Standardisering af digital identitet i EU

“Den del af eIDAS-forordningen, der vedrører elektronisk identifikation, etablerer et forudsigeligt lovgivningsmiljø, der skal muliggøre sikker og problemfri elektronisk interaktion mellem virksomheder, borgere og offentlige myndigheder.” (Tendenser inden for elektronisk identifikation)

Ud fra et strengt juridisk synspunkt sikrer eIDAS-forordningen grænseoverskridende adgang til offentlige tjenester: personer og organisationer i en EU-medlemsstat skal kunne bruge deres eget eID-udstyr til at få adgang til offentlige tjenester i andre EU-medlemsstater (forudsat at disse offentlige tjenester tilbyder sikker login til deres webtjenester som en mulighed til deres egne borgere).

F.eks. vil en fransk studerende, der ønsker at studere på et universitet i Sverige, ikke blive forhindret i at få adgang til og gennemføre onlinetilmeldingsprocessen, hvis hun ikke har BankID (det mest udbredte eID-udstyr i Sverige) til at bekræfte sin identitet. Under eIDAS vil hendes FrenchConnect eID være lige så gyldigt.

Der er to vigtige punkter at bemærke:

• eIDAS foreskriver ikke brugen af eID, men muliggør og beskytter snarere brugen af eID.
• Ved at skabe en juridisk ramme for hele EU har forordningen også store konsekvenser for brugen af eID i den private sektor.

Fra 2023 er EU i færd med at revidere eIDAS-forordningen og deltager i et ambitiøst, langsigtet projekt – EU Digital Identity Wallet – for at støtte brugen af digitale identiteter i hele EU, som du kan læse mere om i denne e-bog, der kan downloades

Målene for eIDAS for den offentlige og private sektor

eIDAS-forordningen vil påvirke den private sektor lige så meget som, hvis ikke mere end, den offentlige sektor.

“Den del af eIDAS-forordningen, der vedrører elektronisk identifikation, og som træder i kraft i september 2018, etablerer et forudsigeligt reguleringsmiljø for at muliggøre sikker og problemfri elektronisk interaktion mellem virksomheder, borgere og offentlige myndigheder. Et af de centrale mål er at sikre, at personer og virksomheder kan bruge deres egne nationale eID’er til at få adgang til offentlige onlinetjenester i andre EU-lande, hvilket kræver, at der etableres et gensidigt interoperabelt netværk af eID-ordninger i Europa.” (4)

At lette den private sektors handel i den digitale tidsalder er et andet vigtigt mål for eIDAS-forordningen. Til støtte for dette mål tilbyder Europa-Kommissionen online ressourcer, der fremmer fordelene ved eID- og tillidstjenester for virksomheder, herunder en vejledning i, hvordan de kan indføre disse værktøjer i deres aktiviteter. (5)

Både offentlige og private organisationer (samt fælles offentlig-private alliancer) har været aktive i udviklingen af eID-ordninger, -midler og -infrastrukturer på grundlag af deres forskellige mandater og motiveringer. Banksektoren har været og er fortsat særlig aktiv. “Bankerne bruger nu kollektivt mere end 1 mia. dollars om året på at finansiere forskning og udvikling af identitetsløsninger, hvilket gør dem til verdens førende investorer, selv foran nationale regeringer og politimyndigheder”. (6)

Sikringsniveauer

For at garantere interoperabilitet mellem medlemsstaterne på lovlig vis er det i eIDAS-forordningen klart defineret, hvilke standarder en eID-ordning skal opfylde. Disse standarder er igen retningsgivende for de tekniske specifikationer og sikkerhedsspecifikationer for eID-udstyr samt for brugen og accepten af disse.

For at illustrere værdien af at have en fælles EU-retlig ramme kan man se på en af de vigtigste specifikationer: sikkerhedsniveauerne (LoA). (7) Hver eIDAS-kompatibel eID-ordning klassificeres i henhold til et eller flere af tre forskellige sikringsniveauer: Lav, væsentlig og høj. “Sikringsniveauer karakteriserer graden af tillid til den elektroniske identifikationsattest, der anvendes til at fastslå en persons identitet, og giver sikkerhed for, at den person, der påberåber sig en identitet, rent faktisk er den person, som identiteten er tildelt.” (8)

De tre sikringsniveauer i henhold til eIDAS er baseret på ISO/IEC 2915-standarden, som danner grundlag for mange sikringsrammer i hele verden. (Lavt, væsentligt og højt svarer til henholdsvis ISO/IEC 2915-niveau 2, 3 og 4). To nøglefaktorer, der er med til at bestemme graden af tillid, som hvert niveau giver, er: Identitetssikring på registreringstidspunktet: Hvor stringent var processen med at identificere personen eller enheden, da de ansøgte om deres eID?

