EU sikter mot én felles europeisk eID

Saken har sin bakgrunn i revidering av eIDAS-forordningen som også er en del av norsk lov. Det er vanlig i EU at man går gjennom lovverket etter en tid og gjør justeringer som passer bedre for målene det skal oppnå - og slik tilpasser reglene etter nye behov og krav.

Forslaget fremmes som en «amending act», noe som betyr at det er et strengt begrenset grunnlag for diskusjoner rundt det i forhold til en full revisjon.

Men hvorfor en ny felles eID?

Det handler om det indre digitale markedet i EU som i dag faktisk ikke fungerer på tvers av landegrensene. Selv om dette ikke burde overraske noen, ble dette veldig tydelig i forbindelse med Covid-19. Stadig større deler av realøkonomien flyttes til tjenesteyting og deretter til digital tjenesteyting. Dersom man skal ha et indre marked, er det strengt nødvendig å legge til rette for dette. En klar satsning på en felles eID er en nøkkel for å få dette til.

Slik sett er dette ikke slutten på forslag som skal styrke det digitale markedet, men kun første forslag som konkretiseres og der andre forslag med samme mål kommer som perler på en snor framover.

Evolusjonen av behov innen eID

Behovene man skal dekke med eID-løsninger er ikke statiske, men endrer seg med modenhet i markedet, modenhet hos sluttbrukere og der tekniske rammebetingelser gjør ting som før var «mulig» lett tilgjengelig.

Noen slike eksempler på evolusjon kan illustreres med følgende figur:

Dette er innholdet i forordningen

eID

• Dette blir en felles teknisk harmonisert løsning basert på en digital lommebok.
• Alle stater må utstede dette til sine innbyggere gratis.
• Frist for gjennomføring er 12 måneder etter at loven blir innført.
• Dette middelet skal utstedes med høyeste sikkerhetsnivå.
• Harmoniseringen blir håndhevet ved at alle medlemsland må gjennom sertifisering, test og vurdering av sine løsninger for å sikre at de er funksjonelt identiske på alle mulige måter.
• Lommeboken og innholdet vil være under brukers eksklusive kontroll. Utstedere av lommebok eller innhold vil ikke være involvert i bruk på noen som helst måte.
• Det stilles krav om obligatorisk aksept for flere næringer:
o Transport
o Energi
o Bank og finans
o Helse
o Tjenester knyttet til drikkevann
o Post og postrelaterte tjenester
o Digital infrastruktur
o Utdanning
o Telekommunikasjon
o I tillegg stilles det krav til at store plattformer slik det er referert i Digital Services Act, må akseptere dette. I praksis omfatter det plattformer som for eksempel Google, Amazon og Facebook.
• Kommisjonen vil benytte Digital Markets Act som et middel der det er nødvendig for å åpne tilgang til infrastruktur.

Attesterte attributter

Dette er nytt og har som hensikt å definere digitalisering utover identitet av ting knyttet til identitet. Prinsippet for dette kan illustreres ved disse eksemplene: Åpne en konto, søke på jobb eller søke på studielån.

Slike objekter vil tillegges samme juridiske vekt som notifiserte dokumenter, og det vil være krav til aksept i alle sammenhenger der avtaler ikke inngås ansikt til ansikt.

Kort forklart kan man se på dette som et verktøy for å dekke sektorspesifikke initiativ og behov. Noen typiske eksempler kan være:
• Førerkort
• Pass
• Nasjonalt ID-kort
• Styringsmiddel for IoT
• Adgangskort til jobb eller skole
• Bibliotekkort
• Digitale sentralbankpenger

Denne listen vil bli mye lengre og i praksis dekke alt man kan ha i en fysisk lommebok i dag - og mye som ikke kan være i en fysisk lommebok, men i en elektronisk.

Andre elementer

• Utvidede krav til medlemsstatene om identitetsmatching for å kunne tilby tjenester til borgere fra andre stater.
• Innføring av en unik identifikator for å gjøre dette lettere.
• Anerkjennelse av elektroniske ledgers (elementer i blokkjede) for ikke benektbarhet og sekvensering i tid.
• Krav til støtte for kvalifiserte nettsertifikater.

Teknologinøytralt

EU-kommisjonen legger opp til at løsningen som velges skal være teknoliginøytral. For noen kan det være fristende å lese lovforslaget som startsignalet for blokk-kjede baserte løsninger og det som i dag forstås som SSI-løsninger. Men det er ikke tilfelle - heller tvert imot. Slike løsninger kan brukes, men en underliggende vurdering er at slike løsninger i dag eller i nærmeste framtid ikke vil være modne for bruk.

Det er nå jobben starter

På mange måter kan man si at det er nå det virkelige arbeidet begynner. Disse rammebetingelsene skal fylles med konkret innhold og dette blir en prosess der medlemslandene trekkes tettere inn i prosessen for å komme med sine bidrag.

Når kan så en ny eID være på plass? Det er ikke godt å si. Det er åpenbart at det er sterke politiske krefter som jobber for å realisere planene. EU-kommisjonen signaliserer at de ønsker å innføre dette innen kommisjonsperioden, altså om to til tre år. Så skal det inn i norsk lov gjennom EØS-behandlingen før det kan bli gyldig i Norge.