3 Nasjonale og internasjonale referanserammer
3.1 Ordningen i andre europeiske land
De aller fleste EU-landene har nasjonale identitetskort i en eller annen form. I vedlegg 4 til utlendingsforskriften er det inntatt en liste over legitimasjonsdokument utstedt av EØS- eller EFTA-land som godkjennes som reisedokument jf. utlendingsforskriften § 2-10 første og andre ledd. Listen omfatter identitetskort fra 27 europeiske land.
Nasjonale ID-kort med reiserett omfatter på samme måte som passet kun egne statsborgere. Noen land har begrenset sine ordninger til dette, mens andre land utsteder andre varianter også til utenlandske statsborgere. I noen land utstedes kortet av politiet, i andre land av folkeregisterlignende myndigheter. Gyldighetstiden varierer mellom fem og ti år. Også utbredelsen varierer, blant annet fordi ordningen er frivillig i noen land og obligatorisk i andre. Alle europeiske ID-kort er nå i smartkortformat og inneholder en chip som muliggjør lagring av biometriske personopplysninger. Et hovedinntrykk er at flertallet av land lagrer biometrisk ansiktsfoto, men ikke fingeravtrykk, i kortet.
På grunn av relativt store organisatoriske og demografiske variasjoner og utfordringer, er det vanskelig å få et klart bilde av i hvilken grad andre europeiske land har hatt kriminalitetsforebyggende ambisjoner med innrettingen av sine ordninger. Ordningen med nasjonalt ID-kort har stor utbredelse i noen land, som for eksempel Tyskland (der det er obligatorisk), og liten utbredelse i andre land, som for eksempel Sverige. I planleggingen av den norske ordningen har Politidirektoratet orientert seg bredt for å få best mulig overblikk over hvilke faktorer som påvirker utbredelsen av nasjonale ID-kort, og også sett særlig på de mest moderne løsningene for kort med eID (Estland, Latvia, Tyskland).
Sverige innførte et frivillig nasjonalt ID-kort for svenske statsborgere i oktober 2005. Kortet utstedes av politiet eller ambassader og karriärkonsulat i utlandet. Kortet kan brukes som reisedokument i EØS-området, da det angir statsborgerskap. Fra 1. juni 2009 har Sverige også tilbudt et identitetskort til utenlandske statsborgere som er folkeregistrert i Sverige. I kortet lagres ansiktsfoto, men ikke fingeravtrykk. ID-kortet koster 400 svenske kroner og har en gyldighetstid på fem år.
Det svenske nasjonale ID-kortet har ikke stor utbredelse, og synes ikke å ha oppnådd samme tillit som legitimasjonsdokument som passet. ID-kortet inneholder en ekstra brikke som kan anvendes til eID. Regjeringskansliet utreder nå hvordan behovet for eID skal løses i Sverige, herunder om nasjonalt ID-kort skal utstedes med en offentlig utstedt eID og om dette krever særskilt regulering.
Danmark har ikke nasjonalt ID-kort. Danske myndigheter har utredet om det eksisterende helseforsikringskortet skal utvides til å gjelde som elektronisk, nasjonalt ID-kort, men løsningen ble funnet for kostbar. Det pågår imidlertid vurderinger om å lovregulere dansk eID infrastruktur.
I juli 1999 innførte Finland et frivillig offentlig utstedt ID-kort for finske statsborgere. Forutsatt at det er mulig med pålitelig verifisering av identitet, kan også utenlandske statsborgere med opphold i Finland få ID-kort. Politiet utsteder omkring 40 000 ID-kort i året. Alle finske ID-kort kort inneholder eID som gjør det mulig å signere og kryptere e-post og elektroniske søknader til offentlige myndigheter. Det er Befolkningsregistersentralen som har ansvaret for produksjonen av eID. De finske ID-kortene inneholder ikke biometri, men biometrisk ansiktsfoto opptas ved utstedelsen og lagres i et sentralt register.
