15 Merknader til de enkelte bestemmelsene
Kapittel I Alminnelige regler
Til § 1 Lovens formål
Bestemmelsen fastsetter lovens formål og følger opp direktivets målsettinger om å fremme en sikker bruk av elektronisk signatur. Lovforslaget innebærer en minimumsregulering av krav som stilles til elektroniske sertifikater med et nærmere fastlagt sikkerhetsnivå som omtales som kvalifisert, til sertifikatutstedere og til sikre signaturfremstillingssystem. Lovforslaget skal dermed sikre at det på markedet er produkter og sertifikatutstedere som oppfyller en rekke krav som skal gjøre dem sikre å bruke.
Det ville ikke være hensiktsmessig å regulerer alle typer elektroniske signaturer og tilhørende sertifikater i denne loven. Det er derfor frivillig hvorvidt en sertifikatutsteder ønsker å tilby kvalifiserte sertifikater som reguleres av dette lovforslaget, eller om de vil tilby sertifikater på et annet sikkerhetsnivå og dermed falle utenfor dette regimet.
Til § 2 Lovens virkeområde
Bestemmelsen angir saklig og geografisk virkeområde for lovforslaget. Det følger av første ledd at loven gjelder sertifikatutstedere som er etablert i Norge. Det stilles ikke krav til utstedere som er etablert i andre land. Bestemmelsen gjennomfører dermed artikkel 4 i direktivet som bl.a. fastsetter at hvert medlemsland skal anvende nasjonale bestemmelser vedtatt i henhold til direktivet på utstedere etablert på deres territorium. Forholdet til sertifikater fra utstedere etablert i andre land reguleres i § 25.
Loven gjelder i hovedsak sertifikatutstedere som tilbyr kvalifiserte sertifikater. Sertifikatutstederne faller dermed utenfor lovens område ved å tilby sertifikater på et annet sikkerhetsnivå eller ved ikke å kalle sine sertifikater for kvalifiserte. Sertifikatutstedere kan ikke utstede kvalifiserte sertifikater før de har sendt registreringsmelding til tilsynet. For å falle inn under denne lovreguleringen må sertifikatutstederen altså registrere seg hos tilsynet etter lovforslaget § 18, slik at utstederen omfattes av tilsynet.
To av lovens bestemmelser gjelder alle elektroniske signaturer og elektroniske sertifikater. Dette er nærmere presisert i første ledd hvor det fremgår at § 6 annet punktum og § 7 gjelder alle elektroniske signaturer og sertifikatutstedere.
Annet ledd gir Kongen kompetanse til å bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen.
Til § 3 Definisjoner
Bestemmelsen bygger på direktivets artikkel 2 og definerer en del begreper som er sentrale i lovforslaget. Kvalifisert sertifikat og sikkert signaturfremstillingssystem er definert i en egne paragrafer, henholdsvis §§ 4 og 8.
Nr. 1 definerer elektronisk signatur. Lovforslaget er basert på prinsippet om teknologinøytralitet. Elektronisk signatur skal omfatte alle former for elektroniske autentiseringsmetoder og er således et svært vidt begrep. Definisjonen stiller krav om at signaturen skal kunne bekrefte hvem som er undertegner. Denne funksjonen omtales som autentisering.
Den mest utbredte elektroniske signaturteknologien i dag er den såkalte digitale signaturen som er basert på et system med en privat og en offentlig signaturnøkkel (i direktivet benevnt som henholdsvis signaturfremstillingsdata og signaturverifikasjonsdata). Videre omfatter lovforslaget andre elektroniske systemer som er beregnet til identifikasjon av brukeren som f.eks. koder og biometriske verdier. Elektronisk og digital signatur er nærmere forklart i kapittel 3.1.
Nr. 2 definerer avansert elektronisk signatur. Definisjonen omfatter det man i dag kaller en digital signatur, jf. kapittel 3.1, men er i prinsippet noe videre slik at den også skal kunne omfatte andre fremtidige teknikker. Den avanserte elektroniske signaturen skal ifølge bokstavene a) og b) sikre autentisering av undertegner ved at avsender knyttes til meldingens innhold og at signaturen identifiserer undertegner. Dette bidrar dessuten til å sikre at avsender ikke senere kan nekte for å ha sendt dokumentet. Funksjonen kalles ikke-benekting. Uttrykket «kan identifisere undertegneren» i b) innebærer et krav om at den avanserte signaturen faktisk skal kunne identifisere undertegner. Dette er altså ikke å forstå som en valgfri mulighet. Det er ikke hensiktsmessig å spesifisere i lovteksten hva som kreves for at undertegner er identifisert. Dette vil kunne endre seg ved f.eks. at det kan åpnes for at personnummer kan brukes. Videre skal avsender ifølge bokstav c) kunne ha kontroll over midlene signaturen er laget ved hjelp av. Da reduseres faren for at en tredjemann skal kunne bruke signaturen urettmessig. Dessuten betyr dette at en avansert elektronisk signatur ikke skal anvendes av flere personer. Kravet i bokstav d) skal sikre dokumentets integritet, dvs. at man kan være sikker på at inneholdet i det signerte dokumentet ikke har blitt forandret på vei til mottaker.
Nr. 3definerer kvalifisert elektronisk signatur, som særlig er relevant for bestemmelsen om elektroniske signaturers rettsvirkninger, jf. § 6.
Nr. 4 definerer undertegner, som er den fysiske personen som signerer dokumentet elektronisk. «Undertegner» omfatter ikke en person som urettmessig har tilegnet seg et signaturfremstillingssystem, men den som i sertifikatet er utpekt som undertegner. Signaturen og nødvendige signaturfremstillingssystem og data kan imidlertid eies av noen andre, typisk en arbeidsgiver, men disponeres av undertegner. Undertegner kan således handle på vegne av andre fysiske eller juridiske personer. Her kommer vanlige regler om fullmakt mv. til anvendelse.
Nr. 5definerer hva som forstås med signaturfremstillingsdata. Signaturfremstillingsdata er de data som anvendes til å frembringe den elektroniske signaturen. I den digitale signaturteknologien kalles signaturfremstillingsdata for den private nøkkelen.
