8 Elektronisk identifikasjon

8.1 Gjeldende rett

Elektroniske identitetsbevis (eID) reguleres i dag av Rammeverk for autentisering og uavviselighet ved elektronisk kommunikasjon i og med offentlig sektor, Kravspesifikasjon for PKI1 i offentlig sektor (v 2.0, juni 2010), selvdeklarasjonsforskriften av 21. november 2005 nr. 1296 og forskrift om utstedere av kvalifiserte sertifikater (begge fastsatt med hjemmel i esignaturloven).

eID brukes for identitetskontroll i elektroniske tjenester. Reguleringen av eID bærer preg av at det er flere aktører som har en rolle i forbindelse med utstedelse og bruk av identitetsbevisene.

Det er den enkelte tjenesteeier som vurderer behovet for sikkerhet og som eventuelt stiller krav om bruk av eID, herunder hvilke eID som kan aksepteres, for tilgang til etatens tjenester, jf. eforvaltningsforskriften § 4. Tjenesteeier «oversetter» sin risikovurdering til et valg mellom de forhåndsdefinerte sikkerhetsnivåene i rammeverket. ID-porten, som muliggjør innlogging til offentlige nett-tjenester, støtter i dag innlogging med eID-er på nivå 3 og 4 etter det norske rammeverket for autentisering og uavviselighet (de to høyeste sikkerhetsnivåene). MinID er på det nest høyeste nivå (nivå 3), mens eID-ene fra BankID, Buypass og Commfides er på det høyeste nivået (nivå 4). Som supplement til markedsaktørene har regjeringen besluttet at politiet skal utstede elektronisk ID (eID) på det høyeste sikkerhetsnivået, når det nasjonale ID-kortet kommer.

8.2 Forslaget

Forordningen etablerer en mulighet for medlemsstatene til å melde sine eID-løsninger til Kommisjonen. Meldte eID-løsninger på sikkerhetsnivåene betydelig og høy skal gjensidig anerkjennes for tilgang til offentlige nett-tjenester. Anerkjennelsesplikten påvirker ikke medlemsstatens rett til å avgjøre hvilket sikkerhetsnivå som skal kreves for tilgang til tjenestene. Forordningen etablerer heller ingen plikt til å melde egne eID-løsninger.

Forordningen krever ikke i seg selv noen endring i det norske rammeverket, eller i tjenesteeiernes vurdering av hvilket sikkerhetsnivå som skal kreves. Ved eventuell norsk melding av en eID-løsning skal det etableres en knytning mellom sikkerhetsnivået i det norske rammeverket og eIDAS' sikkerhetsnivåer for den meldte eID-løsningen, jf. art. 12 nr. 4 bokstav b. Det bør derfor vurderes nærmere om det er hensiktsmessig med justeringer i rammeverket.

Gjensidig anerkjennelse av eID (artikkel 6)

Plikten til gjensidig anerkjennelse av eID følger av art. 6. Når forvaltningen krever bruk av elektroniske identitetsbevis for å få tilgang til en nett-tjeneste, skal elektroniske identitetsbevis fra medlemslandenes meldte løsninger, gjensidig anerkjennes for grenseoverskridende pålogging til tjenesten. Det utenlandske identitetsbeviset må være på det samme eller ha et høyere sikkerhetsnivå etter forordningen, enn det nivået som brukes i den nasjonale tjenesten. Videre er anerkjennelsesplikten begrenset til offentlige tjenester som bruker elektronisk identitetsbevis på forordningens nivå betydelig eller høy, jf. forordningens art. 6 nr. 1 bokstav c.

Innholdet i anerkjennelsesplikten er ikke nærmere regulert. I høringsnotatet ga departementet uttrykk for at begrepet «gjensidig anerkjennelse» i utgangspunktet kan oppfattes på to ulike måter: Enten har norske myndigheter bare plikt til å anerkjenne andre EØS-lands notifiserte eID-løsninger etter forordningen dersom også norske løsninger er meldt, eller så har norske myndigheter plikt til å anerkjenne andre EØS-lands meldte eID-løsninger etter forordningen uavhengig av om norske løsninger er meldt.

