8 Lovforslagets hovedinnhold
8.1 Definisjoner
8.1.1 Høringsnotatet
Definisjonene som brukes i loven er i hovedsak en oversettelse og bearbeidelse av definisjonene i direktivet og er for dagens marked nye. Målet er å bruke definisjoner som beskriver et produkt, en virksomhet m.v. i forhold til en teknologinøytral elektronisk signatur. Sannsynligvis hadde loven blitt enklere å forstå dersom man hadde benyttet seg av «privat nøkkel» i stedet for «signaturfremstillingssdata», «offentlig nøkkel» i stedet for «signaturverifikasjonsdata» eller «digital signatur» i stedet for «avansert elektronisk signatur» (jf. kapittel 3.1). Problemet er imidlertid at disse definisjonene ikke er teknologinøytrale, men kun relaterer seg til digital signatur. Ved å bruke teknologinøytrale definisjoner så langt det er mulig, håper man at det ikke skal bli nødvendig å måtte endre definisjonen når ny teknologi kommer på markedet. Dessuten er det usikkert om direktivet vil være fullt ut implementert, dersom loven kun regulerer digitale signaturer.
I høringsnotatet foreslås det i tillegg til direktivets definisjoner i artikkel 2, en definisjon av kvalifisert elektronisk signatur og en definisjon av elektronisk dokument. Definisjonen av kvalifisert elektronisk signatur er lagt til av hensyn til at bestemmelsen om elektroniske signaturers rettsvirkninger i § 6 (i tidligere utkast § 5) skal bli mer leservennlig. Alternativet ville være å la innholdet av definisjonen stå i bestemmelsen om rettsvirkninger. Definisjonen av elektronisk dokument ble lagt til av pedagogiske hensyn og viser til hva man signerer.
Definisjonen av elektronisk signaturprodukt blir ikke brukt i lovforslaget og er av den grunn utelatt fra definisjonslisten i forhold til direktivets definisjoner. Definisjonen av frivillig akkreditering er også utelatt i forhold til direktivets definisjonsliste da lovforslaget ikke regulerer noe frivillig akkrediteringssystem.
En av forslagets mest sentrale definisjoner, «tilbyder av sertifikattjenester» (nå endret til «sertifikatutsteder»), omtales nærmere under kapittel 8.2, mens «kvalifisert elektronisk sertifikat», som defineres i en egen paragraf, omtales under kapittel 8.4.
8.1.2 Høringsinstansenes syn
Mange høringsinstanser har kommet med innspill til utformingen av definisjonene.
Justisdepartementet kommer med innspill til endring av signaturfremstillingsprodukt til signaturfremstillingssystem. Flere av høringsinstansene har uttrykt at definisjonen av elektronisk dokument er uklar, både i forhold til hva den omfatter og i forhold til ulike dokumentbegreper i annen lovgivning. Øvrige kommentarer gjelder i hovedsak de tre definisjonene av signaturer.
Statskonsult uttaler at det kan være bedre å fokusere direkte på «data» eller «opplysninger» eller tilsvarende begrep, som ikke oppfattes å være mest aktuelt i papirverdenen, i stedet for dokument i definisjonen av elektronisk signatur. Statskonsult slutter seg ellers til innføringen av «kvalifisert elektronisk signatur» som en ny definisjon, og som etter deres mening har en nyttig funksjon.
Advokatforeningen og eforum uttaler at det bør vurderes om uttrykket «signatur» skal erstattes av «underskrift» da signatur har et bestemt meningsinnhold i andre sammenhenger som i selskapsretten der det med signatur siktes til rett til å tegne for et firma eller en annen juridisk person.
NHO, FNHog Sparebankforeningen påpeker bl.a. at begrepet autentiseringsmetode i definisjonen av elektronisk signatur bør gjøres mer tilgjengelig.
NTNU uttaler at utrykket «avansert elektronisk signatur» bør endres til «sterk elektronisk signatur» som er mer i tråd med kryptologisk terminologi. Dessuten savner de et punkt i definisjonen som sier at det skal være praktisk umulig å forfalske signaturen.
FO/S påpeker at definisjonen av avansert elektronisk signatur, punkt d) bør endres slik at det presiseres at det lar seg gjøre å oppdage at dokumentet er endret, men at teknologien gjør det umulig å finne hva i dokumentet som er endret. Videre har de forslag til endringer i definisjonene av signaturfremstillingsdata og signaturverifikasjonsdata ved at man fjerner «koder» og endrer «krypteringsnøkler» til «signeringsnøkler».
Arbeids- og administrasjonsdepartementet mener at en begrensning der undertegner kun er en fysisk person er for snever og at dette vil stenge for anvendelser der en server signerer meldinger på vegne av virksomheten, mens NHO ønsker at det klart skal fremgå av loven at elektroniske signaturer forbeholdes fysiske personer.
NHO, FNH og Sparebankforeningen etterlyser en definisjon av signaturmottaker.
Norsk EDIPRO uttaler generelt at definisjonene i § 3 til dels er uklare og uforståelige.
8.1.3 Departementets vurdering
Innspillene fra Justisdepartementet, Statskonsult, NHO, FNH og Sparebankforeningen og FO/S til utformingen av enkelte definisjoner er i hovedsak tatt til følge. Det kan f.eks. nevnes at i definisjonen av elektronisk signatur er autentiseringsmetode endret slik at innholdet blir lettere tilgjengelig, jf. merknadene til de enkelte bestemmelsene i kapittel 15.
Enkelte høringsuttalelser er ikke tatt til følge, da særlig av den grunn at departementet ønsker å beholde definisjonene nærmest mulig opp til de tilsvarende nordiske definisjonene, og i tråd med direktivets formuleringer der disse ikke kan forenkles uten at meningsinnholdet går tapt.
Definisjonen av elektronisk dokument er fjernet da departementet har kommet til at den er unødvendig. Videre inneholder forskjellig lovgivning ulike dokumentbegreper, og enda et nytt dokumentbegrep kan føre til større usikkerhet enn avklaringer. Det har dessuten vist seg vanskelig å komme frem til et dokumentbegrep som i denne forbindelse både er tilstrekkelig omfattende, og samtidig klart avgrenset. Det er på det rene at all informasjon i digital form kan signeres og at dette omfatter både tekst, lyd og bilde. På denne bakgrunn slutter departementet seg også til forslaget om å anvende «data» fremfor «dokument» i øvrige definisjoner.
Departementet har dessuten sett det som et mål i seg selv å ha med færrest mulig definisjoner da en omfattende definisjonsliste ikke er i tråd med norsk rettstradisjon. Departementet har derfor ikke fulgt forslaget om å tilføre en definisjon av «signaturmottaker».
8.2 Sertifikatutsteder
8.2.1 Høringsnotatet
Lovforslaget regulerer virksomheten til fysiske eller juridiske personer som utsteder kvalifiserte sertifikater eller tilbyr andre tjenester relatert til elektronisk signatur. I direktivet omtales denne aktøren som «certification-service-provider» (CSP). I høringsnotatet er dette oversatt til «tilbyder av sertifikattjenester». Til en viss grad regulerer lovforslaget også tilbydere som går god for kvalifiserte sertifikater tilbudt av en annen.
En tilbyder av sertifikattjenesters virksomhet innebærer i hovedsak tilbud om og utstedelse av sertifikater for elektroniske signaturer. En tilbyder kan også selv eller i samarbeid med andre håndtere andre tjenester som identitetskontroll, tildeling av entydig navn, katalog- og tilbaketrekkingstjenester, herunder vedlikehold av tilbaketrekkingsliste, arkivering, tidsstempling, utstedelse av elektroniske sertifikater og konsulenttjenester i forbindelse med elektronisk signatur. Konsulenttjenestene kan bl.a. innebære rådgivning i forhold til mottakelse av signaturer fra «ukjente» sertifikatutstedere. For hver av disse funksjonene kan det være samarbeidspartnere eller underleverandører. Kvalifiserte sertifikater må være signert med tilbyderens avanserte elektroniske signatur, jf. § 4. Rapporten «Elektroniske signaturer - Myndighetsroller og regulering av tilbyder av sertifikattjenester» inneholder en del informasjon om tilbyder av sertifikattjenester, se særlig vedlegg 4 i rapporten.
8.2.2 Høringsinstansenes syn
Telenor er enig i at kjernefunksjonen for tilbydere av sertifikattjenester er å garantere koblingen mellom undertegner og opplysningene i sertifikatet, samt å tilby katalog- og tilbaketrekkingstjenester. De er av den oppfatning at formuleringen «andre tjenester relatert til elektronisk signatur» favner vidt og muligens kan skape usikkerhet, samtidig som de ser behov for et dynamisk begrep.
Norsk EDIPRO påpeker at det er uklart hvem som omfattes av definisjonen når det gjelder en fysisk eller juridisk person som «tilbyr andre tjenester relatert til elektronisk signatur». De stiller spørsmål ved om f.eks. en kortprodusent eller datakommunikasjonsleverandør vil være omfattet.
8.2.3 Departementets vurdering
Direktivets begrep «certification-service-provider» omfatter som nevnt ikke bare de som utsteder sertifikater, men også de som tilbyr andre tjenester som har tilknytning til elektroniske signaturer. Kjernefunksjonen er imidlertid å garantere sammenhengen mellom undertegner og opplysningene i sertifikatet. Dette gjøres ved at utstederen av sertifikatet signerer sertifikatet med sin egen avanserte signatur før det utstedes.
Det vil etter departementets mening være tilfredsstillende å bruke begrepet «sertifikatutsteder» i denne sammenheng. Inn under begrepet omfattes også andre tjenester enn det å utstede sertifikater, jf. definisjonen § 3 nr. 10.
Ved å benytte «sertifikatutsteder» i stedet for «tilbydere av sertifikattjenester» unngår man forvekslingen av «sertifikat» og «sertifisering». Likedan unngår man problemet som Skattedirektoratet nevner med at man vanligvis kaller den som leverer tilbud som «tilbyder» og den som leverer produkter og tjenester for «leverandør».
Departementet går inn for at begrepet sertifikatutsteder skal anvendes. Dette begrepet er derfor innarbeidet i lovforslaget, jf. lovforslaget § 3 nr. 10, og anvendes i proposisjonen for øvrig.
Lovforslaget regulerer det å tilby kvalifiserte sertifikater og relaterte tjenester og til en viss grad at man går god for kvalifiserte sertifikater tilbudt av en annen. Lovforslaget stiller krav til virksomheten og regulerer erstatningsansvar for den som utsteder kvalifiserte sertifikater. Hvilken sertifikatutsteder som har utstedt det enkelte sertifikatet vil fremgå av utsteders elektroniske signatur som er påført i sertifikatet til den kvalifiserte signaturen, jf. lovforslaget § 4 annet ledd bokstav h). Vanlige regler om regressansvar kommer til anvendelse mellom utsteder og eventuelle samarbeidspartnere.