• Identitetssikring på registreringstidspunktet: Hvor stringent var processen til identifikation af personen eller enheden, da de ansøgte om deres eID?
• Autentifikationssikkerhed: styrken af de metoder, der blev anvendt på autentifikationstidspunktet

Ud over identitetssikring og autentificeringssikring omfatter andre vigtige faktorer “pålideligheden og kvaliteten af”: procedurerne for udstedelse af eID-udstyret, den enhed, der udsteder eID-udstyret, og “ethvert andet organ”, der måtte være involveret i ansøgningen om udstedelse af eID-udstyret. (9)

Ved hjælp af denne ramme kan lovgiverne derefter nemt specificere, hvilket sikkerhedsniveau et eID-udstyr skal have for en given type transaktion. Private virksomheder kan efter eget skøn kræve et endnu højere sikkerhedsniveau end det, som loven måtte kræve, hvis de beslutter, at deres egen forretningsrisiko berettiger det. Fordelene ved ekstra sikkerhed skal naturligvis afvejes i forhold til kvaliteten af kundeoplevelsen og de ekstra transaktionsomkostninger for virksomheden.

Formalisering og gennemførelse af eID-ordninger: Notifikation og eIDAS-netværket

For at muliggøre interoperabilitet mellem forskellige medlemsstaters eID-ordninger er det nødvendigt med en metode til at forvalte og udføre grænseoverskridende autentificering samt en proces til formalisering af eIDAS-godkendte eID-ordninger.

Processen for formel godkendelse af en eID-ordning er kendt som “anmeldelse”. Hver medlemsstat er ansvarlig for at anmelde sine egne eID-ordninger og sikre, at de opfylder alle eIDAS-sikkerheds- og kvalitetskrav. (10) Processen indebærer en peer review af medlemsstaterne, og når eID-ordningen er blevet officielt tilføjet eIDAS-netværket (se nedenfor), skal EU’s medlemsstater anerkende den “senest 12 måneder efter offentliggørelsen i Den Europæiske Unions Tidende”. (11)

Den tekniske infrastruktur, der forbinder de forskellige eID-ordninger og -midler, kaldes eIDAS-netværket. Dette netværk er baseret på en række knudepunkter (eIDAS-knudepunkter), som gennemføres på medlemsstatsplan. I forbindelse med en individuel transaktion kan hver knude både anmode om og levere grænseoverskridende autentificering.

Fremme af indførelsen af eID, fremme af handel

Nye eID-ordninger udvikles gradvist og tilføjes til eIDAS-netværket. Men virksomhederne behøver ikke at vente på en meddelelse for at kunne drage fordel af fordelene ved elektronisk identifikation, herunder opfyldelse af overensstemmelseskrav (på nationalt plan), styring af forretningsrisici og forbedring af kundeoplevelsen.

eIDAS’ indvirkning på handelen bliver tydelig, når man overvejer konsekvenserne af en klar juridisk definition af eID i hele EU. eIDAS-forordningen:

• giver lovgiverne i medlemsstaterne en fælles juridisk ramme, når de udarbejder love om elektronisk identitet…
• …hvilket igen skaber et stærkere incitament til udvikling af eID-ordninger og -midler i de enkelte medlemsstater, og
• giver virksomhederne et anerkendt retsgrundlag for at tilbyde deres kunder eID som en metode til at verificere deres identitet og autentificere sig selv i et digitalt miljø og til at underskrive dokumenter, der opfylder eIDAS-standarden for avancerede og kvalificerede elektroniske signaturer.

Selv om EU’s fremme af eIDAS lægger vægt på grænseoverskridende samarbejde, skal det bemærkes, at elektronisk identifikation giver en enorm værdi selv for virksomheder og kunder i den samme medlemsstat. Et godt eksempel er Sverige, som er en af de få medlemsstater, hvor elektronisk identifikation blev udbredt længe før eIDAS.