Estland utsteder nasjonalt ID-kort med eID til estiske statsborgere og utenlandske statsborgere med fast opphold i landet. Kortet utstedes av politiet med fem års gyldighetstid, og er obligatorisk både for estiske statsborgere og utenlandske statsborgere over 15 år med fast opphold (permanent residents). Estisk nasjonal eID brukes mot både offentlige og private tjenester, og løsningen muliggjør bruk av eID på ID-kortet til å få utstedt (avledet) eID på mobil. Biometrisk ansiktsfoto lagres i ID-kortet og i et sentralt register.
Latvia startet et nytt konsept med nasjonalt ID-kort med eID i april 2012. Det nasjonale ID-kortets eID brukes for tjenester både i offentlig og privat sektor. Det latviske ID-kortet er obligatorisk for egne borgere over 15 år, og både fingeravtrykk og ansiktsbiometri lagres både i kortet og i et sentralt register. Gyldighetstiden er fem år, og kortet utstedes av kontoret for statsborgerskap.
Tyskland utsteder nasjonalt ID-kort med eID til bruk både mot offentlig og privat sektor. Kortet utstedes kun til tyske statsborgere, som fra fylte 16 år er forpliktet til å inneha enten pass eller nasjonalt ID-kort. De lokale tyske registreringskontorene og tyske utenriksstasjoner utsteder til sammen 8 millioner nasjonale ID-kort per år, mot kun 2 millioner pass. Det nasjonale ID-kortet har samme gyldighetstid som passet, det vil si ti år for voksne og seks år dersom søkeren er under 24 år. Det inneholder biometrisk ansiktsfoto av innehaveren, mens fingeravtrykk bare lagres i kortet etter søkers ønske.
I Belgia utstedes nasjonale ID-kort med eID til belgiske statsborgere over 12 år. Det er obligatorisk for alle belgiske statsborgere over 15 år å bære med seg et nasjonalt ID-kort. Det belgiske ID-kortet fungerer også som elektronisk førerkort, og har fem års gyldighetstid. Også i Spania er det obligatorisk med et nasjonalt ID-kort utstedt av det offentlige, for alle over 14 år. Det spanske ID-kortet utstedes av politiet, har løsninger for selvbetjening av eID, og en alminnelig gyldighetstid på ti år. Østerrike har en frivillig ordning med nasjonalt ID-kort.
I Nederland er det frivillig å inneha et nasjonalt ID-kort, men obligatorisk for alle over 14 år å bære med seg legitimasjon. ID-kortets gyldighetstid er endret fra fem til ti år, og kortet utstedes kun til egne statsborgere. Kortet inneholder en chip med innehaverens ansiktsfoto og to fingeravtrykk. ID-kortet har per i dag ikke løsning for eID. Nederland har besluttet å avvikle ordningen med lagring av fingeravtrykk i kortet.
3.2 Relevant regelverk
3.2.1 Passloven
Lov 19. juni 1997 nr. 82 om pass (passloven) § 1 fastslår at norske statsborgere har rett til pass etter søknad og i samsvar med loven. Pass utstedes av politiet, og av norske utenriksstasjoner som er tildelt passmyndighet av Utenriksdepartementet. I praksis delegerer den enkelte politimester vedtaksmyndighet til ansatte på distriktets passbehandlingsenhet, som i all hovedsak bemannes av ansatte med annen utdanning enn politiutdanning. Utenriksdepartementet har tildelt passmyndighet til alle ambassader og generalkonsulater, og til enkelte honorære konsulater.
Passmyndigheten behandler søknader om pass og fatter vedtak om innvilgelse eller nektelse. Utenriksstasjonene har samme vedtakskompetanse som politiets passkontor, men ikke samme tilgang til politiets registre. I praksis foretar utenriksstasjonene et såkalt agentsøk mot alle de aktuelle politiregistrene, og får melding om treff eller ikke-treff basert på de angitte søkekriteriene. Ved treff må utenriksstasjonene kontakte Kripos for nærmere opplysninger om grunnlaget for et eventuelt vedtak om passnekt.