De andre tjenestene som f.eks. identitetskontroll, katalog- og tilbaketrekkingstjenester eller tidsstempling, kan den som utsteder sertifikatene velge å utføre selv eller i samarbeid med andre. Det følger av lovforslagets §§ 12-14 at sertifikatutsteder plikter å sørge for hurtig og sikker katalog- og tilbakekallelsestjeneste, identitetskontroll av undertegner og at relevante opplysninger om sertifikatene lagres. Som nevnt kan disse tjenestene settes bort til andre. De som utfører tjenester på vegne av sertifikatutsteder, må oppfylle de kravene loven oppstiller til den aktuelle tjenesten. Sertifikatutsteder er også ansvarlig for disse tjenestene overfor den som stoler på sertifikatet, jf. § 22.
Det følger av definisjonen at begrepet sertifikatutsteder omfatter det å tilby «andre tjenester relatert til elektronisk signatur». Definisjonen skal i størst mulig grad være teknologinøytral, og det er derfor ikke hensiktsmessig å avgrense begrepet nærmere. Videre ser man for seg at elektroniske signaturer vil bli brukt i mange forskjellige situasjoner og i forbindelse med forskjellige applikasjoner. Dette kan føre til en lang rekke nye tjenesteytelser og produkter relatert til elektroniske signaturer som vi ikke kjenner i dag. Også av denne grunn bør det i lovteksten benyttes et dynamisk begrep som ikke begrenses til å omfatte det å utstede og forvalte sertifikater, men som også åpner for at nye tjenester kan omfattes. På den annen side er ikke begrepet altomfattende, og enkelte sider ved bruk av elektroniske signaturer vil falle utenfor. Departementet mener at begrepet skal forstås slik at det f.eks. ikke omfatter nettverksleverandørene. Oppramsingen av eksempler vil være veiledende for avgrensningen av begrepet.
Lovforslaget har blitt utarbeidet i samarbeid med de øvrige nordiske land med det mål å oppnå nordisk rettsenhet på området. Det er nå på det rene at i den svenske loven og i det finske lovutkastet anvendes begrepet «certifikatutfärdare», mens den danske loven bruker «nøglecenter». Når også det norske lovforslaget anvender begrepet sertifikatutsteder, får vi tilnærmet en felles nordisk definisjon på det som kan kalles direktivets kjernebegrep. Også det tidligere foreslåtte uttrykket «tilbyder av sertifikattjenester» var nytt for det norske markedet.
8.3 Krav til sertifikatutsteder i lovens kapittel III
8.3.1 Høringsnotatet
Lovens kapittel III stiller krav til sertifikatutstedere som utsteder kvalifiserte sertifikater og tjenestene de tilbyr. Det stilles altså krav til både den som utsteder det kvalifiserte sertifikatet og til de som eventuelt oppfyller andre oppgaver i forbindelse med håndteringen av de kvalifiserte sertifikatene på vegne av utsteder. Utstedere av andre sertifikater enn kvalifiserte reguleres ikke av dette kapittelet.
8.3.2 Høringsinstansenes syn
Lovforslaget § 10
Norges Rederiforbund støtter en forsikringsplikt eller annen form for økonomisk garanti for sertifikatutstedere og uttaler videre at det bør vurderes i relasjon til alle utstedere - både av kvalifiserte og ikke kvalifiserte sertifikater.
Lovforslaget § 11
Statskonsult påpeker at regler/formuleringer i annet ledd om godkjennelse av produkter og systemer er uklare i forhold til hvordan de skal godkjennes.
eforum antar at sertifikatutstedere vil ha plikt til å oppdatere de aktuelle systemer og produkter etter hvert som den teknologiske utviklingen fører til at påliteligheten reduseres, f.eks. ved at de opprinnelige benyttede systemer og/eller produkter som følge av ny teknologi eksponeres for manipulering fra utenforstående. eforum foreslår derfor at en slik oppdateringsplikt innarbeides i lovteksten ved at tillegget «til en hver tid» inntas i bestemmelsens første ledd.
Lovforslaget § 12
NHO og Forsvarsdepartementet etterlyser en nærmere definisjon av begrepene katalog- og tilbaketrekkingstjeneste. Videre foreslår Forsvarsdepartementet at forslagets annet ledd om at tjenesten skal kunne gi opplysninger om eventuelle begrensninger etter § 4 bokstav i) og j) utgår da slike funksjonaliteter normalt ikke er en del av tilbaketrekkingsteknikker.
Lovforslaget § 13
NHO uttaler at bestemmelsen regulerer overraskende lite identitetskontroll av undertegner og at nettopp kontroll av sertifikatholders identitet og utlevering av sertifikat til denne er helt avgjørende for kvaliteten og tilliten til signaturtjenesten. Brukerne er ifølge NHO i liten grad i stand til å vurdere denne del av tjenesten selv. NHO stiller også spørsmål om det ikke er naturlig at også ikke-kvalifiserte sertifikater bør omfattes av bestemmelsen.
Brønnøysundregistrene uttaler at det vil være riktig å basere seg på Enhetsregisteret og Foretaksregisteret når det skal angis identifikatorer, navn og juridiske roller i forbindelse med elektroniske underskrifter.
Advokatforeningen foreslår at det tas inn en forskriftshjemmel til § 13 som gir departementet mulighet til å sette krav til hvilke opplysninger som skal kontrolleres.
Lovforslaget § 14
KITH og Rikstrygdeverket påpeker at en oppbevaringstid på 10 år i mange sammenhenger er for kort, jf. f.eks. journalforskriftens krav om oppbevaring i ubegrenset tid og saker vedrørende krigspensjonering. KITH mener at en deponeringsordning for sertifikater som ikke lenger er tilgjengelig for utsteder bør vurderes.
Riksarkivet uttaler at teknisk sett tyder alt på at et dokument som er arkivert med påført digital signatur i beste fall lar seg verifisere i 10-15 år.
NTNU uttaler at det på grunn av risikoen for at det kan produseres falske tilbakedaterte dokumenter med signaturfremstillingsdata knyttet til foreldede/tilbaketrukkede sertifikater, ikke bør brukes elektroniske signaturer på dokumenter som skal være gyldige i mer enn 10 år.
Datatilsynet uttaler at det neppe er grunnlag for å lovfeste en eksplisitt minimumsfrist for lagring av opplysninger og foreslår at punktet fjernes. De er av den oppfatning at lagringstiden må vurderes konkret i forhold til sertifikat og brukertype.
Justisdepartementet presiserer at kravene til lagring av opplysninger i § 14 må ses i sammenheng med personopplysningsloven § 28, der det heter at personopplysninger ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen.
NTNU uttaler at det er viktig at det er interoperabilitet 1 mellom forskjellige utstederes sertifikater. Dette betyr i realiteten at samtlige utstedere ideelt sett bør benytte seg av samme sertifikatformat. Interoperabilitet er nødvendig for at undertegner selv skal kunne velge hvilken sertifikatutsteder han/hun ønsker å bruke. Undertegner bør ikke tvinges f.eks. av sin bank til å bruke sertifikater fra en bestemt utsteder.
Ellers kommer NTNU med flere konkrete forslag til endringer i lovteksten for å øke sikkerheten, f.eks. at det skal tilføres et punkt i § 14 om lagring av opplysninger som sikrer at det skal være praktisk umulig å forfalske signaturer med foreldede eller tilbaketrukkede signaturfremstillingsdata uten å bli avslørt umiddelbart. Videre savner de et krav i forhold til direktivet om kompetent personale til å drive det tekniske utstyret hos tilbyder for å gjøre det enklere å unngå useriøse aktører.
Lovforslaget § 15
NHO uttaler at bestemmelsen om at opplysninger kan sendes elektronisk «dersom det skjer i en for motparten umiddelbart lesbar form» er upresis og uheldig.
8.3.3 Departementets vurdering
Departementet har tatt til følge de forslagene som har kommet til forenklinger i lovteksten for å gjøre loven mest mulig leservennlig. Det er følgelig gjort enkelte endringer etter høringsrunden for å gjøre lovteksten mer klar og presis.
Når det gjelder forslag som går på mer konkretisering av tekniske forhold vil disse innspillene tas i betraktning ved utformingen av forskrifter, jf. forskriftshjemmelen i § 16.
Departementet har tatt innspillene vedrørende lagringstid i betraktning og har kommet til at forslaget om en pliktig lagringstid på 10 år opprettholdes. Departementet vil presisere at dette er et minimumskrav, og at det må vurderes konkret hvorvidt opplysningens skal lagres lenger, også i forhold til personopplysningsloven. Det skal ellers bemerkes at den danske loven oppstiller et krav om lagring av opplysningene i minst 6 år og at den svenske loven ikke krever noen minimum lagringstid.
Departementet mener at det ikke er aktuelt å stille krav om interoperabilitet, men er positive til at utstederne selv - etter krav fra brukerne - inngår slike avtaler.
8.4 Kvalifiserte elektroniske sertifikater
8.4.1 Generelt om kvalifiserte elektroniske sertifikater
Det finnes i dag forskjellige standarder for elektroniske sertifikater, noe som leder til problemer vedrørende samhandling/interoperabilitet mellom sertifikatutstedere. Elektroniske sertifikater kan inneholde vidt forskjellig informasjon og bygge på ulikt sikkerhetsnivå. På bakgrunn av dette oppstiller direktivet visse minimumskrav til hva en bestemt type sertifikater med et høyt sikkerhetsnivå skal inneholde og krav til utstedere av slike sertifikater. Disse sertifikatene kalles «kvalifiserte sertifikater». Kravene til kvalifiserte sertifikater er implementert i lovforslaget, men vil også utdypes nærmere i forskrift.
Til disse sertifikatene er det knyttet bestemmelser om tilsyn, erstatning og rettsvirkninger. De rettslige rammene for kvalifiserte sertifikater skal gi tillit til kvalifiserte elektroniske signaturer og dermed også legge til rette for bruken av dem.
Det må fremgå av sertifikatet at det er et kvalifisert sertifikat og betegnelsen «kvalifisert sertifikat» skal benyttes. Dersom sertifikatet benevnes som noe annet, f.eks. et «super sertifikat» vil det falle utenfor denne reguleringen. Et unntak her er erstatningsbestemmelsen som også oppstiller ansvar for sertifikatutstedere som utsteder sertifikater som gir inntrykk av at de er kvalifiserte uten å være det. Slike «liksom-kvalifiserte sertifikater» kan også falle inn under markedsføringslovens regler om villedende forretningsmetoder.
Betegnelsen «kvalifisert sertifikat» skal videre kun brukes av de som utsteder kvalifiserte sertifikater, som oppfyller kravene i loven og er registrert hos tilsynet.
8.4.2 Høringsnotatet
I høringsnotatet foreslås det i § 4 en bestemmelse om kravene til kvalifiserte sertifikater, herunder hvilken informasjon et kvalifisert sertifikat skal inneholde. Forslaget i høringsnotatet regulerer ikke i detalj de tekniske kravene for et kvalifisert sertifikat. Kravene kan utfylles ved forskrift og gjennom arbeidet i komitèen som skal etableres iht. direktivet, se kapittel 5.