Det svenske BankID, en eID-ordning og -middel, der er udviklet af en gruppe af store banker, blev udstedt første gang i 2003. BankID er anerkendt i henhold til svensk lovgivning og nyder bred tillid og har 7,5 millioner faste brugere (73 % af befolkningen), som rutinemæssigt bruger det til at autentificere sig selv online, godkende transaktioner og få adgang til offentlige tjenester.

BankID bruges også til at identificere underskriveren entydigt ved underskrivelse af aftaler. Selv om eID ikke er et obligatorisk element i en gyldig elektronisk signatur, anses kontrakten for at være underskrevet med en elektronisk signatur på avanceret niveau, som har samme retsvirkning som en håndskrevet underskrift i Sverige (dvs. en særlig retsvirkning), hvis underskriverne af en kontrakt bruger BankID til at identificere sig selv entydigt. På grund af BankID’s eksisterende sikkerhedsinfrastruktur er der ikke nogen typer kontrakter, der kræver brug af en kvalificeret elektronisk signatur, som kun kan opnås ved hjælp af en elektronisk signaturløsning, der opfylder branchestandarder, som ikke er teknologineutrale.

Overholdelse og kundeoplevelse

For at illustrere betydningen af eIDAS for handel kan man se på to store udfordringer, som banksektoren står over for i dag:

• Strengere regler for overholdelse af lovgivningen
• Strammere konkurrence

Direktivet om bekæmpelse af hvidvaskning af penge (AMLD) er en EU-retsakt, der især påvirker bank- og finanssektoren. F.eks. stiller nye KYC-krav (Know-Your-Customer) nu højere krav til bankerne med hensyn til identifikation af deres kunder. KYC omfatter kontrol af nye kunders identitet og autentificering af eksisterende kunders identitet, når de får adgang til visse tjenester.

Samtidig står de traditionelle banker over for ny konkurrence fra nye aktører, som er langt bedre til at tilbyde den kundeoplevelse, som forbrugerne i dag forventer: først og fremmest en digital oplevelse.

I direktivet om bekæmpelse af hvidvaskning af penge er der flere metoder, som en bank kan anvende til at verificere deres kunders identitet, og som hver især indebærer afvejninger, f.eks. tid og udgifter til gennemførelse på den ene side og på den anden side virkningen på kundeoplevelsen og varemærket. Personlig ID-kontrol og eID er begge metoder, der er i overensstemmelse med direktivet om bekæmpelse af hvidvaskning af penge, men med hensyn til at give kunderne en moderne kundeoplevelse er det klart at foretrække at tilbyde eID som verifikationsmetode frem for at kræve, at kunderne skal besøge en fysisk bank.

Så hvad er hindringerne for at indføre eID? Institutionel inerti og risikoaversion står sandsynligvis øverst på listen. Det kan være en stor udfordring at få godkendelse fra interne juridiske rådgivere til nye digitale værktøjer. Men at undlade at digitalisere driften er også forbundet med risici, især på et stadig mere konkurrencepræget marked.

Et af formålene med eIDAS er at bidrage til at mindske hindringerne for digital handel, hvilket det gør i dette tilfælde ved at give klare definitioner og kategorier af elektronisk identifikation. I hvidvaskningsdirektivet henvises der igen til disse definitioner for at specificere kravene til en overensstemmende KYC-kontrol ved hjælp af eID. Så en bank, der ønsker at tilbyde eID, behøver kun at vælge et eID-middel med det krævede sikkerhedsniveau i henhold til en ordning, der er i overensstemmelse med eIDAS. Der er ikke behov for at afsætte omfattende juridiske og it-ressourcer til at sikre overholdelse.

Konklusion

eIDAS-forordningen er et vigtigt skridt i retning af visionen om et digitalt indre marked i EU, der fremmer og fremskynder den digitale omstilling i den offentlige og private sektor. Det er vigtigt at forstå, at eIDAS i modsætning til love, der foreskriver og begrænser adfærd, handler om at muliggøre og fastsætte juridisk anerkendte standarder for digital handel og offentlige tjenester. Med en EU-dækkende lovramme på plads har lovgiverne på EU-plan og i medlemsstaterne en fælles reference til at udarbejde love, hvilket gør det lettere for private virksomheder at indføre nye digitale værktøjer og tjenester.