Hopp til hovedinnhold
03. juni 2021
4 minutter å lese

Denne uka presenterte EU-kommisjonen sitt forslag til etablering av en ny «EU eID» som alle borgere skal kunne bruke på tvers av grensene i EU og EØS. Lovforslaget innebærer store endringer og utvidelser som også Norge må forholde seg til.

Saken har sin bakgrunn i revidering av eIDAS-forordningen som også er en del av norsk lov. Det er vanlig i EU at man går gjennom lovverket etter en tid og gjør justeringer som passer bedre for målene det skal oppnå - og slik tilpasser reglene etter nye behov og krav.

Forslaget fremmes som en «amending act», noe som betyr at det er et strengt begrenset grunnlag for diskusjoner rundt det i forhold til en full revisjon.

Hør podkast med Tor Alvik og Ronny Khan

Se utskrift av hele podkasten her: (Vignett) Are Kvistad EU-kommisjonen foreslår et nytt, o

Fakta om eIDAS-forordningen

  • Innført i 2014.
  • Reguleringen er ikke en harmonisering av nasjonale eID, men fasiliteter gjensidig annerkjennelse.
  • Medlemsstatene og bare de kan notifisere et eID-skjema, og dette er frivilllig.
  • Tillegg inneholder eIDAS et rammeverk for tillitstjenester som elektroniske signaturer, tidsstempel og kvalifiserte nettstedssertifikater.

Noen av de viktigeste erfaringene med dagens forordning

  • Den teoretiske maksimale dekning er fortsatt på under 60% totalt for Europa.
  • Den reelle bruken i de fleste land er svært begrenset og ofte kun for et lite sett av offentlige tjenester.
  • Bruk over landegrensene er minimal og i praksis på grensen til ikke-eksisterende.
  • Innholdet dekker kun deler av behovet knyttet til digitalisering.

Men hvorfor en ny felles eID?

Det handler om det indre digitale markedet i EU som i dag faktisk ikke fungerer på tvers av landegrensene. Selv om dette ikke burde overraske noen, ble dette veldig tydelig i forbindelse med Covid-19. Stadig større deler av realøkonomien flyttes til tjenesteyting og deretter til digital tjenesteyting. Dersom man skal ha et indre marked, er det strengt nødvendig å legge til rette for dette. En klar satsning på en felles eID er en nøkkel for å få dette til.

Slik sett er dette ikke slutten på forslag som skal styrke det digitale markedet, men kun første forslag som konkretiseres og der andre forslag med samme mål kommer som perler på en snor framover.

Evolusjonen av behov innen eID

Behovene man skal dekke med eID-løsninger er ikke statiske, men endrer seg med modenhet i markedet, modenhet hos sluttbrukere og der tekniske rammebetingelser gjør ting som før var «mulig» lett tilgjengelig.

Noen slike eksempler på evolusjon kan illustreres med følgende figur:

Illustrasjon: Utviklingsløpet for elektronisk ID går fra nivået "Retro" via "Current", med "identity wallet" og "remote onboarding" til Future, med "user control", "identity based ecosystem" og "IOT and smart objects".
Illustrasjonen viser utviklingen av elektronisk ID. Mens det i starten handlet om autentisering, utvider nå bruksområdene seg etter hvert som modenheten hos brukerne endrer seg og den tekniske utviklingen gjør det mulig å ta i bruk nye løsninger og funksjonalitet.

Dette er innholdet i forordningen

eID

  • Dette blir en felles teknisk harmonisert løsning basert på en digital lommebok.
  • Alle stater må utstede dette til sine innbyggere gratis.
  • Frist for gjennomføring er 12 måneder etter at loven blir innført.
  • Dette middelet skal utstedes med høyeste sikkerhetsnivå.
  • Harmoniseringen blir håndhevet ved at alle medlemsland må gjennom sertifisering, test og vurdering av sine løsninger for å sikre at de er funksjonelt identiske på alle mulige måter.
  • Lommeboken og innholdet vil være under brukers eksklusive kontroll. Utstedere av lommebok eller innhold vil ikke være involvert i bruk på noen som helst måte.
  • Det stilles krav om obligatorisk aksept for flere næringer:
    • Transport
    • Energi
    • Bank og finans
    • Helse
    • Tjenester knyttet til drikkevann
    • Post og postrelaterte tjenester
    • Digital infrastruktur
    • Utdanning
    • Telekommunikasjon
  • I tillegg stilles det krav til at store plattformer slik det er referert i Digital Services Act, må akseptere dette. I praksis omfatter det plattformer som for eksempel Google, Amazon og Facebook.
  • Kommisjonen vil benytte Digital Markets Act som et middel der det er nødvendig for å åpne tilgang til infrastruktur.