Etter passloven § 3 er grunnvilkårene for retten til pass at søkeren godtgjør sin identitet og sitt norske statsborgerskap, og møter personlig hos passmyndigheten både ved første gangs utstedelse og ved fornyelse. Kravet om personlig oppmøte har tradisjonelt vært et sentralt element i identitetsarbeidet ved passutstedelse. Personlig oppmøte er nødvendig for å sammenligne søkers ansikt med fotografiet som skal benyttes, undersøke fremlagt dokumentasjon, påse at søker signerer i passmyndighetens nærvær og slik at passmyndigheten kan stille de spørsmål som anses nødvendige for å avklare søkers identitet. Nærmere bestemmelser om personlig fremmøte og dokumentasjon for identitet og statsborgerskap m.m. er gitt i forskrift 19. juni 1997 nr. 82 om pass (passforskriften). Passmyndigheten skal kontrollere opplysningene mot folkeregisteret, jf. passforskriften § 7 annet ledd. Det er også et grunnvilkår etter passloven § 4 at foresatte samtykker til utstedelse av pass til barn og personer uten rettslig handleevne.
Passmyndigheten kan, og i noen tilfeller skal, avslå en søknad om pass hvis søkeren omfattes av reglene i passloven § 5 om hindringer for å få pass. Pass skal blant annet ikke utstedes hvis søkeren er etterlyst, er besluttet pågrepet eller har samtykket til innlevering av pass etter straffeprosessloven. Pass kan etter en skjønnsmessig vurdering nektes utstedt til personer som er pålagt frihetsberøvelse ved dom, kjennelse eller annen lovhjemlet beslutning og derfor ikke kan reise ut av riket, og under visse andre omstendigheter.
Reglene om passhindringer og om tilbakekall og innlevering i § 7 innebærer en begrensning i den grunnleggende retten enhver norsk borger har til å forlate landet. Passloven § 5 fjerde ledd fastslår derfor at pass ikke må nektes uten at tungtveiende hensyn taler for det. Ved avgjørelsen skal det tas i betraktning hvilken betydning pass vil ha for søkeren.
Når det gjelder passets tekniske spesifikasjoner, er Norge bundet av kravene til passutstedelse som er fastsatt av Den internasjonale luftfartsorganisasjonen ICAO og av EU. ICAOs globale spesifikasjoner (standarder) for bruk av biometri i reisedokumenter er fulgt opp av EU ved Rådsforordning (EF) nr. 2252/2004 om biometri i pass og reisedokumenter utstedt av medlemslandene. Forordningen ble vedtatt 13. desember 2004, og innførte krav først til elektronisk lagring av ansiktsfoto, og deretter til fingeravtrykk. Forordningen er en videreutvikling av Schengen-regelverket og bindende for Norge.
Elektronisk lagring av biometri i form av ansiktsfoto i norske pass fikk rettslig forankring ved lov 17. juni 2005 nr. 93 om endringer i passloven (elektronisk lagring av biometrisk personinformasjon i form av ansiktsfoto i pass m.m.), i kraft 17. juni 2005. Elektronisk lagring av fingeravtrykk ble gjennomført ved lov 19. juni 2009 nr. 86 om endringer i passloven (elektronisk lagring av biometrisk personinformasjon i form av fingeravtrykk i pass m.m.), i kraft 19. juni 2009. Passloven § 6 annet ledd fastslår at det kan innhentes og lagres i passet biometrisk personinformasjon i form av ansiktsfoto og fingeravtrykk (to fingre). til bruk for senere verifisering eller kontroll av passinnehaverens identitet Informasjonen lagres elektronisk eller på annen måte i passet slik at hensynet til ekthet, integritet og konfidensialitet blir ivaretatt. Passforskriften gir detaljerte regler om opptak av ansiktsfoto og fingeravtrykk.
Paragraf 6a gir den enkelte rett til innsyn i informasjon om en selv som er lagret elektronisk i passet, samt til å få rettet eller slettet feilaktige opplysninger. Biometrisk personinformasjon innhentet til bruk ved passkontroll (grensekontroll) skal slettes så snart kontrollen er avsluttet ved verifisering av pass og passinnehaver.