Notifisering av elektronisk identifiseringsløsning (artikkel 7 og 9)

Artikkel 7 og 9 gir bestemmelser om hvordan elektroniske identifiseringsløsninger skal meldes.

En eID-løsning skal meldes etter en bestemt prosedyre. Kommisjonen offentligjør og oppdaterer jevnlig en liste over meldte systemer. Medlemsstaten kan også trekke meldinger, slik at de ikke lenger står på listen. Videre vil sikkerhetsbrudd i løsningen kunne føre til at den fjernes fra listen.

Medlemsstaten som melder en eID-løsning, innestår for at personer i løsningen er entydig identifiserte. Videre må medlemsstaten tilby en autentiseringsordning som sørger for at det er mulig for andre medlemsstater gratis å få validert elektroniske identitetsbevis fra løsningen ved bruk mot andre medlemsstaters offentlige tjenester. For eventuell bruk av identitetsbevisene mot privat sektor kan det stilles vilkår og betingelser for tilgang til autentiseringsordningen2, jf. art. 7 bokstav f, annet ledd og fortalen pkt. 17, tredje punktum. Selve anerkjennelsesplikten gjelder kun for offentlig sektor.

Sikkerhetsnivåer (artikkel 8)

Forordningen definerer i art. 8 tre sikkerhetsnivåer for elektronisk identifisering: lavt, betydelig og høyt sikkerhetsnivå. Kommisjonen har fastsatt nærmere bestemmelser om sikkerhetsnivåene i gjennomføringsrettsakt.3 Anerkjennelsesplikten gjelder bare for offentlige nett-tjenester som krever innlogging på et av de to høyeste sikkerhetsnivåene. Nivåene er teknologinøytrale, dvs. at de er beskrevet med skjønnspregede begreper, og derfor åpner for at nivåene kan oppnås med ulike teknologier. Både meldingsprosessen og regler om interoperabilitet (art. 12) skal sikre en felleseuropeisk forståelse av nivåene.

Sikkerhetsnivå angis av den medlemsstaten som melder. Ved uenighet, som ikke løses gjennom meldingsprosessen, vil spørsmålet i siste instans måtte avgjøres av EU-domstolen/EFTA-domstolen.

Sikkerhetshendelser (artikkel 10)

Hvis eID-løsningen utsettes for sikkerhetsbrudd, eller på annen måte kompromitteres slik at tilliten til den meldte løsningen svekkes, så har medlemsstaten plikt til å varsle Kommisjonen og medlemsstatene om dette. Løsningen skal også settes ut av drift så langt dette er nødvendig. Hvis manglene ikke utbedres, kan det føre til at den meldte løsningen trekkes fra listen.

Erstatningsansvar (Artikkel 11)

Medlemsstaten, eID-utstederen og autentiseringstjenestetilbyderen vil være erstatningsansvarlig i henhold til nasjonal rett for skader som oppstår på grunn av manglende oppfyllelse av sine plikter etter forordningen. Medlemsstaten har ansvaret for de unike identifiseringsopplysningene som representerer personen og at autentiseringsordningen er tilgjengelig, jf. art. 7 bokstav d og f, mens eID-utstederen er ansvarlig for at det elektroniske identitetsbeviset tildeles den aktuelle personen som opplysningene viser til, jf. art. 7 bokstav e.

Samarbeid og interoperabilitet (artikkel 12)

