3 Lovforslagets hovedinnhold
3.1 Innledning
I høringsnotatet ble det foreslått å etablere frivillige sertifiserings- og godkjenningsordninger med hjemmel i lov om elektronisk signatur. Som generell merknad til lovforslaget har høringsinstansene nesten utelukkende vært positive til etableringen av frivillige sertifiserings- og godkjenningsordninger.
Høringsinstansenes merknader som knytter seg til konkrete punkter i lovforslaget vil bli behandlet under de respektive avsnittene i proposisjonen.
3.2 Forskriftshjemmelens formål og virkeområde
3.2.1 Høringsnotatet
I høringsnotatet uttalte departementet at forskriftshjemmelen skulle brukes til å høyne nivået på sertifikattjenester og derved bidra til å øke tilliten til og bruken av elektroniske signaturer/elektroniske legitimasjoner, jf. forslag til ny § 16 a. Hjemmelen skulle i første omgang brukes til å oppnå ønsket sidestilling mellom fysisk og elektronisk legitimasjon etter hvitvaskingsregelverket.
Departementet anbefalte i høringsnotatet at forskriftshjemmelen skulle utformes slik at den ga adgang til å etablere frivillige sertifiserings- eller godkjenningsordninger innenfor andre områder og med andre formål enn bare å akseptere elektronisk identifisering. Dette ville minimere risikoen for at man i løpet av kort tid skulle være nødt til å justere forskriftshjemmelen dersom det inntrådte behov for å etablere slike ordninger innenfor annet regelverk enn hvitvaskingsloven, eller med et annet formål enn å sidestille elektroniske legitimasjoner med fysiske legitimasjoner.
Departementet ønsket høringsinstansenes synspunkter på forslaget om å ta inn en forskriftshjemmel i lov om elektronisk signatur som gir adgang til å etablere frivillige sertifiserings- og godkjenningsordninger innenfor andre områder enn hva som er nødvendig for å følge opp Stortingets anmodningsvedtak. Departementet ønsket videre høringsinstansenes synspunkter på hvorvidt det er hensiktsmessig å ha en slik forskriftshjemmel i et sektornøytralt regelverk som lov om elektronisk signatur.
3.2.2 Høringsinstansenes syn
Det store flertallet av høringsinstansene bl.a. Justisdepartementet, Samferdselsdepartementet, Post- og teletilsynet, Justervesenet, Norges Autoriserte Regnskapsføreres Forening, Norsk Regnesentral, Skattedirektoratet, Telenor ASA, Statistisk sentralbyrå, Handels- og Servicenæringens Hovedorganisasjon og Norges Eiendomsmeglerforbund er positive til etablering av en frivillig sertifiserings- eller godkjenningsordning. Det er også bred enighet blant høringsinstansene om at det er fornuftig at hjemmelen for slike ordninger legges i sektornøytralt regelverk, dvs. i lov om elektronisk signatur.
Finansnæringens Hovedorganisasjon og Sparebankforeningen har motforestillinger til at det etableres en slik forskriftshjemmel i lov om elektronisk signatur. Begrunnelsen for dette er bl.a. at det etter deres mening vil innebære et fordyrende, begrensende og byråkratisk element i utviklingen av næringsinitierte løsninger for elektroniske signaturer. Statskonsult er av den oppfatning at forslaget burde begrenses til kun å ivareta behovet for å oppnå sidestilling mellom fysisk og elektronisk legitimasjon etter hvitvaskingsregelverket. Statskonsult er videre av den oppfatning at den foreslåtte ordningen vil kunne bidra til ytterligere kostnadsøkning, administrasjon og kompleksitet rundt bruken av elektroniske signaturer.
Konkurransetilsynet understreker i sitt høringssvar viktigheten av at kravene i frivillige sertifiseringsordninger ikke er diskriminerende.
Norsk Akkrediteringanbefaler at sertifiseringsordningen baseres på en akkreditert ordning, da det vil fremme en internasjonal harmonisering ved at internasjonale standarder kan anvendes.
