Innspill til EUs forordning om eID og elektroniske tillitstjenester

Datatilsynet har gitt høringsinnspill til Nærings- og fiskeridepartementet om gjennomføringen av EUs forordning om elektronisk identifisering (eID-forordningen) og tillitstjenester for elektroniske transaksjoner. Her er en gjennomgang av våre viktigste tilbakemeldinger.

1. Hva er et lukket system?

eID-forordningens virkeområde er begrenset til å ikke gjelde for det som kalles "lukkede system". Med det menes i denne sammenhengen frivillige avtaler mellom et begrenset antall deltagere.

Vi mener at dersom "lukkede system" ikke skal omfattes av forordningen, er det nødvendig å avklare hva som ligger i begrepet. I alle tilfelle bør det åpnes for at forordningen også skal gjelde slike "lukkede systemer" dersom det behandles sensitive og beskyttelsesverdige personopplysninger utover ren virksomhetsintern kontekst. 

2. Selvdeklareringsordninger ofte ikke tilstrekkelig

Rene autentiseringsløsninger og krypteringstjenester omfattes ikke av eID-forordningen, og departementet foreslår å opprettholde selvdeklareringsordninger for denne typen tjenester. Det blir imidlertid ikke gitt noen nærmere forklaring på hvilke tjenester det er snakk om.

Etter vår mening er en selvdeklareringsordning ikke tilstrekkelig for alle autentiseringsløsninger og krypteringstjenester. Vi mener det kan være direkte uforsvarlig å ikke regulere krav til sikkerhetsnivå for de løsningene og tjenestene som skal ivareta større verdikjeder, slik som for eksempel ID-porten. De bør underlegges et regelverk med tydelige krav til sikkerhetsnivå.

3. Ønsker ekstra hjemmel

eID-forordningen regulerer leveranse av "tillitstjenester" som er definert som "en elektronisk tjeneste normalt utført mot betaling". Dette indikerer at regelverket er beregnet på tjenester med et kommersielt aspekt da det offentlige normalt ikke tilbyr elektroniske tjenester mot betaling. Slik kan det virke som om kun kommersielle tilbydere vil være omfattet av regelverket, noe som utgjør et potensielt lovtomt rom for de statlige delene av tjenestene.

Vi mener Regjeringen må sørge for at den statlige delen av de elektroniske leveringstjenestene har en forsvarlig regulering når det gjelder ansvar og sikkerhet. For å få til dette bør det tas inn en hjemmel for forskriftskompetanse for regulering av den statlige delen av Sikker digital post, Altinn, Mitt helsearkiv og eventuelt andre elektroniske leveringstjenester som måtte komme i fremtiden.

4. Krav om kvalifiserte tjenestetilbydere

I følge eID-forordningen kan Norge selv velge sikkerhetsnivå for tilgang til en tjeneste, samt velge om egne tillitstjenester skal være "kvalifiserte" eller "ikke-kvalifiserte". Datatilsynet er generelt sett tilhenger av kvalifisering da det innebærer en type garanti for sikkerheten. Dette er viktig for tilliten mellom bruker og tilbyder.

Vi anmoder Regjeringen om å kreve at alle tilbydere av elektronisk postkasse skal oppfylle kravene til kvalifisert tjenestetilbyder. Det vil gi bedre forutsigbarhet omkring sikkerhetsnivå og skape den nødvendige tilliten til tjenestene. Det vil også gjøre det enklere for tilsynsmyndigheten, da det i en revisjon vil kunne pekes på spesifikke krav i forordningen.

Datatilsynets høringsuttalelse - Gjennomføring av EUs forordning om eID og elektroniske tillitstjenester (pdf)