Utvidet innsamling, deling og behandling av data fra BankID

Om prosjektet

Stø AS (tidligere BankID BankAxept AS) er eid av norske banker og leverer, på vegne av bankene, elektroniske ID- og betalingsløsninger. Selskapets hovedprodukter er BankID og det nasjonale betalingssystemet BankAxept.

Norske banker har vært utstedere av BankID siden 2004. Rammebetingelsene for elektronisk ID er nå i endring, blant annet som følge av rask teknologisk utvikling, revidert eIDAS-regelverk fra EU og nasjonal eID-strategi. 

I dette sandkasseprosjektet har virksomheten, med veiledning fra Datatilsynet og Finanstilsynet, vurdert noen juridiske problemstillinger knyttet til en ny løsning for å forebygge misbruk av eID, kalt BankID Antisvindel 2.0. De juridiske vurderingene er gjort med utgangspunkt i den fremtidige organiseringen der Stø blir eneste formelle og juridiske utsteder av person- og brukersertifikater til BankID.

Sluttrapporten, som er utarbeidet av Stø, oppsummerer de vurderingene selskapet har gjort i prosjektet. Vurderingene bygger på veiledning fra Datatilsynet og Finanstilsynet gjennom deres samarbeid i det regulatoriske sandkassearbeidet.

Behovet for regelverksendringer ble også diskutert. Erfaringene fra sandkasseprosjektet ble brukt av tilsynsmyndighetene som grunnlag for innspill til Finansdepartementets høring om endringer i finansforetaksloven, og inngikk også i Finanstilsynets arbeid med høringsutkastet.

Oppsummering av funn og diskusjoner i prosjektet

Her oppsummerer vi de juridiske vurderingene til Stø. Vurderingene kan ha overføringsverdi for andre tilsvarende virksomheter. Rapporten inneholder konteksten for vurderingene, og vi anbefaler derfor at rapporten leses i sin helhet.

• Taushetsplikt: Stø vil i rollen som avtalebasert tredjepartstilbyder av IKT-tjenester (oppdragstaker) til bankene ikke være ansett som en «uvedkommende» etter finansforetaksloven § 16-2.
• Behandlingsansvar: BankID Antisvindel 2.0 er et nødvendig tiltak etter eIDAS-forordningen (eIDAS) gitt dagens trusselbilde. Stø som utsteder er behandlingsansvarlig for behandling av personopplysninger i forbindelse med BankID Antisvindel 2.0, herunder innsamling av nye datapunkter.
• Behandlingsgrunnlag: Stø benytter «rettslig forpliktelse» som behandlingsgrunnlag (personvernforordningen artikkel 6 nr. 1 bokstav c), med eIDAS som supplerende rettsgrunnlag. For behandling av særlige kategorier av personopplysninger benytter Stø unntaket i personvernforordningen artikkel 9 nr. 2 bokstav g sammen med eIDAS. Et aktuelt behandlingsgrunnlag for brukerstedenes utlevering av datapunkter til Stø kan være «berettiget interesse» (personvernforordningen artikkel 6 nr. 1 bokstav f). Stø utelukker ikke at opplysninger de mottar fra enkelte brukersteder kan indikere særlige kategorier av personopplysninger. Brukerstedenes adgang til å utlevere slike personopplysninger til Stø ble derfor diskutert i sandkassen. Datatilsynet utelukket ikke en tolkning av artikkel 9 nr. 2 bokstav g der lovgrunnlaget ikke direkte må rette seg mot den behandlingsansvarlige.
• Nye datapunkter: Omfanget av innsamling av datapunkter i BankID Antisvindel 2.0 ble diskutert i lys av dataminimeringsprinsippet, nødvendighetsvilkåret og forholdsmessighetsprinsippet. Stø vurderte det slik at databruken er nødvendig og forholdsmessig for å forhindre identitetsmisbruk.

Last ned

Sluttrapport: sandkasseprosjekt for BankID Antisvindel 2.0 (pdf).

Sluttrapporten er utarbeidet av sandkassedeltakeren – Stø AS. De juridiske vurderingene i rapporten er foretatt av virksomheten, med veiledning fra Datatilsynet og Finanstilsynet.