3.2.3 Departementets vurderinger
Med den utvikling som har vært innenfor dette området det siste året er de grunner som ble fremført ved den alminnelige høringen for å ta inn en forskriftshjemmel for frivillige sertifiserings- eller godkjenningsordninger i lov om elektronisk signatur fortsatt relevante, og har sannsynligvis blitt enda mer vektige. I tillegg ønsker departementet å åpne for bruk av frivillige selvdeklarasjonsordninger der dette anses å være mer hensiktsmessig enn en frivillig sertifiserings- eller godkjenningsordning.
Departementet er ikke enig i at ordningene vil måtte bli fordyrende, begrensende og byråkratiske. Det vil være viktig for tilliten til og utbredelsen av elektroniske signaturer at slike ordninger kommer på plass. Ordningene vil videre kunne brukes til å koordinere kravene i forhold til elektronisk kommunikasjon. På denne måten vil ordningene kunne virke positivt på utbredelsen av elektroniske signaturer, ikke begrensende. Hvordan ordningene skal tilrettelegges må vurderes konkret ved utformingen av forskriftene. Departementet vil tilstrebe at ordningene skal bli minst mulig kostnadskrevende og byråkratiske. Konsekvensutredningen av ordningene kan imidlertid først gjøres i den konkrete sak, dvs. når forskriftshjemmelen blir benyttet og det i forskrift etableres sertifiseringsordninger mv. Forskriften vil bli sendt på alminnelig høring med adgang for høringsinstansene til å gi kommentarer til tekniske krav, prosedyrekrav ved sertifisering, godkjenning, selvdeklarasjon mv. og de konsekvenser dette vil ha for bl.a. næringslivet. For å oppfylle våre internasjonale forpliktelser etter direktiv om elektroniske signaturer (1999/93/EF) vil det være viktig at kravene til de frivillige sertifiseringsordningene mv. er klare, proporsjonale, transparente og ikke-diskriminerende. Som et generelt krav stilles at det ikke skal være noen begrensninger i antall sertifiserte tjenestetilbydere. De krav som stilles i de enkelte sertifiseringsordningene mv. må være slik at de ikke hemmer konkurransen på området.
Det er ikke ønskelig å begrense den foreslåtte forskriftshjemmelen til kun å omfatte akkreditert sertifisering. Allerede nå har departementet identifisert et behov for å foreta en sertifisering i henhold til enkelte av kravene i «Kravspesifikasjon for PKI i offentlig sektor». Denne kravspesifikasjonen er ikke en standard slik at den tilbys etter en akkreditert sertifiseringsordning.
Elektronisk kommunikasjon er i rask vekst. Det er en klar trend at ønsket om å kunne kommunisere elektronisk øker. Det pågår på mange områder arbeid med å legge til rette for elektronisk kommunikasjon, både sentralt f.eks. i det nylig etablerte Koordineringsorganet for eforvaltning, og i det enkelte regelverk, f.eks. i forslag til ny tvistelov (Ot.prp. nr. 51 (2004–2005)) og arbeidet med ny forskrift til lov om offentlige anskaffelser. Den foreslåtte forskriftshjemmelen kan brukes i arbeidet med å koordinere kravene i forhold til elektronisk kommunikasjon. På den måten kan man oppnå et harmonisert regelverk som vil virke positivt i forhold til bl.a. forutberegneligheten innenfor dette området. Forskriftshjemmelen vil kunne brukes til å knesette de konklusjoner som man på sentralt nivå har kommet til om hvilke krav som skal stilles til elektroniske signaturer, og bør ikke begrenses til kun bruk av elektronisk legitimasjon. De krav som reguleres i forskrift vil kunne brukes innenfor forskjellige regelverksområder, og på den måten vil man oppnå frivillig koordinering og harmonisering. Dette er viktig for å kunne oppnå effektiviseringspotensialet i det offentlige og verdiskapingspotensialet i det private. Denne forskriftshjemmelen vil ikke hindre at det kan utvikles andre løsninger for elektronisk identifikasjon utenfor rammen av lov om elektronisk signatur.
