NOU 2001: 10

Uten penn og blekk— Bruk av digitale signaturer i elektronisk samhandling med og i forvaltningen

Til innholdsfortegnelse

3 Brev til utvalget

3.1 Brev fra Skattedirektoratet, Statistisk sentralbyrå og Brønnøysundregistrene, 10. mai 2000

Innspill om det offentliges behov for entydig identifikasjon ved bruk av digitale signaturer

Bakgrunn

Brønnøysundregistrene (BR), Skattedirektoratet (SKD) og Statistisk sentralbyrå (SSB) samarbeider om en felles satsing innenfor området elektronisk innrapportering fra næringslivet. Det forventes å gi innsparinger og bedre resultater både internt og eksternt. Samarbeidet organiseres i en samarbeidsgruppe sammensatt av deltakere fra de tre etatene. Deltakerne representerer de ulike satsinger innenfor området fra hver enkelt etat. Samarbeidsgruppens styrende organ er Samordningsforum, som består av de tre etatenes toppledere.

Så langt har den felles satsingen resultert i utvikling av en såkalt «avgiverløsning» for elektronisk innrapportering via diverse skjema. Dette er en EDI-løsning basert på EDIFACT-standarden, elektroniske skjema, e-post og med sikkerhetsløsninger for kryptering og digitale signaturer. For store deler av de data det er tale om er det behov for å ha sikkerhet for hvem avgiver er, at data eller signatur ikke er endret under transporten eller etter ankomst til mottaker, og at dette kan bevises i ettertid. Deler av datasendingen må av diskresjonshensyn også krypteres.

Entydig identifikasjon av personer og organisasjoner

I samhandlingen mellom det offentlige og borgerne i Norge benyttes fødselsnummer som entydig identifikasjon av enkeltpersoner. I overgangen til elektronisk samhandling mener vi det vil ha mange fordeler dersom det fortsatt kan være slik at fødselsnummeret benyttes som entydig identifikasjon. Pålitelighet, enkelhet, kostnader, markedsuavhengighet er stikkord for noen av fordelene. For at dette skal være mulig må sertifikater som utstedes til borgerne kunne knyttes til fødselsnummeret. Slike sertifikater kan kalles borgersertifikater.

Forvaltningsnettsamarbeidet (FNS) sine sertifikater baserer identifiseringen av individer på tilknytningen til en organisasjon. Det er generelt ikke mulig å knytte denne identifiseringen sammen med fødselsnummer.

Det er i det norske markedet flere aktører som ønsker å tilby nasjonale Tiltrodd Tredje Partstjenester (TTP). For at man skal kunne velge fritt mellom disse aktørene, må det være mulig å verifisere sertifikater utstedt av andre TTP'er enn den man har avtale med. Slik verifisering løses ved at TTP'ene inngår avtale om såkalt kryssertifisering.

Ved manglende kryssertifisering av borgersertifikater hos de TTP'er som skal operere i det norske markedet, vil man favorisere de TTP'er som velges av landsdekkende forvaltningsenheter. Dette fordi det da vil være et krav at borgerne får utstedt sertifikat fra den TTP som er valgt av den forvaltningsenheten man skal ha elektronisk samhandling med. Det begrenser borgernes frihet til å velge sin egen TTP-tjenesteleverandør.

Den avgiverløsningen som i dag er under utprøving baserer seg på bruk av borgersertifikater. De har foreløpig vært utstedt av Posten SDS. Så langt har man trodd at disse sertifikatene vil kunne benytte seg av den kryssertifiseringsavtalen som er inngått gjennom FNS.

Det viser seg imidlertid at den kryssertifiseringen av TTP'er som skjer gjennom FNS ikke løser de samarbeidende etaters behov.

Vi ber derfor om at utvalget i sin utredning tar hensyn til etatenes behov for å kunne identifisere enkeltindivider. Dette kan gjøres ved at det stilles krav til TTP'er om at de skal koble personlige sertifikater med fødselsnummer, og at alle TTP'er skal inngå avtale om kryssertifisering av denne type sertifikater (borgersertifikater).

Norge er i den heldige situasjon at det er bygget opp to nummerserier som entydig identifiserer hhv. alle personer og organisasjoner i landet, nemlig fødselsnummer og organisasjonsnummer. Vi mener det vil være nærliggende å benytte forvaltningsenhetene for disse nummerseriene (Det sentrale folkeregisteret og Enhetsregisteret) som navneautoritet i en nasjonal infrastruktur for PKI (Public Key Infrastructure).

Oslo 10. mai 2000

For BrønnøysundregistreneErik Fossum Direktør For Skattedirektoratet Bjarne Hope Skattedirektør For Statistisk sentralbyrå Svein Longva Adm. direktør

3.2 Brev fra Lånekassen 29. juni 2000

Borgerkort for studenter i Norge

I tilknytning til utvalgets arbeid vil Lånekassen benytte anledningen til å komme med noen innspill på områder som vil ha stor betydning for virksomhetens videre utvikling.

Med en aktiv kundegruppe på ca. 700 000 kunder stilles det bl.a. store krav til Lånekassens evne til informasjon og kommunikasjon. Utfordringen understrekes ved begrensede bemanningsressurser, og ved erfaringen at manuelle løsninger som telefon- og skrankebetjening, samt brev og masseutsendelser, i stadig mindre grad vil dekke opp for økte kundekrav om servicetilgjengelighet.

Til nå har Lånekassen kunnet tilby en løsning ved kassafon/kontofon hvor kundene hele døgnet har kunnet hente ut en del personlige kundeopplysninger. I disse dager tilbys nå samme tjeneste via en nettsvarløsning. Strategien for videre modernisering vil være å kunne tilby kundene ytterligere muligheter via internett, bla. gjennom innsending og behandling av søknader, innbetalings- og utbetalingsordninger, støttetjenester for egen beregning/simulering av lånevilkår. Sikkerhetsspørsmål og personlig identifisering gjennom digitale signaturer står her sentralt.

I den forbindelse kan nevnes noen forhold som utvalget kan ta i betraktning i sitt videre arbeid.

Gjennom samarbeidet med de nordiske «lånekasser» er vi kjent med forslaget og planene om å gi en «digital» signatur til alle unge i Danmark. I Finland er noe tilsvarende i gang ved utstedelse av såkalte «borgerkort».

Lånekassen er ofte den første offentlige virksomhet som de unge inngår personlige langvarige kontrakter med. Denne aldersgruppen er i tillegg meget aktiv i bruk av internett, og har forventninger om elektroniske tjenester. Det er ønskelig at de unge mellom 16 og 25 år får muligheter for sikker samhandling med Lånekassen gjennom bruk av PKI og kvalifiserte digitale signaturer.

Det vil være ønskelig at utstedelse av «borgerkort» inkluderer de unge, og gjerne at denne gruppen blir prioritert og får tildelt et «borgerkort» som et fellesløft fra staten. Det vises spesielt her til utvalgets mandat pkt. 7 om «behovet for elektronisk ID- kort i samband med offentlig tjenesteyting».

Dersom ressurser stilles til rådighet, kan allerede aktuelle løsninger kjøpes fra flere leverandører.

Lånekassen vil ellers uttrykke generell støtte til det arbeidet som utvalget utfører.

Med vennlig hilsen

Viktor Valnes

Underdirektør

Kopi: Utvalgsleder Katarina de Brisis

Arbeids- og administrasjonsdepartementet

Postboks 8004 Dep

0030 Os1o

Til forsiden