Ordning med digital ID-kontroll og unntak fra krav om personlig oppmøte
Ved utstedelse av eID på høyeste sikkerhetsnivå er det fastsatt et krav om personlig oppmøte i pkt. 2.1.2. i vedlegg til gjennomføringsrettsakten 2015/1502 til eIDAS-forordningen 910/2014.
Personlig oppmøte er nødvendig for å kunne gjøre en manuell fotoidentifikasjon mot ID-bevis eller gjennomføre en elektronisk autentifisering. (Det er dermed ikke sagt at ID-beviset og personen ikke nødvendigvis må befinne seg på samme sted, her er det teknologien som setter begrensingene.) Personlig oppmøte, herunder virtuelt, er videre en forutsetning for å kunne gjennomføre en ID-samtale/intervju. ID-samtalen/intervjuet er et taktisk verktøy kontrolletatene benytter for å avdekke juks med ID-dokumenter som fremstår som ekte, men som er utstedt på grunnlag av falske underlagsdokumentasjon.
I høringsnotatet skriver departementet at Digitaliseringsdirektoratet og Buypass har kommet frem til en midlertidig løsning som bygger på kravene i ny lov om tillitstjenester. Loven gjør i eIDAS-forordningen med tilhørende gjennomføringsrettsakter gjeldene som norsk lov. Vi merker oss at ordningen ikke krever personlig oppmøte, som er et krav etter eIDAS ved utstedelse av eID på høyeste nivå.
Departementet skriver videre at det skal gjennomføres digital kontroll, maskinell lesing av pass og biometrisk ansiktsgjenkjenning. Biometriske ansiktsgjenkjenningen foregår ved automatisert sammenligning av foto i ID-dokument eller forhåndslagret foto i en database mot foto av person i nåtid (passet og personen behøver imidlertid ikke være på samme sted). Det blir uklart for oss hvilken rolle biometrisk ansiktsgjenkjenning kan ha når det ikke er krav om fysisk oppmøte.
Utstedelse av eID vil legitimere identiteten den er knyttet til og sikre at gitt person får tilgang til norske ytelser og tjenester. Vi mener høringsnotatet ikke gjør det klart hvilke konkrete tiltak som skal kompensere for en ordning som gjør unntak fra kravet om personlig oppmøte.
Personlig oppmøte er nødvendig for å kunne gjøre en manuell fotoidentifikasjon mot ID-bevis eller gjennomføre en elektronisk autentifisering. (Det er dermed ikke sagt at ID-beviset og personen ikke nødvendigvis må befinne seg på samme sted, her er det teknologien som setter begrensingene.) Personlig oppmøte, herunder virtuelt, er videre en forutsetning for å kunne gjennomføre en ID-samtale/intervju. ID-samtalen/intervjuet er et taktisk verktøy kontrolletatene benytter for å avdekke juks med ID-dokumenter som fremstår som ekte, men som er utstedt på grunnlag av falske underlagsdokumentasjon.
I høringsnotatet skriver departementet at Digitaliseringsdirektoratet og Buypass har kommet frem til en midlertidig løsning som bygger på kravene i ny lov om tillitstjenester. Loven gjør i eIDAS-forordningen med tilhørende gjennomføringsrettsakter gjeldene som norsk lov. Vi merker oss at ordningen ikke krever personlig oppmøte, som er et krav etter eIDAS ved utstedelse av eID på høyeste nivå.
Departementet skriver videre at det skal gjennomføres digital kontroll, maskinell lesing av pass og biometrisk ansiktsgjenkjenning. Biometriske ansiktsgjenkjenningen foregår ved automatisert sammenligning av foto i ID-dokument eller forhåndslagret foto i en database mot foto av person i nåtid (passet og personen behøver imidlertid ikke være på samme sted). Det blir uklart for oss hvilken rolle biometrisk ansiktsgjenkjenning kan ha når det ikke er krav om fysisk oppmøte.
Utstedelse av eID vil legitimere identiteten den er knyttet til og sikre at gitt person får tilgang til norske ytelser og tjenester. Vi mener høringsnotatet ikke gjør det klart hvilke konkrete tiltak som skal kompensere for en ordning som gjør unntak fra kravet om personlig oppmøte.
Entydig knyting til d-nummer
Departementet skriver at ordningen krever et imidlertid behov for tilgang til utenlandsk identifikator som er registrert i folkeregisteret. Dette for å tilfredsstille kravet om entydig identifisering i selvdeklarasjonsforskriften.