Med den foreslåtte forskriftshjemmelen vil departementet også følge opp arbeidet i VideRe-prosjektet (tidligere eRegelprosjektet). Prosjektets formål er å fjerne unødige rettslige hindringer for elektronisk kommunikasjon og at elektronisk kommunikasjon skal bli like akseptert, tillitsvekkende og ha samme juridiske holdbarhet som tradisjonell skriftlig kommunikasjon. Forskriftshjemmelen vil således kunne benyttes i arbeidet med å oppnå Regjeringens mål om at elektroniske og tradisjonelle tjenester skal likestilles, og at regelverket ikke skal lage unødvendige hindringer for elektronisk kommunikasjon.
Fordelen ved å legge forskriftshjemmelen i lov om elektronisk signatur er at loven er sektornøytral, i motsetning til f.eks. hvitvaskingsloven. På denne måten vil det være enklere og mer naturlig å ta i bruk forskriftshjemmelen for regulering i forhold til annet regelverk som skal legge til rette for bruk av elektronisk identifikasjon eller elektronisk kommunikasjon. En annen fordel er at man da kan bygge videre på eksisterende regulering av elektroniske signaturer og således bidra til å forenkle arbeidet med å legge til rette for elektronisk kommunikasjon på andre områder. Forskrift om elektronisk kommunikasjon med og i forvaltningen av 25. juni 2004 nr. 988 (eForvaltningsforskriften) § 27 kan ikke brukes som hjemmel i forhold til å sikre likestilling av fysisk og elektronisk legitimasjon etter hvitvaskingsregelverket, da forskriften kun omhandler elektronisk kommunikasjon med og i offentlig forvaltning.
Etter departementets vurdering er det hensiktsmessig å åpne for å kunne kreve gebyr for sertifiseringsordninger mv. Det foreslås derfor i § 16 a andre ledd at departementet i forskrift kan bestemme at det skal betales gebyr til organet som utpekes som ansvarlig for ordningene. Gebyret må imidlertid ikke overstige kostnadene ved organets virksomhet knyttet til den aktuelle ordningen.
3.3 Definisjon av sertifiserings-, godkjennings- og selvdeklarasjonsordning
3.3.1 Høringsforslaget
For å klargjøre hvilke type ordninger som kan etableres med hjemmel i lov om elektronisk signatur foreslo departementet i høringsnotatet begrepene frivillige sertifiserings- og godkjenningsordninger definert i loven. Definisjonen tok utgangspunkt i definisjonen av «frivillige akkrediteringsordninger» i artikkel 2 nr. 13 i direktivet om elektroniske signaturer. Begrepet var ment å omfatte både akkreditert og ikke-akkreditert sertifisering og godkjenning.
Videre foreslo departementet at begrepet «frivillig godkjenningsordning» i lov om elektronisk signatur § 25 annet ledd bokstav a skulle endres til «frivillig sertifiserings- eller godkjenningsordning» for å sørge for enhetlig begrepsbruk. Endringen var ikke ment å medføre materielle endringer.
I lov om elektronisk signatur § 15 første ledd bokstav b heter det at sertifikatutstedere ved avtaleinngåelse skal opplyse motparten om «eventuelle frivillige akkrediterings- eller sertifiseringsordninger». For å forhindre eventuell usikkerhet om forholdet mellom akkreditering og sertifisering foreslo departementet i høringsnotatet at «akkrediterings- eller sertifiseringsordninger» ble erstattet med «sertifiserings- eller godkjenningsordninger». Heller ikke denne endringen var ment å medføre materielle endringer.
3.3.2 Høringsinstansenes syn
Skattedirektoratet anbefaler at sertifiserings- og godkjenningsordninger defineres hver for seg. Justervesenet påpeker at lovforslagets definisjon ikke er lik definisjonen i direktivet. Samferdselsdepartementet savner en nærmere avgrensning av hvem som omfattes av «en tredje part».
Ingen av høringsinstansene hadde noen merknader til foreslåtte justeringer i §§ 15 og 25.
3.3.3 Departementets vurdering
Bestemmelsene i §§ 15 og 25 viser til både sertifiserings- og godkjenningsordninger. Det betyr at informasjonskravene etter disse bestemmelsene dekker både sertifiserings- og godkjenningsordninger etablert etter den foreslåtte forskriftshjemmelen og sertifiserings- eller godkjenningsordninger etablert på annen måte. I forhold til § 15 finner departementet det hensiktsmessig at informasjonskravene også skal gjelde for selvdeklarasjonsordninger. For øvrig vises det til merknadene til disse bestemmelsene.