I nr. 6fastlegges hva som forstås med et signaturfremstillingssystem. Et signaturfremstillingssystem er det systemet som brukes til å lage den elektroniske signaturen. Signaturfremstillingssystemet anvender signaturfremstillingsdataene til å fremstille signaturen. Systemet kan være både programvare og maskinvare. En mulig maskinvareløsning er for eksempel signaturfremstillingsdata lagret på et såkalt smartkort (en chip på et plastkort). En programvarebasert løsning vil typisk være en del av et elektronisk post-program i en datamaskin.
Nr. 7definerer signaturverifikasjonsdata. Dette er de data som brukes til å verifisere at meldingen fra avsender er «ekte», dvs. den offentlige delen av nøkkelparet jf. kapittel 3.1.
Nr. 8 fastsetter hva som forstås med et signaturverifikasjonssystem. Det er et produkt, programvare eller maskinvare, som brukes til å verifisere den elektroniske signaturen ved å anvende signaturverifikasjonsdata, eller den offentlige nøkkelen.
I nr.9 defineres et sertifikat. Sertifikatet knytter signaturverifikasjonsdata til et entydig navn og er således en kopling mellom disse. Sertifikatet inneholder med andre ord opplysninger om hvem som er undertegner. Undertegneren er den personen som disponerer et signaturfremstillingssystem, jf. ovenfor, og som regel den som inngår en avtale med en sertifikatutsteder om utstedelse av et sertifikat. Se mer om dette i kapittel 3.3. I § 4 oppstilles kravene til et kvalifisert sertifikat.
I nr. 10 defineres en sertifikatutsteder. Benevnelsen brukes om en rekke funksjoner som sertifikatutstederen kan oppfylle. Disse tjenestene kan imidlertid utstederen også helt eller delvis sette bort til andre, av den grunn står det i definisjonen «eller tilbyr...».
Kjernefunksjonen for en sertifikatutsteder er å garantere sammenhengen mellom undertegner og opplysningene i sertifikatet. Ved å bruke sikre rutiner ved innhenting av opplysninger og utstedelse av sertifikater sikres koplingen mellom person og opplysningene i sertifikatet. Denne garantien manifesteres ved at sertifikatet signeres av utstederen. Det vil på den måten fremgå av sertifikatet hvem som har utstedt det, og denne utstederen er ansvarlig i forhold til erstatningsbestemmelsen i § 22.
Andre sentrale tjenester en sertifikatutsteder kan tilby selv, eller sette ut til andre, er identitetskontroll, tildeling av navn, katalog- og tilbaketrekkingstjenester. Dersom andre utfører tjenester på vegne av sertifikatutsteder må også de oppfylle kravene loven stiller til den aktuelle tjenesten. Videre står utstederen fritt til å tilby en rekke relaterte tjenesteytelser, f.eks. valideringstjenester, tidsstempling, arkivering eller konsulenttjenester i forbindelse med elektroniske signaturer. Begrepet «tjenester relatert til elektronisk signatur» er et dynamisk begrep som skal tolkes i lys av utviklingen i markedet. Også av hensyn til at begrepet i størst mulig grad skal være teknologinøytralt er det ikke hensiktsmessig å avgrense begrepet nærmere.
Til § 4 Kvalifisert sertifikat
Bestemmelsen oppstiller krav til et sertifikat med et bestemt sikkerhetsnivå og bygger på direktivets definisjon av et kvalifisert sertifikat i artikkel 2 nr. 10 og vilkårene som oppstilles til slike sertifikater i direktivets vedlegg I. Det følger av lovforslagets system at det må anvendes et kvalifisert sertifikat for at reglene om erstatning og enkelte sider ved rettsvirkningene skal komme til anvendelse. Kravene til et kvalifisert sertifikat er dermed minimumskrav som må være oppfylt for at hoveddelen av bestemmelsene i denne lov skal komme til anvendelse. Dette fremgår av første ledd.
Det følger av annet ledd bokstav a)at det skal fremgå direkte av sertifikatet hvorvidt det er kvalifisert eller ikke. Det er ikke tilstrekkelig med en henvisning til et annet dokument, for eksempel en sertifikatpolicy, hvor dette fremgår.
Annet ledd bokstav b)slår fast at det skal fremgå av sertifikatet hvilken utsteder som har utstedt det. Det er denne sertifikatutstederen som er erstatningsansvarlig i henhold til § 22 så fremt ingen annen har garantert for sertifikatet.
Annet ledd bokstav c)oppstiller krav om at undertegners navn eller pseudonym skal fremgå av sertifikatet. Dersom et pseudonym er benyttet skal dette alltid fremgå av sertifikatet. Om bruk av pseudonym, se nærmere kapittel 8.5.
Annet ledd bokstav d) krever at sertifikatet inneholder ytterligere opplysninger om undertegneren. Hva som anses som relevante opplysninger avhenger av formålet med sertifikatet. Er det f.eks. tale om et sertifikat som bare skal brukes til kommunikasjon med et forsikringsselskap, kan det være hensiktsmessig å la sertifikatet inneholde undertegners polisenummer. I hovedsak vil disse ytterligere opplysningene være opplysninger som er nødvendige for å sikre en entydig identifikasjon av undertegner.
Annet ledd bokstav e) krever at det kvalifiserte sertifikatet inneholder de signaturverifiseringsdata som korresponderer med undertegnerens signaturfremstillingsdata. I den digitale signatur-teknologien innebærer dette at sertifikatet må inneholde den offentlige nøkkelen som korresponderer til undertegners private nøkkel. Ved å stille et slikt krav vil det være mulig for mottakere å kontrollere den elektroniske signaturen umiddelbart etter mottakelsen av dokumentet, så lenge mottaker har nødvendig teknisk utrustning. Mottaker slipper å måtte henvende seg til sertifikatutstederen eller noen andre for å få tilgang til signaturverifikasjonsdataene.
Ifølge annet ledd bokstav f) kreves det at et kvalifisert sertifikat inneholder ikrafttredelse- og utløpsdato. Det må imidlertid være opp til markedet å nærmere bestemme hvor lenge et sertifikat skal være gyldig. Det må bl.a. tas hensyn til den raske tekniske utviklingen på området.