Forordningen inneholder bestemmelser som skal bidra til teknisk samordning og tillitsbyggende prosesser i forbindelse med gjensidig anerkjennelse av elektroniske identitetsbevis. Det skal etableres et interoperabilitetsrammeverk som skal tilrettelegge for samhandling mellom de ulike meldte eID-løsningene. Rammeverket skal blant annet fastsette tekniske minimumskrav og krav til hvilke identifiserende personopplysninger som minimum skal formidles om personene som identifiseres i meldte eID-løsninger. Videre skal det etableres et samarbeid mellom medlemsstatene om en faglig vurdering («peer review») av eID-løsninger, utveksling av informasjon, erfaringer og god praksis. Gjennomføringsrettsakt 2015/1501 fastsetter nærmere regler for dette. Det fastsettes blant annet et minste datasett som skal overføres for å identifisere innloggede personer. Medlemsstatene må ved melding avgjøre hvordan personen skal identifiseres. Et av spørsmålene vil være om nasjonalt identitetsnummer (for de landene som har det) skal utveksles ved elektronisk autentisering over landegrensene, på samme måte som at nummeret i dag fremgår av fysiske identitetsbevis som brukes på tvers av landegrensene. Hvilke identitetsopplysninger som oversendes, vil ha betydning for hvor enkelt personen kan gjenkjennes i den utenlandske tjenesten, og derved også være avgjørende for nytteverdien av den gjensidige anerkjennelsesplikten for eID-er.

For meldte eID-løsninger skal det etableres en knytning mellom sikkerhetsnivåene iht. nasjonalt rammeverk for de meldte eID-løsninger og eIDAS' sikkerhetsnivåer, jf. art. 12 nr. 4 bokstav b.

8.3 Høringsinstansenes syn

Flere høringsinstanser har kommentarer knyttet til anerkjennelsesplikten. Buypass, POD og Justisdepartementet mener anerkjennelsesplikten bør oppfattes slik at norske myndigheter har anerkjennelsesplikt uavhengig av om norske løsninger er meldte. POD mener at det er mulig å melde en eID-løsning på et lavere nivå enn hva løsningen brukes til nasjonalt.

Advokatforeningen skriver at det er uheldig at det er tolkningstvil om anerkjennelsespliktens utstrekning. POD viser i sin høringsuttalelse til at formålet med eIDAS er å tilrettelegge for grenseoverskridende tjenester, og antyder på bakgrunn av dette at det kan finnes nasjonale tjenester som ikke omfattes av anerkjennelsesplikten.

NSM peker på at sikkerhetskravene er beskrevet på overordnet nivå både i EU og i det norske rammeverket, og at det er vanskelig å konkludere med hensyn til om det er sammenfall mellom norsk nivå 4 og eIDAS-nivå høy. Et spesifiseringsarbeid er nødvendig før sammenligning kan foretas. POD anbefaler at Norge tilpasser kravene til eIDAS-nivåene, slik at vi også nasjonalt benytter eIDAS-sikkerhetsnivåer, i stedet for dagens nivå 3 og 4. Enkelte høringsinstanser mener det kan være behov for et høyere sikkerhetsnivå enn eIDAS høy.

Buypass påpeker at dagens nivå 4 er basert på bruk av kvalifiserte sertifikater for elektronisk signatur, og at en videreføring av en slik knytning til kvalifiserte sertifikater er ønskelig av hensyn til den omfattende sikkerhetsinfrastrukturen i helsesektoren.

POD og NSM mener det er nødvendig å etablere en norsk profil som konkretiserer kravene iht. eIDAS sikkerhetsnivåer.

Skatteetaten påpeker at forordningen kun regulerer autentiseringen, når europeiske innbyggere skal anvende offentlige tjenester i andre medlemsstater. Hvordan identifiseringen av personen skal skje, er ikke behandlet i forordningen. De ulike eID-ene autentiserer personen, og bekrefter at oppgitt identifikator er riktig. For de aller fleste offentlige norske tjenester vil det imidlertid også kreves en entydig norsk identifikator.

Flere høringsinstanser har trukket fram utfordringen mht. å knytte eIDAS-innlogginger til identiteter som er registrert i Folkeregisteret. Brønnøysundregistrene mener at uten slik knytning vil den gjensidige anerkjennelsen av eID i praksis bli innholdsløs.

POD anbefaler at Norge bør ha som ambisjon å notifisere en e-ID-løsning som gir norske innbyggere mulighet til å gjenbruke sin eID mot europeiske tjenester.

