7 Særlig om tildeling og bruk av eID
7.1 Arbeidsgruppens forslag
Arbeidsgruppen la til grunn at en eID i nasjonalt ID-kort bør baseres på sertifikatklasse Person Høyt, som definert i Kravspesifikasjonen for PKI i offentlig sektor. Den bør først og fremst benyttes til adgang til offentlige elektroniske tjenester, men også kunne benyttes mot private elektroniske tjenester. Bruk av eID til offentlige tjenester bør være kostnadsfritt, mens bruk av eID til private tjenester bør skjer på disse tjenesters egne vilkår, og kunne påføre brukeren kostnader.
I følge arbeidsgruppen bør elektronisk ID kunne benyttes til autentisering ved pålogging på nettsider, digital signering av e-post, skjema på nettsider eller dokumenter, og dekryptering av kryptert e-post, dokumenter eller andre elektroniske meldinger. Det nasjonale ID-kortet bør inneholde en eID allerede ved utlevering, enten slik at den må aktiveres for å kunne brukes, eller slik at den er klar til bruk og eventuelt må deaktiveres hvis innehaveren ikke ønsker den. Aktivering eller deaktivering bør i så fall kunne skje på nettet, og det bør finnes en sentral brukerstøttefunksjon til dette. Aktivering av autentiseringsfunksjonen bør kunne skje fra fylte 13 år, da ungdom allerede fra denne alderen kan ha behov for å autentisere seg overfor forvaltningsorganer, for eksempel i forbindelse med søknad om eller endring av skattekort. Signeringsfunksjonen, som forutsetter rettslig bindende disposisjoner, bør knyttes til myndighetsalder.
7.2 Høringsinstansenes syn
Høringsinstansenes syn på spørsmål som omhandler eID tilknyttet det nasjonale ID-kortet fremgår av punkt 4.2.
7.3 Departementets vurdering
7.3.1 Innledning – pågående utviklingsarbeid
Departementet understreker at den teknologiske utviklingen siden arbeidsgruppen leverte sin rapport må tas i betraktning i planleggingen av en løsning for eID tilknyttet nasjonalt ID-kort. For eksempel har smartkortene blitt svært mye kraftigere, de har fått støtte for trådløs kommunikasjon, og nesten alle har en smarttelefon. Løsningen for en eID tilknyttet nasjonalt ID-kort må derfor bygges rundt en teknologi som er tidsmessig riktig på lanseringstidspunktet i 2017, og som balanserer sikkerhet og brukevennlighet. Det må også tas i betraktning at det gjennom ID-porten er utviklet en sikrere påloggingsløsning for tilgang til offentlige tjenester på nett, jf. nærmere om ID-porten i punkt 7.3.3.
Også departementets lovforslag må ta i betraktning at en løsning for eID tilknyttet nasjonalt ID-kort fortsatt er under vurdering, jf. punkt 4.3.1 om anskaffelsen av nye produkter og tjenester for pass og ID-kort. Dessuten er det tekniske og juridiske rammeverket for eID i EU i endring, jf. punkt 3.2.3. Det er derfor verken mulig, eller hensiktsmessig, å utarbeide detaljerte regler i lovforslaget om eID tilknyttet det nasjonale ID-kortet. På denne bakgrunn er lovforslaget utformet slik at nærmere regler om tildeling og bruk av et elektronisk identitetsbevis tilknyttet nasjonalt ID-kort kan fastsettes i forskrift. Før det tas en endelig beslutning om realisering av eID skal faktorer av betydning for utbredelse og bruk kartlegges nærmere.
7.3.2 Prinsipielle utgangspunkter for utviklingsarbeidet
Departementet planlegger en løsning som gir færrest mulig begrensninger for bruken av eID, er enklest mulig for søker å ta i bruk, og er best mulig tilpasset innehaverens teknologiske hverdag. Alle nasjonale ID-kort, både med og uten reiserett, skal derfor etter planen være utstyrt med funksjonalitet for eID som allerede er klargjort for bruk når kortet utstedes. Søkere som av ulike grunner ikke ønsker å få tildelt en klargjort eID skal likevel ha mulighet til å reservere seg.
