For Statistisk sentralbyrå Svein Longva Adm. direktør