I direktivets vedlegg II bokstav l), står det at kun bemyndigede personer skal kunne gjøre tillegg og endringer i sertifikater. Denne bestemmelsen er ikke implementert i høringsnotatet da den ikke antas å være relevant i forhold til den offentlige nøkkel infrastrukturteknikk (PKI) som brukes i dag. Dersom det er gjort endringer i et sertifikat etter at det er utstedt og signert med utsteders nøkkel, vil dette enkelt kunne oppdages. Et sertifikat hvor det har blitt gjort endringer er ikke lenger gyldig da man ikke lenger har grunn til å tro at opplysningene i det er korrekt. Dersom det er behov for å gjøre endringer i sertifikatet, må det derfor kalles tilbake og et nytt utstedes.
8.4.3 Høringsinstansenes syn
Telenor, FNH og Sparebankforeningen påpeker at § 4 annet ledd bokstav e) er justert i forhold til direktivet ved at det er spesifisert at de signaturfremstillingsdata som ved utstedelsestidspunktetvar under undertegnerens kontroll, skal svare til signaturfremstillingsdata.
Telenoruttaler at de ser visse tekniske problemer knyttet til at eventuelle begrensninger skal fremgå direkteav sertifikatet, jf. § 4 annet ledd bokstavene i) og j). De uttaler videre at:
«slike krav vil, før standardene og standardproduktene er tilpasset, kunne medføre betydelige kostnader for leverandørene og vil kunne ha begrenset verdi for brukerne (for eksempel vil trolig en rekke klientapplikasjoner ikke klare å håndtere feltet). En mulighet fram til standardene og standardproduktene er tilpasset, er å henvise ved hjelp av standard policyindikator».
Telenor påpeker at loven ikke implementerer kravet i direktivet om at kun bemyndigede personer skal kunne foreta tilføyelser og endringer i sertifikatet. Dette begrunnes med at det ikke er mulig i forhold til gjeldende teknologi. Telenor mener det likevel bør vurderes om kravet skal implementeres for å ta høyde for teknologisk utvikling.
Posten SDS uttaler at det er uheldig at annet ledd a), som krever at sertifikatet skal angi om sertifikatet er kvalifisert eller ikke, ikke er tilfredsstilt i dagens tekniske standarder for sertifikater, og heller ikke er støttet i dagens signaturfremstillingssystem eller signaturverifikasjonssystem. Posten SDS ber departementet vurdere å overlate til en tilsynsmyndighet å bestemme i detalj hva et kvalifisert sertifikat skal inneholde, etter hvert som teknologien utvikles og anvendes.
Samferdselsdepartementet mener det er uklart hvorvidt bestemmelsen også gjelder sertifikater som benytter liknende betegnelser til kvalifisert.
8.4.4 Departementets vurdering
Paragrafens første ledd er forenklet noe i forhold til høringsnotatet. Etter innspill fra Telenor m.fl. er spesifiseringen til utstedelsestidspunktet tatt ut av lovteksten da dette kan være egnet til å forvirre. Spesifiseringen var gjort i forhold til erstatningsbestemmelsen som oppstiller ansvar for at undertegner disponerte korrekt signaturfremstillingsdata på tidspunktet da sertifikatet ble utstedt. Denne endringen har ikke noen betydning for realitetsinnholdet i § 4.
Departementet mener at bestemmelsen i direktivet om at kun bemyndigede personer skal kunne foreta tilføyelse og endringer i sertifikatet er misvisende. Sertifikatutstederen skal gå god for innholdet i sertifikatet ved å signere det med sin egen avanserte signatur. Dersom sertifikatet har blitt endret etter signering vil det ikke lenger være gyldig. Det vil derfor, etter departementets mening, være misvisende å regulere hvem som kan endre sertifikatet da dette tilsynelatende bygger på en forutsetning om at det kan gjøres endringer. Departementet foreslår derfor at bestemmelsen på det nåværende tidspunkt ikke tas inn i loven.
Ifølge kravene i direktivet må eventuelle begrensninger fremgå direkte av sertifikatet. Det er således ikke mulig, eller tilstrekkelig, slik Telenor ønsker, å i sertifikatet vise til et annet dokument der disse begrensningene kan leses.
8.5 Pseudonym
8.5.1 Generelt om pseudonym
Uansett hvor teknisk sikkert det elektroniske signatursystemet er, vil det ha avgjørende betydning at mottakeren kan stole på at undertegner er den han utgir seg for å være. Ingen kjede er sterkere enn det svakeste ledd, og i dette tilfellet korrekt identifisering og registrering av innehaver av sertifikatet. Hvis det er mulig for hvem som helst å få utstedt et sertifikat med navnet Ola Normann, gir det begrenset sikkerhet for mottakeren som ikke vil vite om han har fått informasjonen fra en person ved dette navnet, eller om det er et pseudonym for en annen.
Direktivet legger opp til at det skal kunne brukes sertifikater med pseudonymer. Det må imidlertid fremgå av sertifikatet at et pseudonym er benyttet. Dette er innarbeidet i lovforslaget, jf. § 4. For mer informasjon om pseudonymsertifikater og andre typer sertifikater, se kapittel 3.3.
8.5.2 Høringsnotatet
I høringsnotatet fremgår det at det skal være mulig å få utstedt et sertifikat med et pseudonym, men da må det fremgå av sertifikatet at et pseudonym er brukt. I praksis er spørsmålet hvor stor anvendelse et slikt sertifikat kan ha. Kan man bruke slike sertifikater for å treffe bindende avtale eller til å sende inn selvangivelse? Dette drøftes ikke nærmere i høringsnotatet.
Ifølge direktivets fortale punkt 25 skal bruk av pseudonymer i sertifikater ikke hindre stater fra å kunne stille krav om identifisering av person i henhold til fellesskapsrett eller nasjonal rett.
8.5.3 Høringsinstansenes syn
NHO anbefaler at loven ikke åpner for pseudonymsertifikater, og de ønsker at det klart skal fremgå at elektroniske signaturer forbeholdes fysiske personer. NHO er av den oppfatning at slike pseudonymsertifikater verken er forenlig med norsk rettstradisjon eller de behov slike sertifikater og signaturer antas å skulle tjene.
Toll- og avgiftsdirektoratet uttaler at det bør vurderes om det bør gå frem av loven at et pseudonym alltid bør peke på en konkret person. Videre uttaler de at en fra/til dato bør knyttes til den pseudonymet peker på, slik at man i ettertid har oversikt over hvem som til enhver tid «eide» pseudonymet. Dette kan være aktuelt f.eks. ved et senere erstatningsansvar.
8.5.4 Departementets vurdering
Departementet har kommet til at loven må åpne for at pseudonym skal kunne anvendes i et kvalifisert sertifikat for at EU-direktivet skal være implementert i sin helhet. EU-direktivet oppstiller i vedlegg I krav om at et kvalifisert sertifikat skal kunne inneholde et pseudonym, men at det må fremgå at det er et pseudonym. Dette følger også av definisjonen av en avansert elektronisk signatur, som sier at denne entydig skal være knyttet til undertegner. Departementet er videre av den oppfatning at det kan være et faktisk behov i markedet for å anvende pseudonym også i kvalifiserte sertifikater.
En kvalifisert elektronisk signatur er en avansert elektronisk signatur som er basert på et kvalifisert sertifikat og fremstilt av et godkjent sikkert signaturfremstillingssystem, jf. § 3 nr. 3. En avansert elektronisk signatur stiller krav om at den er entydig knyttet til undertegneren. Dette betyr at signaturen ikke kan benyttes av flere personer. Dersom man ønsker at en annen skal bruke det aktuelle pseudonymet, må sertifikatet trekkes tilbake og et nytt utstedes. Således vil det ikke være behov for å koble pseudonymet til en dato som Toll- og avgiftsdirektoratet ønsker.
8.6 Registrering av sertifikatutsteder
8.6.1 Generelt om registrering av sertifikatutsteder
I henhold til direktivet må landene ikke stille krav om forhåndsgodkjennelse av sertifikatutstedere, jf. artikkel 3 nr. 1. Dette er utdypet i punkt 10 i fortalen til direktivet til å også gjelde «...enhver annen foranstaltning med samme virkning...». Det er imidlertid ikke noe til hinder for å kreve at sertifikatutstedere skal registrere seg før de begynner virksomheten, så fremt det ikke stilles andre krav enn at meldingen sendes inn.
8.6.2 Høringsnotatet
I høringsnotatet foreslås det at sertifikatutsteder skal sende inn registreringsmelding til tilsynsmyndigheten (Post- og teletilsynet) senest samtidig med at utstederen begynner å utstede kvalifiserte sertifikater. Sertifikatutstederen er deretter pålagt å sende inn melding om alle eventuelle endringer av registrerte opplysninger.
8.6.3 Høringsinstansenes syn
Ingen av høringsinstansene kommenterer direkte forslaget om registreringsordning, se kapittel 8.7.2.2. om høringsinstansenes generelle kommentarer til valg av tilsynsmodell.
8.6.4 Departementets vurdering
Selv om det er mulig å kreve at utstedere skal sende inn registreringsmelding før de begynner å utstede kvalifiserte sertifikater, er departementet av den oppfatning at det er tilstrekkelig at melding sendes inn senest samtidig med utstedelse av det første kvalifiserte sertifikatet. Sannsynligvis vil registrering skje langt tidligere enn dette tidspunktet. Sertifikatutstederne ønsker neppe å havne i den situasjonen at de sertifikater som tilbys på markedet ikke godkjennes av tilsynet som kvalifiserte, slik at sertifikatene må trekkes tilbake og nye utstedes. En slik situasjon vil høyst sannsynligvis påvirke utstederens tillit i markedet negativt.
8.7 Tilsyn
8.7.1 Krav om tilsyn
Ifølge direktivet stilles det krav om at det skal føres tilsyn med de utstedere av kvalifiserte sertifikater som tilbyr sertifikatene og tilhørende tjenester til allmenheten. Direktivet er ikke til hinder for at tilsynet også kan omfatte utstedelse av sertifikater på et annet nivå enn kvalifisert. For å oppfylle kravet om tilsyn er det hensiktsmessig å kreve at de sertifikatutstederne det skal føres tilsyn med registreres i et offentlig register. Krav om registrering i et slikt register vil ikke være i strid med direktivets forbud mot forhåndsgodkjenning, heller ikke dersom registrering skal skje før utstederne begynner sin virksomhet.
8.7.2 Tilsynsmodell
8.7.2.1 Høringsnotatet
I rapporten «Elektroniske signaturer - Myndighetsroller og regulering av tilbyder av sertifikattjenester» (jf. kapittel 4.2) presenteres flere mulige modeller for regulering av sertifikatutstedelse og tilhørende tjenester. Disse forskjellige modellene vil ikke bli nærmere drøftet her. I rapporten anbefaler utvalget at man bør velge en modell som kalles selvdeklarasjonsmodellen. I rapportens kapittel 6 er modellen beskrevet på følgende måte (CSP (certification-service-provider) er det samme som sertifikatutsteder):
«... modellen bygger på at CSPene er avhengige av at markedet har tillit til sertifikatene, og at markedet derfor i stor grad vil regulere seg selv. Samtidig kan det av hensyn til tilliten til systemet i sin helhet være verdifullt med et tilsyn som kan gripe inn. Tilsynet bør være så markedsorientert som mulig, slik at man ikke legger unødvendige administrative byrder, og derved kostnader på CSPene.
