id-kort-sluttrapport
id-kort-sluttrapport
id-kort-sluttrapport
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Det er im<strong>id</strong>lert<strong>id</strong> begrenset adgang til å selvdeklarere de ulike deler av sertifikattjenesten hver for<br />
seg. Og i den utstrekning det er adgang til dette, forutsetter det at forholdet mellom<br />
sertifikatutstederen og de øvrige rollene er etablert på forhånd, slik at tilsynsorganet kan vurdere<br />
tjenestene under ett. Det innebærer i praksis at selvdeklarering av en ordning for offentlig utstedt<br />
eID, som er basert på samarbe<strong>id</strong> med private aktører som skal utføre ulike deler av tjenesten, må<br />
finne sted etter at en eventuell anskaffelsesprosess er gjennomført. Man kan altså ikke basere<br />
anskaffelsesprosessen på at de som skal fylle de ulike rollene i tjenesten hver for seg er registrert<br />
hos Post- og teletilsynet på forhånd. En slik ordning vil eventuelt kreve endring av retningslinjene<br />
for selvdeklareringsordningen.<br />
I og med at en offentlig utstedt eID er underlagt tilsyn både etter lov om elektronisk signatur,<br />
omfattet av selvdeklareringsordningen for sertifikatutstedere, og av lov om behandling av<br />
personopplysninger, synes behovet for ytterligere regelverksforankring å være begrenset.<br />
Dersom det likevel skulle utarbe<strong>id</strong>es en forskrift til særloven om utstedelse av nasjonalt ID-<strong>kort</strong><br />
som regulerte nærmere enkelte forhold knyttet til utstedelse og bruk av en eID på dette <strong>kort</strong>et, vil<br />
det måtte foretas en nærmere vurdering av hvor forskriftskompetansen bør plasseres. Aktuelle<br />
departementer i denne sammenheng vil være JD, FAD og NHD.<br />
12.5.5 Sertifikatutsteders erstatningsansvar for feil i sertifikatene og<br />
statustjenesten mv<br />
Ansvarsgrunnlaget<br />
Med utgangspunkt i at eID skal baseres på sertifikatklasse Person Høyt, og følgelig skal benytte<br />
kvalifiserte sertifikater, reguleres sertifikatutstederens erstatningsansvar av esignaturloven § 22 (så<br />
langt den rekker). Bestemmelsen suppleres av alminnelige erstatningsrettslige prinsipper.<br />
Esignaturloven § 22 innebærer bl.a. at sertifikatutstederen etter omstendighetene kan holdes<br />
ansvarlig for tap en sertifikatmottaker l<strong>id</strong>er som følge av at vedkommende har stolt på innholdet i<br />
et kvalifisert sertifikat. Sertifikatutstederen kan bl.a. holdes ansvarlig for at opplysningene i<br />
sertifikatet var korrekte på utstedelsest<strong>id</strong>spunktet og at sertifikatinnehaveren på det t<strong>id</strong>spunktet<br />
disponerte de aktuelle signaturfremstillingsdata, m.a.o. hadde kontroll over den private nøkkelen.<br />
Sertifikatutstederen kan også holdes ansvarlig for tap som skyldes at et sertifikat ikke var korrekt<br />
registrert i en tilbaketrekkingsliste eller statustjeneste, men derimot ikke tap som skyldes at<br />
signaturfremstillingsdata har kommet på avveie uten at dette er meldt til sertifikatutsteder. I alle<br />
tilfeller går sertifikatutsteder fri dersom utstederen dokumenterer at han ikke har handlet<br />
uaktsomt. Loven åpner for at utsteder kan avgrense sitt ansvar ved å angi begrensninger i<br />
bruksområde eller transaksjonsbeløp i sertifikatene.<br />
Loven bygger på en forutsetning om at sertifikatmottakere i normalsituasjonen har rimelig grunn<br />
til å ha tillit til at kvalifiserte sertifikater tilfredsstiller de krav som er angitt i loven. Det må nok<br />
likevel opereres med en generell rolleforventning til sertifikatmottakeren om at denne opptrer<br />
forsvarlig i forbindelse med bruk av sertifikatet, bl.a. ved å kontrollere sertifikatets status når det<br />
benyttes i transaksjoner som har et skadepotensial.<br />
Hvis man skulle komme til at det offentlige vil utstede en eID som ikke er utstedt som et<br />
kvalifisert sertifikat, kommer esignaturlovens bestemmelser ikke til anvendelse.<br />
Sertifikatmottakeren kan da ikke bygge på esignaturlovens bestemmelser, men sertifikatmottaker<br />
må på annet grunnlag vise at han eller hun har hatt en berettiget forventning om at opplysningene<br />
i sertifikatet var korrekte. I tillegg må sertifikatmottaker ha l<strong>id</strong>t et tap på grunn av en feil i<br />
sertifikatet som skyldes at utsteder har handlet uaktsomt. Dersom sertifikatet er utstedt i henhold<br />
67