Juridiske vurderinger relevante for virksomhetsautentisering

Her kan du lese om noen juridiske vurderinger som kan være relevante for forslagene til forbedringer av dagens virksomhetsautentisering. Først kan du lese om noen rettslige utgangspunkter for vurderingene. Deretter kan du lese om det finnes noen spesifikke rettslige krav til autentisering. Til slutt kan du lese en oppsummering av disse punktene.

Innhold

    Det rettslige grunnlaget sier noe om hvem som er mottaker

    Visse typer opplysninger er rettslig regulert. Det kan være nødvendig med et rettslig grunnlag for å dele slike opplysninger. Som utgangspunkt bør en først vurdere det rettslige grunnlaget for delingen for å se hvem opplysningene kan deles med.

    For deling av personopplysninger vil det rettslige grunnlaget for delingen av personopplysningene være behandlingsgrunnlaget. Her kan du lese mer om behandlingsgrunnlag. Når opplysninger skal deles mellom to behandlingsansvarlig, er det nødvendig med et behandlingsgrunnlag både for den handlingen det ligger i å utlevere og å motta personopplysningene. Dette gjelder også om opplysningene deles gjennom databehandlere. Her kan du lese mer om behandlingsansvarlig, databehandler. Behandlingsgrunnlaget kan si noe om hvem som har adgang til å behandle opplysningene og til hvilket formål.

    Dersom opplysningen er underlagt taushetsplikt er hovedregelen at de ikke kan deles. For å dele taushetsbelagte opplysninger kreves det et unntak fra taushetsplikten. Det finnes flere unntak fra taushetsplikten der hvor formålet er deling av opplysninger mellom offentlige aktører. Bestemmelsen som fastsetter unntaket vil være det rettslige grunnlaget for delingen av de taushetsbelagte opplysningene. Normalt vil det fremgå av dette grunnlaget hvem som skal være mottaker av opplysningene.

    Det rettslige grunnlaget utpeker en virksomhet som mottaker

    Som regel vil det rettslige grunnlaget for delingen utpeke en virksomhet som mottaker for opplysningene. Tilbyderen av disse opplysningene har da kun ansvaret for å sørge for at opplysningene kommer frem til riktig virksomhet. Når mottakeren har mottatt opplysningene er det opp til mottakeren selv å sørge for at opplysningene behandles i tråd med det rettslige grunnlaget og i tråd med regelverket. Dersom det bare er noen roller, grupper eller personer hos mottakeren som skal ha tilgang til opplysningene må mottakeren sørge for et system med tilgangskontroll slik at opplysningene ikke havner hos uvedkommende.

    Det ansvarlige pliktsubjekt skal vurdere egen behandling

    For behandling av lovregulerte opplysninger skal det ansvarlige pliktsubjektet selv vurdere sin behandling. Dette innebærer at det er den som skal vurdere hvilke enheter og underenheter i sin virksomhet som skal ha tilgang til personopplysningene.

    I en delingssituasjon skal ikke tilbyderen vurdere det rettslige grunnlag og de rettslige rammene for mottakerens behandling. Dette betyr at en ikke må forveksle autentisering og autorisering. Selv om tilbyderen har en måte å presist autentisere en underenhet hos mottakeren, er det mottakeren som må vurdere hvorvidt denne underenheten er autorisert. Denne autoriseringen og hva den omfatter av opplysninger må i såfall deles med tilbyderen av informasjonen.

    Finnes det noen nærmere krav til autentisering av mottaker?

    Ettersom økt presisjonsnivå på autentisering er et sikkerhetstiltak som bidrar til opplysninger ikke kommer på avveie, er det nyttig å se om det finnes noen rettslige krav til presisjonsnivå på autentiseringen.

    I personvernregelverket er det særlig personvernforordningens artikkel 32 det kan være nyttig å se på. Bestemmelsen gjelder krav til sikkerhet ved behandlingen. Denne bestemmelsen sier at behandlingsansvarlige og databehandleren skal “gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen”. Bestemmelsen legger opp til en konkret vurdering. Det kan derfor ikke sies generelt at presis autentisering alltid vil være et egnet tiltak. Så fremt økt presisjonsnivå på autentisering er et sikkerhetsfremmende tiltak uten ulemper, synes det imidlertid ikke å være en juridisk hindring med et slikt tiltak. Dersom det viser seg at det er en del ulemper forbundet med denne typen presis autentisering, vil en konkret måtte vurdere om det er et egnet tiltak.

    Tilsynelatende fastsetter heller ikke eForvaltningsforskriften og lov om elektroniske tillitstjenester spesifikke krav til autentisering som er til hinder for forslagene til forbedringer av dagens løsning med virksomhetssertifikater. Det kan tenkes at sikkerhetslovgivningen stiller mer presise krav til autentisering. Sikkerhetslovgivningen er ikke vurdert i denne sammenheng. Så fremt økt presisjonsnivå ved autentisering er et sikkerhetsfremmende tiltak uten sikkerhetsmessige ulemper, er det likevel liten grunn til å tro at sikkerhetslovgivningen er til hinder for forslagene i denne veilederen.

    NSM sine Grunnprinsipper for IKT-sikkerhet 2.0, punkt 2.6 omtaler identiteter og tilganger. Prinsippene har trolig ikke stor rettskildemessig vekt, men kan gi viktig sikkerhetsfaglig innsikt. Prinsippene synes heller ikke å legge noen begrensninger på forslagene forbedringer av dagens virksomhetsautentisering.

    Samlet sett gir tilsynelatende rettskildematerialet få spesifikke føringer. Slike føringer er trolig ikke nødvendig, dersom det skal innføres sikkerhetstiltak som bare øker sikkerheten ved behandlingen av personopplysningene. Det er grunn til å tro at et slikt tiltak er positivt. Dersom foreslåtte sikkerhetstiltak for autentisering også medfører ulemper, kan det være grunnlag for å gjøre en ny og konkret vurdering i lys av rettskildematerialet.

    Oppsummert: de juridiske kravene til autentisering

    Dersom opplysningene er rettslig regulert, må en ta utgangspunkt i det rettslige grunnlaget og de rettslige rammene for å se hvordan opplysningene skal behandles, om de kan deles og i såfall med hvem.

    Presis autentisering er et verktøy for å være sikker på at en snakker med korrekt mottaker. Hvorvidt denne mottakeren er autorisert er imidlertid et eget spørsmål, og et spørsmål som det ansvarlige pliktsubjektet selv må vurdere. Tilsynelatende legger ikke relevante rettskilder noen begrensninger på høyt presisjonsnivå ved autentisering. Tvert imot, synes det å være positivt så lenge dette er et sikkerhetsfremmende tiltak uten synlige ulemper. Dersom det er ulemper knyttet til dette, bør en foreta en konkret vurdering av relevant regelverk.