Departementet mener det ikke er betenkelig å fastsette en hjemmel for utlevering av opplysninger om utenlandske identifikatorer til eID-tilbydere. Nasjonalt ID-senter deler departementets syn og argumenter for at slike opplysninger bør kunne utleveres. Utenlandske identifikasjonsnummer er elementer som viktige for identifisering og verifisering av identitet, og dermed mener vi også at kravet til saklig behov i personopplysingsloven § 12 oppfylt. Vi har altså ingen innvendinger mot forslaget om midlertidig endring i selvdeklarasjonsforskriften som gjør unntak for taushetsplikten for utenlandske identifikasjonsnumre, og imøteser gjerne at det med tiden kommer et forsalg om varig endring i folkeregisterloven slik at utenlandsk identifikasjonsnumre reguleres på samme måte som fødsels- og d-nummer. Forøvrig er det ikke gitt at den utenlandske identifikasjonsnumre vil være offentlig jf. offentlegforskrifta § 7 (1) d).
Det å sikre en kobling mellom d-nummer og utenlandsk identifiseringsnummer, oppfatter vi som et spørsmål av mer teknisk art. Det vesentlige må være å sikre en ordning som er tydelig på hvordan ID-kontroll skal gjennomføres, rammene for bruken av eIDen og vurdere hvilke risikoer eventuelle svakheter i ordningen kan ha. Høringsnotatet omtaler i liten grad disse forholdene. Det kan være noe misvisende å snakke om entydig identifikasjon hvis ID-kontrollen har mangler, som eksempelvis at den ikke er egnet til å hindre at flere ulike identifikasjonsnummer kan ha sin opprinnelse i en og samme person.
Ut fra det vi kjenner til om utstedelse av d-nummer, så er det opp til rekvirenten av d-nummeret å gjennomføre identitetskontroll, jf. folkeregisterforskriften § 2.2.5. D-nummer er altså ingen garanti for at det er utført en ID-kontroll. D-nummer blir også utstedt når det er kjent at personer har fremvist falske identitetspapirer.
Departementet mener det ikke er betenkelig å fastsette en hjemmel for utlevering av opplysninger om utenlandske identifikatorer til eID-tilbydere. Nasjonalt ID-senter deler departementets syn og argumenter for at slike opplysninger bør kunne utleveres. Utenlandske identifikasjonsnummer er elementer som viktige for identifisering og verifisering av identitet, og dermed mener vi også at kravet til saklig behov i personopplysingsloven § 12 oppfylt. Vi har altså ingen innvendinger mot forslaget om midlertidig endring i selvdeklarasjonsforskriften som gjør unntak for taushetsplikten for utenlandske identifikasjonsnumre, og imøteser gjerne at det med tiden kommer et forsalg om varig endring i folkeregisterloven slik at utenlandsk identifikasjonsnumre reguleres på samme måte som fødsels- og d-nummer. Forøvrig er det ikke gitt at den utenlandske identifikasjonsnumre vil være offentlig jf. offentlegforskrifta § 7 (1) d).
Det å sikre en kobling mellom d-nummer og utenlandsk identifiseringsnummer, oppfatter vi som et spørsmål av mer teknisk art. Det vesentlige må være å sikre en ordning som er tydelig på hvordan ID-kontroll skal gjennomføres, rammene for bruken av eIDen og vurdere hvilke risikoer eventuelle svakheter i ordningen kan ha. Høringsnotatet omtaler i liten grad disse forholdene. Det kan være noe misvisende å snakke om entydig identifikasjon hvis ID-kontrollen har mangler, som eksempelvis at den ikke er egnet til å hindre at flere ulike identifikasjonsnummer kan ha sin opprinnelse i en og samme person.
Ut fra det vi kjenner til om utstedelse av d-nummer, så er det opp til rekvirenten av d-nummeret å gjennomføre identitetskontroll, jf. folkeregisterforskriften § 2.2.5. D-nummer er altså ingen garanti for at det er utført en ID-kontroll. D-nummer blir også utstedt når det er kjent at personer har fremvist falske identitetspapirer.
Oppsummering
Det er noe uklart hva den midlertidige ordningen for utstedelse av eID innebærer med hensyn til gjennomføring av ID-kontroll. Hensynene bak et lovmessig krav om personlig oppmøte ved utstedelse av eID på høyt sikkerhetsnivå skal motvirke risikoen for juks. Vi mener at ordningen med utstedelse av eID til EØS-borgere med d-nummer kun bør gjelder de aktuelle NAV-tjenester som koronasituasjonen utløser, og at slike utstedelser forsetter bare den tid koronasituasjonen krever det. Altså må en videreføring med utstedelse av eID til EØS-borgere med d-nummer, kun tillates etter en ordinær ID-kontroll med personlig oppmøte så langt dette er et gjeldene kravet for å etablerer tilstrekkelig knyting mellom identitet og person.