Digitaliseringsbloggen EU sikter mot én felles europeisk eID

03. jun 2021
3 minutter å lese

Denne uka presenterte EU-kommisjonen sitt forslag til etablering av en ny «EU eID» som alle borgere skal kunne bruke på tvers av grensene i EU og EØS. Lovforslaget innebærer store endringer og utvidelser som også Norge må forholde seg til.

Saken har sin bakgrunn i revidering av eIDAS-forordningen som også er en del av norsk lov. Det er vanlig i EU at man går gjennom lovverket etter en tid og gjør justeringer som passer bedre for målene det skal oppnå - og slik tilpasser reglene etter nye behov og krav.

Forslaget fremmes som en «amending act», noe som betyr at det er et strengt begrenset grunnlag for diskusjoner rundt det i forhold til en full revisjon.

Hør podkast med Tor Alvik og Ronny Khan

Se utskrift av hele podkasten her: (Vignett) Are Kvistad EU-kommisjonen foreslår et nytt, o

Fakta om eIDAS-forordningen

  • Innført i 2014.
  • Reguleringen er ikke en harmonisering av nasjonale eID, men fasiliteter gjensidig annerkjennelse.
  • Medlemsstatene og bare de kan notifisere et eID-skjema, og dette er frivilllig.
  • Tillegg inneholder eIDAS et rammeverk for tillitstjenester som elektroniske signaturer, tidsstempel og kvalifiserte nettstedssertifikater.

Noen av de viktigeste erfaringene med dagens forordning

  • Den teoretiske maksimale dekning er fortsatt på under 60% totalt for Europa.
  • Den reelle bruken i de fleste land er svært begrenset og ofte kun for et lite sett av offentlige tjenester.
  • Bruk over landegrensene er minimal og i praksis på grensen til ikke-eksisterende.
  • Innholdet dekker kun deler av behovet knyttet til digitalisering.

Men hvorfor en ny felles eID?

Det handler om det indre digitale markedet i EU som i dag faktisk ikke fungerer på tvers av landegrensene. Selv om dette ikke burde overraske noen, ble dette veldig tydelig i forbindelse med Covid-19. Stadig større deler av realøkonomien flyttes til tjenesteyting og deretter til digital tjenesteyting. Dersom man skal ha et indre marked, er det strengt nødvendig å legge til rette for dette. En klar satsning på en felles eID er en nøkkel for å få dette til.

Slik sett er dette ikke slutten på forslag som skal styrke det digitale markedet, men kun første forslag som konkretiseres og der andre forslag med samme mål kommer som perler på en snor framover.

Evolusjonen av behov innen eID

Behovene man skal dekke med eID-løsninger er ikke statiske, men endrer seg med modenhet i markedet, modenhet hos sluttbrukere og der tekniske rammebetingelser gjør ting som før var «mulig» lett tilgjengelig.

Noen slike eksempler på evolusjon kan illustreres med følgende figur:

Illustrasjon: Utviklingsløpet for elektronisk ID går fra nivået "Retro" via "Current", med "identity wallet" og "remote onboarding" til Future, med "user control", "identity based ecosystem" og "IOT and smart objects".
Illustrasjonen viser utviklingen av elektronisk ID. Mens det i starten handlet om autentisering, utvider nå bruksområdene seg etter hvert som modenheten hos brukerne endrer seg og den tekniske utviklingen gjør det mulig å ta i bruk nye løsninger og funksjonalitet.

Dette er innholdet i forordningen

eID

  • Dette blir en felles teknisk harmonisert løsning basert på en digital lommebok.
  • Alle stater må utstede dette til sine innbyggere gratis.
  • Frist for gjennomføring er 12 måneder etter at loven blir innført.
  • Dette middelet skal utstedes med høyeste sikkerhetsnivå.
  • Harmoniseringen blir håndhevet ved at alle medlemsland må gjennom sertifisering, test og vurdering av sine løsninger for å sikre at de er funksjonelt identiske på alle mulige måter.
  • Lommeboken og innholdet vil være under brukers eksklusive kontroll. Utstedere av lommebok eller innhold vil ikke være involvert i bruk på noen som helst måte.
  • Det stilles krav om obligatorisk aksept for flere næringer:
    • Transport
    • Energi
    • Bank og finans
    • Helse
    • Tjenester knyttet til drikkevann
    • Post og postrelaterte tjenester
    • Digital infrastruktur
    • Utdanning
    • Telekommunikasjon
  • I tillegg stilles det krav til at store plattformer slik det er referert i Digital Services Act, må akseptere dette. I praksis omfatter det plattformer som for eksempel Google, Amazon og Facebook.
  • Kommisjonen vil benytte Digital Markets Act som et middel der det er nødvendig for å åpne tilgang til infrastruktur.

Attesterte attributter

Dette er nytt og har som hensikt å definere digitalisering utover identitet av ting knyttet til identitet. Prinsippet for dette kan illustreres ved disse eksemplene: Åpne en konto, søke på jobb eller søke på studielån.

Illustrasjon: Mulige bruksområder for elektronisk ID

Slike objekter vil tillegges samme juridiske vekt som notifiserte dokumenter, og det vil være krav til aksept i alle sammenhenger der avtaler ikke inngås ansikt til ansikt.