Annet ledd bokstav g) krever at et kvalifisert sertifikat skal inneholde en unik identifikasjonskode, et såkalt referansenummer. Det skal således være mulig å identifisere sertifikatet entydig.
Annet ledd bokstav h) krever at sertifikatet er undertegnet med sertifikatutstederens avanserte elektroniske signatur. Av dette vil det fremgå hvilken sertifikatutsteder som utstedte det, og det sikres at sertifikatet ikke kan endres uten at det oppdages.
Annet ledd bokstav i) og j) gir sertifikatutsteder mulighet til å fastsette anvendelses- og beløpsmessige begrensninger for bruken av sertifikatet. Når en sertifikatutsteder fastsetter slike begrensninger for bruken av sertifikatet skal dette fremgå av sertifikatet. Eventuelle begrensninger i sertifikatets bruksområde må umiddelbart fremstå for en tredjemann dersom denne skal kunne ha tillit til den elektroniske signaturen. Det kreves derfor at slike begrensninger fremgår direkte av sertifikatet. Her må man imidlertid være klar over at hvordan programvaren er installert kan ha betydning for hvordan informasjonen fremgår, selv om informasjonen finnes i sertifikatet.
Bestemmelsen må ses i sammenheng med bestemmelsen om erstatningsansvar, hvor det fremgår at sertifikatutsteder ikke er ansvarlig for tap som oppstår som følge av anvendelse utenfor de fastsatte begrensningene, jf. § 22.
Tredje ledd gir Kongen kompetanse til å fastsette nærmere krav til hva et kvalifisert sertifikat skal inneholde.
Til § 5 Krav til kvalifiserte elektroniske signaturer brukt i kommunikasjon med og i offentlig sektor
Bestemmelsen gir Kongen hjemmel til å regulere bruken av kvalifiserte elektroniske signaturer ved kommunikasjon med og i offentlig sektor. Bakgrunnen for bestemmelsen er at direktivet åpner for at det kan stilles supplerende krav til bruk av elektroniske signaturer innen offentlig sektor, jf. direktivets artikkel 3 nr. 7. Disse supplerende kravene skal være objektive, klare, forholdsmessige og ikke-diskriminerende. Videre skal tilleggskravene kun stilles i forhold til det aktuelle anvendelsesområdet og de spesielle behov som her gjør seg gjeldende. Det må altså gjøres en konkret vurdering i forhold til det bestemte anvendelsesområde av hvorvidt tilleggskrav er nødvendig.
Til § 6 Rettsvirkningen av elektronisk signatur
Bestemmelsen bygger på direktivets bestemmelser om rettsvirkninger i artikkel 5 nr. 1 bokstav a) og artikkel 3 nr. 7. Artikkel 5 nr. 1 bokstav b) og nr. 2 er ikke implementert i loven, da de er i samsvar med gjeldende rett, jf. kapittel 8.10.1.
Et krav om underskrift eller signatur vil alltid være oppfylt av en kvalifisert elektronisk signatur, på samme måte som en håndskreven underskrift, såfremt lovgivningen åpner for at disposisjonen kan gjennomføres elektronisk. Uttrykket «disposisjonen kan gjennomføres elektronisk» viser til at det må være rettslig adgang til å kommunisere elektronisk innen det aktuelle rettsområdet og sier ikke noe om tekniske muligheter. Bestemmelsen likestiller under gitte forutsetninger rettsvirkningene av en kvalifisert elektronisk signatur med håndskreven underskrift. Andre elektroniske signaturer kan også anses å tilfredsstille slikt krav om underskrift, men da ut fra en konkret vurdering i det enkelte tilfelle, jf. prinsippet i norsk rett om fri bevisføring og fri bevisvurdering. Se nærmere om bestemmelsen om rettsvirkning i kapittel 8.10.
Til § 7 Innsamling og bruk av personopplysninger
Første ledd implementerer artikkel 8 nr. 2 i direktivet og stiller krav om hvordan en sertifikatutsteder kan innhente og behandle personopplysninger. Bestemmelsen stiller strengere krav enn personopplysningsloven og er nærmere omtalt i kapittel 11.
Det presiseres at bestemmelsen gjelder alle sertifikatutstedere, også de som ikke tilbyr kvalifiserte sertifikater. Dette følger av bestemmelsens første punktum som stiller krav til «en sertifikatutsteder».
I annet ledd utpekes Datatilsynet til å føre tilsyn med at personopplysninger samles inn og brukes i overensstemmelse med denne bestemmelsen.
Kapittel II Sikre signaturfremstillingssystem
Til § 8 Krav til sikre signaturfremstillingssystem
Bestemmelsen bygger på direktivets vedlegg III som stiller bestemte krav til et signaturfremstillingssystem, for at det skal ha et bestemt sikkerhetsnivå. Signaturfremstillingssystem med et slikt «høyere» sikkerhetsnivå må benyttes for at den elektroniske signaturen skal få rettsvirkninger etter § 6.
Første leddstiller bl.a. krav til at signaturfremstillingssystemet skal beskytte signaturen mot forfalskning.
Annet leddstiller krav om at signaturfremstillingssystemet ikke skal forandre dataene. Dette er bl.a. viktig for å sikre dataenes integritet. Videre er det viktig at undertegner kan se dataene ved undertegningen slik at hun kan være sikker på hva som har blitt undertegnet og sendt til mottaker. Her er det avgjørende at programvaren er installert på en slik måte at signeringen skjer korrekt, og at programvaren ikke er blitt modifisert slik at man signerer og sender noe annet enn det man ser. Dette er et sårbart punkt, og man må velge programvareløsninger man har tillit til at fungerer som forutsatt.
Til § 9 Godkjennelse av sikre signaturfremstillingssystem
Bestemmelsen bygger på direktivets artikkel 3 nr. 4 og nr. 5.
Kommisjonen skal fastsette kriterier for valg av nasjonalt organ som skal godkjenne sikre signaturfremstillingssystem etter første ledd, jf. direktivets artikkel 3 nr. 4. Kongen oppnevner et slikt organ, se kapittel 8.8.
Etter annet leddskal en godkjennelse av et slik nasjonalt organ likestilles med en godkjennelse fra et organ utpekt etter tilsvarende regler i et annet EØS-land.