Difi påpeker at det for noen tjenester vil være krav om at den autentiserte kan knyttes til et nasjonalt identitetsnummer. Difi anbefaler også at det må kunne settes minimumskrav til erstatningsansvaret fra eID-utstederen eller medlemsstaten for eventuelt sviktende autentisering. I ID-porten benyttes i dag eID-leverandører som har erstatningsansvar på minst 5 000 kroner eller mer, bl.a. for brudd på pliktene i forbindelse med utstedelse av en eID.

8.4 Departementets vurdering

Forordningen vil kunne gjøre det enklere for innehavere av eID fra andre EØS-land å benytte norske offentlige nett-tjenester som bruker det relevante eIDAS-sikkerhetsnivået. Dette gjelder uavhengig av hvor personen fysisk oppholder seg, med andre ord også personer som fysisk befinner seg i Norge. Ved at de kan gjenbruke sin utenlandske eID, slipper de å skaffe seg et norsk elektronisk identitetsbevis for å benytte tjenestene. Tilsvarende vil norske nettbrukere kunne få mulighet til å gjenbruke sin eID i andre EØS-land. I hvilken grad slike gevinster oppnås, vil bero på hvilke eID-løsninger som meldes, hvilke eIDAS-sikkerhetsnivåer som tas i bruk, og hvordan innloggede brukere vil bli gjenkjent nasjonalt. En god kobling mellom nasjonalt identitetsnummer, som fødselsnummer og d-nummer hos oss, og opplysninger som følger med eID-en som benyttes, vil være en viktig suksessfaktor. For å få nytte av eIDAS må dette arbeidet prioriteres i tiden fremover.

Departementet mener at det bør være en ambisjon for Norge å melde minst én eID-løsning. I forslaget til lov gis Kongen myndighet til å fastsette hvilket organ som skal være meldingsmyndighet overfor Kommisjonen.

Anerkjennelsespliktens omfang

Vilkår for at anerkjennelsesplikten skal inntre er regulert i forordningens art. 6. Bestemmelsen omtaler en gjensidig anerkjennelsesplikt.

Flere høringsinstanser har synspunkter på hvordan den gjensidige anerkjennelsesplikten skal forstås, og at det er uheldig med tolkningstvil. Departementet legger imidlertid til grunn at spørsmålet får liten praktisk betydning, jf. at anerkjennelsesplikten bare gjelder situasjoner hvor virksomheten bruker et av de høyeste EU-sikkerhetsnivåene for å gi brukerne tilgang til tjenesten.

Etter departementets syn vil anerkjennelsespliktens nærmere innhold måtte avklares i praksis, og i siste instans av EFTA-/EU-domstolen. Nedenfor redegjøres det for departementets vurdering av innholdet i anerkjennelsesplikten.

Det er på det rene at anerkjennelsesplikten kun gjelder dersom medlemsstaten for den aktuelle tjenesten bruker en eID som er på sikkerhetsnivå betydelig eller høy. Dette fremgår av forordningen art. 6. Departementet vurderer det slik at det i utgangspunktet er et nasjonalt anliggende å beskrive hvilket nivå en eID-løsning tilfredsstiller, og om det har et tilsvarende eIDAS-nivå. Dersom medlemsstaten mener at det ikke finnes et tilsvarende nivå (eksempelvis at det nasjonale nivået er strengere enn eIDAS høy), vil det etter departementets syn ikke være noen anerkjennelsesplikt for tjenester som krever dette nivået.4 Ved melding pålegges imidlertid medlemsstaten å etablere en knytning mellom det aktuelle nasjonale sikkerhetsnivået og meldt eIDAS-sikkerhetsnivå. For meldte eID-løsninger foreligger det også et regime for utveksling av informasjon om sikkerhetsnivået blant annet for at det skal kunne foretas en fagfellevurdering fra andre medlemsland, jf. art. 12 nr. 4 bokstav b.

Departementet er enig i at det vil være mulig å melde en eID-løsning på et lavere nivå enn hva den faktisk oppfyller. Ved melding vil imidlertid medlemsstaten være pålagt å knytte sammen nasjonalt sikkerhetsnivå med det meldte nivået, jf. art. 12 nr. 4 bokstav b. Dersom øvrige vilkår i art. 6 er oppfylt, vil det derfor være anerkjennelsesplikt for andre meldte eID-løsninger på samme eller høyere nivå som den meldte.