Politidirektoratet har gjennomført en markedsdialog og fått løsningsforslag fra alle ledende leverandører om hvordan eID best kan realiseres sammen med nasjonalt ID-kort, blant annet om samhandling med mobiltelefoner og nettbrett. Kort oppsummert anbefaler leverandørene å knytte eID til kortet på en måte som muliggjør bruk på mobile plattformer, både med bruk av kontaktløs teknologi og ved bruk av avledede eID-er på mobiltelefon. Disse anbefalingene ligger til grunn for det videre arbeidet med å utvikle løsningen.
Formålet med en offentlig utstedt eID tilknyttet nasjonalt ID-kort tilsier at den skal være på høyeste sikkerhetsnivå for alle funksjoner. Det vil blant annet si at løsningen for autentisering skal være på sikkerhetsnivå høy («assurance level high») i henhold til eIDAS og avledede rettsakter, jf. punkt 3.2.3. Kravene kan bli strengere enn eksisterende norske krav til eID på sikkerhetsnivå 4 i Rammeverk for autentisering og uavviselighet i offentlig sektor, spesielt når det gjelder identitetskontroll. En viktig forutsetning for å få til en offentlig utstedt eID-løsning på «assurance level high» er derfor at rutinene for identitetskontroll på passkontorene gjenbrukes. Rutinene vil bli forbedret ved innføring av nytt saksbehandlingssystem for utstedelse og fornyelse av pass og nasjonale ID-kort.
Rollen som offentlig sertifikatutsteder for eID tilknyttet nasjonalt ID-kort vil tilligge justissektoren som ansvarlig for ordningen. Det vil være èn sentral sertifikatutsteder og ansvaret bør forskriftsfestes. Det må som ledd i forskriftsarbeidet og utforming av et helhetlig reguleringsregime for eID foretas en gjennomgang av alle spørsmål knyttet til ansvarsplassering og angivelse og godkjenning av sikkerhetsnivåer for eID-løsninger i Norge, både i relasjon til offentlige og private løsninger.
7.3.3 Særlig om bruk i offentlig sektor og forholdet til private løsninger
Arbeidsgruppens utgangspunkt om mulighet for både offentlig og privat bruk legges fortsatt til grunn. I lys av utviklingen som er beskrevet i punkt 4.3.1 om det nasjonale ID-kortets formål og funksjon, anses en mulighet til sikker elektronisk identifikasjon som viktig for utbredelsen av elektroniske offentlige tjenester. En felles offentlig eID-løsning vil kunne bidra til videreutvikling og utvidelse av det offentlige digitale tjenestetilbudet, blant annet dialog- og selvbetjeningsløsninger. Offentlig eID vil videre kunne dekke behov for elektronisk identifikasjon på høyeste sikkerhetsnivå for kommunikasjon med eksempelvis NAV, helsesektoren, utdanningssektoren, politiet, Forsvaret, Domstoladministrasjonen, Kartverket, mv.
Politidirektoratet samarbeider med aktuelle brukere i offentlig sektor for å utvikle et funksjonelt konsept. Politidirektoratet samarbeider også med Difi om integrasjon mot ID-porten og brukerstøtte. Det er en forutsetning for å få nytte av en offentlig utstedt eID at den kan brukes i ID-porten for pålogging til offentlige tjenester og andre fremtidige tjenester. Siden 2010 har det i rundskriv fra Kommunal- og moderniseringsdepartementet (daværende Fornyings- og administrasjonsdepartementet) blitt stilt krav om å benytte ID-porten som løsning for autentisering og elektronisk signering for statlige nettjenester. Det er satt i gang arbeid for å komme frem til en felles avtale om kommunal sektors bruk av ID-porten, og inngått en samarbeidsavtale om kommunenes bruk av ID-porten i SvarUT.