Det følger av tredje ledd at kravene i § 8 er oppfylt når signaturfremstillingssystemene er i samsvar med bestemte standarder som Europakommisjonen fastsetter. Dersom man oppfyller gitte standarder kreves ikke godkjennelse av utpekt organ etter første eller annet ledd. Se mer om fastsettelsen av standardene under kapittel 8.8.
Kapittel III Krav til utstedere av kvalifiserte sertifikater
Bestemmelsene i dette kapittelet bygger på direktivets vedlegg II. Kapittelet stiller krav til de sertifikattjenestene som benyttes ved utstedelse av kvalifiserte sertifikater. Det stilles altså krav både til den som utsteder det kvalifiserte sertifikatet og til de som på vegne av utsteder oppfyller andre oppgaver i forbindelse med håndteringen av de kvalifiserte sertifikatene. Utstedere av andre sertifikater enn kvalifiserte reguleres ikke av dette kapittelet. Se ellers om kvalifiserte sertifikater i kapittel 8.4. Om sertifikatutsteder og krav til sertifikatutsteder, se kapittel 8.2 og 8.3.
Til § 10 Krav til virksomheten
Bestemmelsen implementerer direktivets vedlegg II bokstav (a), (e) og (h).
Det følger av første ledd at utstedere av kvalifiserte sertifikater fortløpende skal treffe nødvendige juridiske, organisatoriske, tekniske, samt personal-, drifts-, og sikkerhetsmessige disposisjoner for å kunne tilby sikre og velfungerende tjenester. Dette følger av formuleringen «utøve og administrere virksomheten på en forsvarlig måte». Hva som vil være nødvendige disposisjoner for å oppfylle kravene i første ledd, vurderes ut i fra hvilke tjenester som tilbys og til hvilke kundegrupper. Sertifikatutstederen må løpende vurdere disposisjonene dersom porteføljen av tilbudte tjenesteytelser utvides eller på annen måte endres.
I forhold til de tjenesteytelser som tilbys skal utstederen ha personale med nødvendig ekspertise, erfaring og kvalifikasjoner, særlig når det gjelder ledelse, teknikk og sikkerhet. Personalet skal ha sakkunnskap innenfor teknologien for elektroniske signaturer og inngående kjennskap til korrekte sikkerhetsprosedyrer. Kravet oppstilles for å sikre at risikoen for menneskelige feil minimaliseres. Personalet skal ha kjennskap til de systemer og produkter som anvendes for å unngå fare for sikkerhetsbrudd. Sertifikatutsteder skal følge anerkjente standarder innen administrative og ledelsesmessige prosedyrer.
Etter annet ledd skal utstedere av kvalifiserte sertifikater til enhver tid ha tilstrekkelige økonomiske ressurser til å kunne drive virksomheten i henhold til kravene i lovforslaget, herunder ha evne til å kunne bære et eventuelt erstatningsansvar. Hvorvidt en utsteder har tilstrekkelige økonomiske ressurser vil bl.a. avhenge av hvilke tjenester som tilbys og eventuelle begrensninger i sertifikatet, jf. § 4 annet ledd bokstav i) og j). Dette betyr at dersom utstederen tilbyr tjenesteytelser innenfor områder med store økonomiske konsekvenser for de involverte parter, skal den økonomiske beredskapen være tilsvarende høy. Utstederen må således opprettholde et balansert forhold mellom de økonomiske ressursene og omfanget og karakteren av de tjenester som tilbys. Kravet kan bl.a. oppfylles ved at sertifikatutsteder tegner en passende forsikring.
Til § 11 Krav til produkter og systemer
Bestemmelsen implementerer direktivets vedlegg 2 bokstav (f) og (g).
Første ledd stiller krav til utstedere av kvalifiserte sertifikater om å anvende sikre produkter og systemer i virksomheten. Sertifikatutsteder skal bl.a. benytte produkter og systemer som er beskyttet mot uautoriserte endringer.
Det er avgjørende for sikkerheten i infrastrukturen som bygges opp omkring de elektroniske signaturene at sertifikatutsteder, som nettopp skal stå som den troverdige tredjepart, anvender pålitelige produkter og systemer. Videre må produktene og systemene som anvendes være innrettet på en slik måte at sikkerheten omkring sertifikattjenestene virkelig er optimal.
Det følger av annet leddat dersom sertifikatutsteder benytter seg av sikre signaturfremstillingssystemer godkjent av det organ Kongen utpeker eller tilsvarende organ i annen EØS-stat, eller standarder for produkter fastsatt av Europakommisjonen, jf. § 9, vil kravene i første ledd være oppfylt, se kapittel 8.8.
Tredje ledd pålegger sertifikatutsteder å treffe foranstaltninger og å etablere prosedyrer som imøtegår eventuelle muligheter for forfalskninger av sertifikatene. Bestemmelsen skal sikre at sertifikatet ikke forfalskes etter utstedelse. Et sertifikats integritet sikres bl.a. ved at sertifikatutsteder påfører sertifikatet sin egen avanserte elektroniske signatur. Dermed vil etterfølgende forsøk på endringer i sertifikatet kunne oppdages. Dette forutsetter at sertifikatutsteders signatur ikke lett kan forfalskes.
Til § 12 Krav om katalog- og tilbaketrekkingstjeneste
Bestemmelsen er en implementering av direktivets vedlegg II bokstav (b) og (c) og pålegger utstedere av kvalifiserte sertifikater å sikre at det etableres en rask og sikker katalog- og tilbaketrekkingstjeneste.
Sertifikatutsteder skal fastlegge en prosedyre for utstedelse av sertifikater, sperring og tilbaketrekking, slik at det ved hjelp av denne prosedyren skal være mulig å fastslå dato og tidspunkt for ikrafttredelse og sperring eller tilbaketrekking. Dette kan være avgjørende ved eventuelle senere tvister.