Tilsynet er en eksisterende offentlig virksomhet, f.eks. PT [Post- og teletilsynet]. CSPer som skal utstede kvalifiserte sertifikater i Norge må melde denne virksomheten inn til tilsynsmyndigheten. Denne meldingen skal være en deklarasjon om at CSPen oppfyller kravene til kvalifisert sertifikat, herunder opplyse om hvilken sertifikatpolicy de følger og hvordan deres sertifikatutstedelsespraksis er. Tilsynet kan vise til hvilke policy og praksis som oppfyller kravene. Hva som skal rapporteres inn besluttes i forskrift av tilsynet. Virksomheten blir registrert i et eget register med oversikt over CSP-er.
Deklarasjonen sendes kun inn ved oppstart av virksomheten, og dersom det skjer endringer som gjør at de registrerte opplysningene ikke lenger er korrekte.
Tilsynsmyndighetene kan imidlertid kreve å få alle de opplysninger som de ønsker for å sikre at CSPer som tilbyr kvalifiserte sertifikater oppfyller kravene i loven. Slik kontroll kan skje dersom tilsynet mener det er nødvendig, eller etter 'krav' fra brukere eller andre aktører.»
Når det gjelder fordeler og ulemper med modellen står det følgende i rapporten:
«Sammenlignet med revisjonsmodellen må CSPene i selvdeklarasjonsmodellen ikke sende inn årlige rapporter om foretatt IT-revisjon til tilsynet. I Sverige har man kommet frem til at revisjonsmodellen vil være et tungrodd og kostbart apparat. Man ønsker ikke en utvikling der CSPer, kun for å unngå et kostbart tilsyn, ikke kaller sine sertifikater for kvalifiserte selv om de oppfyller kravene.
Ved å velge selvdeklarasjonsmodellen vil det heller ikke være behov for å regulere hvem som kan være IT-revisor.
Til forskjell fra kontrollmodellen må CSPen ikke sende inn jevnlige rapporter til tilsynet.
Deklarasjonen som skal sendes tilsynet kan være relativt kort og bør blant annet inneholde garantier vedrørende personvern, økonomi og overholdelse av kravene i anneksene til direktivet...
Modellen krever en viss kompetanse innen IT-revisjon hos tilsynet, men tilsynsformen utelukker ikke at man innhenter privat ekspertise i forbindelse med enkelte kontroller.»
I sine konklusjoner, kapittel 7, skriver utvalget bl.a. følgende:
«Ut i fra kunnskapene om at en omfattende tilsynsordning med sterk kontroll er dyrt, at markedet er i utvikling, at kundene er få og etterspør billige løsninger, anbefaler utvalget at myndighetene viser varsomhet vedrørende regulering av CSP-virksomhet. Utvalget konkluderer derfor med å velge selvdeklarasjonsmodellen.»
Det er vanskelig å velge den mest hensiktsmessige tilsynsmodellen for et marked som er så ungt. Det er derfor viktig å ikke detaljregulere dette markedet på en slik måte at markedet hindres i å utvikle seg på en mest mulig optimal måte. Her bør partene i markedet så langt det er mulig selv få «regulere» sin virksomhet og sikre at de følger de kravene som står i loven. Dessuten er det viktig at man ikke fra norsk side utformer en lov som stiller norske sertifikatutstedere i en dårligere stilling konkurransemessig enn utstedere etablert i andre land.
I høringsnotatet foreslås selvdeklarasjonsmodellen som tilsynsmodell. Denne modellen er en av de minst inngripende modellene som er presentert i utvalgets rapport. Likevel oppfyller modellen de krav om tilsyn som stilles i direktivet, og modellen vil gi et reelt og funksjonelt tilsyn, som vil gi den nødvendige tilliten i markedet. Det svenske lovforslaget innebærer en tilnærmet identisk tilsynsmodell. Det kan imidlertid ikke utelukkes at modellen vil måtte justeres og kompletteres når markedet er mer modent. Utviklingen i markedet må derfor følges nøye fremover.
8.7.2.2 Høringsinstansenes syn
EDIPRO, Telenor, Advokatforeningen, eforum, Norges Eksportråd og Euro Info uttaler at de er positive til at departementet har valgt den tilsynsmodellen som er minst inngripende bl.a. fordi denne modellen er best egnet ut fra det syn at markedet er ungt og at norske aktører ikke bør stille konkurransemessig dårligere enn sertifikatutstedere etablert i andre land. Også NORTIB, FNH og Sparebankforeningenstøtter valget av tilsynsordning. Norges Bedriftsforbund bemerker at registreringskostnader og tilsynsavgifter bør være lave for utstedere i etableringsfasen.
Posten SDS aksepterer valget av selvdeklareringsmodellen, men mener imidlertid at «revisjonsmodellen» vil gi bedre sertifikattjenester. Posten SDS uttaler at de har funnet av egne erfaringer at kvaliteten på tjenestene styrkes ved at de har hatt en fullstendig revisjon av sertifikattjenesten foretatt av ekstern instans. De er litt usikre på om leverandører som ikke har foretatt en slik uhildet revisjon klarer å lage noe som kvalifiserer til betegnelsen kvalifiserte sertifikater.
NTNU uttaler at det er lagt opp til et utilstrekkelig tilsyn med utstedere av kvalifiserte sertifikater. NTNU mener at evaluering og akkreditering er nødvendig for å hindre utglidning i bransjen. Dette er også nødvendig for at forbrukerne skal kunne ha tillit til ukjente aktører i bransjen. NTNU peker bl.a. på at man ikke kan få et sikkert system basert på at bestanddelene hver for seg regnes som sikre, men at systemet må evalueres og sertifiseres som en helhet.
Justervesenet uttaler at dersom det er behov for anerkjennelse av elektroniske signaturer over landegrensene er det verdt å vurdere og etablere en mer spesifikk frivillig ordning basert på akkreditering. Justervesenet mener at det ligger vel til rette for å gjøre nytte av den infrastrukturen som allerede er etablert gjennom, bl.a. European Cooperation for Accreditation, for å skape internasjonal tillit til utstedere av kvalifiserte sertifikater på en rasjonell og effektiv måte.
8.7.2.3 Departementets vurdering
Departementet mener at det på det nåværende tidspunkt er avgjørende at man ikke overregulerer markedet slik at den tekniske utviklingen hindres. På den annen side er det klart at innholdet i tilsynsvirksomheten ikke er helt klartlagt før forskriftene er på plass. Disse forskriftene skal tre i kraft samtidig med loven.
Departementet ser positivt på mulige fremtidige initiativ i markedet til frivillige sertifiserings- / akkrediteringsordninger. Departementet antar at aktualiteten av slike ordninger vil vurderes når utviklingen i andre europeiske land er klarere og standardiseringsarbeidet har kommet lenger.
8.7.3 Tilsynsorgan
8.7.3.1 Høringsnotatet
Direktivet legger opp til at tilsynet kan være et offentlig eller privat organ. Når det gjelder spørsmålet om det skal utpekes et offentlig eller privat organ har departementet kommet til at det bør velges et offentlig tilsynsorgan. Departementets konklusjon bygger bl.a. på antagelsen om at et offentlig tilsynsorgan har størst tillit i markedet. Videre er denne typen tilsynsvirksomhet et av det offentliges kjerneoppgaver da det regulerer borgernes rettigheter og plikter, i dette tilfellet i tillegg på et område hvor brukerne har liten kompetanse.
Utredningen «Elektroniske signaturer - Myndighetsroller og regulering av tilbyder av sertifikattjenester» tar for seg spørsmål om myndighetsroller, godkjenningsordning og krav til utstedere burde utredes nærmere. Herunder kommer de med forslag til valg av tilsynsorgan. I rapporten foreslås det at tilsynet bør legges til Post- og teletilsynet. Konklusjonene i høringsnotatet bygger på denne rapporten. I valget av tilsyn har utvalget vektlagt følgende:
Post- og teletilsynet (PT) har allerede ansvar for å føre tilsyn med aktørene på post- og teleområdet. PT forvalter i dag et større antall forskrifter og utøver tilsyn på mange områder.
PT fører allerede register over aktørene på post- og teleområdet.
PT har bred kompetanse både på det juridiske, økonomiske og teknologiske området, og er i sin virksomhet vant til å arbeide i grensefeltet mellom disse områdene.
Med dereguleringen av telemarkedet har PT, i forbindelse med opprettelse og forståelse av samtrafikkavtaler mellom Telenor og de nye aktørene i telemarkedet, hatt rollen som mekler mellom partene.
Sverige og Danmark har valgt sine Post- og teletilsyn som tilsynsmyndighet.
Valget av tilsyn begrunnes på følgende måte i rapporten:
«PT har også et bredt og omfattende internasjonalt kontaktnett og arbeider aktivt med internasjonale spørsmål. For flere av aktørene vil også PT være en kjent organisasjon å forholde seg til. PT vil derfor være et godt egnet sted å plassere tilsynet. PT er også en relativt stor organisasjon med ca 200 ansatte som lettere vil kunne innpasse nye områder i sitt arbeidsfelt. Datatilsynet har på sin side kun 22 tilsatte.
I valget mellom disse to eksisterende tilsyn [PT eller Datatilsynet] konkluderer utvalget med å anbefale Post- og teletilsynet. Det legges særlig vekt på hva som er disse institusjonenes hovedformål. Post- og teletilsynets generelle formål er å sikre rimelige og gode post- og teletjenester. Å føre tilsyn med CSPer [sertifikatutstedere] kan ses på som en del av dette.»
Departementet støtter utvalgets konklusjon i valg av tilsynsorgan. På bakgrunn av Post- og teletilsynets erfaring med liknende oppgaver foreslås det i høringsnotatet at tilsynsoppgavene legges til Post- og teletilsynet.
8.7.3.2 Høringsinstansenes syn
Justervesenet, Brønnøysundregistrene, Samferdselsdepartementet, Norsk Bedriftsforbund og NORTIButtaler at de støtter valget av Post- og teletilsynet utfra kompetanse og ansvarsområde. Ingen av høringsinstansene er negative til valg av Post- og teletilsynet som tilsynsorgan. Flere høringsinstanser mener at tilsynet bør utpekes i lovteksten.
Datatilsynet uttaler at de har ingen vesentlige innvendinger mot forslaget om å legge tilsynsfunksjonen til Post- og teletilsynet. Imidlertid er de av den oppfatning at tilsyn i tilknytning til personvernrelaterte spørsmål, herunder sikring av personopplysninger, fortsatt tilligger Datatilsynet i henhold til den nye personopplysningsloven.
Post- og teletilsynet stiller seg positive til å påta seg tilsynsoppgaven.
8.7.3.3 Departementets vurdering
Departementet opprettholder forslaget til valg av Post- og teletilsynet som tilsynsorgan med virksomheten til utstedere av kvalifiserte sertifikater. Dette forslaget støttes av samtlige høringsinstanser. Det er selvsagt også et viktig moment at Post- og teletilsynet stiller seg positive til å påta seg tilsynsoppgaven.
