id-kort-sluttrapport
id-kort-sluttrapport
id-kort-sluttrapport
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
12.5.4 Regulering av forholdet rollene i mellom<br />
Nærmere om avtaler mellom ansvarlig utsteder og sertifikatprodusent m.m.<br />
Ettersom det er sertifikatutstederen som har ansvaret for tjenestenes kvalitet i forhold til<br />
sertifikatinnehaverne og sertifikatmottakerne, og som har ansvaret overfor tilsynsmyndigheten<br />
når det utstedes kvalifiserte sertifikater, vil sertifikatutstederen også ha den sentrale rollen når det<br />
gjelder styring av de ulike relasjonene og ytelsene aktørene imellom innenfor sertifikattjenesten.<br />
På den annen s<strong>id</strong>e kan sertifikatutstederen ha satt bort hele eller deler av det<br />
kontraktsadministrative og operasjonelle oppfølgingsarbe<strong>id</strong>et til f.eks. en underliggende etat. Det<br />
vil være naturlig at sertifikatutstederen og den underliggende etaten i så fall formaliserer dette i<br />
form av en avtale. Dette kan være hensiktsmessig selv om sertifikatutstederen har hel eller delvis<br />
instruksjonsmyndighet i forhold til etaten på det aktuelle området. Det er bare utførelsen av<br />
oppgavene som kan delegeres eller settes bort. Ansvaret påhviler fortsatt sertifikatutstederen.<br />
Også forholdet til sertifikatprodusenten, katalogtjenesten og statustjenesten vil det være naturlig<br />
at er regulert gjennom avtale med sertifikatutstederen, bl.a. fordi disse tjenestene sannsynligvis vil<br />
bli kjøpt inn fra private virksomheter. Kontraktene kan i disse tilfellene være inngått mellom<br />
tjenesteyterne og den etaten som har administrasjons- og oppfølgingsansvaret på vegne av<br />
sertifikatutstederen, men det forutsetter at kontrakten gir sertifikatutstederen reell kontroll- og<br />
styringsrett når det gjelder utførelsen av tjenestene.<br />
Det bør vurderes om avtalen som inngås med <strong>kort</strong>produsenten om utstedelse av ID-<strong>kort</strong> også<br />
skal dekke sertifikatutstederens krav til chip og nedlasting av nøkler m.v., eller om<br />
sertifikatutstederen skal inngå separat tilleggsavtale om dette. Antakelig er det mest praktisk at<br />
sertifikatutstederens krav beskrives i et eget bilag til avtalen om produksjon av <strong>kort</strong>, ikke minst<br />
hvis ansvaret for det nasjonale ID-<strong>kort</strong>et og eID blir lagt til samme etat.<br />
Nærmere om forholdet mellom eID-katalog og ID-<strong>kort</strong> register<br />
Det er nødvendig å koordinere forholdet mellom registeret for nasjonale ID-<strong>kort</strong> og registeret for<br />
eID. Blant annet må det organiseres slik at registrering av varsel om at et nasjonalt ID-<strong>kort</strong> har<br />
kommet på avveie også fører til oppdatering av registeret for eID. Det vanlige vil da være at<br />
eID’en trekkes tilbake og at dette registreres hos statustjenesten. Kortregisteret bør inneholde<br />
opplysninger om serienumrene til de sertifikatene som til enhver t<strong>id</strong> er lagret på <strong>kort</strong>et for å gjøre<br />
tilbakekalling av sertifikater i eID-registeret så effektivt som mulig. Derimot er det ikke<br />
nødvendigvis behov for noen direkte kopling motsatt vei. Det kan oppstå situasjoner der eID<br />
skal tilbakekalles uten at det får betydning for <strong>kort</strong>registeret, det kan f.eks. tenkes at eIDinnehaveren<br />
rett og slett ikke ønsker å bruke eID’en mer og derfor vil ha den sperret. I den<br />
utstrekning det er behov for å kople eID til <strong>kort</strong> kan det skje via fødselsnummeret som vil være<br />
registrert i begge registrene. Årsaken er at selv om en person kan ha flere sertifikater vil de alle<br />
være registrert på samme <strong>kort</strong>. Dersom levet<strong>id</strong>en for sertifikatet er <strong>kort</strong>ere enn gyldighetst<strong>id</strong>en for<br />
det nasjonale ID-<strong>kort</strong>et, eller det ellers vil være tilfeller der nye eID’er utstedes til eksisterende<br />
ID-<strong>kort</strong>, kan det im<strong>id</strong>lert<strong>id</strong> være hensiktsmessig å vurdere den alternative løsningen som drøftes i<br />
kapittel 12.6.1., dvs. at sertifikatutstederen registrerer nummeret på det <strong>kort</strong>et som det enkelte<br />
sertifikat lastes ned på, for på den måten å ivareta koblingen mellom ID-<strong>kort</strong>et og de sertifikater<br />
som skal trekkes tilbake som følge av at det nasjonale ID-<strong>kort</strong>et er blitt sperret.<br />
Nærmere om ansvaret for behandling av personopplysninger<br />
Det vil være sertifikatutstederen som er behandlingsansvarlig når det gjelder behandling av<br />
personopplysninger etter personopplysningsloven i forbindelse med sertifikattjenesten. De øvrige<br />
65