Utstedelsen av pass er en del av politiets forvaltningsvirksomhet. Politiets behandling av opplysninger til forvaltningsvirksomhet reguleres av personopplysningsloven, men passlovens regler om behandling av opplysninger i passregisteret går foran i den grad det gis avvikende regler, jf. personopplysningsloven § 5. Utover dette gjelder personopplysningsloven fullt ut.
De rettslige rammene for passregisteret fremgår av passloven § 8 og passforskriften § 13. Passloven § 8 annet ledd fastslår at registeret kan inneholde passinnehavers navn, fødselsnummer, høyde, øyenfarge, hårfarge, fødested, utsendelsesadresse, samt passnummer, utstedende myndighet, utstedelsesdato og utløpsdato. I registeret kan også inntas passinnehavers signatur og ansiktsfoto, og øvrige opplysninger som er nødvendig for forvaltning av registeret og utstedelse av pass. Passloven gir ikke hjemmel for å lagre fingeravtrykk i passregisteret.
Etter passloven § 8 fjerde ledd er det som hovedregel bare passmyndigheten, Kripos og norsk grensekontrollmyndighet som kan benytte opplysningene i passregisteret. Ved lov 21. juni 2013 nr. 87 om endringer i passloven ble det gitt en ny § 8 a om utlevering av opplysninger fra passregisteret til politiets bruk for andre formål enn de som følger av passlovens formål. Adgangen til å benytte passregisteret for andre formål er først og fremst rettet mot politiets arbeid med å identifisere savnede og døde. Opplysningene kan imidlertid også utleveres til bruk i kriminalitetsbekjempende øyemed i saker av en viss alvorlighetsgrad, i arbeid etter utlendingsloven med å avklare identiteten til en person som har plikt til å gi opplysninger om egen identitet, og når et uttrykkelig samtykke gir grunnlag for utlevering, mv. Opplysninger som er hentet fra passregisteret til slike formål skal ikke lagres ut over det som er nødvendig for å oppfylle formålet med behandlingen av opplysningene eller dokumentere behandlingen av den saken som opplysningene er innhentet for. For mer informasjon om passloven § 8 a viser departementet til Prop. 153 L (2012–2013) Endringer i passloven (politiets adgang til å benytte passregisteret).
Stjålne/tapte pass skal registreres i passystemet av passmyndighet etter tapsmelding fra innehaver. Tapsmeldingen overføres automatisk til Schengen Informastion System (SIS) og til Interpols database ASF/SLTD (Stolen and Lost Travel Documents). Det er ikke mulig å ta i bruk et tapsmeldt pass som senere kommer til rette. Pass til personer over 16 år er gyldige i 10 år.
3.2.2 Esignaturloven
Lov 15. juni 2001 nr. 81 om elektronisk signatur (esignaturloven) gir rettslige rammebetingelser for bruk av elektronisk signatur og tilknyttede tjenester. Loven gjennomfører Europaparlaments- og rådsdirektiv 1999/33/EF av 13. desember 1999 om en fellesskapsramme for elektroniske signaturer (1999/93/EC), og hører inn under Nærings- og fiskeridepartementet. Etter definisjonen i esignaturloven § 3 nr. 1, er en elektronisk signatur «data i elektronisk form som er knyttet til andre elektroniske data og som brukes som autentiseringsmetode». Esignaturloven og tilhørende regelverk vil komme til anvendelse for en offentlig utstedt eID tilknyttet nasjonalt ID-kort.
Loven regulerer i hovedsak utstedere av «kvalifiserte sertifikater» som er etablert i Norge og inneholder blant annet bestemmelser knyttet til erstatning, sanksjoner og tilsyn ved Nasjonal kommunikasjonsmyndighet (NKOM, tidligere Post- og teletilsynet). Et sertifikat er en kopling mellom signaturverifikasjonsdata og undertegner som bekrefter undertegners identitet og er signert av sertifikatutsteder. Betegnelsen «kvalifisert sertifikat» brukes om sertifikater som oppfyller kravene i loven § 4, jf. forskrift 15. juni 2001 nr. 611 om krav til utsteder av kvalifiserte sertifikater mv. Detstilles blant annet krav om at identifisering av person som ønsker et kvalifisert sertifikat må skje ved personlig fremmøte hos sertifikatutsteder eller en representant for denne, med mindre vedkommende allerede er identifisert ved personlig fremmøte gjennom eksisterende kundeforhold. Det er derimot ikke nærmere angitt hvilke typer av dokumenter som må legges frem ved en slik identifikasjon.