Attesterte attributter

Dette er nytt og har som hensikt å definere digitalisering utover identitet av ting knyttet til identitet. Prinsippet for dette kan illustreres ved disse eksemplene: Åpne en konto, søke på jobb eller søke på studielån.

Illustrasjon: Mulige bruksområder for elektronisk ID

Slike objekter vil tillegges samme juridiske vekt som notifiserte dokumenter, og det vil være krav til aksept i alle sammenhenger der avtaler ikke inngås ansikt til ansikt.

Kort forklart kan man se på dette som et verktøy for å dekke sektorspesifikke initiativ og behov. Noen typiske eksempler kan være:

  • Førerkort
  • Pass
  • Nasjonalt ID-kort
  • Styringsmiddel for IoT
  • Adgangskort til jobb eller skole
  • Bibliotekkort
  • Digitale sentralbankpenger

Denne listen vil bli mye lengre og i praksis dekke alt man kan ha i en fysisk lommebok i dag - og mye som ikke kan være i en fysisk lommebok, men i en elektronisk.

Andre elementer

  • Utvidede krav til medlemsstatene om identitetsmatching for å kunne tilby tjenester til borgere fra andre stater.
  • Innføring av en unik identifikator for å gjøre dette lettere.
  • Anerkjennelse av elektroniske ledgers (elementer i blokkjede) for ikke benektbarhet og sekvensering i tid.
  • Krav til støtte for kvalifiserte nettsertifikater.

Teknologinøytralt

EU-kommisjonen legger opp til at løsningen som velges, skal være teknologinøytral. For noen kan det være fristende å lese lovforslaget som startsignalet for blokkjede-baserte løsninger og det som i dag forstås som SSI-løsninger. Men det er ikke tilfelle – heller tvert imot. Slike løsninger kan brukes, men en underliggende vurdering er at slike løsninger i dag eller i nærmeste framtid ikke vil være modne for bruk.

Det er nå jobben starter

På mange måter kan man si at det er nå det virkelige arbeidet begynner. Disse rammebetingelsene skal fylles med konkret innhold, og dette blir en prosess der medlemslandene trekkes tettere inn i prosessen for å komme med sine bidrag.

Når kan så en ny eID være på plass? Det er ikke godt å si. Det er åpenbart at det er sterke politiske krefter som jobber for å realisere planene. EU-kommisjonen signaliserer at de ønsker å innføre dette innen kommisjonsperioden, altså om to til tre år. Så skal det inn i norsk lov gjennom EØS-behandlingen før det kan bli gyldig i Norge.

Tor Alvik
Fagdirektør, Digitaliseringsdirektoratet

Tor Alvik

Alvik har jobbet med digitale fellesløsninger, strategi og identitetsforvaltning siden han ble involvert i arbeidet med Norge.no i 2005 og bidratt i utviklingen av eID-løsninger for offentlig sektor som ID-porten og MinID. Han er involvert i internasjonale prosjekter og arbeider med rammene for digitalisering i Norge og utviklingen av tjenester på tvers av landegrensene. Han representerer Norge i eIDAS som er EUs arbeid for elektronisk identifkasjon og tillitstjenester for digitale transaksjoner i det indre marked som krever autentiseringsmekanismer på tvers av grensene. Han leder også et Nordisk-Baltisk samarbeidsprosjekt på eID (NOBID).  Alvik har bakgrunn fra IT-rådgivning og ledelse i privat sektor og har utdanning i informatikk og ikt-ledelse fra Universitetet i Bergen og Universitetet i Oslo.

Ronny Khan
Seniorrådgiver, Digitaliseringsdirektoratet

Ronny Khan

Ronny Khan har lang erfaring fra arbeid med sikkerhet i bank og finans samt telekombransjen. Han har i en årrekke jobbet internasjonalt opp mot EU og internasjonale standardiseringsorgan innen sikkerhet og elektronisk identitet.