Departementet finner det hensiktsmessig å definere sertifiserings- og godkjenningsordninger hver for seg. I tillegg vil begrepet selvdeklarasjonsordninger bli definert i loven. Alle begreper foreslås definert i lov om elektronisk signatur § 3 ny nr. 11, 12 og 13. Departementet finner det imidlertid for sammenhengens skyld nødvendig her å si noe mer om hva akkreditering innebærer og forklare en del begreper.
Ifølge direktivet om elektroniske signaturer (1999/93/EF) er det adgang til å etablere såkalte frivillige akkrediteringsordninger. Disse ordningene er definert på følgende måte i direktivet:
«enhver tillatelse som fastsetter rettigheter og forpliktelser for yting av sertifikattjenester, som skal utstedes på anmodning fra den berørte tilbyder av sertifikattjenester av det offentlige eller private organ som er pålagt å utarbeide og føre tilsyn med overholdelsen av slike rettigheter og forpliktelser, og der tilbyderen av sertifikattjenester ikke er berettiget til å utøve de rettighetene som tillatelsen gir, før vedkommende har mottatt organets beslutning».
EU-kommisjonen har bekreftet at bruken av begrepet «akkreditering» i direktivet er feil. Definisjonen i direktivet dekker både akkreditert sertifisering og andre typer av sertifiseringsordninger.
Akkreditering er en offisiell godkjennings- og tilsynsordning for sertifiseringsorgan og enkelte andre typer virksomheter. Akkrediteringen betyr at sertifiseringsorganets virksomhet er vurdert og blir overvåket av et akkrediteringsorgan. I Norge er Norsk Akkreditering, som er en del av Direktoratet for måleteknikk, det nasjonale akkrediteringsorgan. Når et sertifiseringsorgan er akkreditert betyr det at Norsk Akkreditering har vurdert sertifiseringsorganets kvalitetssystem og kompetanse og verifisert at det tilfredsstiller internasjonale krav til sertifiseringsorgan.
Akkreditert sertifisering er sertifisering utført av et akkreditert sertifiseringsorgan. Sertifiseringsorgan som utfører systemsertifisering er vurdert for hver enkelt bransje og kan bare utstede akkrediterte sertifikater i de bransjene der det har dokumentert kompetanse.
Sertifisering er en prosedyre der en tredjepart skriftlig bekrefter at et produkt, en prosess eller en tjeneste oppfyller spesifiserte krav. Med sertifisering menes når en tredje part gir en attestasjon/bekreftelse av produkter, prosesser, systemer og personer. Sertifisering omfatter alle typer av samsvarsvurderinger unntatt samsvarsvurdering av organet selv.
Godkjenning er en tillatelse til at et produkt, en prosess eller en tjeneste markedsføres eller brukes til angitte formål eller under angitte betingelser. Det som etter dette hovedsakelig skiller en godkjenningsordning fra en sertifiseringsordning er at mens sertifiseringsordningen kun inneholder formelle krav, vil en godkjenningsordning også angi hva det aktuelle produktet mv. skal kunne brukes til.
Selvdeklarasjon er en ordning der en tilbyder sender inn en registreringsmelding til en tredjepart, en «selvdeklarasjon», med angivelse av at nærmere angitte krav er oppfylt.
Sertifisering, godkjenning og mottak av selvdeklarasjon vil skje av en tredjepart, som kan være et offentlig eller privat organ. Departementet vil i forskrift utpeke ansvarlig organ for disse ordningene.
3.4 Øvrige forslag til endringer i lov om elektronisk signatur
3.4.1 Høringsnotatet
Departementet foreslo i høringsnotatet å åpne for å straffesanksjonere overtredelser av krav i forskrift hjemlet i ny § 16 a foretatt av sertifikatutsteder.