En tilbaketrekkingsliste må inneholde opplysninger om hvilket sertifikat det gjelder og fra hvilket tidspunkt det er trukket tilbake. Bakgrunnen for tilbaketrekkingen av sertifikatet kan være at nøklene og tilhørende koder har kommet på avveie, har blitt misbrukt eller at sertifikatet inneholder feilaktige opplysninger. Sertifikatutsteder skal umiddelbart sperre et sertifikat når undertegneren ønsker det eller det ellers er behov for det. Det må kunne stilles krav til at undertegner opplyser om tap av nøkler og koder m.m. på samme måte som med et kredittkort. Det er en forutsetning for at markedet skal ha tillit til signaturene og sertifikatene at tilbaketrekkingslisten ajourføres på en sikker måte.
Direktivets ordlyd i vedlegg II bokstav c) sier «...the date and time when a certificate is issued...». Departementet har imidlertid funnet det mest hensiktsmessig å kreve at dato og tidspunkt for «ikrafttredelse», jf. § 4 annet ledd bokstav f), skal angis i stedet for «utstedelse». Det skal bemerkes at det er en forskjell mellom utstedelse og ikrafttredelse. Utstedelse er når sertifikatet de facto er blitt utstedt til undertegner, men ikrafttredelse er fra det tidspunktet som sertifikatet kan brukes. Sannsynligvis vil disse inntre samtidig, men det vil være mulig at ikrafttredelsestidspunktet inntrer ved et senere tidspunkt. Dette kan f.eks. være aktuelt dersom man utsteder et rollesertifikat for noen som ved utstedelsen ennå ikke har inntatt den aktuelle rollen.
Til § 13 Krav om kontroll av undertegners identitet
Bestemmelsen bygger på direktivets vedlegg 2 bokstav (d) og stiller i realiteten krav til hva sertifikatpolicyen skal inneholde vedrørende kontroll av undertegners identitet. Om sertifikatpolicy, se kapittel 3.4.
Etter første ledd er sertifikatutsteder ansvarlig for at undertegners identitet, eventuelle rolle og andre tilleggsopplysninger blir kontrollert og verifisert på en sikker måte. Dette er en tjeneste som sertifikatutsteder i praksis kan sette bort til en registreringsenhet.
Etter annet ledd skal rutinene for kontroll etter første ledd være offentlig tilgjengelige.
Til § 14 Krav til lagring av opplysninger
Bestemmelsen implementerer direktivets vedlegg 2 bokstav j) og fastsetter sertifikatutsteders plikt til å registrere relevant informasjon om et kvalifisert sertifikat og til å bruke pålitelige systemer for lagring av sertifikatet.
Hensikten bak kravet om registrering og lagring er at disse opplysningene skal kunne fremlegges som bevis hvis det er påkrevet. Registreringen skal skje elektronisk særlig for å kunne fremlegge bevis for sertifisering når dette er påkrevet i rettssaker og lignende. Imidlertid fastsetter lovforslaget et krav om å lagre opplysningene i minst 10 år etter at sertifikatet er registrert i tilbaketrekkingslisten. Dette minimumskravet er i samsvar med bl.a. regnskapslovens bestemmelser om lagring av registrerte opplysinger.
Hva som er en «rimelig periode», jf. første ledd avgjøres med hensyn til hvilken type sertifikat som tilbys. Andre relevante momenter kan være hvilke tekniske muligheter det er for lagring, hva som anses nødvendig i forhold til brukernes eller publikums behov for å få verifisert opplysningene i sertifikatet og hva leverandøren finner nødvendig.
Hva som er en rimelig periode må videre ses i sammenheng med personopplysningsloven § 28, der det heter at personopplysninger ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Dette innebærer at det etter utløpet av 10-års perioden må bero på en konkret vurdering om opplysningene fortsatt er av betydning for registreringsformålet. Opplysninger som etter 10 år ikke lenger er av betydning for registreringsformålet må slettes med hjemmel i personopplysningsloven § 28, dersom det ikke følger av arkivloven eller annen lovgivning at de likevel skal oppbevares.
I annet ledd kreves det at sertifikatutsteder skal benytte pålitelige systemer til oppbevaring av sertifikater i verifiserbar form. Kravet innebærer at det i etterkant skal være mulig å kontrollere ektheten av opplysningene, jf. annet ledd bokstav a).
Annet ledd bokstav b) forbyr at et kvalifisert sertifikat oppføres i en offentlig tilgjengelig database eller på annen måte gjøres offentlig tilgjengelig, med mindre innehaveren har gitt sitt samtykke. Regelen er begrunnet utfra personvernhensyn. Dette forhindrer ikke at mottaker av en melding med elektronisk signatur får tilgang til undertegners sertifikat.
Bestemmelsen i annet ledd bokstav c)innebærer at sertifikatutstederen må sikre systemene ved å anvende den teknologi som til enhver tid er til rådighet.
Det er ifølge bestemmelsen i tredje leddforbudt for en utsteder av kvalifiserte sertifikater å oppbevare eller kopiere signaturfremstillingsdata. Oppbevaring og kopiering av signaturfremstillingsdata vil kunne være en trussel mot den juridiske anerkjennelse av elektroniske signaturer. Det bør sikres at kun innehaveren av den elektroniske signaturen har adgang til signaturfremstillingsdataene, slik at kun innehaveren disponerer den elektroniske signatur. Dette er et absolutt forbud. Det er ikke mulig å avtale noe annet mellom sertifikatutsteder og innehaver. Dersom signaturfremstillingsdataene, dvs. den private nøkkelen, skulle bli ødelagte eller komme bort, innebærer det at man ikke lenger kan signere et dokument med disse dataene. Allerede signerte dokumenter vil imidlertid fortsatt kunne verifiseres.
Til § 15 Krav om informasjon om vilkår, begrensninger og lignende.
Bestemmelsen er en implementering av direktivets vedlegg 2 bokstav (k).
Etter første ledd pålegges utsteder av kvalifiserte sertifikater å gi nødvendige opplysninger til den som sertifikatet skal utstedes til, slik at hun settes i stand til å vurdere tjenesten. Opplysningene skal gis «skriftlig», dvs. i betydningen «ikke muntlig».
Etter annet ledd skal opplysningene kunne gis elektronisk, under forutsetning av at det skjer på en slik måte at mottakeren umiddelbart kan få tilgang til informasjonen. Å henvise til en hjemmeside under sertifikatutstederens kontroll, hvor denne fra tid til annen kan endre vilkårene, er ikke tilstrekkelig. Informasjonen skal også på begjæring stilles til rådighet for andre, f.eks. mottakeren av en signatur basert på sertifikatet. Dette betyr ikke at tredjemann har rett til innsyn i avtalen mellom sertifikatutsteder og undertegner.
