3 Nærmere om forordning (EU) nr. 910/2014

3.1 Formål og virkeområde

Forordningen har til hensikt å sikre et velfungerende indre marked, samtidig som man ivaretar et adekvat sikkerhetsnivå for elektronisk identifikasjon (eID) og tillitstjenester, jf. artikkel 1. Forordningen skal ivareta dette ved å:

• Fastsette på hvilke vilkår medlemsstatene skal anerkjenne elektroniske identifikasjonsmidler for fysiske og juridiske personer som omfattes av en meldt eID-ordning i en annen medlemsstat,

• Fastsette regler for tillitstjenester, spesielt for elektroniske transaksjoner, og

• Etablere et rettslig rammeverk for elektroniske signaturer, elektroniske segl, elektroniske tidsstempler, elektroniske dokumenter, elektronisk tjeneste for registrert sending og sertifikattjenester for nettstedsautentisering.

I art. 2 defineres virkeområdet. Forordningen gjelder for elektroniske identifikasjonsordninger som har blitt meldt inn av en medlemsstat. Videre gjelder den for tilbydere av tillitstjenester som er etablert i unionen. Hva som anses som en tillitstjeneste omtales i punkt 3.3. nedenfor.

Forordningen gjelder ikke for tillitstjenester som utelukkende er brukt innenfor lukkede systemer i henhold til nasjonal lovgivning eller avtale mellom en avgrenset krets av personer. Dette er utdypet i fortalen pkt. 21 på følgende måte:

«Denne forordning bør særlig ikke omfatte levering av tjenester som utelukkende benyttes i lukkede systemer mellom en definert gruppe av deltakere, og som ikke har noen virkning for tredjemenn. Systemer som er opprettet i foretak eller innen offentlig forvaltning for å håndtere interne prosesser, og der det benyttes tillitstjenester, bør for eksempel ikke omfattes av kravene i denne forordning.»

Forordningen får heller ikke innvirkning på nasjonal rett eller EU-rettslige regler om inngåelse av kontrakter og kontrakters gyldighet, eller andre rettslige og prosessuelle forpliktelser som gjelder formkrav, jf. art. 2 nr. 3.

Indre marked-prinsippet (art. 4)

I artikkel 4 stadfestes «indre marked-prinsippet», som innebærer at tilbydere av tillitstjenester har rett til, uten restriksjoner, å tilby sine tjenester i en annen medlemsstat, når tjenestens formål omfattes av forordningen. Videre skal det være fri bevegelighet for produkter og tjenester som er i samsvar med forordningen i EØS-området.

Personvern (art. 5)

Artikkel 5 nr. 1 fastsetter at behandling av personopplysninger skal skje i samsvar med EUs personverndirektiv (direktiv 95/46/EF)1. I fortalen pkt. 11 utdypes dette ved å vise til at autentisering i forbindelse med en online-tjeneste kun skal omfatte behandling av de identifikasjonsdata som er tilstrekkelige, relevante og ikke omfatter mer enn hva som er nødvendig for å gi adgang til den aktuelle tjenesten. Videre er det uttalt at tillitstjenestetilbydere og tilsynsorganer bør oppfylle kravene i direktiv 95/46/EF om konfidensialitet og behandlingssikkerhet. I art. 5 nr. 2 slås det fast at bruken av pseudonym skal være tillatt.

3.2 Elektronisk identifikasjon (kapittel II)

Forordningen innfører en innfører en plikt for offentlige myndigheter til å anerkjenne meldte elektroniske identitetsbevis fra andre medlemsland.

Forordningen definerer tre sikkerhetsnivåer; «lav», «betydelig» og «høy». Anerkjennelsesplikten gjelder for elektroniske tjenester som bruker eID-løsninger på sikkerhetsnivåene betydelig og høy.

Det utenlandske identitetsbeviset må være på et sikkerhetsnivå som er like høyt eller høyere enn det nivået som kreves i den nasjonale tjenesten.

Anerkjennelsesplikten påvirker ikke medlemsstatens rett til å stille krav for å få tilgang til ytelser eller tjenester. Medlemsstaten avgjør også selv hvilket sikkerhetsnivå som skal kreves. Det etableres heller ingen plikt til å melde egne eID-løsninger.

For å sikre tillit til at meldte eID-løsninger har tilfredsstillende sikkerhet er det fastsatt nærmere beskrivelser av sikkerhetsnivåene og prosedyrer for samarbeid mellom medlemslandene både i forbindelse med notifisering og forvaltning av løsningene. Det er også stilt minimumskrav til hvordan personer skal identifiseres.

3.3 Tillitstjenester (kapittel III)

Ved å regulere tillitstjenester legger forordningen til rette for å oppnå elektronisk samhandling mellom innbyggere i Europa. Tillitstjenestene er avgrenset til å omfatte de tjenestene som er tilgjengelige og omsettes på det åpne markedet.

Forordningen styrker eksisterende regler om elektronisk signatur og innfører regler om flere typer elektroniske tillitstjenester. Begrepet «tillitstjenester» er i art. 3 nr. 16 definert som en elektronisk tjeneste som normalt utføres mot betaling, og som består av fremstilling, kontroll og validering av elektroniske signaturer, elektroniske segl eller elektroniske tidsstempler, elektroniske registrerte leveringstjenester og sertifikater knyttet til disse tjenestene, eller fremstilling, kontroll og validering av sertifikater for nettstedsautentisering, eller lagring av elektroniske signaturer, segl eller sertifikater knyttet til disse tjenestene. De fleste kravene i forordningen gjelder for kvalifiserte tillitstjenester, som i art. 3 nr. 17 er definert som tillitstjenester som oppfyller forordningens krav.

3.4 Elektroniske dokumenter (kapittel IV)

Forordningen innfører en regel om at et elektronisk dokument ikke skal nektes rettsvirkning og gyldighet som bevis i forbindelse med rettergang alene av den grunn at det er elektronisk. Dette er allerede etablert praksis i Norge, men ikke i alle EU-land.