3 Endringsbehov
3.1 Elektronisk signatur
I lov om elektronisk signatur § 3 nr. 1 vert elektronisk signatur definert som «data i elektronisk form som er knyttet til andre elektroniske data og som brukes til å kontrollere at disse stammer fra den som fremstår som undertegner». I direktivet om elektronisk signatur vert elektronisk signatur definert som «data i elektronisk form som er tilknyttet eller logisk forbundet med andre elektroniske data og som fungerer som autentiseringsmetode», jf. artikkel 2 nr. 1.
Grunngjevinga for at lova sin definisjon skiljer seg frå definisjonen i direktivet er mellom anna at departementet meinte at omgrepet «autentiseringsmetode» er eit ukjent omgrep, og derfor lite egna til å bruke i ein lovtekst. Denne forskjellen medfører at lova sin definisjon er noko snevrare enn i direktivet.
I lova vert underteiknar definert som «den som disponerer et signatur-fremstillingssystem og som handler på vegne av seg selv eller på vegne av en annen fysisk eller juridisk person». Ein underteiknar vil alltid vere ein fysisk person, jf. Ot.prp. nr. 82 (1999-2000) side 49. Ved å vise til underteiknar, i staden for å bruke omgrepet «autentiseringsmetode», vil definisjonen av elektronisk signatur ikkje omfatte signaturar som ikkje direkte er knytt til ein person. Dette inneber at ein servar som signerer meldingar automatisk på vegne av verksemda, og utan at signaturen er knytt til ein person, ikkje er omfatta av definisjonen.
Denne innsnevringa påverkar like fullt ikkje lovas verkeområde, då lova regulerer kvalifiserte sertifikat, der det stilles krav om å gje opplysningar om underteiknarens (ein fysisk person) namn eller pseudonym, jf. § 4 andre ledd bokstav c.
Det var ikkje eit ønskje frå departementet si side å fråvike innhaldet i direktivet sin definisjon ved gjennomføringa av direktivet. På bakgrunn av at det er eit auka behov for å regulere elektronisk kommunikasjon, har det også vorte eit behov for mellom anna å definere elektronisk signatur i lover og forskrifter. Departementet meiner at det er teneleg å ha ein meir generell definisjon av omgrepet elektronisk signatur, slik at denne i størst mogleg grad kan brukast innanfor anna regulering utan å måtte justerast. På bakgrunn av dette foreslår departementet å justere definisjonen i lova, slik at ho blir tilnærma likelydande med direktivet sin definisjon.
3.2 Datatilsynet sin kompetanse
I lov om elektronisk signatur er det ei føresegn om innsamling og bruk av personopplysningar, § 7. I følgje lova skal Datatilsynet føre tilsyn med at denne føresegna vert etterlevd, jf. § 7 andre ledd.
Kapittel IV i lova omhandlar tilsyn og sanksjonar. Føresegna regulerer Post- og teletilsynet sin kompetanse til å kontrollere at utferdarar av kvalifiserte sertifikat følgjer lova sine krav. Føresegna omfattar såleis i utgangspunktet ikkje Datatilsynet sitt tilsyn etter lova. Sjølv om dette implisitt går fram av førearbeida til lova, jf. Ot.prp. nr. 82 (1999-2000) side 54, ser departementet behov for at dette vert klargjort, og at Datatilsynet får ein uttrykkeleg lovheimel til å foreta naudsynte åtgjerder for å sikre at krava i § 7 første ledd vert følgd.
Datatilsynet er tilsynsorgan etter både § 7 og personopplysningslova. Lov om elektronisk signatur avvik berre på to punkt i forhold til personopplysningslova, kva gjeld krav til innhenting og bruk av personopplysningar. Ifølgje lov om elektronisk signatur § 7 kan innsamling og bruk av personopplysningar berre skje på grunnlag av samtykkje frå den registrerte, jf. personopplysningslova § 8 første ledd. Dessutan finst det ei særleg straffeføresegn i lov om elektronisk signatur § 21 første ledd bokstav c, som erstattar personopplysningslovas § 48 om straff. Personopplysningslova sine reglar om mellom anna sikring, internkontroll, informasjonsplikt, samt tilsyn og sanksjonar skal også gjelde for sertifikatutferdarar. Det skal også bemerkast at § 7 gjeld alle sertifikatutferdarar, og ikkje berre dei som utferdar kvalifiserte sertifikat.
