Teknologi / 5 minutter /
Elektronisk ID i hele Europa
Hvorfor kan du ikke bruke din norske BankID hvis du skal opprette en konto i en svensk bank?
Hvorfor kan du ikke bruke din norske BankID hvis du skal opprette en konto i en svensk bank?
I Norge har vi flere elektronisk IDer som er godkjent etter norske regler: BankID, Buypass ID, Commfides eID og MinID. Du kan bruke disse for å få tilgang til en rekke offentlige og private tjenester, men bare i Norge. Hvorfor kan du ikke bruke din norske BankID hvis du skal opprette en konto i en svensk bank?
Med eIDAS-forordningen, som trådte i kraft i 2016, forsøkte EU å løse slike utfordringer. Gjennom EØS- avtalen ble forordningen tatt inn i norsk lov i 2018. Hensikten med forordningen var å få til en harmonisering av elektronisk ID på tvers av de europeiske landene og å legge til rette for økt elektronisk samhandling på tvers av landegrensene.
Hvorfor fikk vi denne loven, hva har skjedd etter at eIDAS-forordningen ble innført og hva er status for elektronisk ID i Europa i dag? Med Europa mener vi her medlemslandene i EU og EFTA-landene Norge, Island og Liechtenstein.
Hvorfor trenger vi elektronisk identifikasjon?
Utbredelsen av digitale tjenester gir et økende behov for sikkert å kunne identifisere brukerne. En elektronisk identifikasjon (eID) brukes for å bekrefte at du er den du utgir deg for å være. Ofte har tilbyder av en tjeneste laget sin egen løsning for innlogging, men her snakker vi altså om den elektroniske identifikasjonen som skjer som en del av en innlogging hos mange ulike tjenester. Når du for eksempel leverer skattemelding, er det Skatteetaten som leverer tjenesten og banken din som identifiserer deg med BankID. Skatteetaten har da tiltro til at du er blitt riktig identifisert av identitetstilbyderen, som er BankID.
Før EU-kommisjonen tok initiativ til å regulere bruk av elektronisk identifikasjon var situasjonen at flere europeisk land hadde nasjonale eller private elektroniske IDer, mens noen land manglet helt slike ordninger. Det var i praksis ulike lover, regler og godkjenningsordninger for elektronisk identifikasjon i hvert enkelt land. Det var heller ingen land som anerkjente en eID utstedt i et annet land.
EU ønsket derfor å etablere et rammeverk for elektronisk ID som kunne være med å øke innovasjon og fremme bruk av digitalt tjenester på tvers av landene i Europa.
Et viktig mål med initiativet har vært å kunne gi brukerne kontroller over hvor og når deres ID og personlige informasjon benyttes. Brukerne vil få bedre kontroll hvis de ikke trenger å forholde seg til mange ulike autentiseringstjenester, men heller kan bruke samme eID i mange tjenester. Samtidig kan virksomhetene spare penger hvis de benytter fellesløsninger og slipper å utvikle sin egen autentiseringsløsning.
Fraværet av nasjonale elektroniske IDer har latt de store internettplattformene etablere egne ID-løsninger som kan fremstå som en elektronisk identitet. Slike IDer kommer ikke med de samme rettighetene og juridiske sikringene som vil kunne finnes i en nasjonal ID. Det blir da vanskeligere for brukerne å vite hvilke data som lagres om dem og hvordan disse deles med andre aktører. Det kan også bli vanskeligere for nye virksomheter å etablere seg hvis noen få store selskaper kontrollerer alle deler av brukernes digitale liv. Bruk av elektronisk ID vil øke sikkerheten i digitale tjenester generelt. Man er helt avhengig av å kunne identifisere brukerne på en sikker måte for å drive frem digitaliseringen av offentlige og private tjenester.
