8 Innholdet i nasjonalt ID-kort
8.1 Arbeidsgruppens forslag
Arbeidsgruppen fremholder at kortet ikke skal inneholde mer informasjon enn nødvendig for sikker identifisering. I tillegg må kortet inneholde administrativ informasjon, som kortnummer og informasjon om utstedelse. Informasjon om kortinnehaver må være innhentet, kontrollert og sikret for å ivareta et absolutt krav til sikker identitet ved utstedelse. Informasjonen må være lagret i kortet på slik måte at den ikke kan endres, og sikres mot uautorisert bruk.
Arbeidsgruppen understreker at kortet bør ha like høy kvalitet som passet, både med hensyn til informasjonen som lagres og de teknologiske løsningene som velges. Ved å knytte kvaliteten på ID-kortet til gjeldende standarder for pass, vil løpende endringer om krav til opplysninger og teknologi ivaretas. Dette er viktig for å forebygge forfalskninger og for å opprettholde tilliten til kortet. Kortinnehaver bør av den grunn heller ikke selv få bestemme hvilke av de til enhver tid gjeldende sikkerhetselementer som skal være i kortet.
Det nasjonale ID-kortet bør etter arbeidsgruppens vurdering inneholde følgende sikkerhetselementer og mekanismer for å verifisere gyldigheten: Maskinlesbarhet, elektronisk brikke (RFID-brikke) som inneholder samme informasjon som kortets visuelle del, og kontaktbrikke som inneholder privat nøkkel og sertifikat. De elektronisk lagrede opplysningene i kortet, og eventuell lagring av biometriske personopplysninger, forutsettes å følge de til enhver tid gjeldende og relevante standarder.
Følgende personinformasjon anses som enkle og sentrale elementer for verifisering av identitet og foreslås tatt inn visuelt i kortet: Folkeregistrert navn, fødselsnummer (11 siffer), ansiktsfoto, signatur, høyde, kjønn og statsborgerskap for norske statsborgere som ønsker ID-kort med reiserett. Fødselsnummeret bør muligvis kun trykkes på baksiden av kortet slik at færre får tilgang til det, for eksempel når det tas kopi av forsiden av kortet.
8.2 Høringsinstansenes syn
Steria går inn for at nasjonalt ID-kort ikke skal inneholde RFID-brikke og biometri, eventuelt at brukere kan reservere seg mot at brikken skal inneholde personinformasjon.
Både Finansdepartementet, Informasjonsteknologi for helse og velferd og Datatilsynet er bekymret for misbruk av kontaktløse brikker. Datatilsynet mener informasjonen lagret på brikken bør reduseres til et minimum, samtidig som innholdet må beskyttes på en tilfredsstillende måte. Datatilsynet etterlyser en nærmere drøftelse av hvem som skal gis tilgang til å låse opp nøkkelen og påpeker at innehaveren av kortet må settes i stand til å få innsyn i innholdet på kontaktløs brikke, for eksempel ved at avlesningsstasjoner stilles til rådighet der hvor ID-kortet utstedes. ITS Norway bemerker at selv om man benytter Basic Access Control (BAC), er nøklene åpent tilgjengelige, og enhver som har hatt fysisk tilgang til ID-kortet kan lagre nøklene og bruke dem for å få tilgang til RFID-brikken.
8.3 Departementets vurdering
8.3.1 Teknisk innhold – sikkerhetselementer
Departementet er enig med arbeidsgruppen i at brukerne ikke selv skal kunne velge hvilke sikkerhetselementer det nasjonale ID-kortet skal inneholde. Alle nasjonale ID-kort må etter departementets vurdering inneholde maskinlesbar tekst og en eller to kontaktløse brikker for elektronisk lagring av biometrisk og annen personinformasjon som bekrefter kortets ekthet. Også teknisk funksjonalitet for eID skal inntas på kontaktløs brikke i alle kort. Det tekniske innholdet er nødvendig for at ordningen skal kunne fungere som en sikker og kontrollerbar fysisk og elektronisk identitetsbekreftelse. Omfanget av personopplysninger som skal lagres i kortet er behandlet i punkt 6.3.5 om avgivelse av biometriske opplysninger, og i punkt 8.3.2 om visuelle opplysninger. Leserutstyret på passkontorene vil være tilpasset både pass og nasjonale ID-kort, og gi innehaveren tilgang til den elektronisk lagrede informasjonen i kortet.
Informasjonen som ligger i brikken er signert av den utstedende stat. Signeringen er en form for «lesbar» kryptering. Dette er det viktigste elementet i autentitets- eller ekthetssikringen av opplysningene som er lagret elektronisk. Alle stater må levere sitt sertifikat til alle andre samarbeidsland. Dermed kan samarbeidende stater sjekke signaturen på informasjonen i den elektroniske brikken, og bekrefte at det ikke er gjort endringer. Signaturen vil ikke stemme hvis det er gjort endringer. Personopplysningene må videre kunne leses elektronisk slik som passene hvis ID-kortet skal godkjennes som reisedokument til land utenfor EØS-området i tråd med ICAOs krav.
Dokumenter med elektronisk lagret personinformasjon gir også mulighet til automatisk å kontrollere innehaveren mot eksterne registre som er koblet opp mot kontrollstedet, for eksempel ved at det foretas en automatisk kontroll mot registre for etterlyste personer.
