6 Forordningens virkeområde

6.1 Forslaget

I høringsnotatet ble det presisert at det kun er tillitstjenester som tilbys til offentligheten og som har virkning overfor tredjemann, som omfattes av forordningen. Virkeområdet er følgelig avgrenset mot såkalt lukkede systemer. Imidlertid åpnes det for at medlemsstatene i gjennomføringen av forordningen kan la den få utvidet virkeområde også på dette feltet. I høringsnotatet trakk departementet frem forarbeidene til esignaturloven (Ot.prp. nr. 82 (1999–2000) s. 21 flg.) hvor det, under henvisning til forutberegnelighetshensyn og at grensegangen mellom lukkede og åpne nett er uklar, ble konkludert med at også utstedere av kvalifiserte sertifikater innenfor lukkede systemer og som registrerer seg hos tilsynet, skulle omfattes av loven.

Dersom dagens reguleringsmulighet for lukkede systemer mv. ønskes videreført er det et spørsmål om det kan gjøres ved å utvide virkeområdet for kvalifiserte tillitstjenester nasjonalt. Departementet gav i høringsnotatet uttrykk for skepsis med hensyn til en slik utvidelse av virkeområdet, og viste blant annet til at forordningens regulering gir tilbydere av kvalifiserte tillitstjenester vesentlig mer omfattende forpliktelser enn dagens esignaturlov, og omfatter langt flere tjenester. Departementet har derfor foreslått at reglene ikke får anvendelse på lukkede systemer i henhold til nasjonal lovgivning eller avtale mellom en avgrenset krets av personer.

6.2 Høringsinstansenes syn

De fleste instansene som har uttalt seg på dette punkt, deler departementets oppfatning, men flere uttaler at det er behov for en nærmere avklaring av hva begrepet «lukket system» omfatter. Buypass, Forbrukerombudet, NAV og Politidirektoratet (POD) er enige med departementet i at forordningens regler ikke bør anvendes på lukkede systemer. Denne oppfatningen støttes også av Finans Norge og BankID, som påpeker betydningen av en tilstrekkelig klar definisjon. Datatilsynet og Direktoratet for e-helse presiserer at det foreligger et behov for å avklare grensedragningen mellom lukkede og åpne systemer. Sistnevnte instans fremholder at dersom helsenettet defineres som et lukket system, vil dette kunne gi uheldige konsekvenser i forbindelse med andre regelverk som stiller krav til å bruke kvalifiserte sertifikater eller høyt sikkerhetsnivå, eksempelvis signering av e-resept og autentisering av kjernejournal. POD mener at det bør vurderes om ikke bare virksomhetsinterne, men også sektorinterne løsninger kan anses å være lukkede systemer, og viser til løsninger innenfor helse- og omsorgssektoren og internt i offentlig sektor.

Datatilsynet viser til at det i forkant av vedtakelsen av esignaturloven ble drøftet hvorvidt lukkede systemer skulle fritas fra kravene til kvalifiserte sertifikater, og at man den gang besluttet at også lukkede systemer måtte oppfylle lovens krav. Datatilsynet mener at argumentasjonen som lå til grunn for dette utgangspunktet, stadig er relevant, og uttaler at det uansett bør åpnes for at forordningen også skal gjelde lukkede systemer, i den grad disse systemene behandler sensitive og beskyttelsesverdige personopplysninger ut over en ren virksomhetsintern kontekst. NAV påpeker at det også i lukkede systemer vil være et behov for å ha standarder for tillitstjenester, og anser det som hensiktsmessig om Kravspesifikasjon for PKI i offentlig sektor tilpasses og videreutvikles. Nasjonal kommunikasjonsmyndighet (Nkom) kommenterer at dersom forordningens virkeområde ikke utvides, kan dette innebære at enkelte tilbydere som per i dag er registrert som tilbydere av kvalifiserte sertifikater som benyttes internt i virksomheten, i fremtiden ikke vil være å anse som tilbydere av kvalifisert sertifikat, og således heller ikke underlagt tilsyn.

6.3 Departementets vurdering

I forordningens art. 2 nr. 2 fremgår det at den ikke skal få anvendelse på tillitstjenester som utelukkende benyttes i lukkede systemer som følge av nasjonal lovgivning eller avtaler mellom en definert gruppe av deltakere. Dette er nærmere utdypet i fortalen, hvor det i pkt. 21 presiseres at forordningen særlig ikke bør omfatte «[l]evering av tjenester som utelukkende benyttes i lukkede systemer mellom en definert gruppe av deltakere, og som ikke har noen virkning for tredjemenn. Systemer som er opprettet i foretak eller innen offentlig forvaltning for å håndtere interne prosesser, og der det benyttes tillitstjenester, bør for eksempel ikke omfattes av kravene i denne forordning.» Departementet forstår det slik at det med dette blant annet tas sikte på å unnta interne systemer som ikke kommuniserer med aktører utenfor den aktuelle virksomheten.

Departementet antar at et system kan regnes for å være lukket også dersom det benyttes av mer enn én virksomhet, og mener at det i vurderingen bør legges vesentlig vekt på om systemet direkte eller indirekte berører tredjepersoner. Det avgjørende er at forordningen ikke kommer til anvendelse når en definert gruppe som kun samhandler seg imellom er enige om hvilken tillitstjeneste de vil anvende internt i gruppen. Et slikt system kan være virksomhetsinternt, uten at dette i seg selv er en forutsetning. For eksempel kan et system for elektronisk meldingsutveksling mellom departementene anses for å være et lukket system, fordi gruppen er forhåndsdefinert og tjenesten ikke benyttes mot tredjeparter.

Departementet er kjent med at den skisserte avgrensningen av forordningens virkeområde vil innebære at en gruppe tilbydere, som i dag er registrert som tilbydere av kvalifiserte sertifikater som benyttes internt i en virksomhet, i fremtiden ikke vil være underlagt tilsyn. Dette dreier seg imidlertid om en liten gruppe tilbydere, og enkelte av disse tilbyderne vil også tilby tjenester som omfattes av forordningens virkeområde, slik at de uansett vil være underlagt tilsyn.

Forordningen regulerer både kvalifiserte og ikke-kvalifiserte tillitstjenester, og dersom lukkede systemer skal omfattes, vil dette innebære en utvidelse av forordningens virkeområde som etter departementets oppfatning ikke korresponderer med regelverkets formål. Departementet anser derfor at det er hensiktsmessig med en avgrensning av lovens virkeområde mot lukkede systemer, og at en slik avgrensning er i tråd med forordningens intensjon og ivaretar hensynet til harmonisering. Departementet mener for øvrig at det ikke nødvendigvis vil være behov for samme grad av tillit og beskyttelse av partene i et internt system, som når en tillitstjeneste skal brukes i det åpne markedet.