Det er neppe aktuelt for Datatilsynet å bruke andre verkemiddel enn dei som er heimla i personopplysningslova §§ 42-47. Det er følgjeleg naturleg at personopplysningslova §§ 42-47 gjeld tilsvarande for tilsynet si oppgåve etter lov om elektronisk signatur.
På bakgrunn av dette foreslår departementet at § 7 andre ledd vert justert på følgjande måte:
«Datatilsynet skal føre tilsyn med at denne bestemmelsen overholdes. I den utstrekning ikke annet følger av denne lov, kommer personopplysningsloven §§ 42-47 med forskrifter til anvendelse ved Datatilsynets kontroll etter første punktum.»
3.3 Rettsleg godkjenning av kvalifiserte sertifikat frå utferdarar etablerte utanfor EØS
Lova gjeld sertifikatutferdarar som er etablerte i Noreg.
§ 25 har reglar om rettsleg godkjenning av kvalifiserte sertifikat frå utferdarar etablerte utanfor Noreg. Departementet har funne behov for mindre tekniske justeringar, då gjennomføringa av direktivet i lov har skjedd med nokre ikkje tilsikta avvik.
§ 25 andre ledd bokstav a regulerer godkjenning av kvalifiserte sertifikat frå sertifikatutferdarar som er etablerte i land utanfor EØS, og som er blitt godkjende etter ei frivillig godkjenningsordning. Sjølv om ein sertifikatutferdar er etablert utanfor EØS, må produkta hans kunne tilbys fritt innanfor heile EØS, dersom dei oppfyller krava i direktivet. Det skal med andre ord ikkje vere nokon forskjell mellom ein «godkjent» sertifikatutferdar etablert innanfor EØS og utanfor EØS. På bakgrunn av dette kan det ikkje stillast krav om at sertifikatutferdarar utanfor EØS må oppfylle krava etter den norske lova. Det må vere tilstrekkeleg at utferdaren oppfyller krava i direktivet, slik dei er gjennomførte i ein EØS-stat. På bakgrunn av dette skal setninga «oppfyller kravene i denne lov» endrast til «oppfyller kravene i en EØS-stat», og «et medlemsland» skal endrast til «den staten».
§ 25 andre ledd bokstav b seier at eit kvalifisert sertifikat frå ein sertifikatutferdar etablert utanfor EØS skal likestillast med kvalifiserte sertifikat utferda innanfor EØS, så framt ein sertifikatutferdar etablert innanfor EØS garanterer for utferdaren. I lova stilles dessutan krav om at garantisten oppfyller lova sine krav, jf. direktivet artikkel 7 nr. 1 bokstav a. Direktivet stiller krav om at sertifikatutferdaren skal «oppfylle krav fastsatt i dette direktiv». Det er viktig å sikre fri flyt av «garanterte kvalifiserte sertifikater». Det er derfor tilstrekkeleg at ein sertifikatutferdar som er etablert innanfor EØS, og som ønskjer å garantere for ein annan sine sertifikat, oppfyller krava i direktivet, slik dei er gjennomførte i etableringslandet. Føresegna foreslås justert på følgjande måte: «en sertifikatutsteder som er etablert innen EØS, og som oppfyller kravene i etableringsstaten, garanterer for utstederen, eller...»
I § 25 andre ledd bokstav c har det vorte ståande «med» i staden for «mellom». Setninga skal vere som følgjer:
«...sertifikatet eller utstederen er anerkjent i henhold til multilaterale eller bilaterale avtaler mellom Norge eller EU og tredje land eller internasjonale organisasjoner».