Med «motparten» siktes det ikke bare til mottaker av sertifikatet, men dette kan også være f.eks. mottakerens arbeidsgiver som inngår avtaler på vegen av sine ansatte.
Til § 16 Utfyllende krav
Det åpnes for at det kan gis nærmere bestemmelser ved forskrift om hvilke krav som kan stilles til sertifikatutsteder som tilbyr kvalifiserte sertifikater.
Kapittel IV Tilsyn og sanksjoner
Loven oppstiller regler om at det skal føres tilsyn med utstedere av kvalifiserte sertifikater som er etablert i Norge.
Til § 17 Tilsyn med utstedere av kvalifiserte sertifikater
Bestemmelsene om tilsyn bygger på direktivets artikkel 3 nr. 3 om krav om tilsyn, i den forstand at tilsynet må gis rettigheter mv. for å kunne virke effektivt.
Første ledd slår fast at et tilsyn kan oppnevnes, og at tilsynets overordnede oppgave er å sikre at utstedere av kvalifiserte sertifikater som er etablert i Norge etterlever lovens bestemmelser og de forskrifter som er gitt i medhold av denne lov. Dette er også et absolutt krav i henhold til direktivets bestemmelser, jf. artikkel 3 nr. 3.
Tilsynet gis i annet ledd rett til å kreve alle de opplysninger og dokumenter det trenger for å utføre sine oppgaver i henhold til loven. Denne retten gjelder ikke bare overfor sertifikatutstedere som har sendt inn melding om registrering, men også sertifikatutstedere som påstår at de utsteder kvalifiserte sertifikater, men som ikke har sendt inn registreringsmelding til tilsynet. Det kan samtidig fastsettes en tidsfrist for innsendelse av opplysningene til tilsynet. Denne tidsfristen må settes slik at det vil være mulig for sertifikatutsteder å frembringe nødvendig informasjon og dokumentasjon, men samtidig må det sikres at sertifikatutstedere som ikke oppfyller kravene i loven snarest mulig slettes fra registeret.
Tredje ledd gir tilsynet hjemmel til å utferdige pålegg om at virksomhet i strid med loven skal opphøre, eller i stedet kreve retting av forholdene. Tilsynet vil med denne bestemmelsen få generell adgang til å gripe inn med pålegg overfor den som overtrer lovens regler. Tilsynet vil f.eks. kunne gripe inn overfor sertifikatutstedere som ikke oppfyller kravene for kvalifisert sertifikat eller overfor den utsteder som bruker personopplysninger til formål som er uforenlige med det formålet de opprinnelig ble innsamlet for. Pålegg kan også rettes mot offentlige organer i den grad konstitusjonelle grunner ikke er til hinder for dette. Bestemmelsen gir ikke adgang for tilsynet til å gi pålegg om strengere regulering enn det som følger av loven, og tilsynet kan bare sette vilkår som bringer behandlingen i samsvar med lovens øvrige regler. Siden flere av behandlingsreglene i lovforslaget inneholder skjønnsmessige begreper, vil tilsynet i praksis kunne gi pålegg og sette vilkår som presiserer lovtekstens nærmere innhold innenfor rammen av ordlyden i de ulike bestemmelsene. I valget mellom pålegg om opphør eller fastsetting av vilkår skal det tas hensyn til at førstnevnte reaksjon ofte vil være mest inngripende.
Tilsynet kan etter fjerde ledd kreve at sertifikatutsteder gjennomfører en IT-revisjon. Den vanligste formen for IT-revisjon er at et revisjonsbyrå gjennomgår sertifikatutstederens praksis for å se om praksis er i samsvar med beskrevet sertifikatutstedelsespraksis, se kapittel 3.4. Det kan være aktuelt å kreve IT-revisjon dersom tilsynet ikke finner å ha mottatt tilstrekkelig underlag for å kunne vurdere om sertifikatutsteder oppfyller kravene i loven. Det kan også være aktuelt dersom det finnes grunn til å tro at selskapet ikke lenger oppfyller lovens krav.
Etter femte ledd kan tilsynet i visse situasjoner frata en sertifikatutsteder retten til å anvende betegnelsen kvalifiserte sertifikater, jf. § 4. Denne bestemmelsen vil ikke bare gjelde overfor de som er blitt registrert etter bestemmelsene i § 18, men også andre som urettmessig bruker betegnelsen kvalifiserte sertifikater eller liknende betegnelser som gir uttrykk for at de er kvalifiserte. Å frata en sertifikatutsteder retten til å utstede kvalifiserte sertifikater er en inngripende beslutning. Derfor bør denne retten kun brukes dersom andre sanksjoner viser seg å være virkningsløse. Vedtaket kan kun omfatte den del av sertifikatutsteders virksomhet som omfattes av tilsynet. I vedtaket kan tilsynet også beslutte hvordan virksomheten skal avvikles.
Sjette ledd åpner for at det kan gis nærmere bestemmelser ved forskrift om tilsynets virksomhet. Forskriften vil være på plass samtidig med at loven trer i kraft.
Til § 18 Registrering av utstedere av kvalifiserte sertifikater
I henhold til direktivet kan ikke stater stille krav om forhåndsgodkjennelse av sertifikatutsteder, se kapittel 8.6. Lovforslaget innebærer derfor et forslag om at utstedere av kvalifiserte sertifikater skal sende registreringsmelding til tilsynet før de starter virksomheten. På denne måten får tilsynet oversikt over hvilke sertifikatutstedere de skal føre kontroll med.
Til § 19 Adgang til lokaler m.v.
I utgangspunktet kan tilsynet utføre tilsynsoppgavene basert på de dokumenter de får tilsendt. I en del saker vil dette dokumentinnsynet være nok, men i enkelte saker kan det være behov for å se på lokalene og faktiske installasjoner hos sertifikatutsteder. Bestemmelsen gir tilsynet hjemmel til å foreta granskning.