Departementet har kommet til at det bør følge av loven at Kongen utpeker tilsynet og at dette ikke gjøres direkte i lovteksten.
Når det gjelder lovforslaget § 7 om innsamling og bruk av personopplysninger, er departementet imidlertid enig i uttalelsene fra Datatilsynet om at tilsyn i tilknytning til personvernrelaterte spørsmål bør ligge hos Datatilsynet. Denne bestemmelsen ligger i innhold nært opptil personopplysningslovens regler som håndheves av Datatilsynet. Videre skal bestemmelsen gjelde alle sertifikatutstedere, også de som ikke utsteder kvalifiserte sertifikater. De tilsynsoppgavene som tillegges Post- og teletilsynet vil kun gjelde utstedere av kvalifiserte sertifikater. Dette kan oppsummeres slik at Post- og teletilsynet utpekes som tilsyn iht. lovforslaget, med unntak av § 7 hvor tilsynet legges til Datatilsynet. Se mer om dette under kapittel 11.
8.7.4 Tilsynets oppgaver
8.7.4.1 Høringsnotatet
Kravene loven stiller til utstedere av kvalifiserte sertifikater vil bli nærmere presisert i forskrifter. En av tilsynets hovedoppgaver vil være å utdype disse kravene ved å ta stilling til hvilke policy og praksis som oppfyller lovens krav, herunder må tilsynet vurdere hvorvidt eventuelle frivillige sertifiseringer (se kapittel 9) og rapporter fra IT-revisjonsfirmaer kan «erstatte» deler av tilsynets eget arbeid.
For det andre må tilsynet kommunisere disse presiserte kravene til sertifikatutstedere som ønsker å tilby kvalifiserte sertifikater. Tilsynet kan f.eks. legge ut en liste på en egen hjemmeside over hvilke policy og praksis som oppfyller kravene.
For det tredje må tilsynet se til at sertifikatutstedernes virksomhet er i overensstemmelse med de presiserte kravene. På bakgrunn av meldingene fra utstedere av kvalifiserte sertifikater skal tilsynet vurdere om kravene som stilles i loven med forskrifter er oppfylt. Tilsynet har anledning til å etterspørre ytterligere informasjon og dokumenter som er nødvendige for at tilsynet skal kunne utføre sine oppgaver. Bl.a. må tilsynet vurdere utstedernes sertifikatpolicy, hvorvidt sertifikatutstedelsespraksis er i samsvar med policy og om den faktiske gjennomføringen er i samsvar med praksis.
Tilsynet bør legge ut en liste over alle registrerte sertifikatutstedere, eventuelt kan dette gjøres på egen hjemmeside. Hvilken informasjon som for øvrig bør legges ut, kan vurderes på et senere tidspunkt. På den måten vil det være mulig for de som ønsker å skaffe seg en elektronisk signatur og for de som stoler på sertifikater, å se hvilke utstedere som oppfyller kravene i loven med forskrifter og omfattes av tilsynet.
Det presiseres at tilsynets oppgaver vil konkretiseres i forskrifter, mens lovforslaget inneholder mer overordnede prinsipper som bygger på EU-direktivet.
8.7.4.2 Departementets vurdering
Tilsynets oppgaver vil bli nærmere fastlagt i forskrift. Disse forskriftene vil tre i kraft samtidig med lovforslaget.
8.7.5 Klageadgang for tilsynets avgjørelser
8.7.5.1 Høringsnotatet
De vedtak tilsynet vil treffe i medhold av denne loven vil i hovedsak omhandle driftsmessige og tekniske forhold relatert til den virksomhet som sertifikatutstederne kan drive. En ankeinstans må derfor ha inngående teknisk kjennskap til elektroniske signaturer og utstedernes virksomhet for å være i stand til å vurdere tilsynets avgjørelser. Ankeinstansen vil sannsynligvis kun treffe avgjørelser i et lite antall saker. Det tas i høringsnotatet ikke stilling til hvem som skal utpekes som klageinstans, jf. § 23.
8.7.5.2 Høringsinstansenes syn
Når det gjelder klageadgang uttaler Post- og teletilsynet at det i rapporten legges opp til at klager behandles av de samme organer som behandler øvrige klager på deres vedtak. I kommentarene til lovforslaget er det påpekt at klageinstansen må ha inngående kjennskap til elektroniske signaturer og tilbydernes virksomhet. Etter Post- og teletilsynets oppfatning er det tvilsomt om dagens klageinstanser besitter slik kompetanse. Post- og teletilsynet mener at det trolig kan være hensiktsmessig at Nærings- og handelsdepartementet, som ansvarlig departement for loven med tilhørende forskrifter, kan være klageinstans. Departementet kan etter deres mening på denne måten skaffe seg erfaring med loven, som kan være nyttig med tanke på eventuelle revisjoner av loven og forskrifter.
Samferdselsdepartementet uttaler at det ved utpekingen av klageorgan bør legges vekt på å ikke komplisere klageordningen på teleområdet ytterligere. Utpekingen bør etter deres mening skje i samråd med Samferdselsdepartementet, og de forutsetter at klageorganet blir tilført nødvendig kompetanse.
8.7.5.3 Departementets vurdering
Lovforslaget utpeker ikke klageorgan for Post- og teletilsynets avgjørelser, men gir Kongen hjemmel til å utpeke et slikt organ. Dette organet vil være overordnet forvaltningsorgan i forhold til reglene om klageadgang i forvaltningsloven §§ 28 flg. Forvaltningslovens klageregler kommer ellers til anvendelse.
Departementet legger ikke opp til at klageadgangen skal være videre enn hva som følger av forvaltningslovens regler. For å kunne klage på tilsynets avgjørelser må man således ha rettslig klageinteresse. Det legges dermed ikke opp til noen formell klageadgang for forbrukerne tilsvarende den utvidede klageadgangen på områdene som dekkes av lov om telekommunikasjon.
Avgjørelser fra tilsynet som kan påklages vil f.eks. være pålegg om å gi opplysninger, jf. § 17 annet ledd, krav om IT-revisjon, jf. § 17 fjerde ledd, vedtak om å frata sertifikatutsteder retten til å anvende begrepet kvalifisert sertifikat, jf. § 17 femte ledd, beslutning om å fremme granskningsforretning, jf. § 19 og feil i registeret fra tilsynets side, jf. § 18.
Ved utpekelsen av klageorganet vil det legges vekt på at det utpekte organet skal ha tilstrekkelig kompetanse og klare ansvarslinjer i forhold til Post- og teletilsynets avgjørelser.
8.8 Sikre signaturfremstillingssystem
8.8.1 Høringsnotatet
Det følger av den foreslåtte definisjonen av kvalifisert elektronisk signatur at dette er en avansert elektronisk signatur basert på et kvalifisert sertifikat som er fremstilt av et sikkert signaturfremstillingssystem. Dette betyr at det må brukes et sikkert signaturfremstillingssystem for å oppnå rettsvirkninger i henhold til § 6. Sikre signaturfremstillingssystem kan først tas i bruk når de er i samsvar med standarder fastsatt av Europakommisjonen eller godkjent av et oppnevnt nasjonalt organ, se nedenfor. Kravene til sikre signaturfremstillingssystem oppstilles i § 8.
I henhold til § 9 første ledd kan medlemslandene utpeke et egnet offentlig eller privat organ som skal avgjøre om et signaturfremstillingssystem oppfyller kravene i § 8.
Dessuten kan Europakommisjonen fastsette, og i EF-Tidende offentliggjøre, referansenummer på generelt anerkjente standarder for elektroniske signaturprodukter, jf. loven § 9 tredje ledd. Kravene til et sikkert signaturfremstillingssystem er oppfylte når maskin- eller programvare som benyttes er i overensstemmelse med slike standarder.
I Norge er Forsvarets Overkommando/Sikkerhetsstaben (FO/S) utøvende myndighet for sertifisering av IT-sikkerhet i produkter og systemer. Det er altså FO/S som utsteder sertifikater til de produkter som har vært gjenstand for evaluering av et evalueringsorgan. Evalueringsorgan blir akkreditert av Norsk Akkreditering som teknisk laboratorium etter standardene EN 45001 eller ISO Guide 25.
FO/S sertifiserer i henhold til Common Criteria. Common Criteria ble utviklet med det mål å etablere felles internasjonalt harmoniserte kriterier for sikkerhetsevaluering, og er basert på kravene i de europeiske (ITSEC), de amerikanske (TCSEC) og de kanadiske (CTCPEC) kriteriene.
Det er per i dag ikke sikkert om det vil være behov for å opprette et slikt organ i Norge. Imidlertid, dersom dette skal skje, bør det velges et allerede eksisterende organ. Den mest nærliggende løsningen er da at FO/S utpekes som det organ som skal avgjøre om et signaturfremstillingssystem er sikkert. Men det er for tidlig å ta noen endelig avgjørelse vedrørende dette nå. Komiteen nedsatt iht. direktivet har arbeidet frem de kriterier som skal stilles ved valg av det nasjonale organet.
8.8.2 Høringsinstansenes syn
NHO, Statskonsult, FNH og Sparebankforeningen påpeker at det er uklart hvorvidt sikre signaturfremstillingssystem kan godkjennes på en eller to ulike måter i henhold til bestemmelsen. Justisdepartementet kommer med konkrete forslag til forenkling av lovteksten.
8.8.3 Departementets vurdering
Bestemmelsen om godkjennelse er endret slik at det kommer tydeligere frem at sikre signaturfremstillingssystem kan godkjennes på to måter. De skal være i samsvar med standarder fastsatt av EU-kommisjonen eller godkjent av et oppnevnt nasjonalt organ. Videre er bestemmelsen endret i tråd med forslag fra Justisdepartementet.
Når et signaturfremstillingssystem er godkjent av et annet nasjonalt organ innenfor EØS-området, må denne godkjennelsen aksepteres av det norske tilsynet. En sertifikatutsteder som omfattes av det norske tilsynet kan altså bruke dette systemet uten å måtte innhente en ny godkjennelse i Norge. Dette følger av lovforslaget § 9 annet ledd.
Komiteen, etablert i henhold til EU-direktivet artikkel 9 og 10, har utarbeidet kriterier for utpeking av det nasjonale godkjennelsesorganet.
8.9 Erstatningsbestemmelser
8.9.1 Generelt om lovens erstatningsregler
Lovens § 22 regulerer erstatningsansvar for utstedere av kvalifiserte sertifikater og sertifikatutstedere som garanterer for slike sertifikater utstedt av andre. Når en sertifikatutsteder garanterer for en annen sertifikatutsteder omtales dette gjerne som kryssertifisering.
Det følger av § 2 om lovens virkeområde at erstatningsbestemmelsen gjelder de som utsteder kvalifiserte sertifikater. I § 22 presiseres det at sertifikater som utgis for å være kvalifiserte, selv om kravene ikke er oppfylte, også omfattes av erstatningsbestemmelsen. Presiseringen er ment å forebygge at sertifikatutstedere tilbyr sertifikater som brukerne får inntrykk av at omfattes av lovverket, uten at utstederen har det erstatningsansvaret som følger av loven. For andre sertifikater gjelder de alminnelige erstatningsreglene.