Lovens § 5 gir Kongen hjemmel til å stille krav til kvalifiserte elektroniske signaturer som skal brukes ved kommunikasjon med og i offentlig sektor.De supplerende kravene skal være objektive, klare, forholdsmessige og ikke-diskriminerende, og skal kun stilles for det aktuelle anvendelsesområdet og de spesielle behov som gjør seg gjeldende. Forskrift 25. juni 2004 nr. 988 om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften) er gitt med hjemmel blant annet i denne bestemmelsen, og forvaltes av Kommunal- og moderniseringsdepartementet.
Esignaturloven § 16 a gir departementet adgang til å innføre en frivillig sertifiserings-, godkjennings- eller selvdeklarasjonsordning, jf. forskrift 21. november 2005 nr. 1296 om frivillige selvdeklarasjonsordninger for sertifikatutstedere. En selvdeklarasjonsordning er innført for sertifikatutstedere som ønsker å tilby sertifikater i henhold til «Kravspesifikasjon for PKI i offentlig sektor», som er gitt av Kommunal- og moderniseringsdepartementet med hjemmel i eForvaltningsforskriften § 27. Kravspesifikasjonen er en forvaltningsstandard som fastsetter hvilke typer elektronisk ID som skal benyttes ved elektronisk kommunikasjon med og i offentlig sektor og definerer tre sertifikatklasser – Person Høyt, Person Standard og Virksomhet. Nærmere retningslinjer følger av Kommunal- og moderniseringsdepartementets «Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor». Rammeverket forklarer og definerer fire felles risikonivåer og fire sikkerhetsnivåer, og anbefaler hvilke sikkerhetsnivå som egner seg for de ulike risikonivåene i offentlig sektor.
Esignaturloven § 6 fastslår at dersom det i lov, forskrift eller på annen måte er oppstilt krav om underskrift for å få en bestemt rettsvirkning, og disposisjonen kan gjennomføres elektronisk (dvs. at det er rettslig adgang til dette), vil en kvalifisert elektronisk signatur alltid oppfylle et slikt krav. En elektronisk signatur som ikke er kvalifisert kan imidlertid også oppfylle et slikt krav. I Ot.prp. nr. 82 (1999–2000) Om lov om elektronisk signatur s. 51er det vist til at en slik rettsvirkning vil bero på en konkret vurdering i det enkelte tilfellet. Loven inneholder også nærmere bestemmelser om innsamling av personopplysninger, jf. § 7. Disse kravene gjelder for alle utstedere av elektroniske sertifikater og er ikke begrenset til utstedere av kvalifiserte sertifikater. Datatilsynet fører tilsyn med at denne bestemmelsen etterleves.
Etter esignaturloven § 22 første ledd vil en utsteder av kvalifiserte sertifikater være erstatningsansvarlig for tap hos en fysisk eller juridisk person når denne hadde rimelig grunn til å ha tillit til sertifikatet i henhold til nærmere angitte forhold. Loven oppstiller en såkalt omvendt bevisbyrde, slik at utsteder vil være erstatningsansvarlig med mindre vedkommende godtgjør at han eller hun ikke har handlet uaktsomt.
3.2.3 EUs nye forordning om eID og elektroniske tillitstjenester
Europaparlaments- og rådsforordning (EU) nr. 910/2014 om elektronisk identifikasjon og tillitstjenester til bruk for elektroniske transaksjoner på det indre marked og om opphevelse av direktiv 1999/93/EF (forordning om eID og elektroniske tillitstjenester/eIDAS) ble vedtatt 23. juli 2014. Forordningen skal bidra til økt elektronisk samhandling mellom næringsdrivende, borgere og offentlige myndigheter på tvers av landegrensene i EU/EØS, og dermed til sterkere økonomisk vekst i det indre marked.