I Strategi for ID-porten fra høsten 2014 er målbildet for ID-porten beskrevet for tjenestene som ID-porten trolig må tilby i perioden 2015–2020. Som visjon skal ID-porten sikre digital forvaltning gjennom å tilby eID-tjenester som er robuste, har god brukskvalitet og er hensiktsmessige. eID-tjenestene som beskrives er autentisering, signering, kryptering, tidsstempling og validering av elektroniske signaturer og sertifikater. ID-portens bruksområde er i utgangspunktet begrenset til offentlige virksomheter, og innbyggeren kan velge mellom fire alternativer for elektronisk ID ved innlogging til ID-porten: MinID, BankID, Buypass og Commfides. MinID er på mellomhøyt sikkerhetsnivå (nivå 3) og kan benyttes til de fleste tjenester som i dag er tilknyttet ID-porten. De private, kommersielle eID-ene BankID, Buypass og Commfides gir tilgang til tjenester på høyeste sikkerhetsnivå (nivå 4). Dette nivået trengs blant annet for tjenester fra helsevesenet, som e-resept.
At en eID tilknyttet det nasjonale ID-kortet rent teknisk legger til rette for bruk også til private tjenester, vil kunne øke motivasjonen for å skaffe seg ID-kort med eID. Private aktører har vist interesse for eID-løsningen for å kunne forhindre svindel og kriminalitet med sine tjenester. Det vil som ledd i anskaffelsesprosessen og forskriftsarbeidet bli foretatt en nærmere vurdering av spørsmålet om åpen (privat og offentlig sektor) eller begrenset (offentlig sektor) bruk av en nasjonal eID. I den forbindelse vil det også bli foretatt en vurdering av premissene for å gi private tilgang til den nasjonale eID-løsningen uten at det innebærer statsstøtte i strid med EØS-avtalen artikkel 61(1). Det må blant annet vurderes i hvilken grad bruk mot private tjenester vil påvirke gebyrets størrelse.
7.3.4 Andre spørsmål
Arbeidsgruppens anbefalinger om bruksområde vil fortsatt ligge til grunn for det videre arbeidet med regelverket. Det innebærer at eID-en i utgangspunktet skal kunne benyttes til sikker autentisering ved pålogging på nettsider, til digital signering av skjema på nettsider, dokumenter og e-post og til dekryptering av mottatt kryptert e-post, dokumenter og andre typer elektroniske meldinger. Fellestjenester for signering og kryptering kan forutsette utvikling av slike tjenester i ID-porten.
Det vil bli nødvendig å fastsette nærmere regler i forskrift om vilkårene for de funksjoner som skal ligge i den enkelte eID. Videre har departementet i punkt 6.3.3. vist til at den generelle 13-årsgrensen for å kunne få et nasjonalt ID-kort uten samtykke fra verge bør ligge til grunn for å kunne få tildelt en tilknyttet eID. Aldersgrensen må fastsettes i forskrift, og det må herunder tas stilling til om det skal være høyere aldersgrenser for tilgang til visse bruksområder, for eksempel signeringsfunksjon.
Det må fastsettes nærmere vilkår for logging og lagring av transaksjoner knyttet til autentisering i forskrift eller retningslinjer, for å sikre personvernhensyn og unngå unødig logging og lagring av transaksjoner. Det vil i tillegg være nødvendig å fastsette nærmere regler om vilkår og prosedyrer mv. for tilbakekall, herunder eventuelt midlertidig tilbakekall i form av suspensjon, av det nasjonale ID-kortets tilknyttede eID. Både brukeren og ID-kortmyndigheten må kunne be sertifikatutsteder om tilbakekall dersom det nasjonale ID-kortet meldes tapt eller stjålet. Esignaturloven § 12 krever også at utsteder av kvalifiserte sertifikat skal sørge for en hurtig og sikker katalog- og tilbaketrekkingstjeneste.