Direktivets erstatningsbestemmelse er en minimumsbestemmelse. Dette innbærer at EØS-landene kan velge å pålegge et strengere ansvar enn direktivets ordlyd. Departementet har vurdert å gå lenger enn direktivet ved å gi erstatningsregler som skal gjelde for alle sertifikater og ikke bare de kvalifiserte. Som argument for en utvidelse av ansvaret kan det anføres at det etter alminnelig erstatningsrett kan være usikkert hvilket ansvar som gjelder, særlig der det ikke foreligger et kontraktsforhold mellom partene. Denne usikkerheten taler for å utvide ansvaret. Videre er det usikkert hvorvidt markedet i fremtiden vil anvende seg av kvalifiserte sertifikater eller andre sertifikater som ikke er kvalifiserte i henhold til direktivet. Også ved bruk av andre sertifikater kan det være et behov for særlige erstatningsregler.
På den annen side bør det påpekes at dersom sertifikatutstederne pålegges et særlig strengt ansvar vil dette kunne medføre at prisene på tjenestene blir høye, og at norske sertifikatutstedere vanskelig vil kunne konkurrere med sertifikatutstedere fra andre EØS-land. Videre er noe av formålet med direktivet å skape en felles ramme for betingelser for bruk av elektronisk signatur, bl.a. for å styrke tilliten til den nye teknologien ved å gi de kvalifiserte sertifikatene en særstilling. Det er dessuten et mål i seg selv at direktivet gjennomføres likest mulig, slik at det i størst mulig grad legges til rette for fri bevegelse av varer og tjenester på tvers av landegrensene. Det svenske og det danske lovforslaget går ikke lengre i å pålegge erstatningsansvar enn det direktivet krever. Hensynet til nordisk rettsenhet er et vektig argument i seg selv. Departementet har kommet til at Norge bør gjennomføre en minimumsregulering av sertifikatutsteders erstatningsansvar i samsvar med direktivet.
Forslaget innebærer en minimumsregulering, slik at det ikke vil være mulig å gjøre avtaler til ulempe for den som stoler på et sertifikat. Lovforslaget er med andre ord preseptorisk. Videre vil avtaleloven § 37 beskytte forbrukere som inngår standardavtaler med sertifikatutsteder.
8.9.2 Ansvarets omfang
Sertifikatutsteder er erstatningsansvarlig overfor fysiske eller juridiske personer som med rimelighet stolte på sertifikatet. Disse personene kan være undertegner, mottaker eller en tredjemann som stolte på sertifikatet. I forhold til tredjemann kan det nevnes at det foreligger tekniske løsninger som gjør det mulig å sende et signert dokument videre gjennom mange mellomledd med den samme opprinnelige signaturen. En signatur kan med andre ord verifiseres av flere tredjemenn.
Særlige problemer oppstår i forhold til undertegnerens ansvar ved tredjemanns urettmessige bruk av signaturen. Dette kan skje ved at en person tilegner seg PIN-kode og/eller smartkort, eller ved at sertifikatutsteder utleverer PIN-kode og/eller smartkort til feil person. Loven vil ikke regulere dette forholdet, men dette kan reguleres i generelle avtalebestemmelser og i avtalene mellom sertifikatutsteder og undertegner.
Sertifikatutsteder er erstatningsansvarlig i henhold til lovforslagets § 22 så sant utstederen ikke kan bevise at han/hun ikke handlet uaktsomt. Sertifikatutsteder har således et culpa-ansvar med omvendt bevisbyrde. Dette innebærer et unntak fra de alminnelige erstatningsrettslige prinsipper som sier at skadelidte har bevisbyrden for å påvise en sannsynlighetsovervekt for at skaden er voldt ved en uaktsom handling. Sertifikatutsteder må etter denne loven vise at skaden ikke skyldtes dennes uaktsomme handling. En lovfestning av den omvendte bevisbyrden innebærer at sertifikatutsteder må vise at sertifiseringspraksis, verifisering av sertifikater, opplysninger om eventuell sperring mv. er skjedd i overensstemmelse med gjeldende regler og forskrifter.
Culpa-ansvaret med omvendt bevisbyrde innebærer ikke direkte noe strengere erstatningsansvar i forhold til de alminnelige erstatningsreglene, men en tyngre bevisbyrde for utsteder. I realiteten kan dette føre til et skjerpet ansvar for utsteder. Den omvendte bevisbyrden er det eneste unntaket fra den alminnelige erstatningsrett.
Culpa-ansvar med omvendt bevisbyrde er innført pga. områdets meget tekniske og kompliserte karakter. For den alminnelige bruker av elektroniske signaturer, uten særlig kjennskap til teknologien, vil det være vanskelig å påvise at sertifikatutsteder har begått feil eller forsømmelser som kan bedømmes som culpøse eller forsettlige. Videre skal et skjerpet krav om bevisbyrde være med på å sikre den nødvendige tillit og dermed øket anvendelse av kvalifiserte sertifikater.
Loven legger opp til at sertifikatet kan inneholde begrensninger i forhold til anvendelsesområde eller beløp, jf. lovens § 4 annet ledd bokstav i) og j). Disse begrensningene gjelder også i forhold til erstatningsreglene. Sertifikatutsteder vil altså ikke være erstatningsansvarlig for bruk av sertifikatet som er i strid med tydelige begrensninger i sertifikatets anvendelsesområde eller utover beløpsmessige begrensninger, jf. lovforslaget § 22 annet ledd.
8.9.3 Forholdet til alminnelig erstatningsrett
Erstatningsbestemmelsen regulerer kun enkelte sider ved erstatningsansvaret for en sertifikatutsteder som utsteder kvalifiserte sertifikater. I dette ligger det at alminnelig erstatningsrett vil supplere lovens erstatningsregler. Kravene om ansvarsgrunnlag, årsakssammenheng og adekvans skal f.eks. alltid oppfylles. Erstatningsansvar for en utsteder som ikke utsteder kvalifiserte sertifikater reguleres i henhold til den alminnelige erstatningsretten. Det kan her bemerkes at forholdet mellom utsteder og undertegner nok i stor grad vil reguleres gjennom avtaler, slike avtaler må imidlertid ikke være i strid med denne lovens bestemmelser. Denne loven er med andre ord preseptorisk.
8.9.4 Høringsnotatet
Høringsnotatet inneholder et forslag til lovtekst i tråd med de synspunkter som er nevnt ovenfor. Erstatningsbestemmelsen oppstiller et culpa-ansvar med omvendt bevisbyrde for utstedere av kvalifiserte sertifikater for nærmere angitte forhold. Forslaget åpner for at sertifikatutsteder og undertegner kan avtale begrensninger i sertifikatets anvendelsesområde og begrensninger for hvor store beløp som skal kunne overføres med signaturen. Slike begrensninger vil tilsvarende begrense sertifikatutsteders erstatningsansvar.
8.9.5 Høringsinstansenes syn
Norsk EDIPRO uttaler at unntaket i annet ledd for bruk av sertifikatet i strid med tydelige begrensninger i sertifikatets anvendelsesområder eller beløpsmessige begrensninger, kan danne grunnlag for en rekke rettslige tvister. Det foreligger etter deres skjønn en fare for at man her begrenser anvendelsesområdet for sertifikatet på en slik måte at det virker begrensende på utbredelsen. Lovgiver burde etter deres mening derfor legge føringer for hvilke begrensninger som kan aksepteres.
Bl.a. NHO, Norges Eksportrådog Euro Info uttaler at de støtter den løsning som er valgt, culpa med omvendt bevisbyrde, men med mulighet for utsteder til å redusere sin ansvars-eksponering etter de alminnelige erstatningsregler. Det kan imidlertid vurderes om slik ansvarsbegrensning må fremkomme tydeligere fra utsteders side enn lovutkastet legger opp til.
Telenor uttaler at de er tilfreds med lovforslagets minimumsregulering. I den forbindelse peker de særlig på sammenhengen mellom ansvar og pris på tjenesten. Telenor mener kombinasjonen av culpa-ansvar med omvendt bevisbyrde, og mulighetenfor begrensninger i anvendelsesområde og beløpsmessige begrensninger som fremgår av sertifikatene, er en hensiktsmessig balansering av utsteders og brukernes interesser.
NHO, FNH og Sparebankforeningen savner en klarere angivelse av at sertifikatutsteder er erstatningsansvarlig etter bestemmelsen også dersom sertifikatet er utlevert til en annen person enn den hvis identitet fremgår av sertifikatet. De uttaler at å vise til § 13 om kontroll ved utlevering av sertifikat ikke nødvendigvis klargjør om utlevering til feil person faller inn under erstatningsregelen i § 22 og antar videre at dette kan presiseres i bokstav d). Videre uttaler de at utkastets bokstav e) bør formuleres noe mer presist i forhold til den situasjon som foranlediger ansvar, samt harmoniseres bedre med begrepsbruken i utkastets § 11.
Justisdepartementet påpeker at lovforslaget reiser enkelte problemstillinger i forhold til garantiansvaret som ikke er avklart i lovteksten eller i merknadene. Det er spørsmål om det skal gjelde et såkalt «dobbelt» skyldkrav i forhold til garantisten. Et dobbelt skyldkrav vil innebære at garantisten blir erstatningsansvarlig med mindre han kan bevise at verken han eller utstederen av sertifikatet handlet uaktsomt. Når bevisbyrden er snudd for skyldspørsmålet innebærer dobbelt skyldkrav at ansvaret blir enda strengere for garantisten, fordi det ikke er tilstrekkelig at han beviser at han selv ikke handlet uaktsomt - han må også bevise at utstederen ikke handlet uaktsomt for ikke å bli erstatningsansvarlig. Her er garantistens ansvar avledet av utsteders ansvar. På den annen side kan det sies at erstatningsansvaret ikke skal være strengere for garantisten enn for utstederen. Da vil det være tilstrekkelig at garantisten beviser at han selv ikke handlet uaksomt. Ut fra teksten i direktivet mener Justisdepartementet at det trolig er tilstrekkelig at garantisten ikke har handlet uaktsomt, men de anbefaler at man vurderer spørsmålet nærmere og foretar en avklaring i lovteksten og/eller i merknaden.
8.9.6 Departementets vurdering
Departementet opprettholder forslaget til en bestemmelse om at sertifikatutsteder ikke er erstatningsansvarlig dersom sertifikatet er brukt i strid med tydelige begrensninger i sertifikatets anvendelsesområde eller utover beløpsmessige begrensninger. Denne bestemmelsen er nå flyttet til tredje ledd. Det er etter departementets mening nødvendig å innta en slik bestemmelse i lovteksten for at EU-direktivet skal være korrekt implementert, jf. EU-direktivet artikkel 6 nr. 3 og 4. Departementet mener det ikke er hensiktsmessig å nærmere regulere hvilke typer av begrensninger som kan aksepteres. Dette må i utgangspunktet avtales mellom partene.