Hva er eIDAS?
eIDAS står for electronic IDentification, Authentic and trust Services og er en forordning som regulerer elektronisk identifisering og tillitstjenester. Formålet med reguleringen var å
- å sikre alle innbyggere tilgang til eID
- effektivisere offentlige tjenester
- skape et digitalt indre marked i EU
Et av virkemiddelene for å nå disse målene var å harmoniserere regelverket for eID mellom landene. En eID godkjent i ett land skal enkelt kunnen anerkjennes av de andre europeiske landene, siden alle land stiller de samme kravene til eID. Dermed skulle brukerne kunne benytte sin nasjonale eID for å få tilgang til digitale tjenester, ikke bare i sitt egegt land, men i alle EU-land. eIDAS-forordningen definerer også infrastrukturen for dette europeiske nettverket av nasjonale elektroniske IDer. Men selv om både de felles reglene og den tekniske infrastrukturen er på plass, så har vi i liten grad sett slik bruk av eID på tvers av landene. Mer om dette under overskriften "Hva har eIDAS gitt oss?".
eIDAS-forordningen stiller ikke detaljerte teknisk krav til eID. Man valgte i stedet en tilnærming hvor man definerer 3 sikkerhetsnivåer for elektronisk ID: Lav, Betydelig og Høy. De ulike nivåene angir hvilken tillit du kan ha til en slik eID ved å definere formelle krav til utstedelse av eIDen, de elektroniske identifikasjonsmidlene som benyttes, hvordan brukeren autentiseres og forvalting av IDen. En eID på nivå Lav kan for eksempel brukes for å få tilgang til sosiale medier. Dette er typisk tjenester hvor du selv har opprettet en bruker og du i dag logger deg på med brukernavn og passord. Når du handler på nettet kan du bruke en eID på nivå Betydelig for å bekrefte betalingen. Når du skal levere skattemelding må du bruke en eID på nivå Høy, fordi skattemelding inneholder sensitive personopplysninger.
En tillitstjeneste er en elektronisk tjeneste som tilbys mot betaling. Den vanligste tillitstjenesten er elektronisk signatur. Hvis du skal søke om huslån kan du signere en elektronisk lånesøknad. Når banken mottar søknaden kan de verifisere at den elektroniske signaturen tilhører deg og at dokumentet ikke er endret etter at det ble signert. eIDAS-forordningen definerer noe som kalles en kvalifisert tillitstjeneste. For slike tjenester settes det ekstra høye krav til tilbyderen, og vil kunne brukes når kravene til sikkerhet og tillit er høye. Eksempelvis vil signering av huslånet kreve en kvalifisert tillitstilbyder, mens ved signering av en kontrakt med en håndverker så kan en vanlig tillitstilbyder være godt nok. Du kan ha tiltro til tjenesten hvis den oppfyller kravene i eIDAS. eIDAS definerer følgende typer tillitstjenester:
- elektroniske signaturer
- elektroniske segl
- elektroniske tidsstempler
- elektroniske tjenester for registrert sending
- sertifikater for nettstedsautentisering
Hva har eIDAS gitt oss?
eIDAS-forordningen har endret norsk lov, men den har i liten grad endret hvordan vi bruker elektronisk ID i Norge. Vi bruker fremdeles BankID, BuyPass ID og MinID for å få tilgang til norske tjenester. Ingen norsk elektronisk ID er så langt godkjent etter eIDAS-kravene, men både BankID og BuyPass ID er i prosess med å bli godkjent. Det er flere norske tilbydere av kvalifiserte tillitstjenester, som elektronisk signatur og segl, som nå er godkjent i henhold til den nye loven. I Norge er Nasjonal kommunikasjonsmyndighet (Nkom) utpekt som tilsynsorgan for elektronisk ID og tillitstjenester.
I EU er det i dag totalt 19 nasjonale elektroniske IDer i 14 medlemsland som er godkjent etter eIDAS-forordningen. 60% av EUs innbyggere har tilgang til en elektronisk ID. De gjenværende landene har enten ingen eID-ordning eller de har en eID som ikke registrert hos EU-kommisjonen. Bruken av eID på tvers av EU-land er nesten helt fraværende.
Mange land tilbyr flere elektroniske IDer på ulike sikkerhetsnivå. I Norge har vi f.eks. MinID på nivå betydelig og BankID på nivå høy. Ikke alle land tilbyr en eID på høyeste tillitsnivå. De forskjellige eID-ordningene bruker ulike løsninger for autentisering av brukeren og det er ulike krav til oppmøte og legitimering ved utstedelse. Listen under beskriver noen av de ulike eID-ordningene som tilbys i Europa.