Forfattere

Tor Alvik
Tor Alvik
Fagdirektør, Digitaliseringsdirektoratet
Ronny Khan
Ronny Khan
Seniorrådgiver, Digitaliseringsdirektoratet

Kommentarer (9)

J

Johan Toverud Jensen

09. juni 2021

En ting er standardisert eID, men norsk språk har også standardiserte regler som bør følges, f.eks. når to sammensatte ord skrives som ett: sentralbank penger er lik sentralbankpenger, post relaterte tjenester er lik postrelaterte tjenester, nettsteds sertifikater er lik nettstedssertifikater. Bare et lite hint.

Som svar på av Johan Toverud Jensen (ikke bekreftet)

A

Are Kvistad

09. juni 2021

Takk for betimelig påpekning! Dette blir korrigert. Med hilsen Are Kvistad, Digdir.

O

Ole Eirik Håtun

22. juni 2021

Hei, Spennende...men jeg får opp to kritiske tanker:
- Ønsker man i EU å bruke dette til å stoppe skatteflukt/-paradiser?
og
- Hva med overvåkingspotensialet? Vil en borger kunne velge å være uten eID?

Som svar på av Ole Eirik Håtun (ikke bekreftet)

R

ronny khan

22. juni 2021

Dette er ikke obligatorisk men helt frivillig å ha en slik eID. Det som er viktig å merke seg er det er svært strenge krav til privacy til en slik elektronisk identitet der verken utsteder av lommebok eller ID vil ha noen mulighet for innsyn i bruk av ID eller hvor denne brukes.
Dette er vesentlig strengere enn det som er tilfelle med alle løsninger man har i dag.

Kampen mot økonomisk kriminalitet samt skatte unndragelse styrkes ved en sikker elektronisk identitet og dette er slikt sett et nødvendig verktøy men som må supplementers med andre lover og bestemmelser i tillegg.

S

Sigurd Sverdrup

25. mai 2023

Det finnes flere interesseorganisasjoner for fremmede som er etablert i et annet land. Jeg representerer en nordmann med feriested i Sverige. I hvor stor grad vil dette kunne komme oss i møte med hverdagen, hvor vi ikke får handlet varer, bestilt tjenester, kontaktet servicedesker, registrert oss på offentlige tjenester mm. hvis vi ikke har svenskt personnummer? Situasjonen har blitt betydelig verre de siste 20 årene - dessverre.

C

Christian

18. juni 2023

Når fungerer det for norske borgere. Jeg prøver å logge meg inn hos svensk Skatteverk og får som svar: Om det land där du skaffade ett elektroniskt ID inte finns med ovan så betyder det att det landet inte ännu gått med i eIDAS samarbetet.

Som svar på av Christian (ikke bekreftet)

R

Ronny Khan

23. juni 2023

For EU vil trolig loven vedtas tidlig neste år (2024). Loven gir en 2 års frist før forpliktelsene tar effekt. Dette betyr at alle EU land og private aktører MÅ i løpet av 2026 men KAN fra det punktet loven vedtas.
Norge er et EØS land slik at disse fristene ikke automatisk gjelder men er avhengig av behandling i stortinget.

T

Tonje Fløystad

11. februar 2024

Hei
Så det betyr at man kan få en id på høyste sikkerhetsnivå uavhengig om man har bankkonto? (idag må man jo ha en konto for å få bankid).
Og om denne id må brukes til pålogging av sosiale medier, kan man sikre at unge ikke får opprettet en konto før de har alderen som kreves for aldersgrensen? Man unngår da at 10 åringer får snapchat konto, selv om det er 13 års grense?

mvh
Tonje

Som svar på av Tonje Fløystad (ikke bekreftet)

R

Ronny Khan

12. februar 2024

Det stemmer. Staten er forpliktet å gi alle med tilhørighet til riket (residents) en slik ID gratis dersom vedkommende ønsker det.
Når det gjelder særkrav i forhold til alder (mindreårige) er det opp til nasjonale bestemmelser og lovgivning.
Det er dog få åpenbare grunner til å ha særskilte avgrensninger her siden det å bevise hvem du er, som ikke trenger å utlevere full identitet samt aspekter som alder samt eventuelt samtykke fra foresatt styrker hånhevning av de aspektene du nevner.

Men som nevnt er dette opp til nasjonal lovgiver å sette eller å la vær å sette slike avgrensinger.

Kommenter

Felt merket med en rød stjerne (*) er obligatoriske.

Innholdet i dette feltet blir holdt privat og vil ikke bli vist offentlig.
Er du et menneske?
1 + 14 =
Løs dette enkle mattespørsmålet og skriv inn svaret. For eksempel: For 1+3, skriv inn 4.