Bestemmelsen er endret noe slik at det følger av annet ledd at sertifikatutsteder er ansvarlig etter første ledd medmindre han godtgjør at han ikke handlet uaktsomt. Dette er tilnærmet identisk med ordlyden i det tidligere lovforslaget. Videre følger det av annet ledd at den som stiller garanti må godgjøre at utstederen ikke handlet uaktsomt, eventuelt sammen med utstederen av sertifikatet. Garantisten vil ikke være ansvarlig så fremt det kan vises at verken utstederen eller garantisten handlet uaktsomt. Videre vil vanlige regler om regress kunne komme til anvendelse slik at garantisten kan få dekket eventuelle erstatningskrav av den som utstedte sertifikatet. Bakgrunnen for at departementet har valgt denne presiseringen av lovteksten, er at det skal være helt klart at den som stoler på sertifikatet skal stilles likt enten hun forholder seg til utstederen av sertifikatet eller til en som stiller garanti for sertifikatet på vegne av utstederen. Når noen har stilt garanti for et sertifikat skal brukeren for øvrig kun måtte forholde seg til garantisten.
I forhold til uttalelsene til NHO, FNH og Sparebankforeningen om at sertifikatutsteder er erstatningsansvarlig dersom sertifikatet er utlevert til en annen person enn den hvis identitet fremgår av sertifikatet, har departementet ikke funnet behov for å endre lovteksten. Det presiseres i kommentarene til lovteksten at sertifikatutsteder er erstatningsansvarlig også når sertifikatet er utlevert til feil person. Dette følger av § 22 bokstav d) som sier at sertifikatutsteder er ansvarlig for at undertegner disponerte korrekt signaturfremstillingsdata på tidspunktet da sertifikatet ble utstedt.
8.10 Rettsvirkning ved bruk av elektronisk signatur
8.10.1 Gjeldende rett
Et spørsmål som har blitt diskutert både i Norge og internasjonalt de siste årene er om en elektronisk signatur - dersom den oppfyller et visst sikkerhetsnivå - generelt skal gis samme rettsvirkning som en egenhendig underskrift.
I norsk rett er det relativt få rettsregler om at egenhendig underskrift eller lignende må brukes for at en rettslig disposisjonen skal anses gyldig. Når det gjelder forretningssituasjoner som avtale om kjøp av varer og tjenester m.m. finnes kun et begrenset antall situasjoner der norsk lovgivning krever avtale i skriftlig form undertegnet av partene. Konsekvensene av at dokumentet ikke er undertegnet vil være forskjellige. Skriftlighetskrav kan ha en informasjons- og en advarselsfunksjon. En avtale blir vanligvis ikke ugyldig om kravet ikke er oppfylt, men dette kan få betydning for rettsforholdet mellom partene. Manglende informasjon kan få betydning for partenes rettsstilling, og da slik at den som ikke har fått informasjon får en sterkere stilling. Men krav om skriftlighet kan være en gyldighetsbetingelse, f.eks. skal oppsigelse i arbeidsforhold være skriftlig og ha et nærmere angitt innhold. Oppsigelsen vil ikke kunne gjøres gjeldende mot den som er sagt opp dersom formkravene ikke er fulgt.
Selv om det ikke stilles krav om underskrift, vil et signert dokument ha en høy bevisverdi. En underskrift på et dokument kan brukes som bevis på at en person har godtatt vilkårene i dokumentet.
I et brev av 5. mai 1999 til Nærings- og handelsdepartementet vedrørende adgangen til å treffe avtaler elektronisk og beviskraften av elektroniske dokumenter, skriver Justisdepartementet følgende:
«Vi viser til brev 23 mars 1999 fra Nærings- og handelsdepartementet der Nærings- og handelsdepartementet ber om en uttalelse om følgende spørsmål:
Er det adgang til å treffe avtale elektronisk?
Er det en forskjell i beviskraft mellom et elektronisk dokument og et papirdokument, selv om de har samme innhold?
Avtalefrihet, herunder formfrihet, er et sentralt prinsipp i norsk rett. Formfrihetsprinsippet innebærer at det normalt ikke gjelder formkrav for å inngå avtaler. Som utgangspunkt velger partene således selv i hvilken form de ønsker å inngå en bindende avtale, for eksempel muntlig, skriftlig eller elektronisk. Hvilken form partene velger, har i seg selv ikke betydning i forhold til at avtalen er bindende og skal holdes.
Det som særpreger en rettslig bindende avtale, er at den kan gjennomføres ved domstolenes hjelp. Hjelp til gjennomføring av en avtale fra domstolene forutsetter imidlertid at domstolen legger til grunn at en bindende avtale er inngått, noe som igjen avhenger av hva partene kan bevise for domstolene. Nettopp for å sikre bevis, velger mange å inngå avtaler på papir med underskrift fra begge parter. Et sentralt spørsmål i forhold til elektroniske avtaler er hvordan partene skal ivareta bevishensynet for disse avtalene, og dermed eventuelt sikre seg domstolenes hjelp til å få sine rettigheter etter avtalen.
Norsk sivilprosess bygger på prinsippet om fri bevisføring og fri bevisvurdering. Dette innebærer at partene i utgangspunktet kan føre ethvert bevis de finner hensiktsmessig, og at dommeren avgjør etter en samvittighetsfull prøvelse av hele saken hvilket faktum som ut fra en sannsynlighetsvurdering skal legges til grunn for pådømmelsen. Det er således ikke noe rettslig i veien for at elektroniske dokumenter legges frem som bevis for en norsk domstol. Spørsmålet er hvilken vekt domstolen vil tillegge slike dokumenter i sin bevisvurdering.
Spørsmålet om beviskraft er ikke mulig å besvare generelt ettersom den beror på den konkrete bevissituasjonen i den enkelte sak. Denne usikkerheten er imidlertid ikke særegen for elektroniske avtaler, men gjør seg også gjeldende i forhold til avtaler inngått i andre former. Beviskraften av et skriftlig dokument vil avhenge av mange forskjellige forhold, som for eksempel om det fremstår som ekte, og om det er sammenfallende eller motstridende med andre dokumenter eller bevis som finnes i saken. Det er ikke mulig å gi en uttømmende oppregning av de faktorer som spiller inn ved vurderingen av troverdigheten av et bevis. Poenget er at domstolene i en sivil sak som hovedregel skal legge til grunn det faktum som fremstår som mest sannsynlig.
I praksis vil partene i elektroniske avtaler antakelig normalt i sin bevisføring i første omgang legge frem utskrifter av de elektroniske dokumentene for domstolene. Dersom motparten ikke bestrider at utskriften gir uttrykk for et elektronisk dokument som har vært utvekslet mellom partene, er ytterligere bevisføring på dette punkt unødvendig. Dersom det skulle være behov for det, kan bevis for at tekniske sikkerhetsløsninger har vært benyttet, føres i form av f.eks. vitneutsagn eller muntlige eller skriftlige forklaringer fra sakkyndige som har foretatt en undersøkelse av dokumentet og systemet. Vi antar at utskrifter av elektroniske dokumenter i kombinasjon med sakkyndige erklæringer om at det er anvendt tekniske metoder med høy bevisverdi, vil ha stor overbevisningskraft.»
8.10.2 Implementering av direktivet
Sett i sammenheng med direktivets artikkel 1 innebærer artikkel 5 nr. 1 bokstav a) at et krav om signatur alltid vil være oppfylt av en kvalifisert elektronisk signatur, på samme måte som en håndskreven signatur, såfremt lovgivningen åpner for at disposisjonen kan gjennomføres elektronisk. Ved å likestille kvalifisert elektronisk signatur med håndskreven underskrift skapes en felles standard for elektronisk signatur innenfor hele EØS-området.
I artikkel 5 nr. 1 bokstav b) krever direktivet at det må sikres at kvalifiserte elektroniske signaturer kan legges frem som bevis ved domstolene. I artikkel 5 nr. 2 i direktivet kreves også at elektronisk signatur, på annet nivå enn kvalifisert, ikke skal fratas rettsvirkning eller gyldighet som bevis bare på grunnlag av at signaturen er i elektronisk form, ikke er basert på et kvalifisert sertifikat, ikke er basert på et kvalifisert sertifikat utstedt av en akkreditert tilbyder eller ikke er fremstilt av et sikkert signaturfremstillingsystem. Disse bestemmelsene behøver ikke tas inn i loven da de allerede er i samsvar med gjeldende rett. Prinsippet om fri bevisføring og fri bevisvurdering innebærer at elektroniske signaturer, uansett om de er kvalifiserte eller ikke, kan legges frem som bevis for domstolene. Det forhold at signaturen ikke er kvalifisert vil antakelig ha betydning for signaturens beviskraft, men direktivet oppstiller ingen krav i forhold til beviskraften.
8.10.3 Høringsnotatet
Av informasjonshensyn nevnes det i tidligere § 5 (nå § 6 annet punktum) at også en elektronisk signatur som ikke er kvalifisert kan oppfylle eventuelle formkrav. Av første punktum følger det at om det oppstilles krav om signatur, og disposisjonen kan utføres elektronisk, vil en kvalifisert elektronisk signatur alltid oppfylle slike krav.
I henhold til det som er nevnt ovenfor er det ikke behov for å regulere at alle typer elektroniske signaturer kan legges frem som bevis. Selvfølgelig vil beviskraften være forskjellig i forhold til hvilken type elektronisk signatur som benyttes.
I høringsnotatets § 5 annet ledd (nå § 5 første ledd) gis hjemmel til å oppstille tilleggskrav ved kommunikasjon med og i offentlig sektor.
8.10.4 Høringsinstansenes syn
Statskonsult foreslår alternative formuleringer for å gjøre lovteksten mer pedagogisk. Bl.a. foreslår de et tillegg om at andre elektroniske signaturer også kan tilfredsstille krav om signatur «ut fra en konkret vurdering i det enkelte tilfelle, jf. prinsippet i norsk rett om fri bevisføring og fri bevisvurdering».
Videre etterlyser de krav om tidsstempling slik at man kan vise at signerte data ble mottatt eller at signaturen ble verifisert på et tidspunkt hvor sertifikatet stadig var gyldig. Videre uttaler de at langtidsgyldighet av elektroniske signaturer er et meget vanskelig tema, og at tidsstempling heller ikke løser alle problemer. De hevder at enhver løsning av dette problemet innebærer bruk av systemer alle parter har tiltro til, som på en eller annen måte oppbevarer spor av transaksjonen og av at partene på behørig måte har identifisert seg, f.eks. ved hjelp av kvalifiserte signaturer.
Oslo kommune anbefaler at man flytter bestemmelsen om rettsvirkninger til en egen lov i likhet med det tidligere danske forslaget.
8.10.5 Departementets vurdering
På bakgrunn av at bestemmelsen om rettsvirkninger er en sentral del av direktivet som implementeres ved denne lov, bør også dette reguleres i loven.
Departementet er enig i Statskonsults forståelse av bestemmelsen, men har kommet til at forslaget inneholder opplysninger som bør stå i kommentarer til lovteksten og ikke i selve loven, slik at denne lovteknisk blir best mulig.
