12 Statens erstatningsansvar
12.1 Arbeidsgruppens forslag
Arbeidsgruppen har vist til at staten ved utstedelse av nasjonale ID-kort påtar seg et kontraktsrettslig ansvar for at kortet er korrekt utfylt og inneholder alle sikkerhetselementer. Staten vil dermed kunne holdes ansvarlig for eventuell feilinformasjon i kortet, med mindre feilen kan tilskrives kortsøkers eget forhold. Etter omstendighetene vil staten også måtte bære særskilte kostnader knyttet til utstedelse av nytt kort, for eksempel i forbindelse med nytt fremmøte hos kortutsteder. Arbeidsgruppen mener dette også må gjelde der kortet har blitt borte under forsendelsen fra utsteder.
Staten vil på et erstatningsrettslig grunnlag kunne være ansvarlig for følgeskadene av at kortet er mangelfullt, for eksempel dersom en saksbehandler ved uaktsomhet har forårsaket en forveksling av ansiktsfoto som i en kontroll fører til at vedkommende blir avvist. Erstatningskrav forutsetter at vedkommende har lidt et økonomisk tap. Der det kan konstateres at en tredjeperson har lidt økonomisk tap, vil statens erstatningsansvar etter omstendighetene kunne omfatte også disse.
Etter omstendighetene vil staten kunne ha et refusjonsansvar hos produsentene av ID-kort. Et slikt krav vil etter arbeidsgruppens syn dels kunne forankres i kontrakten, og dels på vanlig erstatningsrettslig grunnlag.
12.2 Høringsinstansenes syn
Bankenes BetalingsSentral forutsetter at det offentlige påtar seg ansvar ved eventuelt misbruk av eID, samt at ansvar og roller beskrives på en klar og tydelig måte. Næringslivets sikkerhetsorganisasjon mener det må etableres klageordninger som sikrer at feil eller misbruk av kortet følges opp og korrigeres så fort som mulig. Det er ikke avgitt andre uttalelser til dette punktet.
12.3 Departementets vurdering
Departementet bemerker at staten, etter omstendighetene, vil kunne bli ansvarlig overfor kortinnehaver for feil i nasjonale ID-kort som ikke skyldes uriktig opplysninger gitt av søker. Tilsvarende ansvarsprinsipp gjelder for pass, og krever ikke særskilt regulering. Personopplysningslovens § 49 om erstatning for ulovlig behandling av personopplysninger kommer til anvendelse for de tilfeller at nasjonalt ID-kort med tilknyttet eID utstedes til feil person.
I den grad det er feil på ID-kortet, vil også den som disponerer i tillit til at opplysningene i kortet er korrekte (tredjepart) kunne lide tap. Det er en forutsetning for ansvar at den som lider tap hadde en berettiget forventning om å kunne stole på opplysningene. Formålet med å utstede nasjonalt ID-kort er å sørge for at pålitelige identifikasjonsdokumenter blir tilgjengelig for brukerne. Tillitskravet vil derfor være oppfylt. Departementet understreker imidlertid at tredjepart regelmessig har et ansvar for å kontrollere at identiteten som fremgår av ID-kortet er den samme som den som presenterer kortet. Uaktsomhet hos tredjepart fører som klar hovedregel til at statens ansvar faller bort. Hvis ID-kortet gir uttrykk for en annen identitet enn innehaverens (fordi det er utstedt basert på uriktige opplysninger), og tredjepart som stoler på opplysningene i kortet ikke burde forstått dette, kan staten bli ansvarlig for lidt tap. Det forutsetter imidlertid at det er utvist uaktsomhet fra statens side ved utstedelse av kortet. Dekningsberettiget tap må avgjøres etter alminnelige erstatningsrettslige prinsipper for ansvar for rent formuestap utenfor kontrakt.
Risikoen for feilutstedelser skal presumptivt være lav, da det pågående arbeidet med å realisere ordningen med nasjonalt ID-kort er særlig innrettet mot å sikre prosessene for identifisering ved skrankepunktet basert på biometri (ansikts- eller fingeravtrykksgjenkjenning) og gi sikre løsninger for drift av eID. Staten kan videre ikke anses ansvarlig for følger som har oppstått ved misbruk og/eller manipulasjon av et nasjonalt ID-kort som er korrekt utstedt og inneholder opplysninger som var korrekte på utstedelsestidspunktet. Dette gjelder også overfor en eventuelt godtroende tredjepart.
Utsteders ansvar overfor tredjepart som stoler på innholdet i en eID (eller e-signatur basert på eID/sertifikat utstedt sammen med nasjonalt ID-kort) er delvis regulert i henholdsvis eIDAS og esignaturloven § 22. Dersom nasjonal eID (eller løsning for elektronisk signatur som utstedes i tilknytning til eID) er basert på bruk av kvalifiserte sertifikater, vil staten som utsteder være omfattet av bestemmelsene om erstatningsansvar i e-signaturloven § 22. Etter denne bestemmelsen blir utsteder ansvarlig for nærmere bestemte mangler ved sertifikatet med mindre vedkommende godtgjør at han, eller den han garanterer for, ikke handlet uaktsomt. Artikkel 11 og artikkel 13 i eIDAS gir regler om erstatning for manglende overholdelse av forordningens krav. Rekkevidden av disse reglene, herunder forholdet til esignaturloven, vil bli nærmere gjennomgått som ledd i arbeidet med gjennomføring av forordningen i norsk rett, jf. punkt 3.2.3.