Første ledd hjemler at tilsynet kan kreve adgang til sertifikatutstedernes lokaler.
Etter annet ledd kan tilsynet gjennomføre de kontroller de finner nødvendig og kreve bistand fra personalet.
Det følger av tredje ledd at bestemmelsen suppleres av reglene i forvaltningsloven § 15 om fremgangsmåten ved granskning o.l. Bestemmelsen setter krav til måten kontrollen skal gjennomføres på når den utføres andre steder enn offentlige kontorer og andre tjenestesteder. Etter § 15 fjerde ledd kan den som granskningsforretningen angår klage over beslutningen om å fremme forretningen. Slik klage kan rettes til klageorgan utnevnt i henhold til § 23.
Til § 20 Tvangsmulkt
Tilsynet gis i første ledd myndighet til å ilegge tvangsmulkt til sertifikatutsteder som ikke har oppfylt pålegg om å endre eller stanse en ulovlig handling. Tvangsmulkt kan fastsettes i vedtaket som inneholder det materielle pålegget, eller senere, typisk når pålegget er overtrådt.
Mulktens størrelse må bestemmes av tilsynet i lys av alminnelige forvaltningsrettslige prinsipper, herunder hensynet til rimelig forholdsmessighet mellom det målet som søkes oppnådd og de virkemidlene som benyttes. Momenter som vil kunne ha betydning ved fastsettelsen av mulktens størrelse vil bl.a. være hvor viktig og betydelig overtredelsen er, hvilke fordeler overtredelsen innebærer for den som gjør seg skyldig i den, hvilke ulemper overtredelsen medfører for bl.a. undertegner og for samfunnet for øvrig. Tvangsmulkt kan ikke begynne å løpe før det har vært mulig å oppfylle pålegget.
Etter annet ledd kan tvangsmulkten ikke begynne å løpe før klagefristen på tre uker er utløpt. Dersom vedtaket påklages løper tvangsmulkten fra det tidspunktet tilsynets klageinstans fastsetter etter å ha opprettholdt tilsynets vedtak.
Tilsynet kan frafalle påløpt tvangsmulkt, jf tredje ledd. Vedtak om tvangsmulkt er tvangsgrunnlag for utlegg, jf. tvangsfullbyrdelsesloven § 7-2 (d).
Til § 21 Straff
Første ledd hjemler straffansvar for overtredelse av nærmere angitte bestemmelser når overtredelsen er forsettelig eller grovt uaktsom. Bestemmelsen suppleres av alminnelige strafferettslige prinsipper.
Etter annet ledd kan medvirkning straffes tilsvarende.
Til § 22 Erstatning
Bestemmelsen bygger på EU-direktivet artikkel 6.
Forhold som ikke omfattes av erstatningsreglene i denne lov må bedømmes i henhold til den alminnelige erstatningsretten. Alminnelige erstatningsrettslige prinsipper supplerer bestemmelsen. Det kan finnes bestemmelser i andre lover og forskrifter som gir rett til erstatning for samme type disposisjoner.
Bestemmelsen er en minimumsregulering som hjemler erstatningsansvar for utstedere av kvalifiserte sertifikater, eller utstedere som garanterer for slike sertifikater. Erstatningsansvaret omfatter også sertifikater som ikke oppfyller lovens krav til kvalifiserte sertifikater, men som utgis for å være det eller gir et slikt inntrykk.
Det følger av første ledd at en sertifikatutsteder etablert i Norge kan garantere for at sertifikater fra en annen sertifikatutsteder, etablert i eller utenfor Norge, overholder reglene for utstedelse av kvalifiserte sertifikater. En slik garantistillelse innebærer at garantisten blir erstatningsansvarlig på linje med utsteder av sertifikatet.
Sertifikatutsteder er ansvarlig for tap hos den som hadde rimelig grunn til å ha tillit til sertifikatet. Erstatningsansvaret er ikke begrenset til bare å omfatte mottakeren av et sertifikat. Også en undertegner som har inngått en avtale med sertifikatutsteder kan lide tap pga. feil i sertifikatet. Videre kan en tredjemann lide tap som følge av at han hadde tillit til sertifikatet, noe som også omfattes av bestemmelsen.
Det følger av første ledd bokstav a)at sertifikatutsteder er ansvarlig for at all informasjon i sertifikatet var korrekt på det tidspunktet da sertifikatet ble utlevert.
Videre skal sertifikatet inneholde alle opplysninger som kreves i henhold til § 4, jf. § 22 første ledd bokstav b). Dette er opplysninger sertifikatet må inneholde for at det skal være kvalifisert. Dersom noen av disse opplysningene mangler er dette altså en feil som kan medføre erstatningsansvar.
Første ledd bokstav c) gjelder kun når sertifikatutsteder har fremstilt begge typer data.
Første ledd bokstav d) sier at sertifikatutsteder er ansvarlig for at undertegneren var i besittelse av riktig signaturfremstillingsdata på det tidspunktet da sertifikatet ble utferdiget. Med korrekt signaturfremstillingsdata menes her de signaturfremstillingsdataene som svarer til signaturverifikasjonsdataene angitt i sertifikatet. I forhold til digital signatur-teknologi innebærer dette at utsteder er ansvarlig for at undertegner var i besittelse av den private nøkkelen som hører til den offentlige nøkkelen som fremgår i sertifikatet, på det tidspunktet da sertifikatet ble utstedt til undertegner. Videre følger det av § 13 at sertifikatutsteder må sørge for at den personen sertifikatet utstedes til er identifisert på en sikker måte. Sertifikatutsteder er ansvarlig for at signaturen med tilhørende sertifikat ble utstedt til undertegner. Dersom undertegnerens signaturfremstillingsdata ikke korresponderer med signaturverifikasjonsdataene i sertifikatet inneholder dessuten sertifikatet feilaktige opplysninger.
Bokstav e) sier at sertifikatutsteder er erstatningsansvarlig dersom et sertifikat ikke ble korrekt registrert i tilbaketrekkingslisten. En korrekt ajourføring av tilbaketrekkingslisten er nødvendig for at en tredjemann skal kunne stole på signaturen med tilhørende sertifikatet. Mottaker skal kunne kontrollere sertifikatet mot denne listen for å verifisere hvorvidt hun kan stole på at signaturen er gyldig.