Forordningen legger opp til at aktørenes erstatningsansvar beror på nasjonal rett. Dagens eID-leverandører i ID-porten har satt ansvarsbegrensninger. Etter gjeldende rett kan forvaltningen stille krav til bruk av sikkerhetstjenester, jf. eforvaltningsforskriften § 4. Departementet ser at det kan være uklarhet med hensyn til om slike krav også kan omfatte minstekrav til eID-leverandørenes erstatningsansvar, og foreslår derfor at spørsmålet kan forskriftsreguleres. Departementet vil presisere at forordningen ikke griper inn i medlemsstatenes rett til å velge sikkerhetsnivå for tjenester.

Virkningen av anerkjennelsesplikten vil i praksis begrenses av at tjenestene som regel har behov for at påloggingen knyttes til en norsk identifikator, og at den innloggede derfor ikke får tilgang før det er etablert en tilfredsstillende knytning til norsk identifikator, jf. venteromsproblematikken omtalt nedenfor.

Eventuell norsk melding

Slik sikkerhetsnivåene er blitt definert, anser departementet det som sannsynlig at Norge vil kunne melde flere eID-løsninger på høyeste eIDAS-sikkerhetsnivå. Det gjelder både eID på nasjonalt ID-kort og markedsløsningene som i dag brukes på sikkerhetsnivå 4 i ID-porten. Før eventuell norsk melding av eID-løsninger må kostnader og nytte ved meldingen vurderes.

I lovforslaget er det foreslått at Kongen fastsetter hvilket organ som skal være meldingsmyndighet overfor Kommisjonen. Det er foreløpig ikke tatt stilling til hvilke eID-løsninger som eventuelt bør meldes, men dette vil skje gjennom meldingsmyndigheten i samarbeid med aktuelle eID-utstedere.

I dag benyttes ID-porten som nav for innlogging til norske offentlige tjenester. Ved en eventuell innlogging med utenlandske meldte eID-er, vil ID-porten validere eID-en mot medlemsstatens gratis autentiseringsordninger. Dersom norske eID-er skal benyttes for innlogging i utenlandske tjenester, vil Norge måtte tilby en tilsvarende gratis autentiseringsordninger i ID-porten.

Sikkerhetsnivåer

I dag benyttes sikkerhetsnivåene fra «Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor». Departementet antar at det vil være relevant å se nærmere på hvorvidt det er behov for å harmonisere rammeverket og de norske sikkerhetsnivåene til eIDAS' sikkerhetsnivåer.

Gjennomføringsrettsakten for sikkerhetsnivåer er vesentlig mer detaljert enn det norske rammeverkets nivåbeskrivelser, men både eIDAS’ og norske sikkerhetsnivåer er definert ved hjelp av overordnede og teknologinøytrale krav. Dette er etter departementets syn ønskelig og nødvendig for å tilrettelegge for innovasjon og samspill mellom ulike tekniske løsninger.

Det er per i dag ingen dokumentasjon på at det foreligger et behov for et høyere sikkerhetsnivå enn eIDAS høyt. Etter departementets vurdering er det imidlertid ikke noe i veien for at det etableres et høyere nivå nasjonalt, altså at en tjeneste krever eID på et høyere nivå enn hva eIDAS tilbyr.

Identifiseringsutfordringer ved bruk av utenlandske identitetsbevis i Norge (venteromsproblematikken)

Anerkjennelsesplikten innebærer at eID-en skal anerkjennes som et bevis for identiteten til den innloggede, på samme måte som andre identitetsbevis innenfor samme sikkerhetsnivå. Det er imidlertid kun anerkjennelsen av autentiseringen som reguleres direkte av forordningen. Koblingen av identiteten mot nasjonale tjenester er ikke regulert eller løst gjennom forordningen. Dette må det etableres nasjonale løsninger for.