Det nye rammeverket skal for det første legge til rette for gjensidig aksept av løsninger for elektronisk identifikasjon (eID). Privatpersoner og bedrifter skal kunne bruke sin eID, utstedt enten av offentlig sektor eller under ansvar av en offentlig myndighet, for å få tilgang til elektroniske tjenester fra offentlig sektor i andre land som tilbyr pålogging med eID. Dette gjelder eID-løsninger som er blitt notifisert til Europakommisjonen og er oppført på en liste publisert i Official Journal of the European Union. Forordningen innebærer ingen plikt for landene til å etablere en nasjonal elektronisk ID-løsning, og endrer heller ikke offentlig tjenesteeiers rett til å velge sikkerhetsnivå, men for offentlige tjenesteeiere vil det bli en plikt til å likebehandle notifiserte utenlandske eID-er med de nasjonale. Anerkjennelsesplikten er begrenset til eID til bruk for tjenester i offentlig sektor.
Den notifiserte eID-løsningen må oppfylle krav til et bestemt sikkerhetsnivå – «low», «substantial» eller «high». Nærmere krav til sikkerhetsnivåene skal fastsettes i såkalte gjennomføringsrettsakter («implementing acts») innen 18. september 2015, jf. artikkel 8. Dette arbeidet har startet, og forslag utarbeides i en ekspertgruppe («eIDAS Expert Group») hvor Norge deltar som observatør.
Det nye rammeverket skal også sikre gjensidig aksept av elektronisk signatur og andre tillitstjenester. Dagens regler om elektronisk signatur styrkes, og det innføres regler om flere typer elektroniske tillitstjenester (elektroniske segl, elektronisk tidsstempling, elektroniske meldingstjenester og sertifikater relatert til disse tjenestene, sertifikater for nettsted-autentisering og lagringstjenester for esignatur og esegl).
Tilbydere av elektroniske tillitstjenester får flere plikter å forholde seg til, deriblant mer detaljerte krav for identitetskontroll, sikkerhetskrav til virksomheten og opplysningsplikter overfor tilsynsmyndigheten. Også tilbydere av ikke-kvalifiserte tjenester omfattes av deler av regelverket, og tilsynsorganet får nye og mer omfattende håndhevingsoppgaver. I artikkel 27 er det en egen bestemmelse som skal legge til rette for gjensidig aksept av bruk av avansert elektronisk signatur til bruk for tjenester i offentlig sektor. Europakommisjonen pålegges her innen 18. september 2015 å fastsette gjennomføringsrettsakter som definerer referanseformater m.m. for avansert elektronisk signatur. Det fastslås også at medlemslandene ikke kan kreve bruk av en elektronisk signatur på et høyere sikkerhetsnivå enn kvalifisert elektronisk signatur.
Forordningen skal gjennomføres innen 1. juli 2016, jf. artikkel 52. Dette gjelder imidlertid ikke reglene om gjensidig anerkjennelse av eID. Her kan landene velge å delta når gjennomføringsrettsaktene er på plass i september 2015, mens en obligatorisk ordning skal gjennomføres tre år etter at gjennomføringsrettsaktene er på plass, det vil si høsten 2018. Såfremt forordningen innlemmes i EØS-avtalen skal den gjennomføres i norsk rett «som sådan», jf. EØS-avtalen artikkel 7 bokstav a.
Gjennomføringen av forordningen krever lovendring, og det må i forbindelse med gjennomføringen utarbeides et nytt, helhetlig reguleringsregime for eID i Norge. Det er foreløpig ikke avklart hvordan dette bør utformes. På grunn av den planlagte progresjonen for ordningen med nasjonalt ID-kort, er departementets vurderinger basert på de reguleringsbehov som følger av gjeldende rett etter esignaturloven mv., jf. punkt 3.2.2.