Det finnes flere begrunnelser for hvorfor det ikke stilles krav om tidsstempling i forhold til elektroniske signaturers rettsvirkning. For det første er det ønskelig at loven skal være teknologinøytral. Krav om bl.a. tidsstempling vil ikke være teknologinøytralt. For det andre bør loven, i tråd med nordisk rettstradisjon, være tilnærmet lik de andre nordiske landenes lover. Verken den danske eller den svenske loven stiller krav om tidsstempling. For det tredje vil det i utgangspunktet ikke være mulig å stille tilleggskrav for en kvalifisert elektronisk signatur utover det som allerede er regulert i direktivet og ev. utdypet i forskrifter. Det eneste unntaket fra dette er at det kan stilles tilleggskrav ved kommunikasjon med offentlig sektor etter § 5. Det er derfor usikkert om det overhodet er mulig å oppstille et krav om tidsstempling i forhold til kvalifiserte elektroniske signaturers rettsvirkning.
Departementet vil ellers påpeke at bestemmelsen må ses i forhold til hvorvidt det generelt er adgang til å kommunisere elektronisk innen det enkelte rettsområde. Det tidligere omtalte «Kartleggingsprosjektet», se kapittel 4.3, innebærer en gjennomgang av rettslige hindringer for elektronisk kommunikasjon. Det vil bli fremsatt forslag til løsninger på de hindringene som avdekkes i regi av prosjektet. Det er derfor ikke naturlig å oppstille en særskilt gjennomgang av dette her.
Departementet vil presisere følgende angående forholdet mellom begrensninger i sertifikatets anvendelsesområde og signaturenes rettsvirkninger: Et kvalifisert sertifikat kan være begrenset i forhold til beløp eller type transaksjon, jf. § 4 annet ledd bokstav i) og j). Normalt vil disse begrensningene oppstilles der undertegner handler på vegne av en annen, f.eks. som ansatt i et selskap. Selve signaturens rettsvirkning vil ikke påvirkes av at undertegner har gått utover disse begrensningene. Det kan ikke bestrides at dokumentet er blitt signert av undertegner. Derimot kan bl.a. fullmaktsbestemmelsene i avtaleloven være aktuelle. Av disse bestemmelsene følger det bl.a. at dersom en fullmektig har handlet utenfor fullmakten vil fullmaktsgiver ikke være bundet av kontrakten. Fullmektigen må imidlertid holde tredjemann skadesløs.
Bestemmelsen er flyttet til § 6, mens hjemmelen til å oppstille tilleggskrav ved kommunikasjon med og i offentlig sektor står i § 5.
8.11 Tilleggskrav ved kommunikasjon med og i offentlig sektor
8.11.1 Innledning
Kongen gis i forslaget hjemmel til å regulere bruk av elektroniske signaturer ved kommunikasjon med og i offentlig sektor. Bestemmelsen bygger på direktivets artikkel 3 nr. 7 som sier at det kan stilles supplerende krav til elektroniske signaturer som skal brukes ved kommunikasjon med og i offentlig sektor. Videre stiller direktivet krav til at innholdet i disse tilleggskravene skal være objektive, klare, forholdsmessige, ikke-diskriminerende og at de skal stilles i forhold til det aktuelle anvendelsesområdet og de spesielle behov som her gjør seg gjeldende.
Regjeringen har oppnevnt et utvalg som skal utrede forslag til policy for bruk av digital signatur med tilhørende infrastruktur i offentlig sektor. Utvalgets forslag skal danne grunnlag for slik fremtidig regulering, jf. kapittel 4.5.
En forskrift om elektronisk kommunikasjon med forvaltningen kan tenkes forankret i forvaltningsloven. Den aktuelle hjemmelen i lov om elektroniske signaturer kan, innenfor rammen av en slik forskrift, brukes til å gi nærmere bestemmelser om hvilke typer av elektroniske signaturer som skal benyttes innen offentlig sektor og i kommunikasjon mellom offentlig sektor og brukere. Hjemmelen omfatter krav som kan stilles til den elektroniske signaturen, sertifikatutsteder og de produkter og systemer som skal benyttes.
8.11.2 Høringsnotatet
I høringsnotatet er hjemmelen utformet som et annet ledd i den tidligere § 5 om rettsvirkninger.
8.11.3 Høringsinstansenes syn
Arbeids- og administrasjonsdepartementet uttaler i høringsuttalelsen at hjemmelen er plassert feil i loven og at den også har en feil i ordlyden. Videre uttaler Arbeids- og administrasjonsdepartementet:
«Det finnes imidlertid behov for regulering av elektronisk kommunikasjon med forvaltningen, der det kan oppstilles nærmere regler for hvordan slik kommunikasjon skal foregå, for å kunne godtas som gyldig henvendelsesmåte til og fra forvaltningen i ulike saker. Dette kan omfatte forhold som signering, autentisering, tidfesting, kunngjøring av vedtak, frister og deres etterlevelse mv. Bruk av elektroniske signaturer hører hjemme her. Krav til sertifikatutstedere hører derimot hjemme i Lov om elektroniske signaturer.»
Statskonsult uttaler at slik lovutkastet er formulert i høringsnotatet, ser det ut som det er fritt frem til å gi generelle regler på et meget bredt område, mens det i direktivets artikkel 3 nr. 7 er presisert bedre og gjort avhengig av at de nevnte kriteriene må følges. Videre mener de at utkastets formulering «med og i offentlig sektor» bør revurderes i forhold til direktivets «in the public sector», som virker som en snevrere formulering. Videre uttaler Statskonsult at det kunne være mer naturlig å plassere en ev. slik hjemmel i forvaltningsloven.
I sin høringsuttalelse viser Rikstrygdeverket til særlige behov for sikkerhet ved samhandling med Trygdeetaten som følge av at de forvalter store midler og mange sensitive opplysninger. Dette er forhold som naturlig bør vurderes ved en eventuell anvendelse av forskriftshjemmelen.
Norges Rederiforbund uttaler at adgangen til å bruke elektronisk signatur bør være så vid og generell som mulig og at kommunikasjon mellom det offentlige og private bør behandles på samme måte som kommunikasjon mellom private. Videre ser de at det på enkelte områder foreligger særlige hensyn som krever en annen sikkerhetsgrad. Norges Rederiforbund forutsetter at slike unntak kun innføres på områder der det er et sterkt behov og at unntakene begrunnes særskilt.
Skattedirektoratet peker på behovet for utarbeidelse av et lite antall sertifikatpolicies som kan møte ulike behov for sikkerhet. De viser til at dette er viktig for å få ivaretatt nødvendige samordningsbehov, som etatenes behov for frihet til å velge de rimeligste, tilstrekkelig sikre, løsninger.
8.11.4 Departementets vurdering
Departementet har tatt Arbeids- og administrasjonsdepartementets synspunkt om at forskriftshjemmelen bør flyttes til følge. Bestemmelsen regulerer kommunikasjon med og i offentlig forvaltning som ikke behandles i noen andre bestemmelser i loven. Departementet finner det derfor mest naturlig at hjemmelen reguleres i en egen paragraf, i nær tilknytning til bestemmelsen som oppstiller krav til kvalifiserte signaturer og bestemmelsen om rettsvirkninger. Forskriftshjemmelen gis i en ny § 5.
Departementet er ikke enig i Arbeids- og administrasjonsdepartementets vurdering om at innholdet i bestemmelsen bør endres, da hjemmelen ikke bare gir adgang til at man kan oppstille andre krav til sertifikatutstedere, men generelt andre krav til signaturen. Videre er departementet ikke enig i Statskonsults uttalelse om at hjemmelen bør plasseres i forvaltningsloven. Bestemmelsen gir anledning til å stille tilleggskrav i forhold til øvrige bestemmelser regulert av loven her. Det er dermed mer oversiktlig og gir større forutberegnelighet for sertifikatutstederne at hjemmelen står i loven som regulerer rammevilkårene for sertifikatutstedernes virksomhet for øvrig.
Departementet slutter seg til Statskonsults uttalelse om at direktivet legger føringer for hvordan tilleggskravene skal utformes. Kravene som oppstilles i direktivet må gjelde tilsvarende, slik at eventuelle tilleggskrav må være objektive, klare, forholdsmessige og ikke-diskriminerende, og de skal stilles i forhold til det aktuelle anvendelsesområde og de spesielle behov som her gjør seg gjeldende. Det må altså vurderes særskilt i forhold til det aktuelle anvendelsesområde hvorvidt det er nødvendig med tilleggskrav, ut fra særlige behov som der gjør seg gjeldende.
8.12 Straff
8.12.1 Høringsnotatet
Høringsnotatet inneholder et forslag til en bestemmelse om straffeansvar for overtredelse av nærmere angitte bestemmelser når overtredelsen er forsettelig eller grovt uaktsom. Bestemmelsen suppleres av alminnelige strafferettslige prinsipper. I høringsnotatet er det foreslått at medvirkning straffes på samme måte, og dessuten at Kongen i forskrift kan fastsette at overtredelser i eller i medhold av loven kan straffes med bøter.
8.12.2 Høringsinstansenes syn
NHO, FNH, Sparebankforeningen og Justisdepartementet uttaler at hvilke bestemmelser som er straffesanksjonerte bør fremgå av lovteksten.
Justisdepartementet påpeker at forskriftshjemmelen i tredje ledd kan komme i konflikt med Grunnloven § 96 da utgangspunktet er at straff krever hjemmel i formell lov, mens angivelsen av gjerningsinnholdet kan reguleres i forskrift. I utgangspunktet vil da bestemmelsen i tredje ledd være i strid med Grunnloven § 96. Justisdepartementet påpeker at et unntak fra dette følger av straffeloven § 339 nr. 2, hvoretter overtredelse av bestemmelser i en forskrift kan straffes med bøter når hjemmelen for å straffe følger av forskriften. Imidlertid ser ikke Justisdepartementet noen praktiske grunner som tilsier en slik ordning.
NTNU uttaler at det bør gjøres straffbart å unnlate å følge opp offentliggjøring av rutiner som nevnt i § 13 annet ledd.
Barne- og familiedepartementet gjør oppmerksom på at utstedere av kvalifiserte sertifikater, som i virkeligheten ikke er kvalifiserte, vil kunne rammes av markedsføringslovens sanksjonsbestemmelser, jf. §§ 2 og 17.
8.12.3 Departementets vurdering
Departementet er enig i at det i loven bør tas stilling til hvilke bestemmelser som kan straffesanksjoneres og endrer lovforslaget i tråd med dette. Det følger av lovforslagets § 21 at forsettlig eller grovt uaktsom overtredelse av § 18 eller unnlatelse av å gi opplysninger etter § 17 kan straffes med bøter. Likedan kan behandling av personopplysninger i strid med §§ 7 og 14 og oppgivelse av uriktige eller villedende opplysninger til tilsynet straffes med bøter.
Fotnoter
Med interoperabilitet menes den egenskap at flere metoder, produkter, standarder eller liknende har teknisk evne til å virke sammen.