id-kort-sluttrapport
id-kort-sluttrapport
id-kort-sluttrapport
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Identitetsforvaltning omfatter blant annet regler for å oppnå felles pålogging til mange systemer<br />
(eng. single-sign-on), ved at en bruker hvis <strong>id</strong>entitet er blitt verifisert og godkjent av ett system,<br />
blir overført til et annet system uten å måtte <strong>id</strong>entifisere seg på nytt. En slik overføring krever at<br />
det ene systemet stoler på det andre systemets verifikasjon av <strong>id</strong>entitet – man sier at systemer er i<br />
føderasjon med hensyn til autentisering av brukere.<br />
Selve metoden som benyttes for autentisering kan være en av de som er nevnt ovenfor i dette<br />
kapitlet. Således kan kun én pålogging med en eID med høyt sikkerhetsnivå være tilstrekkelig for<br />
å få adgang til mange systemer uten at det kreves ny autentisering hver gang brukeren kommer<br />
inn i et nytt system. I en slik sammenheng er det grunn til å tro at en pålogging med nasjonalt ID<strong>kort</strong><br />
med eID kan oppfattes som mer sikker enn f.eks. en passordbasert pålogging.<br />
I Norge finnes det et begrenset antall sertifikatutstedere, jf. kap. 4.3. Markedet er umodent. Det<br />
preges av såkalte ”nettverkseffekter” (høna-og-egget syndromet), som gjør at det er usikkerhet<br />
for sertifikatutstedere forbundet med kostnader til utrulling av eID til alle innbyggere, og<br />
tilbydere av nettjenester er usikre på om de skal legge til rette for bruk av eID i sine tjenester.<br />
12.2 Regulering av eID og e-signatur i norsk rett<br />
I lov av 15. juni 2001 nr. 81 om elektronisk signatur 22 (e-signaturloven) reguleres de rettslige<br />
rammebetingelsene for bruk av elektronisk signatur og tilknyttede tjenester. 23 Loven trådte i kraft<br />
1. juli 2001. Et viktig formål med loven er å sikre autentisering mellom to parter som ikke kjenner<br />
hverandre. Loven regulerer i hovedsak utstedere av ”kvalifiserte sertifikater”. Til dette<br />
sikkerhetsnivået er det knyttet bestemmelser om erstatning og rettsvirkninger samt tilsyn ved<br />
Post- og teletilsynet.<br />
I lov med tilhørende forskrift 24 stilles det blant annet krav om at <strong>id</strong>entifisering av person som<br />
ønsker et kvalifisert sertifikat må skje ved personlig fremmøte, med mindre vedkommende<br />
allerede er <strong>id</strong>entifisert ved personlig fremmøte gjennom eksisterende kundeforhold. Det er<br />
derimot ikke nærmere angitt hvilke typer av dokumenter som må legges frem ved en slik<br />
<strong>id</strong>entifikasjon. V<strong>id</strong>ere finnes det bestemmelser om at det kvalifiserte sertifikatet må innholde<br />
opplysninger om utstedelse og utløpsdato.<br />
Loven innholder en bestemmelse om at en elektronisk signatur på et nærmere angitt nivå (en<br />
kvalifisert elektronisk signatur) kan oppfylle et krav om underskrift så fremt den aktuelle<br />
disposisjonen kan gjennomføres elektronisk. I samme bestemmelse står også at andre typer av<br />
elektroniske signaturer kan oppfylle slike krav. Det kan også nevnes i denne sammenheng at<br />
rettsvirkning av en disposisjon som skjer elektronisk kan oppnås så vel ved bruk av en digital<br />
signatur som ved ren autentisering, avgjørende er i utgangspunktet hvordan disposisjonen<br />
gjennomføres og partenes vilje til å binde seg.<br />
E-signaturloven innholder også nærmere bestemmelser om innsamling av personopplysninger, jf.<br />
e-signaturloven § 7. Disse kravene gjelder for alle utstedere av elektroniske signaturer uansett<br />
sikkerhetsnivå og oppstiller strengere krav enn de som følger av personopplysningsloven.<br />
Datatilsynet fører tilsyn med at denne bestemmelsen etterleves.<br />
22 Jf. Ot.prp. nr. 82 (1999-2000), Ot.prp. nr. 103 (2001-2002) og Ot.prp. nr. 74 (2004-2005) .<br />
23 Loven er en gjennomføring av EU-direktiv av 13. desember 1999 om en fellesskapsramme for elektroniske<br />
signaturer (1999/93/EC).<br />
24 Jf. forskrift om krav til utsteder av kvalifiserte sertifikater mv.<br />
53