Det følger av annet ledd at sertifikatutstederen ikke er erstatningsansvarlig dersom hun kan vise at skaden ikke skyldtes uaktsomhet. Sertifikatutsteder har således et culpa-ansvar med omvendt bevisbyrde.
En sertifikatutsteder som garantert for sertifikatene fra en annen sertifikatutsteder er også ansvarlig etter første ledd, medmindre garantisten godtgjør at verken hun eller utstederen av sertifikatet handlet uaktsomt. Sertifikatutsteder må dermed bevise at en utsteder som hun har garantert for, ikke handlet uaktsomt. Dette innebærer et strengere bevisbyrde for utstederen, og eventuelt den som stiller garanti, enn hva som følger av den alminnelige erstatningsretten. Unntaket er begrunnet utfra hensynet til forbrukerinteresser. Se mer om dette under kapittel 8.9.
Det følger av tredje ledd at sertifikatutstederen skal kunne begrense erstatningsansvaret ved at det i sertifikatet angis begrensninger i sertifikatets anvendelsesområde eller transaksjonsbeløp. Disse begrensningene må være tydelige for tredjemann. Dette innebærer at de må fremgå tydelig av sertifikatet, både for den sertifikatet er utferdiget til og, ikke minst, for den mottaker som skal stole på sertifikatet. Det bemerkes at programvaren må være korrekt installert og programvaren må kunne håndtere slik fremvisning, slik at all informasjon i sertifikatet fremgår for mottaker. Det er viktig at brukeren velger en programvare hun har tillit til at fungerer som forutsatt. Sertifikatutsteder er ikke erstatningsansvarlig for skade som skyldes at sertifikatet anvendes utover begrenset anvendelsesområde. Dessuten, dersom sertifikatet brukes utover angitt transaksjonsbeløp, er ikke sertifikatutsteder ansvarlig for beløp som overstiger begrensingen.
Lovens regler er som nevnt minimumsregler slik at det ikke skal kunne gjøres avtaler til ulempe for den som har tillit til sertifikatet.
I direktivet vises det til Rådets direktiv 93/13/EØS av 5. april 1993 om urimelige kontraktsvilkår i forbrukeravtaler. Erstatningsbestemmelsen skal ikke gripe inn i det vernet nevnte direktiv om kontraktsvilkår gir. Dette direktivet er implementert i avtaleloven § 37 om urimelige kontraktsvilkår i forbrukeravtaler som gjelder standardavtaler mellom en forbruker og en næringsdrivende.
Til § 23 Klageadgang
Ifølge forvaltningsloven § 28 første ledd første punktum, kan enkeltvedtak påklages til det forvaltningsorgan som er nærmest overordnet det forvaltningsorgan som har truffet vedtaket. Tilsynets vedtak i medhold av denne lov kan påklages til det organ som utpekes med hjemmel i § 23.
Klageinstansen skal utpekes av kongen etter innspill fra Nærings- og handelsdepartementet som ansvarlig departement for loven. Frist for klage reguleres av forvaltningslovens §§ 29 og 30.
Til § 24 Gebyr
Bestemmelsen hjemler adgang til å pålegge sertifikatutstedere gebyrer til finansiering av tilsynets virksomhet. Nærmere regulering vedrørende gebyr vil skje i forskrift med hjemmel i denne bestemmelsen. Når det gjelder økonomiske konsekvenser mv. for tilsynet og andre deler av loven vises det til kapittel 14. I en startfase foreslås det at tilsynets virksomhet helt eller delvis finansieres med statlige midler.
På sikt forutsettes det at tilsynets virksomhet vil kunne betales av utstederne av kvalifiserte sertifikater, helt eller delvis.
Til § 25 Rettslig anerkjennelse av kvalifiserte sertifikater fra utstedere etablert utenfor Norge
Første ledd bygger på EU-direktivet artikkel 4 nr. 1 som inneholder direktivets ikke-diskrimineringsbestemmelse. Direktivet sier at medlemsstatene ikke kan pålegge begrensninger i tjenester fra sertifikatutstedere etablert i et annet medlemsland på direktivets område.
Det følger av første ledd at et sertifikat som oppfyller kravene til å være kvalifisert i det EØS-landet hvor utstederen er etablert, skal godkjennes som kvalifisert i hele EØS-området
Annet ledd gjennomfører EU-direktivet artikkel 7 som stiller krav til medlemslandene om rettslig anerkjennelse av sertifikater fra sertifikatutstedere etablert utenfor EØS-området på nærmere fastsatte vilkår.
Til § 26 Ikrafttredelse
Det tas sikte på at loven skal tre i kraft den 1. juli 2001. Dette er innenfor implementeringstiden på 18 måneder fra direktivet er offentliggjort i EF-Tidende, se kapittel 2.2. Det forventes at forskriftene til loven vil være på plass og tre i kraft fra samme dato.
Til § 27 Overgangsregler
Det er på det rene at allerede før loven trer i kraft, kan det finnes sertifikatutstedere som driver slik virksomhet som reguleres i denne lov. Det er derfor behov for å gi disse utstederne tid til å innrette seg etter bestemmelsene i loven.
Det er ikke noe til hinder for at en sertifikatutsteder tilbyr «kvalifiserte sertifikater» før lovens bestemmelser trer i kraft. Før ikrafttredelsen er det sannsynligvis heller ikke noe til hinder for bruk av betegnelsen, selv om sertifikatet ikke oppfyller kravene for kvalifisert sertifikat som stilles i direktivet og loven. Etter at loven har trådt i kraft vil det være forbudt for en sertifikatutsteder å betegne sine sertifikater som kvalifiserte, såfremt ikke kravene i loven er oppfylt.
Etter at loven har trådt i kraft bør derfor sertifikatutstedere gis en viss tid til å melde seg til tilsynet eller til å opphøre med å betegne sertifikatet for «kvalifisert». Da denne typen av sertifikater bl.a. kan utløse et eksplisitt erstatningsansvar, bør fristen være relativt kort. Videre vil denne loven i nåværende situasjon rette seg mot et relativt lite antall tilbyder. På bakgrunn av dette settes fristen til 6 måneder.