id-kort-sluttrapport
id-kort-sluttrapport
id-kort-sluttrapport
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
utiner mv. for å sikre at utlevert PIN-kode kobles til riktig eID. Dette vil særlig være et forhold<br />
mellom sertifikatutsteder, registreringsenheten, sertifikatprodusent og <strong>kort</strong>utsteder/-produsent.<br />
Ifølge esignaturloven § 15 skal sertifikatutsteder før avtale inngås informere søker av eID om<br />
vilkårene og begrensningene for bruken av sertifikatet, gi opplysninger om gjeldende<br />
godkjenningsordninger mv. samt om prosedyre for klage og avgjørelse av tvister. Det vil således<br />
være et behov for at utsteder og søker/innehaver av eID inngår en avtale. Dette kan ivaretas av<br />
registreringsenheten (f.eks. politiet) på vegne av sertifikatutstederen. Dersom utstedelsen av eID<br />
skal være frakoblet utstedelsen av det nasjonale ID-<strong>kort</strong>et, vil avtaleinngåelse mv. håndteres når<br />
søknad om eID ved personlig oppmøte skjer hos registreringsenheten. Uansett om man velger<br />
den integrerte eller den frakoblede løsningen, bør avtalen være tilgjengelig på nett slik at søker i<br />
forkant har anledning å gjøre seg kjent med avtalens innhold.<br />
Ved å være registreringsenhet vil politiet være databehandler og derved omfattes av<br />
bestemmelsene i personopplysningsloven. Dette forhold, der politiet er databehandler for<br />
sertifikatutstederen (som behandlingsansvarlig) må også nærmere reguleres i avtalen mellom<br />
partene.<br />
I en integrert løsning vil det være behov for å klargjøre hvilke oppgaver som tilligger henholdsvis<br />
<strong>kort</strong>- og sertifikatprodusent. Utgangspunktet vil være at <strong>kort</strong>produsenten produserer selve <strong>kort</strong>et,<br />
med en kontaktchip som inneholder nøklene for autentisering, signering og kryptering.<br />
Sertifikatprodusenten vil ha i oppgave å sikre koblingen mellom nøklene og sertifikatet, og laste<br />
ned sertifikatet på chipen. Hvordan dette skal skje mv. må være klart allerede før anskaffelsen av<br />
disse tjenestene og dette forholdet må nærmere reguleres i en avtale mellom partene. Det må bl.a.<br />
sikres samsvar mellom disse to aktørenes løsninger, slik at sertifikatutsteder bl.a. kan laste ned<br />
sertifikatet på chipen. Utgangspunktet må være at det stilles krav om bruk av gjeldende<br />
standarder på området i så stor grad som mulig.<br />
Forholdet mellom sertifikatutsteder og andre private aktører, til hvilke sertifikatutstederen setter<br />
ut funksjoner/roller innenfor rammen av sertifikattjenesten, vil i utgangspunktet reguleres i egne<br />
avtaler. Val<strong>id</strong>eringstjenesten, uansett om den settes ut eller håndteres av sertifikatutstederen selv,<br />
vil måtte ha et avklart forhold til brukerstedene og/eller med en sikkerhetsportal. Det vil<br />
sannsynligvis håndteres i avtaleform, og ikke i noen større grad ved regulering.<br />
12.6.4 Sertifikatutsteders erstatningsansvar for feil i sertifikatene og<br />
statustjenesten mv.<br />
I kapittel 12.5.5 drøftes sertifikatutsteders erstatningsansvar, inklusive adgang til å begrense<br />
ansvaret. Presentasjonen av gjeldende rett på området gjelder uansett om sertifikatutsteder er en<br />
offentlig eller en privat aktør. Det vises derfor her til dette kapitlet. I utgangspunktet er det<br />
sertifikatutstederen som er ansvarlig for ev. feil i sertifikattjenesten. I henhold til esignaturloven §<br />
10 annet ledd skal sertifikatutstederen ha tilstrekkelige økonomiske ressurser til å kunne drive<br />
virksomheten i henhold til kravene i loven, herunder også kunne dekke ev. erstatningskrav. Her,<br />
som i alle andre sammenhenger, vil være viktig at dette kravet etterleves. Post- og teletilsynet<br />
fører tilsyn med at dette kravet er ivaretatt.<br />
75