- I Tyskland har de elektronisk ID knyttet til det nasjonale ID-kortet som er et smartkort med en tilhørende PIN-kode.
- Italia har flere eIDer. En av disse er SPID hvor brukerne autentiserer seg med brukernavn og passord.
- Estland har en eID knyttet til et smartkort med to PIN-koder, en for identifisering og en for elektronisk signering.
- I Storbritannia har de en eID-ordning kalt Gov.UK Verify som du kan benytte med utvalgte offentlige tjenester. Digidentity har utviklet denne IDen hvor brukeren autentiseres med en app og en PIN-kode.
- Svensk BankID kommer i 3 varianter hvor brukeren autentiserer seg med et smartkort, en app på telefonen eller et sikkerhetsprogram installert på PCen.
- Dansk NemID kommer i to varianter. Sammen med brukernavn og passord trenger du et kort eller en app med engangskoder.
- Noen land, slik som Estland, har en eID knyttet til et smartkort
Noen land, slik som Estland, har en eID knyttet til et smartkort
Noen land, slik som Estland, har en eID knyttet til et smartkort
En fullstendig oversikt over alle eID-ordninger som er registret hos EU-kommisjonen finner du her.
De nasjonale eID-ordningene brukes først og fremst til offentlige tjenester. Det er faktisk noen land som ikke tillater at private aktører bruker de nasjonale eID-ordningene. De nordiske landene er et av unntakene. Her har de fleste innbyggerne en ID som de kan bruke for å få tilgang til både i offentlige og private tjenester. EU mangler selv statistikk for bruk av eID i medlemslandene, men Sverige har gode tall. Der benytter innbyggerne sin eID ca 20 ganger i måneden i snitt, hvorav 1 er til en offentlig tjeneste. For å anslå behovet for elektronisk ID i Europa kan vi se på bruken av banktjenester på nett. Det gir en god indikasjon på hvor digitale europeerne er og potensialet for bruk av eID. I EU samlet er det 58% av innbyggerne som benytter banktjenester på nett. Bruken fordeler seg svært ujevnt mellom de 27 medlemslandene fra Sverige med 95% til Romania med 15%.
Prosent av befolkningen som bruker banktjenester på nett, inkluder elektroniske betalingstjenester
Prosent av befolkningen som bruker banktjenester på nett, inkluder elektroniske betalingstjenester
Disse tallene viser at utbredelsen av banktjenesten på nett trolig har skjedd på tross av og ikke på grunn av eIDAS. Forordningen har rett og slett ikke vært relevant for utbredelsen av elektroniske banktjenester. Innenfor andre områder som reiseliv og utdanning, som åpenbart ville hatt nytte av eID-ordninger som kan brukes på tvers av landegrenser, har man ikke sett noen effekt av eIDAS-forordningen.
I Europa er det i dag registrert 210 kvalifisert tilbydere av tillitstjenester. Elektronisk signatur er den mest utbredte tjenesten. Det kan virke som eIDAS-forordningen har bidratt effektivt til utbredelsen av tillitstjenester.
Flere tillitstjenester utsteder sertifikater for nettstedsautentisering kalt Qualified Website Authentication Certificate (QWAC). Slike sertifikater er i dag lite utbredt, fordi de etablerte nettleserne så langt ikke har valgt å støtte dem. Svakheter i prosessen for utstedelse og verifisering av slike sertifikater gjør at leverandørene av nettleserne mener brukerne får dårligere sikkerhet enn med andre typer sertifikater.
EU-tillitsmerke
EU-tillitsmerke
Fremtidsperspektiv for eIDAS?
Siden man ikke har klart å nå målene man hadde med eIDAS har EU satt i gang med en revisjon av hele eIDAS-forordningen. Du kan lese mer om hvordan gjøre deg klar for nye eIDAS 2.0.
I disse bloggartiklene kan du lese mer om eIDAS 2.0 og bakgrunnen for revisjonen:
- Gjør deg klar for den europeiske ID-revolusjonen (av Lars Ellingsen og Jørund Leknes)
- Sikker deling av personinformasjon på tvers av landegrenser (av Erling Skard)
- Zero Knowledge Truths - å bevise uten å bevise (av Eirik Solheim Ølberg)