For å få tilgang til opplysningene i den elektroniske brikken må et utdrag av den maskinlesbare teksten (Machine Readable Zone-MRZ) leses. Denne informasjonen er grunnlaget for en nøkkel som benyttes til tilgangskontroll og kryptering av kommunikasjon mellom ID-kortet og leseren. Dette er en konfidensialitetssikring som hindrer at informasjonen i kortet kan «fjernavleses» uten kortinnehavers kunnskap.
Lagring av biometriske opplysninger i nasjonalt ID-kort er behandlet i punkt 6.3.5.
8.3.2 Visuelle opplysninger
Departementet er enig med arbeidsgruppen i at sentrale personopplysninger som navn, fødselsnummer, ansiktsfoto og statsborgerskap skal fremgå visuelt på kortet.
En persons fødselsnummer er et unikt identifiseringsnummer. Fødselsnummeret regnes ikke som en sensitiv opplysning, og er ikke taushetsbelagt. Utbredt bruk av fødselsnummer i ulike typer kort og dokumenter kan imidlertid utgjøre en personvernrisiko. Etter personopplysningsloven § 12 skal fødselsnummer og andre entydige identifikasjonsmidler bare brukes når det er nødvendig og saklig behov for det til sikker identifisering. I et offentlig utstedt nasjonalt ID-kort med høy sikkerhet er innehaverens fødselsnummer en sentral opplysning, og nødvendig for å fylle kravene i hvitvaskingsforskriften til gyldig fysisk legitimasjon for fysiske personer. Når det nasjonale ID-kortet angir fødselsnummer kan det være enklere å fjerne fødselsnummeret fra førerkortet og andre dokumenter med lavere sikkerhet som identitetsbevis.
Departementet legger i likhet med arbeidsgruppen til grunn at norsk statsborgerskap kun skal fremgå visuelt på nasjonale ID-kort med reiserett. Bekreftelsen fra norske myndigheter på innehaverens norske statsborgerskap vil være avgjørende for retten til fri bevegelse etter EØS-avtalen. Nasjonale ID-kort uten reiserett som utstedes til norske statsborgere som omfattes av lovforslagets hindringsregler kan derfor ikke angi statsborgerskap. Det kan imidlertid være grunn til å vurdere om utenlandsk statsborgerskap bør fremgå på nasjonale ID-kort til utenlandske statsborgere. Et nasjonalt ID-kort utstedt av norske myndigheter til utenlandske statsborgere vil ikke gi reiserett etter EØS-avtalen selv om innehaverens statsborgerskap angis på kortet.
En utlendings statsborgerskap er en sentral personopplysning som kan understøtte en identitetskontroll, og er da også angitt på oppholdskortet. Statsborgerskap er videre registrert i datasystemet for utlendinger og flyktninger (DUF) og i folkeregisteret. Departementet har i punkt 10.2.3 vist til at opplysning om søkers utenlandske statsborgerskap av kontrollhensyn også bør kunne registreres i nasjonalt ID-kortregister, uavhengig av om opplysningen angis visuelt på kortet.
Lovforslaget baserer seg på at detaljerte regler om hvilke opplysninger som skal trykkes på kortet fastsettes i forskrift. Det må foretas en nærmere vurdering av behovet for å angi utenlandsk statsborgerskap, behovet for å angi opplysninger om eksempelvis høyde, kjønn, hårfarge osv., og om plassering av fødselsnummer på kortets for- eller bakside. Også andre spørsmål knyttet til kortets utforming må vurderes, særlig behovet for tiltak som gjør det enkelt å skille mellom kort med og uten reiserett ved grensekontroll. Det må i den forbindelse tas i betraktning at synlige tiltak, som for eksempel ulike fargenyanser, også vil synliggjøre at det (for norske borgere) foreligger grunner til å nekte kort med reiserett. Dersom alle nasjonale ID-kort utstedes med samme farge, må synlige og usynlige elementer legges inn eller fjernes i databrikke eller strekkode osv. for å tydeliggjøre hvilke kort som gir reiserett. Det nasjonale ID-kortet planlegges for øvrig utstedt med ledetekst på bokmål, nynorsk, nordsamisk og engelsk.
8.4 Nasjonal personliggjøring av ID-kortet
Passutstedelsen er basert på prinsippet om at prosessen med utfylling av personopplysninger i blank passbok, dvs. personliggjøringen av passet, skal foregå på norsk jord (nasjonal personalisering). Samme hensyn gjør seg gjeldende for produksjonen av nasjonale ID-kort. Det ble ikke ansett nødvendig å nedfelle prinsippet om nasjonal personalisering i passloven av 1997, siden politiet den gang selv stod for passproduksjonen. De senere år har passproduksjonen vært utført eksternt, og med avtalebasert krav til nasjonal personalisering. Ettersom nasjonal personalisering anses som et ufravikelig prinsipp for produksjonen av pass og nasjonale ID-kort, bør det etter departementets syn inntas en bestemmelse om dette i lovforslaget.
Det kan også være aktuelt å stille krav om at «produksjon» av en individuell eID skal foregå i Norge, dvs. at driftsmiljø og eventuelt også programvare og maskiner skal være lokalisert til Norge. Departementet vil gjøre en nærmere vurdering av dette spørsmålet ved utforming av forskrifter.