id-kort-sluttrapport
id-kort-sluttrapport
id-kort-sluttrapport
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
det er mulig å avvike fra direktivet (og loven) er det sannsynligvis ikke noen grunn til å vurdere på<br />
nåværende t<strong>id</strong>spunkt.<br />
Det skal også bemerkes at kun å akseptere en eID utstedt av utpekt offentlig norsk etat ved<br />
kommunikasjon med og i norsk offentlig forvaltning, kan være i str<strong>id</strong> med EUs direktiv som<br />
esignaturloven bygger på.<br />
• Innsamling og bruk av personopplysninger (§ 7)<br />
Av loven følger det at sertifikatutstedere kun får innhente personopplysninger direkte fra den<br />
opplysningene gjelder, eller med dennes uttrykkelige samtykke og bare i den utstrekning som er<br />
nødvendig for å utstede eller opprettholde et sertifikat. Opplysningene må ikke samles inn eller<br />
behandles for andre formål, så fremt ikke den opplysningene gjelder har gitt sitt uttrykkelige<br />
samtykke til det. Dette er strengere krav enn hva som f.eks. følger av personopplysningsloven.<br />
Denne bestemmelsen omfatter alle sertifikatutstedere, også de som ikke usteder kvalifiserte<br />
sertifikater. Datatilsynet fører tilsyn med at denne bestemmelsen overholdes.<br />
Hva man må være klar over i denne sammenheng er at når samme opplysninger innhentes som<br />
grunnlag for utstedelse av det nasjonalt ID-<strong>kort</strong>et, eID og ev. også pass, må skjemaet som brukes<br />
gi søker informasjon om hva opplysningene skal brukes til.<br />
• Krav til utstederens virksomhet (§ 10)<br />
Utstedere av kvalifiserte sertifikater skal utøve og administrere virksomheten på en forsvarlig<br />
måte slik at de kan tilby sikre, pålitelige og velfungerende sertifikattjenester. Dette byr ikke på<br />
noen særskilte problemer eller utfordringer pga. at utstederen er en offentlig virksomhet.<br />
Dessuten stilles det krav om at sertifikatutstederen til enhver t<strong>id</strong> skal ha tilstrekkelige økonomiske<br />
ressurser til å kunne drive virksomheten i henhold til kravene som er stilt i eller i medhold av<br />
denne lov. Dette kravet kan oppfylles ved kapitaldekking, forsikringsordning, garanti eller på<br />
annen måte. Tatt i betraktning at staten er selvassurandør vil dette kravet neppe være et problem.<br />
• Krav om kontroll av undertegners <strong>id</strong>entitet (§ 13)<br />
Ifølge loven er utstedere av kvalifiserte sertifikater ansvarlige for at <strong>id</strong>entiteten til undertegner og<br />
ytterligere relevante opplysninger om vedkommende blir kontrollert gjennom sikre rutiner. Krav<br />
om <strong>id</strong>entifisering er nærmere regulert i en forskrift til loven som stiller krav om personlig<br />
fremmøte hos sertifikatutsteder eller representant for denne, med mindre søker allerede er<br />
<strong>id</strong>entifisert ved personlig fremmøte gjennom eksisterende kundeforhold, jf. forskrift 15. juni 2001<br />
nr. 611 om krav til utsteder av kvalifiserte sertifikater mv. § 7.<br />
Gruppen anbefaler at det stilles krav om personlig oppmøte ved innlevering av søknad om<br />
nasjonalt ID-<strong>kort</strong>. Dersom gyldighetst<strong>id</strong>en for det fysiske ID-<strong>kort</strong>et er lengre enn for eID’ene, vil<br />
det være behov for å kunne fornye eID før den fysiske legitimasjonen må byttes. Dette vil også<br />
gjelde i situasjoner dersom man av andre grunner må trekke tilbake eID og utstede en ny. En slik<br />
fornyelse av eID’en kan, uten å være i str<strong>id</strong> med esignaturlovens krav, foretas uten personlig<br />
oppmøte.<br />
I tilknytning til dette bør også nevnes at dersom man ønsker å benytte sertifikatklassen Person<br />
Høyt som eID, stilles det i Kravspesifikasjon for PKI i offentlig sektor (punkt 4.3) detaljerte krav<br />
om hvilke dokument som skal presenteres for <strong>id</strong>entifisering av vedkommende ved det personlige<br />
88