Høringsnotatet pekte også på behovet for å etablere ordninger for tilbakekalling av sertifiseringer eller godkjenninger slik at sertifikatutsteder ikke lenger vil kunne tilby sine produkter som sertifiserte/godkjente, samt mulighet for bruk av tvangsmulkt. Det ble påpekt at slike bestemmelser må tilpasses de ulike sertifiserings- eller godkjenningsordningene, og derfor burde reguleres nærmere i forskrift til § 16 a. Departementet foreslo at det i lov om elektronisk signatur § 21 første ledd bokstav e skulle tas inn en bestemmelse om at forsettlig eller grov uaktsom overtredelse av bestemmelser i forskrift hjemlet i § 16 a kan straffes med bøter.
3.4.2 Høringsinstansenes syn
Det er først og fremst i forhold til forslaget om straffebestemmelser i høringsnotatet at høringsinstansene har merknader.
Finansnæringens Hovedorganisasjonog Sparebankforeningen har ingen innvendinger til en ordning med tvangsmulkt som sanksjonsmiddel, men reagerer på at departementet i tillegg foreslår innført straffesanksjoner i § 21 ved brudd på forskrifter hjemlet i § 16 a. De viser i sin høringsuttalelse til at straff i tillegg til løpende tvangsmulkt kan oppleves som dobbeltstraff dersom sertifiserings- eller godkjenningsorganet er et offentlig organ. Finansnæringens Hovedorganisasjon og Sparebankforeningen kan heller ikke se at det er tilstrekkelig begrunnet hvorfor brudd på § 16 a skal straffes med fengsel ved særlig skjerpende omstendigheter, mens overtredelser av de øvrige lovbestemmelser er sanksjonert med bøter.
Justisdepartementet nevner at straffelovskommisjonen anbefaler at adferdsnormer tas inn i formell lov hvis det skal være adgang til å anvende fengsel ved overtredelse. Dette betyr at det bare kan ilegges bøter ved overtredelse av en forskrift. Utkast til § 21 første ledd bokstav e og § 21 tredje ledd åpner for ilegging av fengselsstraff ved overtredelse av forskrift, uten at hjemmelsbestemmelsen gir nærmere beskrivelse av adferdsnormen.
3.4.3 Departementets vurdering
Etter en nærmere vurdering har departementet valgt ikke å foreslå straffesanksjoner for overtredelser av krav i forskrift hjemlet i ny § 16 a, slik det ble foreslått i høringsnotatet, jf. høringsnotatets forslag til § 21 første ledd ny bokstav e og nytt siste ledd. Straff som sanksjonsform bør begrenses til grove lovbrudd, også fordi avgjørelse om straff ofte tar lang tid og er ressurskrevende. Departementet har vurdert alvorlighetsgraden i mulige overtredelser av den kommende forskriftsreguleringen og antar på bakgrunn av dette at det vil være tilstrekkelig med tilbakekall og eventuelt tvangsmulkt som reaksjoner ved brudd på forskriften. Det kan i den forbindelse nevnes at ulovlig bruk av en elektronisk signatur, f.eks. utstedelse av og bruk av «falsk» signatur eller ulovlig bruk av annens elektroniske signatur, vil kunne straffes i henhold til bl.a. straffelovens bestemmelser om dokumentfalsk og bedrageri. Departementet ser derfor ikke behov for ytterligere straffehjemler.
Tvangsmulkt er en vanlig administrativ reaksjonsform på en rekke områder der private aktører har bestemte plikter. Tvangsmulkt har ikke pønal karakter, men skal fungere som et fremtidig press for å fremtvinge en handling eller ytelse eller bringe et ulovlig forhold til opphør. Departementet fastholder sitt opprinnelige forslag om å hjemle bruk av tvangsmulkt i § 16 a. Det vil også være mulig for det ansvarlige organ å frafalle eller redusere tvangsmulkt, jf. forslaget i ny § 16 a tredje ledd og § 20. Dette gir etter departementets oppfatning tilstrekkelig rom for å kunne sikre at bruken av tvangsmulkt ikke får urimelige konsekvenser.
Departementet opprettholder forslaget om mulighet til å etablere ordninger hvor det ansvarlige organ kan tilbakekalle sertifiseringer/godkjenninger m.m. hvis sertifikatutsteder ikke lenger oppfyller kravene som er fastsatt med hjemmel i den foreslåtte forskriftshjemmelen. Departementet finner det naturlig at nærmere regler om dette gis i forskrift.