Hvorvidt det er behov for at en innlogget person identifiseres med et nasjonalt identitets-nummer, må tjenesteeierne vurdere. Knytningen til nasjonalt identitetsnummer reguleres ikke av forordningen, og må avklares nasjonalt.

Noen tjenester tilbyr pålogging for personer som ikke er registrert i Folkeregisteret. Slike tjenester vil kunne tilbys for personer som bruker utenlandsk eID selv om vedkommende ikke har en entydig identifikator. De fleste av forvaltningens digitale tjenester baserer seg imidlertid på at personene skal være registrert i Folkeregisteret med fødselsnummer eller d-nummer. Dette er for at man skal kunne gjenkjenne personen fra gang til gang og i ulike sammenhenger.

Forordningens gjennomføringsrettsakt 2015/1501 fastsetter et minste datasett som skal identifisere personen og utleveres ved bruk av eID-en. Fødselsdato, nåværende navn og en unik identifikator er obligatoriske elementer. Det er opp til medlemsstatene å bestemme hvordan den unike identifikatoren skal bygges opp, og om den skal inkludere et identitetsnummer som også brukes i andre sammenhenger, eksempelvis passnummer eller nasjonal identifikator, som svensk personnummer eller samordningsnummer. Valget av identifikator vil ha stor betydning for hvor enkelt det er å gjenkjenne personen for norske tjenester.

Det er en norsk oppgave å finne ut om personen er registrert i Folkeregisteret med fødselsnummer eller d-nummer fra før, og – hvis personen ikke er registrert – om personen skal registreres. Det finnes i dag nasjonale regler om slik registrering i folkeregisterforskriften. Forordningen gir ikke utlendinger flere rettigheter overfor norsk forvaltning enn i dag, og departementet vurderer det slik at forordningen ikke krever endring av dagens regelverk for tildeling av identitetsnumre i Folkeregisteret.

I arbeidet med gjennomføring av forordningen må det ses nærmere på hvordan personer som ikke har et norsk d-nummer eller fødselsnummer, kan gjenkjennes når vedkommende forsøker å identifisere seg med en utenlandsk eID fra en meldt løsning. Hvilke identifiseringsopplysninger som formidles fra autentiseringsordning, vil trolig variere fra medlemsstat til medlemsstat. For autentiseringsordninger som formidler et nasjonalt identitetsnummer for personen, kan det ligge bedre til rette for automatisert gjenkjenning (og knytning til vedkommendes norske identitetsnummer) enn for autentiseringsordninger som kun formidler et løpenummer. Gjenkjenningsutfordringen for identitetsbevis som ikke har norsk identitetsnummer, er i prinsippet den samme for utenlandske eID-er som for fysiske identitetsbevis.

Forordningen regulerer kun plikten til å anerkjenne identitetsbeviset, mens det er opp til Norge å avgjøre hvilke krav som skal stilles for å knytte personen til en identitet i norsk folkeregister. Det fremgår av forordningens fortale avsnitt 14 at anerkjennelsesplikten kun gjelder autentiseringen, mens kravene for tilgang til tjenester beror på nasjonal lovgivning.

I utredningen «Nordic digital identification (eID) – Survey and recommendations for cross border cooperation», som er utarbeidet for Nordisk Ministerråd, omtales dette som «venteromsproblematikken» – brukeren får logget seg på, identitetsbeviset anerkjennes, men brukeren er likevel ikke tilstrekkelig identifisert til å benytte selve tjenesten; personen havner på «venterommet». En av løsningene som vurderes, er at det elektroniske identitetsbeviset inneholder samme identifikatorer som fysiske identitetsbevis og at disse registreres i Folkeregisteret.

Det pågår et samarbeidsprosjekt mellom Difi og Skattedirektoratet for å se på løsninger for dette. I den grad det er behov for endringer i regelverk, vil eventuelle forslag måtte sendes på høring på vanlig måte. Funn så langt tyder på at noen tjenester vil kunne tilbys innloggede med utenlandske identitetsbevis, selv om personen ikke kan knyttes til en identitet i Folkeregisteret. De fleste tjenester synes imidlertid å forutsette en slik knytning. Det er viktig å finne gode løsninger for dette.