id-kort-sluttrapport
id-kort-sluttrapport
id-kort-sluttrapport
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
vedkommende i så fall ville ha unnlatt å gjennomføre transaksjonen, har han som utgangpunkt<br />
krav på å få dekket det tap han har pådratt seg ved å stole på sertifikatet, f.eks. til forberedelser til<br />
en avtale som det ikke ble noe av. Han har derimot ikke krav på å få dekket den forventede<br />
fortjeneste eller lignende på en kontrakt som ikke blir inngått som forventet. Begrunnelsen er at<br />
hvis feilen ikke var blitt begått, og opplysningene i sertifikatet hadde vært korrekte, ville han ikke<br />
forsøkt å gjennomføre transaksjonen i det hele tatt. Derfor kan han heller ikke ha gått glipp av<br />
noen fortjeneste. På den annen s<strong>id</strong>e, hvis det ukorrekte sertifikatet fører til at konf<strong>id</strong>ensielle<br />
opplysninger blir utlevert til feil person, kan det tilknyttede økonomiske tapet kreves dekket.<br />
Hvor omfattende dette tapet kan bli vil avhenge av opplysningenes art. Dreier det seg f.eks. om<br />
forretningshemmeligheter av strategisk betydning, vil det økonomiske tapet typisk bli større enn<br />
hvis det dreier seg om personopplysninger (som potensielt utløser skade og ulemper av annen<br />
karakter).<br />
12.5.6 Offentlig utsteder og e-signaturloven<br />
Utgangspunktet er at offentlig forvaltning vil utstede eID som kvalifiserte sertifikater, nærmere<br />
bestemt Person Høyt i henhold til ”Kravspesifikasjon for PKI i offentlig sektor”.<br />
Esignaturloven oppstiller en rekke krav overfor utstedere av kvalifiserte sertifikater og til<br />
innholdet av slike sertifikater. Dette notatet skal se nærmere på om disse kravene stiller seg<br />
annerledes dersom offentlig forvaltning er sertifikatutsteder.<br />
Som generell betraktning kan man konkludere med at kravene i esignaturloven ikke oppstiller<br />
krav som er til særlig vanske for offentlig virksomhet som sertifikatutsteder. Det er im<strong>id</strong>lert<strong>id</strong><br />
krav som man trenger å særlig ta hensyn til, disse er i hovedsak følgende (jf. vedlegg A for<br />
nærmere gjennomgang av esignaturlovens bestemmelser).<br />
• Ved innsamling av opplysninger må sertifikatutsteder gi informasjon om hva<br />
opplysningene skal brukes til. Dessuten skal sertifikatutsteder bl.a. opplyse om ev.<br />
begrensninger i sertifikatet og eksisterende selvdeklarasjonsordninger. Dette vil kreve<br />
nærmere gjennomgang av søknadsprosedyrer mv. for å sikre at disse kravene etterleves.<br />
• Esignaturloven med forskrift stiller som utgangspunkt krav om personlig fremmøte ved<br />
utstedelse av kvalifisert sertifikat. Et slikt krav er allerede i tråd med kravene som<br />
oppstilles ved utstedelse av pass. Dersom det derimot er aktuelt at eID’ene også skal<br />
oppfylle kravene for sertifikatklassen Person-Høyt etter ”Kravspesifikasjon for PKI i<br />
offentlig sektor” vil det stilles krav om <strong>id</strong>entifisering av søker etter krav som oppstilles i<br />
hvitvaskingsregelverket, og det må sikres at disse kravene etterleves.<br />
• Den offentlige etat som skal være sertifikatutsteder vil omfattes både av Post- og<br />
teletilsynet og Datatilsynet sine tilsynsvirksomheter. Her gis det både mulighet til stedlig<br />
inspeksjon og adgang til å ilegge tvangsmulkt. Dessuten skal utstedere av kvalifiserte<br />
sertifikater og av sertifikater på nivå Person-Høyt, betale et årlig gebyr til Post- og<br />
teletilsynet. Disse forhold bør vurderes nærmere når plasseringen av ansvaret for den<br />
offentlige utstedelse av eID er avklart.<br />
For utdypende gjennomgang av loven se vedlegg A.<br />
69