Kort forklart kan man se på dette som et verktøy for å dekke sektorspesifikke initiativ og behov. Noen typiske eksempler kan være:

  • Førerkort
  • Pass
  • Nasjonalt ID-kort
  • Styringsmiddel for IoT
  • Adgangskort til jobb eller skole
  • Bibliotekkort
  • Digitale sentralbankpenger

Denne listen vil bli mye lengre og i praksis dekke alt man kan ha i en fysisk lommebok i dag - og mye som ikke kan være i en fysisk lommebok, men i en elektronisk.

Andre elementer

  • Utvidede krav til medlemsstatene om identitetsmatching for å kunne tilby tjenester til borgere fra andre stater.
  • Innføring av en unik identifikator for å gjøre dette lettere.
  • Anerkjennelse av elektroniske ledgers (elementer i blokkjede) for ikke benektbarhet og sekvensering i tid.
  • Krav til støtte for kvalifiserte nettsertifikater.

Teknologinøytralt

EU-kommisjonen legger opp til at løsningen som velges, skal være teknologinøytral. For noen kan det være fristende å lese lovforslaget som startsignalet for blokkjede-baserte løsninger og det som i dag forstås som SSI-løsninger. Men det er ikke tilfelle – heller tvert imot. Slike løsninger kan brukes, men en underliggende vurdering er at slike løsninger i dag eller i nærmeste framtid ikke vil være modne for bruk.

Det er nå jobben starter

På mange måter kan man si at det er nå det virkelige arbeidet begynner. Disse rammebetingelsene skal fylles med konkret innhold, og dette blir en prosess der medlemslandene trekkes tettere inn i prosessen for å komme med sine bidrag.

Når kan så en ny eID være på plass? Det er ikke godt å si. Det er åpenbart at det er sterke politiske krefter som jobber for å realisere planene. EU-kommisjonen signaliserer at de ønsker å innføre dette innen kommisjonsperioden, altså om to til tre år. Så skal det inn i norsk lov gjennom EØS-behandlingen før det kan bli gyldig i Norge.

Portrett Tor Alvik
Fagdirektør, Digitaliseringsdirektoratet

Tor Alvik

Tor Alvik har jobbet med digitale fellesløsninger, strategi og identitetsforvaltning siden han ble involvert i arbeidet med Norge.no i 2005. Han har siden bidratt i utviklingen av eID-løsninger for offentlig sektor. Alvik er involvert i internasjonale prosjekter og programmer både i EU og Norden, og arbeider med rammene for digitalisering i Norge og utviklingen av tjenester på tvers av landegrensene. Han leder blant annet et Nordisk-Baltisk samarbeidsprosjekt på eID (NOBID). 
Ronny Khan
Seniorrådgiver, Digitaliseringsdirektoratet

Ronny Khan

Ronny Khan har lang erfaring fra arbeid med sikkerhet i bank og finans samt telekombransjen. Han har i en årrekke jobbet internasjonalt opp mot EU og internasjonale standardiseringsorgan innen sikkerhet og elektronisk identitet.

Forfattere

Portrett Tor Alvik
Tor Alvik
Fagdirektør, Digitaliseringsdirektoratet
Ronny Khan
Ronny Khan
Seniorrådgiver, Digitaliseringsdirektoratet

Kommentarer (4)

J
Johan Toverud Jensen
09. juni 2021

En ting er standardisert eID, men norsk språk har også standardiserte regler som bør følges, f.eks. når to sammensatte ord skrives som ett: sentralbank penger er lik sentralbankpenger, post relaterte tjenester er lik postrelaterte tjenester, nettsteds sertifikater er lik nettstedssertifikater. Bare et lite hint.

Som svar på av Johan Toverud Jensen (ikke bekreftet)

A
Are Kvistad
09. juni 2021

Takk for betimelig påpekning! Dette blir korrigert. Med hilsen Are Kvistad, Digdir.

O
Ole Eirik Håtun
22. juni 2021

Hei, Spennende...men jeg får opp to kritiske tanker:
- Ønsker man i EU å bruke dette til å stoppe skatteflukt/-paradiser?
og
- Hva med overvåkingspotensialet? Vil en borger kunne velge å være uten eID?

Som svar på av Ole Eirik Håtun (ikke bekreftet)

R
ronny khan
22. juni 2021

Dette er ikke obligatorisk men helt frivillig å ha en slik eID. Det som er viktig å merke seg er det er svært strenge krav til privacy til en slik elektronisk identitet der verken utsteder av lommebok eller ID vil ha noen mulighet for innsyn i bruk av ID eller hvor denne brukes.
Dette er vesentlig strengere enn det som er tilfelle med alle løsninger man har i dag.

Kampen mot økonomisk kriminalitet samt skatte unndragelse styrkes ved en sikker elektronisk identitet og dette er slikt sett et nødvendig verktøy men som må supplementers med andre lover og bestemmelser i tillegg.

Kommenter

Felt merket med en rød stjerne (*) er obligatoriske.

Innholdet i dette feltet blir holdt privat og vil ikke bli vist offentlig.